Compartilhar via


Investigar incidentes e alertas

O Microsoft Defender para IoT no portal do Microsoft Defender apresenta incidentes e alertas, que melhoram a segurança e as operações de rede com detalhes em tempo real sobre eventos registados na sua rede de tecnologia operacional (OT).

Os alertas são a base de todos os incidentes e indicam a ocorrência de eventos mal-intencionados ou suspeitos em seu ambiente. Num incidente, vai analisar os alertas que afetam a sua rede, compreender o que significam e agrupar as provas para que possa conceber um plano de remediação eficaz.

Saiba mais sobre alertas e incidentes no portal do Defender.

Neste artigo, vai aprender a investigar um incidente do Microsoft Defender para IoT e os respetivos alertas associados e como remediar os problemas de segurança gerados pelo alerta.

Os alertas na página Incidentes combinam exclusivamente sinais de ambiente de TI e OT para detetar potenciais ameaças e fugas de dados. A página Incidentes apresenta:

  • Um histórico dos alertas ligados ao incidente e um gráfico de incidentes. O gráfico mostra outros dispositivos ligados ao dispositivo OT afetado que também podem estar comprometidos.
  • Descrições de alertas, que explicam o tipo de problema de segurança detetado.
  • Opções de remediação para resolver o problema de segurança.

Observação

Os dados de incidentes e alertas do Defender para IoT só aparecem quando tem um site configurado e os seus dispositivos estão a enviar dados para o portal do Defender. Saiba como configurar um site.

Importante

Este artigo aborda o Microsoft Defender para IoT no portal do Defender (Pré-visualização).

Se for um cliente existente a trabalhar no portal clássico do Defender para IoT (portal do Azure), veja a documentação do Defender para IoT no Azure.

Saiba mais sobre os portais de gestão do Defender para IoT.

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Investigar os alertas

Para investigar um alerta:

  1. No menu do portal do Microsoft Defender, selecione Incidentes & alertas Incidentes>.

  2. Para apresentar incidentes relacionados com OT:

    1. Selecione Adicionar filtro.
    2. Selecione Nome do produto e selecione Adicionar.
    3. Selecione o separador Nomes de produtos apresentado e escreva: Defender para IoT.
    4. Selecione Aplicar.
  3. Localize e selecione um incidente.

    A página de incidentes específica mostra a história do ataque composta pela linha cronológica do alerta, um gráfico de incidentes e os detalhes do incidente.

  4. Selecione um alerta na lista de alertas.

    O gráfico de incidentes e os detalhes do incidente apresentam dados específicos para este alerta.

  5. No painel Incidente , reveja as informações, leia a Descrição do alerta, as Provas e os Recursos afetados e siga as ações recomendadas do Alerta para remediar o problema.

Alerta do Defender para IoT

O Defender para IoT gera o seu próprio alerta exclusivo.

Nome Descrição
Possível impacto operacional devido a um dispositivo comprometido Um dispositivo comprometido comunicado com um recurso de tecnologia operacional (OT). Um atacante pode estar a tentar controlar ou interromper as operações físicas.

Busca avançada

Utilize a propriedade Site listada na tabela DeviceInfo para escrever consultas para investigação avançada. Isto permite-lhe filtrar dispositivos de acordo com um site específico, por exemplo, todos os dispositivos que comunicavam com dispositivos maliciosos num site específico.

A consulta seguinte lista todos os dispositivos de ponto final com o endereço IP específico no site de São Francisco.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

Isto é relevante tanto para o inventário de dispositivos como para a segurança do site. Para obter mais informações, veja Investigação avançada e o esquema DeviceInfo de investigação avançada.