Detectar Anomalías de Red (Local)

Descripción

Detecta anomalías de red OT/IT en tiempo real sin depender de la nube. Latencia < 100ms.

Parámetros de la Tool

Entrada — lo que recibe

Parámetro	Tipo	Req.	Default
`interfaceId`	string	✓ Sí	—
`sensitivityLevel`	string	—	`high`

Salida — lo que devuelve

Campo	Tipo	Formato
`anomalyDetected`	boolean	—
`sourceIp`	string	—
`anomalyType`	string	—
`severity`	string	—

Guía de Implementación

¿Por qué estos parámetros de entrada?

interfaceId identifica el adaptador de red OT (puerto del switch industrial, interfaz del firewall perimetral) donde se captura el tráfico en el edge, sin enviar datos sensibles de la red al cloud. sensitivityLevel calibra el balance entre falsos positivos y falsos negativos según el nivel de riesgo aceptable en esa zona de la red.

Cálculos y lógica a implementar

Capturar tráfico de la interfaz en modo promiscuo (o recibir netflow). Comparar contra una línea base local (comunicaciones OT esperadas: IPs autorizadas, protocolos Modbus/OPC-UA, rangos de volumen típico). Detectar anomalías: nuevas IPs, protocolos no autorizados, volúmenes anómalos. Clasificar el tipo de anomalía y calcular la severidad sin enviar los paquetes al cloud.

¿Por qué estos parámetros de salida?

anomalyDetected es el flag que dispara inmediatamente block_ip o isolate_device en el edge sin esperar respuesta del cloud. sourceIp es la IP a bloquear en la siguiente acción. anomalyType y severity determinan qué acción ejecutar: una anomalía de severity='critical' requiere aislamiento inmediato de la red OT.

Interfaz gráfica recomendada

Monitor de tráfico en tiempo real con indicador ON/OFF de anomalía. Mapa de comunicaciones OT con flechas entre dispositivos y resaltado de flujos anómalos. Lista de últimas alertas con sourceIp, tipo y timestamp. Botón de bloqueo rápido por IP.

Conexiones con otras Tools

Recibe de

monitor_ot_network

TRAFFIC_CAPTUREDInternal

Tráfico OT monitorizado pasa al detector de anomalías local

Envía a

block_ip

ANOMALY_DETECTEDInternal

Anomalía crítica/alta activa bloqueo inmediato de IP

isolate_device

DEVICE_COMPROMISE_SUSPECTEDInternal

Movimiento lateral detectado aísla el dispositivo origen

Evento ISO que genera esta tool

Cuando esta tool detecta un evento relevante, emite el siguiente evento al Simulador ISO. El campostandardEvent.module.iddebe usar este nombre exacto.

●local_network_anomaly→ se visualiza en el Dashboard ISO y Reporte de Auditoría

Cláusulas ISO que cubre este evento

IEC 62443-3-3:2013§SR 6.1Auditoría de eventos de seguridad

Detección y registro local de anomalías de red sin dependencia de conectividad cloud.

Al ejecutar el demo de esta tool, el evento se guardará en el Simulador ISO con este identificador.

Demo en vivo

Listo

Presiona Ejecutar Demo para ver cómo actúa esta tool en tiempo real

Agentes que usan esta tool

🔐 Agente de Ciberseguridad IndustrialHybrid