Az IoT-hez készült Microsoft Defender újdonságai
Ez a cikk a Microsoft Defender for IoT-ben, a helyszíni és az Azure Portalon futó, valamint az elmúlt kilenc hónapban kiadott, ot- és nagyvállalati IoT-hálózatokon elérhető funkciókat ismerteti.
A kilenc hónappal ezelőtt kiadott funkciókról a szervezeteknek készült Microsoft Defender for IoT új archívumában olvashat. Az OT monitorozási szoftververziókkal kapcsolatos további információkért tekintse meg az OT monitorozási szoftver kibocsátási megjegyzéseit.
Feljegyzés
Az alább felsorolt funkciók előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei olyan egyéb jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Feljegyzés
Ez a cikk a Microsoft Defender for IoT-t ismerteti az Azure Portalon.
Ha Ön Microsoft Defender-ügyfél, és egységes informatikai/OT-felületet keres, tekintse meg a Microsoft Defender for IoT dokumentációját a Microsoft Defender portál (előzetes verzió) dokumentációjában.
További információ az IoT Defender felügyeleti portáljairól.
Helyszíni felügyeleti konzol kivonása
Az örökölt helyszíni felügyeleti konzol 2025. január 1-jén nem lesz letölthető. Javasoljuk, hogy ezen időpont előtt váltson át az új architektúrára a helyszíni és a felhőbeli API-k teljes spektrumával. További információ: helyszíni felügyeleti konzol kivonása.
2025. január
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok | - Több riasztási szabálysértés összesítése ugyanazokkal a paraméterekkel |
Több riasztási szabálysértés összesítése ugyanazokkal a paraméterekkel
A riasztások kifáradásának csökkentése érdekében ugyanazon riasztási szabálysértés több verziója is csoportosítva lesz, és a riasztások táblában egyetlen elemként szerepel. A riasztás részletei panel a Szabálysértések lapon található összes azonos riasztási szabálysértést felsorolja, a megfelelő szervizelési műveletek pedig a Művelet végrehajtása lapon jelennek meg. További információ: riasztások összesítése ugyanazokkal a paraméterekkel.
2024. december
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok | - Több forráseszköz támogatása a DDoS-támadási riasztásokban |
Több forráseszköz támogatása a DDoS-támadási riasztásokban
A riasztás részletei mostantól legfeljebb 10 DDoS-támadásban érintett forráseszközt jelenítenek meg.
2024. október
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
-
Helyettesítő karakterek hozzáadása a tartománynevek engedélyezéséhez - Hozzáadott protokoll - Új érzékelőbeállítás típusa Nyilvános címek - Továbbfejlesztett OT-érzékelő előkészítése |
Helyettesítő karakterek hozzáadása engedélyezési tartománynevekhez
Ha tartományneveket ad hozzá az FQDN engedélyezési listájához, használja a helyettesítő karaktert az *
összes altartomány belefoglalásához. További információ: Internetkapcsolat engedélyezése egy OT-hálózaton.
Hozzáadott protokoll
Most már támogatjuk az OCPI protokollt. Tekintse meg a frissített protokolllistát.
Új érzékelőbeállítás típusa Nyilvános címek
Hozzáadjuk a nyilvános címek típusát az érzékelő beállításaihoz, amelyek lehetővé teszik a belső eszközök nyilvános címeinek regisztrálását, és biztosítjuk, hogy az érzékelő ne kezelje őket internetes kommunikációként. További információ: Érzékelőbeállítások hozzáadása.
Továbbfejlesztett OT-érzékelő előkészítése
Ha csatlakozási problémák lépnek fel az érzékelő előkészítése során, az OT-érzékelő és az Azure Portal között a konfigurációs szakaszban, a folyamat nem hajtható végre, amíg a kapcsolati probléma meg nem oldódott.
Most már támogatjuk a konfigurációs folyamat befejezését anélkül, hogy meg kellene oldania a kommunikációs problémát, így gyorsan folytathatja az OT-érzékelő előkészítését, és később megoldhatja a problémát. További információ: AZ OT-érzékelő aktiválása.
2024. július
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok | - Biztonsági frissítés |
Biztonsági frissítés
Ez a frissítés felold egy CVE-t, amely a szoftver 24.1.4-es verziójának funkciódokumentációjában szerepel.
2024. június
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
-
Rosszindulatú URL-elérési út riasztása - Újonnan támogatott protokollok |
Rosszindulatú URL-elérési út riasztása
Az új riasztás, a rosszindulatú URL-cím lehetővé teszi a felhasználók számára a rosszindulatú útvonalak azonosítását a megbízható URL-címeken. A rosszindulatú URL-útvonalra vonatkozó riasztás kibővíti az IoT-hez készült Defender fenyegetésazonosítását, hogy általános URL-aláírásokat tartalmazzon, ami kulcsfontosságú a kiberfenyegetések széles körének elhárításához.
További információkért ezt a riasztást a Kártevőmotor riasztási táblázata ismerteti.
Újonnan támogatott protokollok
Most már támogatjuk az Open protokollt. Tekintse meg a frissített protokolllistát.
2024. április
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
-
Egyszeri bejelentkezés az érzékelőkonzolhoz - Érzékelő időeltolódásának észlelése - Biztonsági frissítés |
Egyszeri bejelentkezés az érzékelőkonzolhoz
Az egyszeri bejelentkezést (SSO) a Defender for IoT érzékelőkonzolhoz a Microsoft Entra ID használatával állíthatja be. Az egyszeri bejelentkezés egyszerű bejelentkezést tesz lehetővé a szervezet felhasználói számára, lehetővé teszi a szervezet számára a szabályozási szabványoknak való megfelelést, és növeli a biztonsági helyzetet. Az egyszeri bejelentkezéssel a felhasználóknak nincs szükségük több bejelentkezési hitelesítő adatra a különböző érzékelők és webhelyek között.
A Microsoft Entra ID használata leegyszerűsíti a bevezetési és a bevezetési folyamatokat, csökkenti a felügyeleti többletterhelést, és egységes hozzáférés-vezérlést biztosít a szervezeten belül.
További információ: Egyszeri bejelentkezés beállítása az érzékelőkonzolon.
Érzékelő időeltolódásának észlelése
Ez a verzió egy új hibaelhárítási tesztet vezet be a kapcsolati eszköz funkcióban, amely kifejezetten az időeltolódási problémák azonosítására szolgál.
Az érzékelőknek az Azure Portalon a Defender for IoT-hez való csatlakoztatása során gyakori kihívás az érzékelő UTC-idő eltéréseiből ered, ami csatlakozási problémákhoz vezethet. A probléma megoldásához javasoljuk, hogy konfiguráljon egy NTP-kiszolgálót az érzékelő beállításai között.
Biztonsági frissítés
Ez a frissítés hat CVE-t old fel, amelyek a szoftver 24.1.3-ás verziójának funkciódokumentációjában szerepelnek.
2024. február
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
24.1.2-es verzió: - Riasztások letiltási szabályai az Azure Portalról (nyilvános előzetes verzió) - Szűrt riasztások OT/IT-környezetekben - A riasztás azonosítója mostantól az Azure Portalon és az érzékelőkonzolon van igazítva - Újonnan támogatott protokollok Felhőszolgáltatások - Új licencmegújítási emlékeztető az Azure Portalon - Új OT-berendezés hardverprofilja - Új mezők SNMP MIB-azonosítókhoz |
Riasztások letiltási szabályai az Azure Portalról (nyilvános előzetes verzió)
Most már konfigurálhatja az Azure Portal riasztáseloszlási szabályait, hogy az OT-érzékelőket a hálózaton megadott olyan forgalomra utasítsa, amely egyébként riasztást váltana ki.
- Konfigurálja, hogy mely riasztásokat tiltsa le egy riasztás címének, IP/MAC-címének, gazdagépnevének, alhálózatának, érzékelőjének vagy helyének megadásával.
- Állítsa be az egyes letiltási szabályokat mindig aktívnak, vagy csak előre meghatározott időszakban, például egy adott karbantartási időszak során.
Tipp.
Ha jelenleg kizárási szabályokat használ a helyszíni felügyeleti konzolon, javasoljuk, hogy migrálja őket az Azure Portalon található kizárási szabályokba. További információ: Az irreleváns riasztások letiltása.
Szűrt riasztások OT/IT-környezetekben
Azokat a szervezeteket, amelyekben az érzékelők az OT és az informatikai hálózatok között vannak üzembe helyezve, számos riasztással foglalkoznak, amelyek mind az OT, mind az informatikai forgalomhoz kapcsolódnak. A riasztások száma, amelyek némelyike irreleváns, a riasztások kifáradását okozhatja, és hatással lehet az általános teljesítményre.
A kihívások megoldása érdekében frissítettük a Defender for IoT észlelési szabályzatát, hogy automatikusan riasztásokat aktiváljunk az üzleti hatás és a hálózati környezet alapján, és csökkentsük az alacsony értékű informatikai riasztásokat.
Ez a frissítés a 24.1.3-s és újabb érzékelőverzióban érhető el.
További információ: Szűrt riasztások OT/IT-környezetekben.
A riasztás azonosítója mostantól az Azure Portalon és az érzékelőkonzolon van igazítva
Az Azure Portal Riasztások lapján található Azonosító oszlop riasztásazonosítója mostantól ugyanazt a riasztásazonosítót jeleníti meg, mint az érzékelőkonzol. További információ a riasztásokról az Azure Portalon.
Feljegyzés
Ha a riasztást egyesítették az azonos riasztást észlelő érzékelők más riasztásaival , az Azure Portal megjeleníti a riasztásokat létrehozó első érzékelő riasztásazonosítóját.
Újonnan támogatott protokollok
Most már támogatjuk ezeket a protokollokat:
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Rockwell AADvance Felfedezés
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
Tekintse meg a frissített protokolllistát.
Az L60 hardverprofil már nem támogatott
Az L60 hardverprofil már nem támogatott, és a támogatási dokumentációból eltávolítja. A hardverprofilokhoz most már legalább 100 GB szükséges (a minimális hardverprofil most L100).
Az L60-profilról támogatott profilra való migráláshoz kövesse az OT hálózati érzékelő biztonsági mentését és visszaállítását.
Új licencmegújítási emlékeztető az Azure Portalon
Ha egy vagy több OT-webhely licence hamarosan lejár, az Azure Portalon egy megjegyzés látható az IoT Defender tetején, amely emlékezteti a licencek megújítására. Az IoT-hez készült Defender biztonsági értékének lekéréséhez a megjegyzésben található hivatkozásra kattintva újítsa meg a megfelelő licenceket a Microsoft 365 Felügyeleti központ. További információ az IoT-alapú Defender számlázásáról.
Új OT-berendezés hardverprofilja
A DELL XE4 SFF berendezés mostantól támogatott a gyártósorokat monitorozó OT-érzékelők számára. Ez az L500 hardverprofil része, egy gyártósori környezet, hat maggal, 8 GB RAM-mal és 512 GB lemeztárolóval.
További információ: DELL XE4 SFF.
Új mezők SNMP MIB-azonosítókhoz
További standard, általános mezők lettek hozzáadva az SNMP MiB-azonosítókhoz. A mezők teljes listáját a manuális SNMP-konfigurációk ot érzékelőazonosítóiban találja.
2024. január
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok | Az Azure Portal érzékelőfrissítése mostantól támogatja egy adott verzió kiválasztását |
Az Azure Portal érzékelőfrissítése mostantól támogatja egy adott verzió kiválasztását
Amikor frissíti az érzékelőt az Azure Portalon, mostantól bármelyik támogatott, korábbi verzióra (a legújabb verziótól eltérő verziókra) frissíthet. Korábban az Azure Portalon a Microsoft Defender for IoT-be előkészített érzékelők automatikusan frissültek a legújabb verzióra.
Előfordulhat, hogy az érzékelőt egy adott verzióra szeretné frissíteni különböző okokból, például tesztelési célból, vagy az összes érzékelőt ugyanahhoz a verzióhoz szeretné igazítani.
További információ: Update Defender for IoT OT monitorozási szoftver.
|
OT-hálózatok |24.1.0-s verziója:
-
Riasztások letiltási szabályai az Azure Portalról (nyilvános előzetes verzió)|
2023. december
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
Új architektúra hibrid és légi támogatáshoz 23.2.0-s verzió: - Az OT hálózati érzékelők mostantól Debian 11-en futnak - Az alapértelmezett jogosultsággal rendelkező felhasználó mostantól rendszergazda a támogatás helyett Felhőszolgáltatások: - Élő állapotok felhőalapú érzékelőfrissítésekhez - Egyszerűsített riasztási rekordok a SecurityAlert táblában |
Az OT hálózati érzékelők mostantól Debian 11-en futnak
A 23.2.0-s érzékelő Ubuntu helyett Debian 11 operációs rendszeren fut. A Debian egy Linux-alapú operációs rendszer, amelyet széles körben használnak kiszolgálókhoz és beágyazott eszközökhöz, és ismert, hogy karcsúbb, mint más operációs rendszerek, valamint stabilitása, biztonsága és széles körű hardvertámogatása.
Az érzékelőszoftver alapjaként a Debian használata segít csökkenteni az érzékelőkre telepített csomagok számát, ezáltal növelve a rendszerek hatékonyságát és biztonságát.
Az operációs rendszer kapcsolója miatt a szoftverfrissítés az örökölt verzióról a 23.2.0-s verzióra hosszabb és nehezebb lehet a szokásosnál.
További információ: Ot hálózati érzékelők biztonsági mentése és visszaállítása az érzékelőkonzolról és az Update Defender for IoT OT monitorozási szoftver.
Az alapértelmezett jogosultsággal rendelkező felhasználó mostantól rendszergazda a támogatás helyett
A 23.2.0-s verziótól kezdődően az új OT-érzékelőtelepítésekkel telepített alapértelmezett kiemelt felhasználó a rendszergazdai felhasználó a támogatási felhasználó helyett.
Használja például a kiemelt rendszergazdai felhasználót a következő helyzetekben:
Bejelentkezés új érzékelőbe a telepítés után először. További információ: Az OT-érzékelő konfigurálása és aktiválása.
Az IoT-alapú Defender parancssori felületének használata. További információ: A Defender for IoT CLI-parancsok használata.
Az érzékelő támogatási oldalának elérése.
Fontos
Ha az érzékelőszoftvert egy korábbi verzióról a 23.2.0-s verzióra frissíti, a rendszer automatikusan átnevezi a kiemelt támogatási felhasználót rendszergazdai névre. Ha mentette a támogatási hitelesítő adatokat, például parancssori felületi szkriptekben, frissítenie kell a szkripteket az új rendszergazdai felhasználó használatához.
Az örökölt támogatási felhasználó csak a 23.2.0-nál korábbi verziókban érhető el és támogatott.
További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.
Új architektúra hibrid és légi támogatáshoz
A hibrid és a levegőbe vezérelt hálózatok számos iparágban gyakoriak, például kormányzati, pénzügyi szolgáltatások vagy ipari gyártás. A légi hálózatokat fizikailag elkülönítik más, nem biztonságos külső hálózatoktól, például a vállalati hálózatoktól vagy az internettől, és kevésbé sebezhetők a kibertámadásokkal szemben. A levegőbe vezérelt hálózatok azonban még mindig nem teljesen biztonságosak, továbbra is feltörhetők, és gondosan kell védeni és figyelni.
Az IoT Defender mostantól új útmutatást nyújt a hibrid és a levegőben csatlakoztatott hálózatokhoz való csatlakozáshoz és monitorozáshoz. Az új architektúra útmutatója úgy lett kialakítva, hogy hatékonyságot, biztonságot és megbízhatóságot adjon az SOC-műveletekhez, kevesebb összetevővel a karbantartáshoz és a hibaelhárításhoz. Az új architektúrában használt érzékelőtechnológia lehetővé teszi a helyszíni feldolgozást, amely a saját hálózatán belül tartja az adatokat, csökkentve a felhőbeli erőforrások iránti igényt, és javítja a teljesítményt.
Az alábbi képen az IoT-rendszerekhez készült Defender monitorozására és karbantartására vonatkozó javaslatok mintaszintű, magas szintű architektúrája látható, ahol minden OT-érzékelő több felhőbeli vagy helyszíni biztonsági felügyeleti rendszerhez csatlakozik.
Ebben a mintaképben a riasztások, a syslog-üzenetek és az API-k kommunikációja egy fekete vonalban jelenik meg. A helyszíni felügyeleti kommunikáció egy folytonos lila vonalban jelenik meg, a felhő- és hibrid felügyeleti kommunikáció pedig pontozott fekete vonalban jelenik meg.
Javasoljuk, hogy azok a meglévő ügyfelek, akik jelenleg helyszíni felügyeleti konzolt használnak az OT-érzékelők kezelésére, térjenek át a frissített architektúra-útmutatóra.
További információkért lásd a hibrid vagy a levegőben csatlakoztatott OT-érzékelő felügyeletének üzembe helyezését ismertető témakört.
Helyszíni felügyeleti konzol kivonása
Az örökölt helyszíni felügyeleti konzol 2025. január 1-jén nem lesz letölthető. Javasoljuk, hogy ezen időpont előtt váltson át az új architektúrára a helyszíni és a felhőbeli API-k teljes spektrumával.
A 2025. január 1. után kiadott érzékelőverziókat nem fogja tudni felügyelni egy helyszíni felügyeleti konzol.
A 2024. január 1. és 2025. január 1. között kiadott érzékelőszoftver-verziók továbbra is támogatják a helyszíni felügyeleti konzol kiadását.
A felhőhöz nem csatlakozó levegőalapú érzékelők közvetlenül az érzékelőkonzolon vagy REST API-k használatával kezelhetők.
További információk:
- Váltás régi helyszíni felügyeleti konzolról
- A helyszíni szoftververziók verziószámozása és támogatása
Élő állapotok felhőalapú érzékelőfrissítésekhez
Amikor egy érzékelőfrissítést futtat az Azure Portalról, a frissítési folyamat során megjelenik egy új folyamatjelző sáv az Érzékelő verzió oszlopában. A frissítés előrehaladtával a sáv megjeleníti a frissítés befejezésének százalékos arányát, amely azt mutatja, hogy a folyamat folyamatban van, nem elakadt vagy sikertelen volt. Példa:
További információ: Update Defender for IoT OT monitorozási szoftver.
Egyszerűsített riasztási rekordok a SecurityAlert táblában
A Microsoft Sentinelrel való integráció során a Microsoft Sentinel SecurityAlert tábla most már csak a riasztások állapotának és súlyosságának változásaira frissül azonnal. A riasztások egyéb változásai, például egy meglévő riasztás legutóbbi észlelése több órán keresztül összesítve jelennek meg, és csak a legutóbbi módosítást jelenítik meg.
További információ: Több rekord értelmezése riasztásonként.
2023. november
Szolgáltatási terület | Frissítések |
---|---|
Vállalati IoT-hálózatok | A Nagyvállalati IoT-védelem mostantól része a Microsoft 365 E5 és E5 Biztonsági licenceknek |
OT-hálózatok | Frissített biztonsági verem integrációs útmutatója |
A Nagyvállalati IoT-védelem mostantól része a Microsoft 365 E5 és E5 Biztonsági licenceknek
A Vállalati IoT (EIoT) biztonság az IoT Defenderrel felderíti a nem felügyelt IoT-eszközöket, és hozzáadott biztonsági értéket is biztosít, beleértve a folyamatos monitorozást, a sebezhetőségi felméréseket és a kifejezetten nagyvállalati IoT-eszközökhöz tervezett testreszabott javaslatokat. A Microsoft Defender XDR,Microsoft Defender biztonságirés-kezelés és Végponthoz készült Microsoft Defender a Microsoft Defender portálon zökkenőmentesen integrálva holisztikus megközelítést biztosít a szervezet hálózatának védelméhez.
Az IoT EIoT-monitorozáshoz készült Defender mostantól automatikusan támogatott a Microsoft 365 E5 (ME5) és az E5 biztonsági csomag részeként, amely felhasználói licencenként legfeljebb öt eszközt fed le. Ha például a szervezet 500 ME5 licenccel rendelkezik, a Defender for IoT használatával akár 2500 EIoT-eszközt is monitorozhat. Ez az integráció jelentős ugrást jelent az IoT-ökoszisztéma Microsoft 365-környezetben való megszilárdítása felé.
Azoknak az ügyfeleknek, akik me5 vagy E5 biztonsági csomagokkal rendelkeznek, de még nem használják a Defender for IoT-t az EIoT-eszközeikhez , a Microsoft Defender portálon kell bekapcsolniuk a támogatást .
A ME5 vagy E5 biztonsági csomaggal nem rendelkező új ügyfelek megvásárolhatnak egy különálló Microsoft Defender for IoT - EIoT Device License - bővítmény licencet Végponthoz készült Microsoft Defender P2 bővítményként. Vásároljon önálló licenceket a Microsoft felügyeleti központjából.
Az örökölt Vállalati IoT-csomagokkal és ME5/E5 biztonsági csomagokkal rendelkező meglévő ügyfelek automatikusan az új licencelési módszerre váltanak. A nagyvállalati IoT-monitorozás mostantól a licencbe van csomagolva, felár nélkül, és nincs szükség öntől szükséges műveletelemre.
A régi nagyvállalati IoT-csomagokkal és me5/E5 biztonsági csomagokkal nem rendelkező ügyfelek a tervek lejáratáig továbbra is használhatják meglévő csomagjukat.
A próbaverziós licencek különálló licencként érhetők el a Defender for Endpoint P2-ügyfelek számára. A próbaverziós licencek 100 eszközt támogatnak.
További információk:
- IoT-eszközök biztonságossá tétele a vállalaton belül
- Vállalati IoT-biztonság engedélyezése a Defender for Endpoint használatával
- Defender for IoT-előfizetés számlázása
- Microsoft Defender IoT-csomagokhoz és díjszabáshoz
- Blog: A Microsoft 365 E5 és E5 biztonsági csomagjai mostantól tartalmazzák a Defender for IoT nagyvállalati IoT-biztonságát
Frissített biztonsági verem integrációs útmutatója
Az IoT-hez készült Defender frissíti biztonsági veremintegrációit a különböző biztonsági megoldások általános robusztusságának, méretezhetőségének és könnyű karbantartásának javítása érdekében.
Ha a biztonsági megoldást felhőalapú rendszerekkel integrálja, javasoljuk, hogy a Microsoft Sentinelen keresztül használjon adatösszekötőket. Helyszíni integrációk esetén javasoljuk, hogy konfigurálja az OT-érzékelőt a syslog-események továbbítására, vagy használja a Defender for IoT API-kat.
Az örökölt Aruba ClearPass, Palo Alto Panorama és Splunk integrációk 2024 októberétől támogatottak a szenzor 23.1.3-as verziójával, és a jövőbeli fő szoftververziókban nem támogatottak.
Az örökölt integrációs módszereket használó ügyfelek számára javasoljuk, hogy az integrációkat az újonnan ajánlott módszerekre helyezték át. További információk:
- A ClearPass integrálása a Microsoft Defender for IoT-vel
- Palo Alto integrálása a Microsoft Defender for IoT-vel
- A Splunk integrálása a Microsoft Defender for IoT-vel
- Integráció a Microsofttal és a partnerszolgáltatásokkal
2023. szeptember
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
23.1.3-es verzió: - Az OT-érzékelő kapcsolatának hibaelhárítása - Eseménysor-hozzáférés az OT-érzékelő csak olvasási felhasználóihoz |
Az OT-érzékelő kapcsolatának hibaelhárítása
A 23.1.3-s verziótól kezdve az OT-érzékelők automatikusan segítenek az Azure Portal csatlakozási problémáinak elhárításában. Ha egy felhőben felügyelt érzékelő nincs csatlakoztatva, hibaüzenet jelenik meg az Azure Portalon a Helyek és érzékelők lapon, valamint az érzékelő Áttekintés lapján.
Példa:
Az érzékelőből az alábbiak egyikével nyissa meg a felhőkapcsolat hibaelhárítási panelét, amely részletesen ismerteti a csatlakozási problémákat és a hibaelhárítási lépéseket:
- Az Áttekintés lapon válassza a lap tetején található Hibaelhárítás hivatkozást
- Rendszerbeállítások > kiválasztása Érzékelőkezelés > állapota és a felhőkapcsolat hibaelhárítása >
További információ: Érzékelő ellenőrzése – felhőkapcsolati problémák.
Eseménysor-hozzáférés az OT-érzékelő csak olvasási felhasználóihoz
A 23.1.3-s verziótól kezdődően az OT-érzékelő csak olvasási felhasználói megtekinthetik az Esemény ütemterve oldalt. Példa:
További információk:
- A hálózat és az érzékelő tevékenységének nyomon követése az esemény ütemtervével
- Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz
2023. augusztus
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok | Az IoT Defender CV-jei a CVSS v3-hoz igazodnak |
Az IoT Defender CV-jei a CVSS v3-hoz igazodnak
Az OT-érzékelőben és az Azure Portalon megjelenített CVE-pontszámok igazodnak a nemzeti sebezhetőségi adatbázishoz (NVD), és az IoT-hez készült Defender augusztusi fenyegetésfelderítési frissítésétől kezdve a CVSS v3-pontszámok jelennek meg, ha relevánsak. Ha nincs releváns CVSS v3-pontszám, akkor a CVSS v2 pontszáma jelenik meg.
A CVE-adatok megtekintése az Azure Portalról, akár az IoT-hez készült Defender eszközinformáció biztonsági rések lapján, akár a Microsoft Sentinel megoldással elérhető erőforrásokkal, akár az OT-érzékelő adatbányászati lekérdezésében. További információk:
- Fenyegetésintelligencia-csomagok karbantartása az OT-hálózati érzékelőkön
- Az eszköz teljes adatainak megtekintése
- Oktatóanyag: IoT-eszközök fenyegetéseinek vizsgálata és észlelése a Microsoft Sentinel használatával
- Adatbányászati lekérdezések létrehozása
2023. július
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
23.1.2-es verzió: - Az OT-érzékelő telepítésének és beállításának fejlesztései - Az üzembe helyezés elemzése és finomhangolása - Monitorozott felületek konfigurálása az érzékelő grafikus felhasználói felületével - Egyszerűsített jogosultsággal rendelkező felhasználók Migrálás helyalapú licencekre |
Az OT-érzékelő telepítésének és beállításának fejlesztései
A 23.1.2-es verzióban frissítettük az OT-érzékelő telepítési és beállítási varázslóit, hogy gyorsabbak és felhasználóbarátabbak legyenek. A frissítések a következők:
Telepítővarázsló: Ha szoftvereket telepít saját fizikai vagy virtuális gépeire, a Linux telepítővarázsló most közvetlenül végighalad a telepítési folyamaton anélkül, hogy bármilyen bemenetet vagy részletet kellene megadnia Öntől.
Megtekintheti, hogy a telepítés fut-e az üzembehelyezési munkaállomáson, de dönthet úgy is, hogy billentyűzet vagy képernyő használata nélkül telepíti a szoftvert, és hagyja, hogy a telepítés automatikusan fusson. Ha elkészült, az alapértelmezett IP-címmel érheti el az érzékelőt a böngészőből.
A telepítés alapértelmezett értékeket használ a hálózati beállításokhoz. Ezeket a beállításokat később finomhangolhatja a parancssori felületen, mint korábban, vagy egy új, böngészőalapú varázslóban.
Minden érzékelő alapértelmezett támogatási felhasználóval és jelszóval van telepítve. Az első bejelentkezéssel azonnal módosítsa az alapértelmezett jelszót.
A kezdeti beállítás konfigurálása a böngészőben: A szoftver telepítése és a kezdeti hálózati beállítások konfigurálása után folytassa ugyanazzal a böngészőalapú varázslóval az érzékelő aktiválásához és az SSL/TLS-tanúsítványbeállítások definiálásához.
További információ: Az OT-érzékelő telepítése és beállítása, valamint az OT-érzékelő konfigurálása és aktiválása.
Az üzembe helyezés elemzése és finomhangolása
A telepítés és a kezdeti beállítás befejezése után elemezze az érzékelő által alapértelmezés szerint észlelt forgalmat az érzékelő beállításaiból. Az érzékelőn válassza az Érzékelőbeállítások>alapszintű>üzembe helyezés lehetőséget az aktuális észlelések elemzéséhez.
Előfordulhat, hogy finomhangolnia kell az üzembe helyezést, például módosítania kell az érzékelő helyét a hálózaton, vagy ellenőriznie kell, hogy a monitorozási felületek megfelelően vannak-e csatlakoztatva. A frissített figyelési állapot megtekintéséhez válassza az Elemzés elemet a módosítások elvégzése után.
További információ: Az üzembe helyezés elemzése.
Monitorozott felületek konfigurálása az érzékelő grafikus felhasználói felületével
Ha módosítani szeretné a forgalom figyeléséhez használt felületeket a kezdeti érzékelőbeállítás után, most az új Érzékelőbeállítások>felület konfigurációs lapján frissítheti a beállításokat a parancssori felület által elért Linux-varázsló helyett. Példa:
A Felületkonfigurációk lap ugyanazokat a beállításokat jeleníti meg, mint a kezdeti beállítási varázsló Felületkonfigurációk lapja.
További információt az érzékelő monitorozási felületeinek frissítése (ERSPAN konfigurálása) című témakörben talál.
Egyszerűsített jogosultsággal rendelkező felhasználók
A 23.1.2-es verzió új érzékelőtelepítéseiben alapértelmezés szerint csak a kiemelt támogatási felhasználó érhető el. A cyberx és cyberx_host felhasználók elérhetők, de alapértelmezés szerint le vannak tiltva. Ha ezeket a felhasználókat kell használnia, például a Defender for IoT CLI-hozzáférést , módosítsa a felhasználói jelszót.
A korábbi verziókról a 23.1.2-re frissített érzékelőkben a cyberx és cyberx_host felhasználók a korábbiakhoz hasonlóan továbbra is engedélyezve maradnak.
Tipp.
Ha olyan PARANCSSOR-parancsokat szeretne futtatni, amelyek csak a kiberx vagy cyberx_host felhasználók számára érhetők el, amikor támogatási felhasználóként jelentkeznek be, győződjön meg arról, hogy először hozzá szeretne férni a gazdagép rendszergyökéréhez. További információ: Hozzáférés a rendszer gyökeréhez rendszergazdai felhasználóként.
Migrálás helyalapú licencekre
A meglévő ügyfelek mostantól áttelepíthetik az örökölt Defender for IoT vásárlási csomagjukat egy Microsoft 365-csomagba , amely helyalapú Microsoft 365-licenceken alapul.
A Csomagok és díjszabás lapon szerkessze a csomagot, és az aktuális havi vagy éves csomag helyett válassza ki a Microsoft 365-csomagot. Példa:
Mindenképpen szerkessze a releváns webhelyeket az újonnan licencelt webhelyméreteknek megfelelően. Példa:
További információ: Migrálás régi OT-csomagból és Defender for IoT-előfizetés számlázása.
2023. június
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
Webhelyalapú licencek alapján számlázott OT-csomagok Biztonsági javaslatok a nem biztonságos jelszavakra és kritikus cves-ekre vonatkozó OT-hálózatokhoz |
Webhelyalapú licencek alapján számlázott OT-csomagok
2023. június 1-jétől a Microsoft Defender for IoT-licencek az OT-monitorozáshoz csak a Microsoft 365 Felügyeleti központ vásárolhatóak meg.
A licencek az adott webhelyek méretétől függően érhetők el az egyes webhelyekhez. A próbaverziós licenc is elérhető, amely 60 napig lefedi a nagy méretű webhelyet.
A további licencek vásárlása automatikusan frissül az OT-csomagban az Azure Portalon.
Amikor új érzékelőt készít, a rendszer most arra kéri, hogy rendelje hozzá az érzékelőt egy olyan webhelyhez, amely a licenccel rendelkező webhelyméretek alapján történik.
A meglévő ügyfelek továbbra is használhatják az Azure-előfizetésbe már előkészített örökölt OT-csomagokat, és nem változnak a funkciók. Azonban nem adhat hozzá új csomagot egy új előfizetéshez anélkül, hogy a Microsoft 365 Felügyeleti központ megfelelő licenccel rendelkezik.
Tipp.
A Defender for IoT-webhely fizikai hely, például létesítmény, campus, irodaépület, kórház, fúrótorony stb. Minden hely tartalmazhat tetszőleges számú hálózati érzékelőt, amelyek azonosítják az eszközöket az észlelt hálózati forgalom között.
További információk:
- Defender for IoT-előfizetés számlázása
- Microsoft Defender for IoT próbaverzió indítása
- Ot-csomagok kezelése Azure-előfizetéseken
- OT-érzékelők előkészítése a Defender for IoT ügynökhöz
Biztonsági javaslatok a nem biztonságos jelszavakra és kritikus cves-ekre vonatkozó OT-hálózatokhoz
Az IoT Defender mostantól biztonsági javaslatokat nyújt a nem biztonságos jelszavakhoz és a kritikus CVE-khez, hogy segítsen az ügyfeleknek az OT/IoT hálózati biztonsági helyzetük kezelésében.
Az Azure Portalon az alábbi új biztonsági javaslatok jelennek meg a hálózatokon észlelt eszközökre vonatkozóan:
A sebezhető eszközök védelme: Az ezzel a javaslattal rendelkező eszközök egy vagy több kritikus súlyosságú biztonsági rést találnak. Javasoljuk, hogy kövesse az eszköz szállítója vagy a CISA (Kiberbiztonsági és Infrastruktúra Ügynökség) által felsorolt lépéseket.
Állítson be egy biztonságos jelszót a hiányzó hitelesítéssel rendelkező eszközökhöz: Az ezzel a javaslattal rendelkező eszközök hitelesítés nélkül találhatók a sikeres bejelentkezések alapján. Javasoljuk, hogy engedélyezze a hitelesítést, és állítson be egy erősebb jelszót minimális hosszúság és összetettség mellett.
Állítson be erősebb jelszót minimális hosszúsággal és összetettséggel: Az ezzel a javaslattal rendelkező eszközök a sikeres bejelentkezéseken alapuló gyenge jelszavakkal találhatók. Javasoljuk, hogy módosítsa az eszköz jelszavát egy erősebb jelszóra, minimális hossz és összetettség mellett.
További információ: Támogatott biztonsági javaslatok.
2023. május
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
Érzékelő 22.3.9-es verziója: - Továbbfejlesztett monitorozás és támogatás az OT-érzékelőnaplókhoz Érzékelő 22.3.x és újabb verziók: - Az Active Directory és az NTP beállításainak konfigurálása az Azure Portalon |
Továbbfejlesztett monitorozás és támogatás az OT-érzékelőnaplókhoz
A 22.3.9-es verzióban új funkcióval bővítettük a naplók gyűjtését az OT-érzékelőről egy új végponton keresztül. A további adatok segítenek az ügyfélproblémák elhárításában, gyorsabb válaszidőt és célzottabb megoldásokat és javaslatokat biztosítanak. Az új végpont felkerült a kötelező végpontok listájára, amelyek az OT-érzékelőket az Azure-hoz csatlakoztatják.
Az OT-érzékelők frissítése után töltse le a végpontok legújabb listáját, és győződjön meg arról, hogy az érzékelők hozzáférhetnek az összes felsorolt végponthoz.
További információk:
Az Active Directory és az NTP beállításainak konfigurálása az Azure Portalon
Mostantól távolról is konfigurálhatja az Ot-érzékelők Active Directory- és NTP-beállításait az Azure Portal Helyek és érzékelők lapján. Ezek a beállítások az OT-érzékelő 22.3.x és újabb verzióihoz érhetők el.
További információ: Érzékelőbeállítási referencia.
2023. április
Szolgáltatási terület | Frissítések |
---|---|
Documentation | Üzembe helyezési útmutatók a végpontok közötti üzembe helyezéshez |
OT-hálózatok |
Érzékelő 22.3.8-es verziója: - Proxytámogatás ügyfél SSL-/TLS-tanúsítványokhoz - Windows-munkaállomás- és kiszolgálóadatok bővítése helyi szkripttel (nyilvános előzetes verzió) - Automatikusan feloldott operációsrendszer-értesítések - Felhasználói felület fejlesztése SSL/TLS-tanúsítványok feltöltésekor |
Üzembe helyezési útmutatók a végpontok közötti üzembe helyezéshez
Az IoT-hez készült Defender dokumentációja most már tartalmaz egy új üzembe helyezési szakaszt, amely az alábbi forgatókönyvekhez készült üzembehelyezési útmutatók teljes készletét tartalmazza:
- Szabványos üzembe helyezés az OT monitorozásához
- Levegőalapú üzembe helyezés helyszíni érzékelőkezeléssel végzett OT-monitorozáshoz
- Vállalati IoT-üzembe helyezés
Az OT-figyeléshez ajánlott üzembe helyezés például a következő lépéseket tartalmazza, amelyek mindegyike az új cikkekben található:
Az egyes szakaszokban található részletes utasítások célja, hogy segítsék az ügyfeleket a sikerre való optimalizálásban és a Teljes felügyelet való üzembe helyezésben. Az egyes oldalak navigációs elemei, beleértve a felül lévő folyamatábrakat és az alul található Következő lépések hivatkozásokat, jelzik, hogy hol tart a folyamat, mit végzett el, és hogy mi legyen a következő lépés. Példa:
További információ: Deploy Defender for IoT for OT monitoring.
Proxytámogatás ügyfél SSL-/TLS-tanúsítványokhoz
Az SSL/TLS-forgalmat vizsgáló proxykiszolgálókhoz ügyfél SSL/TLS-tanúsítvány szükséges, például olyan szolgáltatások használatakor, mint a Zscaler és a Palo Alto Prisma. A 22.3.8-es verziótól kezdve feltölthet egy ügyféltanúsítványt az OT érzékelőkonzolján keresztül.
További információ: Proxy konfigurálása.
Windows-munkaállomás- és kiszolgálóadatok bővítése helyi szkripttel (nyilvános előzetes verzió)
Az OT-érzékelő felhasználói felületén elérhető helyi szkripttel gazdagíthatja a Microsoft Windows munkaállomás- és kiszolgálóadatait az OT-érzékelőn. A szkript segédprogramként fut az eszközök észleléséhez és az adatok bővítéséhez, és manuálisan vagy szabványos automatizálási eszközökkel futtatható.
További információ: Windows-munkaállomás- és kiszolgálóadatok gazdagítása helyi szkripttel.
Automatikusan feloldott operációsrendszer-értesítések
Miután frissítette az OT-érzékelőt a 22.3.8-es verzióra, a rendszer nem hoz létre új eszközértesítéseket az operációs rendszer változásairól. A meglévő operációsrendszer-módosításokról szóló értesítések automatikusan feloldódnak, ha 14 napon belül nem szüntetik meg vagy más módon kezelik őket.
További információ: Eszközértesítési válaszok
Felhasználói felület fejlesztése SSL/TLS-tanúsítványok feltöltésekor
Az OT-érzékelő 22.3.8-es verziója egy továbbfejlesztett SSL/TLS-tanúsítványkonfigurációs oldallal rendelkezik az SSL/TLS-tanúsítvány beállításainak meghatározásához és egy hitelesítésszolgáltató által aláírt tanúsítvány üzembe helyezéséhez.
További információ: SSL/TLS-tanúsítványok kezelése.
2023. március
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
Érzékelő 22.3.6/22.3.7-es verziója: - Átmeneti eszközök támogatása - A DNS-forgalom megismerése engedélyezési listák konfigurálásával - Eszközadatok adatmegőrzési frissítései - Felhasználói felület fejlesztései SSL/TLS-tanúsítványok feltöltésekor - Aktiválási fájlok lejárati frissítései - Felhasználói felület fejlesztései az eszközleltár kezeléséhez - Frissített súlyosság az összes rosszindulatú tevékenység gyanújával kapcsolatos riasztás esetében - Automatikusan feloldott eszközértesítések A 22.3.7-es verzió ugyanazokat a funkciókat tartalmazza, mint a 22.3.6. Ha a 22.3.6-os verzió van telepítve, javasoljuk, hogy frissítsen a 22.3.7-es verzióra, amely fontos hibajavításokat is tartalmaz. Felhőszolgáltatások: - Új Microsoft Sentinel-incidensélmény az IoT-hez készült Defenderhez |
Átmeneti eszközök támogatása
Az IoT Defender mostantól egyedi eszköztípusként azonosítja az átmeneti eszközöket, amelyek csak rövid ideig észlelt eszközöket jelölnek. Javasoljuk, hogy gondosan vizsgálja meg ezeket az eszközöket, hogy tisztában legyen a hálózatra gyakorolt hatásukkal.
További információ: Defender for IoT-eszközleltár és Eszközleltár kezelése az Azure Portalról.
A DNS-forgalom megismerése engedélyezési listák konfigurálásával
A támogatási felhasználó mostantól csökkentheti a jogosulatlan internetes riasztások számát azáltal, hogy létrehoz egy engedélyezési listát a tartománynevekről az OT-érzékelőn.
Ha egy DNS-engedélyezési lista van konfigurálva, az érzékelő a riasztás aktiválása előtt ellenőrzi az összes jogosulatlan internetkapcsolati kísérletet a listával szemben. Ha a tartomány teljes tartománynevét tartalmazza az engedélyezési lista, az érzékelő nem aktiválja a riasztást, és automatikusan engedélyezi a forgalmat.
Az összes OT-érzékelő felhasználó megtekintheti az engedélyezett DNS-tartományok listáját és a feloldott IP-címeket az adatbányászati jelentésekben.
Példa:
További információ: Internetkapcsolat engedélyezése egy OT-hálózaton és adatbányászati lekérdezések létrehozása.
Eszközadatok adatmegőrzési frissítései
Az eszközadatok megőrzési ideje az OT-érzékelőn és a helyszíni felügyeleti konzolon az utolsó tevékenység értékének dátumától számított 90 napra módosult.
További információ: Eszközadat-megőrzési időszakok.
Felhasználói felület fejlesztései SSL/TLS-tanúsítványok feltöltésekor
Az OT-érzékelő 22.3.6-os verziója egy továbbfejlesztett SSL/TLS-tanúsítványkonfigurációs oldallal rendelkezik az SSL/TLS-tanúsítvány beállításainak meghatározásához és egy hitelesítésszolgáltató által aláírt tanúsítvány üzembe helyezéséhez.
További információ: SSL/TLS-tanúsítványok kezelése.
Aktiválási fájlok lejárati frissítései
A helyileg felügyelt OT-érzékelők aktiválási fájljai mindaddig aktiválva maradnak, amíg a Defender for IoT-csomag aktív az Azure-előfizetésében, ugyanúgy, mint a felhőalapú OT-érzékelők aktiválási fájljai.
Csak akkor kell frissítenie az aktiválási fájlt, ha egy OT-érzékelőt frissít a legújabb verzióról , vagy az érzékelőkezelési módot váltja, például a helyileg felügyeltről a felhőbe való áttérésre.
További információ: Egyéni érzékelők kezelése.
Felhasználói felület fejlesztései az eszközleltár kezeléséhez
A következő fejlesztések lettek hozzáadva az OT-érzékelő eszközleltárához a 22.3.6-os verzióban:
- Zökkenőmentesebb folyamat az eszköz részleteinek szerkesztéséhez az OT-érzékelőn. Az eszköz adatainak szerkesztése közvetlenül az OT érzékelőkonzol eszközleltár oldaláról az oldal tetején található eszköztár új Szerkesztés gombjának használatával.
- Az OT-érzékelő mostantól támogatja több eszköz egyidejű törlését.
- Az eszközök egyesítésére és törlésére szolgáló eljárások mostantól megerősítő üzeneteket tartalmaznak, amelyek a művelet befejezésekor jelennek meg.
További információ: Ot-eszközleltár kezelése egy érzékelőkonzolról.
Frissített súlyosság az összes rosszindulatú tevékenység gyanújával kapcsolatos riasztás esetében
A rosszindulatú tevékenységek gyanúja kategóriával rendelkező összes riasztás kritikus súlyossággal rendelkezik.
További információ: Kártevőirtó-riasztások.
Automatikusan feloldott eszközértesítések
A 22.3.6-os verziótól kezdve a rendszer automatikusan feloldja a kiválasztott értesítéseket az OT-érzékelő Eszköztérkép lapján, ha 14 napon belül nem szünteti meg vagy más módon kezeli őket.
Az érzékelő verziójának frissítése után az inaktív eszközök és az új OT-eszközök értesítései már nem jelennek meg. Bár a frissítés előtti inaktív eszközök értesítései automatikusan el lesznek hagyva, előfordulhat, hogy továbbra is régi , új OT-eszközökre vonatkozó értesítéseket kell kezelnie. Szükség szerint kezelje ezeket az értesítéseket, hogy eltávolíthassa őket az érzékelőből.
További információ: Eszközértesítések kezelése.
Új Microsoft Sentinel-incidensélmény az IoT-hez készült Defenderhez
A Microsoft Sentinel új incidensélménye speciális funkciókat tartalmaz az IoT-ügyfelek számára készült Defenderhez. Az OT/IoT-vel kapcsolatos vizsgálatot végző SOC-elemzők mostantól a következő fejlesztéseket használhatják az incidens részleteinek oldalain:
Tekintse meg a kapcsolódó helyeket, zónákat, érzékelőket és eszköz fontosságát az incidens üzleti hatásainak és fizikai helyének jobb megértéséhez.
Az érintett eszközök és a kapcsolódó eszközök adatainak összesített idővonalának áttekintése ahelyett, hogy a kapcsolódó eszközök különálló entitásadat-oldalain vizsgálnál
Az OT-riasztások szervizelési lépéseinek áttekintése közvetlenül az incidens részleteinek oldalán
További információ : Oktatóanyag: Az IoT-eszközök fenyegetéseinek kivizsgálása és észlelése, valamint az incidensek navigálása és kivizsgálása a Microsoft Sentinelben.
február 2023.
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
Felhőszolgáltatások: - Microsoft Sentinel: Microsoft Defender for IoT solution version 2.0.2 - Frissítések letöltése a Webhelyek és érzékelők oldalról (nyilvános előzetes verzió) - Riasztások lap ga az Azure Portalon - Eszközleltár ga az Azure Portalon - Eszközleltár-csoportosítás fejlesztései (nyilvános előzetes verzió) - Szűrt leltár az Azure-eszközleltárban (nyilvános előzetes verzió) Érzékelő 22.2.3-es verziója: Az OT-érzékelő beállításainak konfigurálása az Azure Portalról (nyilvános előzetes verzió) |
Vállalati IoT-hálózatok | Felhőszolgáltatások: Riasztások lap ga az Azure Portalon |
Microsoft Sentinel: Microsoft Defender for IoT solution version 2.0.2
A Microsoft Defender for IoT megoldás 2.0.2-es verziója már elérhető a Microsoft Sentinel tartalomközpontban, az incidensek létrehozására vonatkozó elemzési szabályok továbbfejlesztése, az incidens részleteinek továbbfejlesztett oldala és az elemzési szabály lekérdezéseinek teljesítménybeli fejlesztései.
További információk:
- Oktatóanyag: IoT-eszközök fenyegetéseinek vizsgálata és észlelése
- Microsoft Defender for IoT megoldásverziók a Microsoft Sentinelben
Frissítések letöltése a Webhelyek és érzékelők oldalról (nyilvános előzetes verzió)
Ha helyi szoftverfrissítést futtat az OT-érzékelőn vagy a helyszíni felügyeleti konzolon, a Helyek és érzékelők lap mostantól egy új varázslót biztosít a frissítési csomagok letöltéséhez, amely az Érzékelő frissítése (előzetes verzió) menüben érhető el.
Példa:
A fenyegetésintelligencia-frissítések mostantól csak a Webhelyek és érzékelők lap >Fenyegetésfelderítés frissítése (előzetes verzió) lehetőségéből érhetők el.
A helyszíni felügyeleti konzol frissítési csomagjai a Helyszíni felügyeleti konzol első lépései>lapon is elérhetők.
További információk:
- Update Defender for IoT OT monitorozási szoftver
- Fenyegetésfelderítési csomagok frissítése
- OT monitorozási szoftververziók
Eszközleltár ga az Azure Portalon
Az Azure Portal Eszközleltár lapja mostantól általánosan elérhető (GA), amely központosított nézetet biztosít az összes észlelt eszközön, nagy méretekben.
Az IoT-hez készült Defender eszközleltára segít azonosítani bizonyos eszközök részleteit, például a gyártót, a típust, a sorozatszámot, a belső vezérlőprogramot és egyebeket. Az eszközökkel kapcsolatos információk összegyűjtése segít a csapatoknak proaktívan kivizsgálni azokat a biztonsági réseket, amelyek veszélyeztethetik a legkritikusabb eszközöket.
Az összes IoT/OT-eszköz kezelése az összes felügyelt és nem felügyelt eszközt tartalmazó naprakész leltár létrehozásával
Az eszközök védelme kockázatalapú megközelítéssel olyan kockázatok azonosításához, mint a hiányzó javítások, a biztonsági rések és a javítások rangsorolása a kockázat pontozása és az automatizált fenyegetésmodellezés alapján
A leltár frissítése irreleváns eszközök törlésével és szervezetspecifikus információk hozzáadásával a szervezeti beállítások hangsúlyozása érdekében
Az eszközleltár ga a következő felhasználói felületi fejlesztéseket tartalmazza:
Fokozás | Leírás |
---|---|
Rácsszintű fejlesztések |
-
A teljes eszközleltár exportálása offline áttekintéshez és a jegyzetek összehasonlítása a csapatokkal - A már nem létező vagy már nem működő irreleváns eszközök törlése - Egyesítse az eszközöket az eszközlista finomhangolásához, ha az érzékelő különálló hálózati entitásokat észlelt, amelyek egyetlen, egyedi eszközhöz vannak társítva. Például egy négy hálózati kártyával rendelkező PLC, egy wi-fi és egy fizikai hálózati kártyával rendelkező laptop, vagy egy több hálózati kártyával rendelkező munkaállomás. - A táblázatnézetek szerkesztése, hogy csak azokat az adatokat tükrözze, amelyek megtekintésére kíváncsi |
Eszközszintű fejlesztések | - Eszközadatok szerkesztése szervezetspecifikus környezeti adatok, például relatív fontosság, leíró címkék és üzleti függvényadatok megjegyzésével |
Szűrési és keresési fejlesztések |
-
Részletes keresések futtatása bármely eszközleltármezőn a leginkább fontos eszközök gyors megkereséséhez - Az eszközleltár szűrése bármely mező alapján. Szűrjön például típus szerint az ipari eszközök azonosításához, vagy az aktív és inaktív eszközök meghatározásához időmezőket. |
A gazdag biztonsági, irányítási és rendszergazdai vezérlők lehetővé teszik a rendszergazdák hozzárendelését is, korlátozva, hogy ki egyesíthet, törölhet és szerkeszthet eszközöket a tulajdonos nevében.
Eszközleltár-csoportosítás fejlesztései (nyilvános előzetes verzió)
Az Azure Portal Eszközleltár lapja támogatja az új csoportosítási kategóriákat. Mostantól osztály, adatforrás, hely, purdue szint, hely, típus, szállító és zóna szerint csoportosíthatja az eszközleltárat. További információ: Az eszköz teljes adatainak megtekintése.
