Creare una baseline appresa degli avvisi OT
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e descrive come creare una baseline di traffico appreso nel sensore OT.
Informazioni sulla modalità di apprendimento
Un sensore di rete OT avvia automaticamente il monitoraggio della rete dopo la connessione alla rete e l'accesso. I dispositivi di rete iniziano a essere visualizzati nell'inventario dei dispositivi e gli avvisi vengono attivati per eventuali eventi imprevisti operativi o di sicurezza che si verificano nella rete.
Inizialmente, questa attività si verifica in modalità di apprendimento , che indica al sensore OT di imparare l'attività consueta della rete, inclusi i dispositivi e i protocolli nella rete e i trasferimenti regolari di file che si verificano tra dispositivi specifici. Qualsiasi attività rilevata regolarmente diventa il traffico di base della rete.
Suggerimento
Usare il tempo in modalità di apprendimento per valutare gli avvisi e Apprendere quelli che si desidera contrassegnare come autorizzati, attività previste. Il traffico appreso non genera nuovi avvisi la prossima volta che viene rilevato lo stesso traffico.
Dopo aver disattivato la modalità di apprendimento, qualsiasi attività diversa dai dati di base attiverà un avviso.
Per altre informazioni, vedere Microsoft Defender per gli avvisi IoT.
Sequenza temporale della modalità Learn
La creazione della linea di base degli avvisi OT può richiedere da alcuni giorni a diverse settimane, a seconda delle dimensioni della rete e della complessità. La modalità di apprendimento disattiva automaticamente quando il sensore rileva una diminuzione del traffico appena rilevato, che in genere è compreso tra 2-6 settimane dopo la distribuzione.
Disattivare manualmente la modalità di apprendimento prima di allora , se si ritiene che gli avvisi correnti riflettano in modo accurato l'attività di rete.
Prerequisiti
È possibile eseguire le procedure in questo articolo dalla portale di Azure, un sensore OT o una console di gestione locale.
Prima di iniziare, assicurarsi di avere:
Un sensore OT installato, configurato e attivato, con avvisi attivati dal traffico rilevato.
Accesso al sensore OT come analista della sicurezza o Amministrazione utente. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Avvisi di valutazione
Valutare gli avvisi alla fine della distribuzione per creare una baseline iniziale per l'attività di rete.
Accedere al sensore OT e selezionare la pagina Avvisi .
Usare le opzioni di ordinamento e raggruppamento per visualizzare prima gli avvisi più critici. Esaminare ogni avviso per aggiornare gli stati e apprendere gli avvisi per il traffico autorizzato OT.
Per altre informazioni, vedere Visualizzare e gestire gli avvisi nel sensore OT.
Passaggi successivi
Dopo aver disattivato la modalità di apprendimento, la modalità di apprendimento è stata spostata dalla modalità di apprendimento alla modalità operazione . Continuare con uno dei seguenti elementi:
- Visualizzare Microsoft Defender per i dati IoT con cartelle di lavoro di Monitoraggio di Azure
- Visualizzare e gestire gli avvisi dall'portale di Azure
- Gestire l'inventario del dispositivo dall'portale di Azure
Integrare i dati defender per IoT con Microsoft Sentinel per unificare il monitoraggio della sicurezza del team SOC. Per altre informazioni, vedere: