Creare una baseline appresa degli avvisi OT
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e descrive come creare una baseline del traffico appreso sul sensore OT.
Informazioni sulla modalità di apprendimento
Un sensore di rete OT avvia automaticamente il monitoraggio della rete dopo la connessione alla rete e l'accesso. I dispositivi di rete vengono visualizzati nell'inventario dei dispositivi e vengono attivati avvisi per eventuali eventi imprevisti operativi o di sicurezza che si verificano nella rete.
Inizialmente, questa attività avviene in modalità di apprendimento, che indica al sensore OT di apprendere l'attività abituale della rete, inclusi i dispositivi e i protocolli nella rete, e i normali trasferimenti di file che si verificano tra dispositivi specifici. Qualsiasi attività rilevata regolarmente diventa il traffico di base della rete.
Suggerimento
Usa il tempo in modalità di apprendimento per valutare gli avvisi e Scopri quelli che vuoi contrassegnare come attività autorizzata e prevista. Il traffico appreso non genera nuovi avvisi la volta successiva che viene rilevato lo stesso traffico.
Dopo la disattivazione della modalità di apprendimento, qualsiasi attività diversa dai dati di base attiverà un avviso.
Per altre informazioni, vedere Avvisi di Microsoft Defender per IoT.
Sequenza temporale della modalità Learn
La creazione della baseline degli avvisi OT può richiedere da qualche giorno a diverse settimane, a seconda delle dimensioni e della complessità della rete. Dopo 2-6 settimane è consigliabile modificare manualmente la modalità Di apprendimento in modalità dinamica quando il numero giornaliero di avvisi diminuisce a un livello gestibile. In modalità dinamica Defender per IoT continua a monitorare la rete per il traffico sospetto, attivare gli avvisi e anche spostare automaticamente una categoria di avvisi in modalità operativa se tale avviso non viene attivato per un periodo di tempo specifico.
In modalità operativa tutti gli avvisi generati sono elencati nell'inventario e devono essere corretti seguendo le azioni elencate nel riquadro dei dettagli dell'avviso. Se l'avviso è stato attivato dal traffico di rete sicuro, è necessario usare il pulsante Learn per aggiungere questo traffico all'elenco di base in modo che il sensore non generi un avviso per questo in futuro.
Disattivare manualmente la modalità di apprendimento quando il livello di avvisi riflette in modo accurato l'attività di rete.
Prerequisiti
È possibile eseguire le procedure descritte in questo articolo dalla portale di Azure o da un sensore OT.
Prima di iniziare, assicurarsi di avere:
Un sensore OT installato, configurato e attivato, con avvisi attivati dal traffico rilevato.
Accesso al sensore OT come analista di sicurezza o utente Amministratore. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Valutazione gli avvisi
Valutare gli avvisi verso la fine della distribuzione per creare una baseline iniziale per l'attività di rete.
Accedere al sensore OT e selezionare la pagina Avvisi .
Usare le opzioni di ordinamento e raggruppamento per visualizzare prima gli avvisi più critici. Esaminare ogni avviso per aggiornare gli stati e apprendere gli avvisi per il traffico autorizzato OT.
Per altre informazioni, vedere Visualizzare e gestire gli avvisi nel sensore OT.
Passaggi successivi
Dopo aver disattivato la modalità di apprendimento, si passa dalla modalità di apprendimento alla modalità operativa . Continuare con una delle operazioni seguenti:
- Visualizzare i dati di Microsoft Defender per IoT con le cartelle di lavoro di Monitoraggio di Azure
- Visualizzare e gestire gli avvisi dal portale di Azure
- Gestire l'inventario dei dispositivi dal portale di Azure
Integrare i dati di Defender per IoT con Microsoft Sentinel per unificare il monitoraggio della sicurezza del team SOC. Per altre informazioni, vedi: