Créer une ligne de base apprise à partir des alertes OT

Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT, et explique comment créer une ligne de base de trafic appris sur votre capteur OT.

Présentation du mode d’apprentissage

Un capteur réseau OT commence automatiquement à surveiller votre réseau, une fois qu’il y est connecté et que vous vous êtes connecté. Les périphériques réseau commencent à apparaître dans votre inventaire des appareils, et des alertes se déclenchent pour tous les incidents de sécurité ou opérationnels qui se produisent dans votre réseau.

Initialement, cette activité se produit en mode d’apprentissage, qui indique à votre capteur OT d’apprendre l’activité habituelle de votre réseau, y compris les périphériques et les protocoles du réseau, ainsi que les transferts de fichiers réguliers qui se produisent entre des appareils spécifiques. Toute activité détectée régulièrement devient le trafic de ligne de base de votre réseau.

Pour plus d’informations, consultez Alertes Microsoft Defender pour IoT.

Durée du mode d’apprentissage

La création de votre ligne de base d’alertes OT peut prendre de quelques jours à plusieurs semaines, en fonction de la taille et de la complexité de votre réseau. Après 2 à 6 semaines, nous vous recommandons de changer manuellement le mode Apprentissage en mode Dynamique lorsque le nombre quotidien d’alertes diminue à un niveau gérable. En mode Dynamique, Defender pour IoT continue de surveiller le réseau à la recherche de trafic suspect, de déclencher des alertes et de déplacer automatiquement une catégorie d’alerte en mode Opérationnel si cette alerte n’est pas déclenchée pendant une durée spécifique.

En mode Opérationnel, toutes les alertes produites sont répertoriées dans l’inventaire et doivent être corrigées en suivant les actions répertoriées dans le volet détails de l’alerte. Si l’alerte a été déclenchée par le trafic réseau sécurisé, vous devez utiliser le bouton Apprendre pour ajouter ce trafic à la liste de référence afin que le capteur ne produise pas d’alerte pour cela à l’avenir.

Désactivez le mode Apprentissage manuellement lorsque le niveau d’alertes reflète avec précision votre activité réseau.

Prérequis

Vous pouvez suivre les procédures de cet article à partir du portail Azure ou d’un capteur OT.

Avant de commencer, vérifiez que vous disposez des éléments suivants :

• Un capteur OT installé, configuré et activé, avec des alertes déclenchées par le trafic détecté.

• Un accès à votre capteur OT en tant qu’utilisateur Analyste de sécurité ou Administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

Tri des alertes

Triez les alertes vers la fin de votre déploiement pour créer une ligne de base initiale pour l’activité réseau.

1. Connectez-vous à votre capteur OT et sélectionnez la page Alertes.

2. Utilisez les options de tri et de regroupement pour afficher d’abord les alertes les plus importantes. Passez en revue chaque alerte pour mettre à jour l’état et apprendre les alertes pour le trafic OT autorisé.

Pour plus d’informations, consultez Visualiser et gérer les alertes sur votre capteur OT.

Étapes suivantes

Une fois le mode d’apprentissage désactivé, vous passez du mode d’apprentissage au mode d’exploitation. Continuez avec l’une des opérations suivantes :

• Visualiser les données Microsoft Defender pour IoT avec des classeurs Azure Monitor
• Afficher et gérer les alertes à partir du portail Azure
• Gérer l’inventaire de votre appareil à partir du Portail Azure

Intégrez les données Defender pour IoT à Microsoft Sentinel pour unifier la surveillance de la sécurité de votre équipe SOC. Pour plus d'informations, consultez les pages suivantes :

• Tutoriel : Connecter Microsoft Defender pour IoT avec Microsoft Sentinel
• Tutoriel : Examiner et détecter les menaces pour les appareils IoT