Szűrt leltár az Azure-eszközleltárban (nyilvános előzetes verzió)
Az Azure Portal Eszközleltár lapja mostantól tartalmazza az eszközök hálózati helyének jelzését, hogy az eszközleltárat az IoT/OT-hatókörben lévő eszközökre összpontosíthassa.
A konfigurált alhálózatok alapján megtekintheti és szűrheti, hogy mely eszközök vannak helyi vagy irányítottként definiálva. A Hálózati hely szűrő alapértelmezés szerint be van kapcsolva. Adja hozzá a Hálózati hely oszlopot az eszközleltár oszlopainak szerkesztésével. Az alhálózatokat az Azure Portalon vagy az OT-érzékelőn konfigurálhatja. További információk:
- Eszközleltár kezelése az Azure Portalról
- Az OT-érzékelő beállításainak konfigurálása az Azure Portalról
- Az alhálózatok listájának finomhangolása
Az OT-érzékelő beállításainak konfigurálása az Azure Portalról (nyilvános előzetes verzió)
A 22.2.3-s és újabb érzékelőverziók esetében most már konfigurálhatja a felhőalapú érzékelők kiválasztott beállításait az új Érzékelőbeállítások (előzetes verzió) oldal használatával, amely az Azure Portal Webhelyek és érzékelők lapján érhető el. Példa:
További információ: Az OT-érzékelő beállításainak definiálása és megtekintése az Azure Portalról (nyilvános előzetes verzió).
Riasztások ga az Azure Portalon
Az Azure Portal Riasztások lapja már elérhető az általános rendelkezésre álláshoz. A Microsoft Defender for IoT-riasztások növelik a hálózat biztonságát és műveleteit a hálózatban észlelt események valós idejű részleteivel. A riasztások akkor aktiválódnak, ha az OT- vagy vállalati IoT-hálózati érzékelők vagy az IoT-alapú Defender mikroügynök észleli a figyelmet igénylő változásokat vagy gyanús tevékenységeket a hálózati forgalomban.
A Nagyvállalati IoT-érzékelő által aktivált konkrét riasztások jelenleg nyilvános előzetes verzióban maradnak.
További információk:
- Riasztások megtekintése és kezelése az Azure Portalról
- Ot hálózati riasztás kivizsgálása és megválaszolása
- Ot monitorozási riasztástípusok és leírások
2023. január
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
Érzékelő 22.3.4-es verziója: Az Azure kapcsolati állapota jelenik meg az OT-érzékelőkön Érzékelő 22.2.3-es verziója: Érzékelőszoftver frissítése az Azure Portalról |
Érzékelőszoftver frissítése az Azure Portalról (nyilvános előzetes verzió)
A 22.2.3-s és újabb, felhőalapú érzékelőverziók esetében most már közvetlenül az Azure Portal új Helyek és érzékelők oldaláról frissítheti az érzékelőszoftvert.
További információ: Érzékelők frissítése az Azure Portalról.
Az Azure kapcsolati állapota megjelenik az OT-érzékelőkön
Az Azure-kapcsolat állapotával kapcsolatos részletek az OT-hálózati érzékelők Áttekintés lapján jelennek meg, és hibák jelennek meg, ha az érzékelő kapcsolata megszakad az Azure-ral.
Példa:
További információ: Az egyes érzékelők kezelése és az OT-érzékelők előkészítése az IoT-hez készült Defenderben.
2022. december
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok | Új vásárlási élmény az OT-csomagokhoz |
Vállalati IoT-hálózatok | Vállalati IoT-érzékelőriasztások és -javaslatok (nyilvános előzetes verzió) |
Vállalati IoT-érzékelőriasztások és -javaslatok (nyilvános előzetes verzió)
Az Azure Portal mostantól a következő extra biztonsági adatokat biztosítja a nagyvállalati IoT-hálózati érzékelők által észlelt forgalomhoz:
Adattípus | Leírás |
---|---|
Riasztások | A vállalati IoT-hálózati érzékelő most a következő riasztásokat aktiválja: - Kapcsolati kísérlet az ismert rosszindulatú IP-címre - Rosszindulatú tartománynév-kérés |
Javaslatok | A nagyvállalati IoT-hálózati érzékelő a következő javaslatokat aktiválja az észlelt eszközökre vonatkozóan, adott esetben: Nem biztonságos felügyeleti protokoll letiltása |
További információk:
- Kártevőmotor-riasztások
- Riasztások megtekintése és kezelése az Azure Portalról
- A biztonsági helyzet javítása biztonsági javaslatokkal
- Nagyvállalati IoT-eszközök felderítése nagyvállalati IoT-hálózati érzékelővel (nyilvános előzetes verzió)
Új vásárlási élmény az OT-csomagokhoz
Az Azure Portal Csomagok és díjszabás lapja mostantól új továbbfejlesztett vásárlási felületet biztosít az OT-hálózatokhoz készült Defender for IoT-csomagokhoz. Szerkessze az OT-csomagot az Azure Portalon, például módosítsa a csomagot egy próbaverzióról havi vagy éves kötelezettségvállalásra, vagy frissítse az eszközök vagy webhelyek számát.
További információ: Ot-csomagok kezelése Az Azure-előfizetéseken.
2022. november
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
-
Érzékelő 22.x és újabb verziói: Helyalapú hozzáférés-vezérlés az Azure Portalon (nyilvános előzetes verzió) - Az ÖSSZES OT-érzékelő verziója: Új OT monitorozási szoftver kibocsátási megjegyzései |
Webhelyalapú hozzáférés-vezérlés az Azure Portalon (nyilvános előzetes verzió)
A 22.x-es érzékelőszoftver-verziók esetében az IoT Defender mostantól támogatja a helyalapú hozzáférés-vezérlést, amely lehetővé teszi az ügyfelek számára, hogy a hely szintjén vezérelhessék a Defender for IoT funkcióihoz való hozzáférést az Azure Portalon.
Alkalmazza például a Biztonsági olvasó, a Biztonsági rendszergazda, a Közreműködő vagy a Tulajdonos szerepkört az Azure-erőforrásokhoz, például a riasztásokhoz, az eszközleltárhoz vagy a munkafüzetekhez való felhasználói hozzáférés meghatározásához.
A helyalapú hozzáférés-vezérlés kezeléséhez jelölje ki a webhelyet a Helyek és érzékelők lapon, majd válassza a Webhelyhozzáférés-vezérlés (előzetes verzió) hivatkozást. Példa:
További információ: Ot monitorozási felhasználók kezelése az Azure Portalon és Azure-felhasználói szerepkörök az OT- és nagyvállalati IoT-monitorozáshoz.
Feljegyzés
A helyek és így a helyalapú hozzáférés-vezérlés csak az OT-hálózat monitorozása szempontjából relevánsak.
Új OT monitorozási szoftver kibocsátási megjegyzései
Az IoT-hez készült Defender dokumentációja mostantól egy új kiadási jegyzetoldallal rendelkezik, amely az OT monitorozási szoftverhez készült, a verziótámogatási modellekkel és a frissítési javaslatokkal.
Továbbra is frissítjük ezt a cikket, a fő Újdonságok lapot, amely új funkciókat és fejlesztéseket tartalmaz mind az OT, mind az Enterprise IoT-hálózatokhoz. A felsorolt új elemek a helyszíni és a felhőbeli funkciókat is tartalmazzák, és havonta jelennek meg.
Ezzel szemben az új OT monitorozási szoftver kibocsátási megjegyzései csak azokat az OT-hálózatfigyelési frissítéseket sorolják fel, amelyek megkövetelik a helyszíni szoftver frissítését. Az elemek főverziónként és javításonként jelennek meg, és a verziók, dátumok és hatókörök összesített táblázatával vannak felsorolva.
További információ: OT monitorozási szoftver kibocsátási megjegyzései.
2022. október
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok | Továbbfejlesztett ot monitorozási riasztások referenciája |
Továbbfejlesztett ot monitorozási riasztások referenciája
A riasztásokra vonatkozó referenciacikkünk mostantól az alábbi adatokat tartalmazza az egyes riasztásokhoz:
Riasztáskategória, amely akkor hasznos, ha egy adott tevékenység által összesített riasztásokat szeretne kivizsgálni, vagy SIEM-szabályokat konfigurál, hogy incidenseket generáljon adott tevékenységek alapján
Riasztási küszöbérték a releváns riasztásokhoz. A küszöbértékek azt a pontot jelölik, amikor a riasztás aktiválódik. A cyberx-felhasználó szükség szerint módosíthatja a riasztási küszöbértékeket az érzékelő támogatási oldalán.
További információkért tekintse meg az OT monitorozási riasztástípusait és leírását, valamint a támogatott riasztási kategóriákat.
Szeptember 2022.
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
Az OT-érzékelő összes támogatott szoftververziója: - Eszköz biztonsági rései az Azure Portalról - Biztonsági javaslatok AZ OT-hálózatokhoz Az összes OT-érzékelő szoftververziója 22.x: Az Azure-felhőkapcsolati tűzfalszabályok frissítései Érzékelőszoftver 22.2.7-es verziója: - Hibajavítások és stabilitási fejlesztések Érzékelőszoftver 22.2.6-os verziója: - Hibajavítások és stabilitási fejlesztések – Az eszköztípus-besorolási algoritmus fejlesztései Microsoft Sentinel-integráció: - IoT-eszközentitások vizsgálatának fejlesztései - A Microsoft Defender for IoT-megoldás frissítései |
Biztonsági javaslatok OT-hálózatokhoz (nyilvános előzetes verzió)
Az IoT-hez készült Defender mostantól biztonsági javaslatokat nyújt az ügyfeleknek az OT/IoT hálózati biztonsági helyzetük kezeléséhez. A Defender for IoT-javaslatok segítenek a felhasználóknak olyan végrehajtható, rangsorolt kockázatcsökkentési tervek kialakításában, amelyek az OT/IoT-hálózatok egyedi kihívásaival foglalkoznak. Javaslatok használata a hálózat kockázatának és támadási felületének csökkentéséhez.
Az Azure Portalon az alábbi biztonsági javaslatokat láthatja a hálózatokon észlelt eszközökre vonatkozóan:
Tekintse át a PLC működési módját. Az ezzel a javaslattal rendelkező eszközök olyan PLC-ket találnak, amelyek nem biztonságos üzemmódállapotra vannak beállítva. Javasoljuk, hogy állítsa a PLC működési módokat biztonságos futtatási állapotra, ha a plc-hez való hozzáférés már nem szükséges a rosszindulatú PLC-programozás veszélyének csökkentése érdekében.
Tekintse át a jogosulatlan eszközöket. Az ezzel a javaslattal rendelkező eszközöket a hálózati alapkonfiguráció részeként kell azonosítani és engedélyezni. Javasoljuk, hogy tegyen lépéseket a jelzett eszközök azonosítása érdekében. Válassza le a hálózatról azokat az eszközöket, amelyek a vizsgálat után is ismeretlenek maradnak, hogy csökkentse a rosszindulatú vagy potenciálisan rosszindulatú eszközök veszélyét.
Biztonsági javaslatok elérése az alábbi helyek egyikéről:
A Javaslatok lap, amely az összes észlelt OT-eszközön megjeleníti az összes aktuális javaslatot.
Az eszköz részleteinek lap Javaslatok lapja, amely megjeleníti a kijelölt eszközre vonatkozó összes aktuális javaslatot.
Bármelyik helyről válasszon ki egy javaslatot a további részletezéshez, és tekintse meg az összes észlelt, jelenleg kifogástalan vagy nem kifogástalan állapotú OT-eszköz listáját a kiválasztott javaslatnak megfelelően. A Nem megfelelő eszközök vagy az Kifogástalan állapotú eszközök lapon válasszon egy eszközhivatkozást a kijelölt eszköz részleteinek lapjára ugráshoz. Példa:
További információ: Az eszközleltár megtekintése és a biztonsági helyzet javítása biztonsági javaslatokkal.
Eszköz biztonsági rései az Azure Portalról (nyilvános előzetes verzió)
Az IoT Defender mostantól biztonsági résadatokat biztosít az Azure Portalon az észlelt OT hálózati eszközökhöz. A biztonságirés-adatok az USA kormányzati nemzeti biztonságirés-adatbázisában (NVD) dokumentált szabványalapú biztonságirés-adatok adattárán alapulnak.
A biztonságirés-adatok elérése az Azure Portalon a következő helyekről:
Az eszköz részletei lapon válassza a Biztonsági rések lapot a kijelölt eszköz aktuális biztonsági réseinek megtekintéséhez. Az Eszközleltár lapon például válasszon ki egy adott eszközt, majd válassza a Biztonsági rések lehetőséget.
További információ: Az eszközleltár megtekintése.
Egy új Biztonsági rések munkafüzet a biztonsági rések adatait jeleníti meg az összes figyelt OT-eszközön. A Biztonsági rések munkafüzettel súlyosság vagy szállító szerint tekintheti meg a CVE-hez hasonló adatokat, valamint az észlelt biztonsági rések és sebezhető eszközök és összetevők teljes listáját.
Jelöljön ki egy elemet az Eszköz biztonsági rései, a Sebezhető eszközök vagy a Sebezhető összetevők táblában a kapcsolódó információk megtekintéséhez a jobb oldali táblákban.
Példa:
További információ: Azure Monitor-munkafüzetek használata a Microsoft Defender for IoT-ben.
Azure-beli felhőkapcsolati tűzfalszabályok frissítései (nyilvános előzetes verzió)
Az OT hálózati érzékelői az Azure-hoz csatlakozva riasztási és eszközadatokat és érzékelőállapot-üzeneteket, fenyegetésfelderítési csomagokat érhetnek el stb. A csatlakoztatott Azure-szolgáltatások közé tartozik az IoT Hub, a Blob Storage, az Event Hubs és a Microsoft Letöltőközpont.
A 22.x és újabb szoftververziójú OT-érzékelők esetében az IoT Defender mostantól támogatja a fokozott biztonságot, amikor kimenő engedélyezési szabályokat ad hozzá az Azure-hoz való csatlakozáshoz. Most már megadhatja, hogy a kimenő engedélyezési szabályok helyettesítő karakterek használata nélkül csatlakozzanak az Azure-hoz.
A kimenő engedélyezési szabályok Azure-hoz való csatlakozásának meghatározásakor engedélyeznie kell a HTTPS-forgalmat a 443-as porton lévő összes szükséges végpont felé. A kimenő engedélyezési szabályok egyszer vannak definiálva az ugyanazon előfizetésbe előkészített összes OT-érzékelőhöz.
Támogatott érzékelőverziók esetén töltse le a szükséges biztonságos végpontok teljes listáját az Azure Portal alábbi pontjairól:
Sikeres érzékelőregisztrációs oldal: Miután egy új, 22.x-es verziójú OT-érzékelőt készített, a sikeres regisztrációs oldal útmutatást nyújt a következő lépésekhez, beleértve a végpontokra mutató hivatkozást is, amelyekhez biztonságos kimenő engedélyezési szabályokként kell hozzáadni a hálózaton. A JSON-fájl letöltéséhez válassza a Végpont részleteinek letöltése hivatkozást.
Példa:
A Webhelyek és érzékelők lap: Válasszon ki egy 22.x vagy újabb szoftververziójú OT-érzékelőt, vagy egy vagy több támogatott érzékelőverzióval rendelkező webhelyet. Ezután válassza a További műveletek>A végpont részleteinek letöltése lehetőséget a JSON-fájl letöltéséhez. Példa:
További információk:
- Oktatóanyag: Ismerkedés a Microsoft Defender for IoT for OT biztonságával
- Érzékelők kezelése az IoT-hez készült Defenderrel az Azure Portalon
- Hálózati követelmények
IoT-eszközentitások vizsgálata a Microsoft Sentinelben
Az IoT Defender és a Microsoft Sentinel integrációja mostantól támogatja az IoT-eszköz entitásoldalát. Az incidensek kivizsgálásakor és az IoT-biztonság Microsoft Sentinelben való monitorozása során mostantól azonosíthatja a legérzékenyebb eszközöket, és közvetlenül az egyes eszköz-entitásoldalak további részleteire ugorhat.
Az IoT-eszköz entitásoldala az IoT-eszközökkel kapcsolatos környezeti információkat, valamint az eszköz alapvető adatait és az eszköz tulajdonosának kapcsolattartási adatait tartalmazza. Az eszköztulajdonosokat a webhelyek határozzák meg az IoT Defender Webhelyek és érzékelők lapján.
Az IoT-eszköz entitásoldala segíthet rangsorolni a szervizelést az eszköz fontossága és az üzleti hatás alapján, az egyes riasztások helyének, zónájának és érzékelőinek megfelelően. Példa:
Mostantól a Microsoft Sentinel Entity viselkedési oldalán is kereshet sebezhető eszközöket. Tekintse meg például az első öt IoT-eszközt a legtöbb riasztással, vagy keressen egy eszközt IP-cím vagy eszköznév alapján:
További információkért tekintse meg az Azure Portal IoT-eszközentitással és helykezelési lehetőségeivel kapcsolatos további információkat.
A Microsoft Defender for IoT megoldás frissítései a Microsoft Sentinel tartalomközpontjában
Ebben a hónapban megjelent a Microsoft Defender for IoT megoldás 2.0-s verziója a Microsoft Sentinel tartalomközpontjában, amelyet korábban IoT/OT Threat Monitoring with Defender for IoT-megoldásként ismertek.
A megoldás ezen verziójának frissítései a következők:
Névváltoztatás. Ha korábban telepítette az IoT/OT fenyegetésfigyelést a Defender for IoT-megoldással a Microsoft Sentinel-munkaterületen, a rendszer automatikusan átnevezi a megoldást a Microsoft Defender for IoT-re, még akkor is, ha nem frissíti a megoldást.
Munkafüzet fejlesztései: Az IoT-munkafüzethez készült Defender a következőket tartalmazza:
Új áttekintési irányítópult az eszközleltár, a fenyegetésészlelés és a biztonsági helyzet főbb metrikáival. Példa:
Új biztonsági rések irányítópult, amelyen a hálózatban és a kapcsolódó sebezhető eszközökben megjelenő CVE-k adatai láthatók. Példa:
Az Eszközleltár irányítópult fejlesztései, beleértve az eszközjavaslatokhoz való hozzáférést, a biztonsági réseket és a Defender for IoT-eszköz részletes lapjaira mutató közvetlen hivatkozásokat. Az IoT/OT threat monitoring with Defender for IoT munkafüzet eszközleltár-irányítópultjateljes mértékben igazodik az IoT-hez készült Defender eszközleltár adataihoz.
Forgatókönyvfrissítések: A Microsoft Defender for IoT-megoldás mostantól az alábbi SOC-automatizálási funkciókat támogatja új forgatókönyvekkel:
Automatizálás CVE-részletekkel: Az AD4IoT-CVEAutoWorkflow forgatókönyv használatával bővítse az incidensekkel kapcsolatos megjegyzéseket az IoT-hez készült Defender-adatokon alapuló kapcsolódó eszközök CV-eivel. Az incidensek osztályozása megtörtént, és ha a CVE kritikus fontosságú, a rendszer e-mailben értesíti az eszköz tulajdonosát az incidensről.
Automatizálás az eszköztulajdonosoknak küldendő e-mail-értesítésekhez. Az AD4IoT-SendEmailtoIoTOwner forgatókönyv használatával automatikusan értesítő e-mailt küldhet az eszköz tulajdonosának az új incidensekről. Az eszköztulajdonosok ezután válaszolhatnak az e-mailre az incidens szükség szerinti frissítéséhez. Az eszköztulajdonosok a hely szintjén vannak definiálva az IoT Defenderben.
Automatizálás bizalmas eszközökkel kapcsolatos incidensekhez: Az AD4IoT-AutoTriageIncident forgatókönyv használatával automatikusan frissítheti az incidens súlyosságát az incidensben érintett eszközök, valamint a szervezet érzékenységi szintje vagy fontossága alapján. A bizalmas eszközt érintő incidensek például automatikusan magasabb súlyossági szintre eszkalálhatók.
További információ: A Microsoft Defender IoT-incidenseinek vizsgálata a Microsoft Sentinellel.
2022. augusztus
Szolgáltatási terület | Frissítések |
---|---|
OT-hálózatok |
Érzékelőszoftver 22.2.5-ös verziója: Kisebb verzió stabilitási fejlesztésekkel Érzékelőszoftver 22.2.4-es verziója: Új riasztási oszlopok időbélyeg-adatokkal Érzékelőszoftver 22.1.3-es verziója: Érzékelő állapota az Azure Portalról (nyilvános előzetes verzió) |
Új riasztásoszlopok időbélyeg-adatokkal
Az OT-érzékelő 22.2.4-es verziójától kezdve a Defender for IoT riasztásai az Azure Portalon és az érzékelőkonzolon mostantól a következő oszlopokat és adatokat jelenítik meg:
Utolsó észlelés. Meghatározza a riasztás legutóbbi észlelésének időpontját a hálózaton, és lecseréli az Észlelési idő oszlopot.
Első észlelés. Meghatározza, hogy a riasztás első alkalommal észlelhető-e a hálózaton.
Utolsó tevékenység. Meghatározza a riasztás legutóbbi módosításának időpontját, beleértve a súlyosság vagy állapot manuális frissítését, vagy az eszközfrissítések vagy az eszköz/riasztás deduplikációjának automatikus módosításait.
Az Első észlelés és az Utolsó tevékenység oszlop alapértelmezés szerint nem jelenik meg. Szükség szerint vegye fel őket a Riasztások lapra.
Tipp.
Ha Ön is Microsoft Sentinel-felhasználó, a Log Analytics-lekérdezések hasonló adatait fogja ismerni. Az IoT Defender új riasztási oszlopai a következőképpen vannak leképezve:
- Az IoT Defender utolsó észlelési ideje hasonló a Log Analytics EndTime-hoz
- Az IoT Defender első észlelési ideje hasonló a Log Analytics StartTime-hoz
- A Defender for IoT Last activity time hasonló a Log Analytics TimeGeneratedhez . További információ:
- Riasztások megtekintése az IoT-alapú Defender portálon
- Riasztások megtekintése az érzékelőn
- OT-veszélyforrások monitorozása vállalati SOC-kban
Érzékelő állapota az Azure Portalról (nyilvános előzetes verzió)
Az OT-érzékelő 22.1.3-s és újabb verziói esetén az új érzékelőállapot-vezérlők és táblázatoszlopadatok segítségével közvetlenül az Azure Portal Webhelyek és érzékelők oldaláról figyelheti az érzékelő állapotát.
Hozzáadtunk egy érzékelő részleteit tartalmazó oldalt is, ahol lehatolást futtathat egy adott érzékelőre az Azure Portalról. A Webhelyek és érzékelők lapon válasszon ki egy adott érzékelőnevet. Az érzékelő részletei oldal felsorolja az alapszintű érzékelőadatokat, az érzékelő állapotát és az alkalmazott érzékelőbeállításokat.
További információ: Az érzékelő állapotának és az érzékelő állapotának ismertetése üzenethivatkozás.
2022. július
Szolgáltatási terület | Frissítések |
---|---|
Vállalati IoT-hálózatok | - Vállalati IoT és Defender for Endpoint integráció a GA-ban |
OT-hálózatok |
Érzékelőszoftver 22.2.4-es verziója: - Eszközleltár fejlesztései - A ServiceNow integrációs API fejlesztései Érzékelőszoftver 22.2.3-s verziója: - Az OT-berendezés hardverprofil-frissítései - PCAP-hozzáférés az Azure Portalról - Kétirányú riasztás szinkronizálása érzékelők és az Azure Portal között - A tanúsítvány elforgatása után visszaállított érzékelőkapcsolatok - Diagnosztikai napló fejlesztéseinek támogatása - A böngészőlapokban megjelenő érzékelőnevek Érzékelőszoftver 22.1.7-es verziója: - Ugyanazok a jelszavak cyberx_host és cyberx-felhasználók számára |
Csak felhőalapú szolgáltatások | - Microsoft Sentinel-incidens szinkronizálása a Defender for IoT-riasztásokkal |
Vállalati IoT és Defender for Endpoint integráció a GA-ban
A nagyvállalati IoT-integráció és a Végponthoz készült Microsoft Defender mostantól általánosan elérhető (GA). Ezzel a frissítéssel a következő frissítéseket és fejlesztéseket hajtottuk végre:
Vállalati IoT-csomag előkészítése közvetlenül a Defender for Endpointben. További információ: Előfizetések kezelése és a Defender for Endpoint dokumentációja.
Zökkenőmentes integráció a Végponthoz készült Microsoft Defender az észlelt nagyvállalati IoT-eszközök és azok kapcsolódó riasztásainak, biztonsági réseinek és javaslatainak megtekintéséhez a Microsoft 365 Biztonsági portálon. További információkért tekintse meg a Vállalati IoT-oktatóanyagot és a Defender for Endpoint dokumentációját. Az észlelt nagyvállalati IoT-eszközöket továbbra is megtekintheti az Azure Portal Defender for IoT-eszközleltár lapján.
A rendszer mostantól automatikusan hozzáadja az összes Vállalati IoT-érzékelőt ugyanahhoz a helyhez az Enterprise network nevű Defender for IoT-ben. Új Nagyvállalati IoT-eszköz előkészítésekor csak egy érzékelőnevet kell megadnia, és ki kell választania az előfizetését anélkül, hogy meghatározna egy helyet vagy zónát.
Feljegyzés
A vállalati IoT-hálózati érzékelő és az összes észlelés nyilvános előzetes verzióban marad.
Ugyanazok a jelszavak cyberx_host és cyberx-felhasználók számára
A szoftvertelepítések és -frissítések ot-monitorozása során a cyberx-felhasználóhoz véletlenszerű jelszó van hozzárendelve. Amikor a 10.x.x verzióról a 22.1.7-es verzióra frissít, a cyberx_host jelszó azonos jelszóval lesz hozzárendelve a cyberx-felhasználóhoz .
További információ: Az OT ügynök nélküli monitorozási szoftver telepítése és az Update Defender for IoT OT monitorozási szoftver.
Eszközleltár fejlesztései
Az OT-érzékelő 22.2.4-től kezdve a következő műveleteket hajthatja végre az érzékelőkonzol Eszközleltár lapján:
Ismétlődő eszközök egyesítése. Előfordulhat, hogy egyesítenie kell az eszközöket, ha az érzékelő különálló hálózati entitásokat észlelt, amelyek egyetlen, egyedi eszközhöz vannak társítva. Ilyen eset lehet például egy négy hálózati kártyával rendelkező PLC, egy wi-fi és egy fizikai hálózati kártyával rendelkező laptop, vagy egy több hálózati kártyával rendelkező munkaállomás.
Egyetlen eszköz törlése. Mostantól törölheti azokat az eszközöket, amelyek legalább 10 percig nem kommunikáltak.
Inaktív eszközök törlése rendszergazdai felhasználók által. Mostantól a cyberx-felhasználón kívül minden rendszergazdai felhasználó törölheti az inaktív eszközöket.
A 22.2.4-es verziótól kezdődően az érzékelőkonzol Eszközleltár lapján az Eszköz részletei panel utolsó látható értéke helyébe az Utolsó tevékenység lép. Példa:
További információ: Ot-eszközleltár kezelése egy érzékelőkonzolról.
A ServiceNow integrációs API fejlesztései
Az OT-érzékelő 22.2.4-es verziója fejlesztéseket biztosít az devicecves
API-hoz, amely részletesen bemutatja az adott eszközhöz talált CVE-ket.
Az eredmények finomhangolásához most az alábbi paraméterek bármelyikét hozzáadhatja a lekérdezéshez:
- "sensorId" – Egy adott érzékelő eredményeinek megjelenítése a megadott érzékelőazonosító alapján.
- "score" – Meghatározza a lekérendő minimális CVE-pontszámot. Minden eredmény egy CVE-pontszámmal rendelkezik, amely egyenlő vagy magasabb, mint a megadott érték. Alapértelmezett = 0.
- "deviceIds" – Azoknak az eszközazonosítóknak a vesszővel tagolt listája, amelyekből az eredményeket meg szeretné jeleníteni. Például: 1232,34,2,456
További információ: Integration API-referencia helyszíni felügyeleti konzolokhoz (nyilvános előzetes verzió).
Az OT-berendezés hardverprofil-frissítései
Frissítettük az OT-berendezés hardverprofiljainak elnevezési konvencióit a nagyobb átláthatóság és egyértelműség érdekében.
Az új nevek a profil típusát is tükrözik, beleértve a Vállalati, a Nagyvállalati és a Gyártósort, valamint a kapcsolódó lemeztároló méretét is.
Az alábbi táblázat segítségével megismerheti az örökölt hardverprofilok nevei és a frissített szoftvertelepítésben használt aktuális nevek közötti megfeleltetést:
Örökölt név | Új név | Leírás |
---|---|---|
Testületi | C5600 | Vállalati környezet a következőkkel: 16 mag 32 GB RAM 5,6 TB-os lemeztároló |
Vállalat | E1800 | Vállalati környezet a következőkkel: Nyolc mag 32 GB RAM 1,8 TB-os lemeztároló |
SMB | L500 | Gyártósori környezet a következőkkel: Négy mag 8 GB RAM 500 GB-os lemeztároló |
Office | L100 | Gyártósori környezet a következőkkel: Négy mag 8 GB RAM 100 GB-os lemeztároló |
Érdes | L64 | Gyártósori környezet a következőkkel: Négy mag 8 GB RAM 64 GB-os lemeztároló |
Most már támogatjuk az új vállalati hardverprofilokat is, az 500 GB-os és az 1 TB-os lemezméretet támogató érzékelők esetében.
További információ: Melyik készülékre van szükségem?
PCAP-hozzáférés az Azure Portalról (nyilvános előzetes verzió)
Most már közvetlenül az Azure Portalról elérheti a nyers adatforgalmi fájlokat, más néven csomagrögzítési fájlokat vagy PCAP-fájlokat. Ez a funkció támogatja az SOC- vagy OT-biztonsági mérnököket, akik anélkül szeretnének kivizsgálni az IoT-hez vagy a Microsoft Sentinelhez készült Defender riasztásait, hogy külön kellene hozzáférni az egyes érzékelőkhöz.
A PCAP-fájlokat a rendszer letölti az Azure Storage-ba.
További információ: Riasztások megtekintése és kezelése az Azure Portalról.
Kétirányú riasztás szinkronizálása az érzékelők és az Azure Portal között (nyilvános előzetes verzió)
A 22.2.1-es verzióra frissített érzékelők esetében a riasztások és a learn állapotok teljes mértékben szinkronizálódnak az érzékelőkonzol és az Azure Portal között. Ez például azt jelenti, hogy bezárhat egy riasztást az Azure Portalon vagy az érzékelőkonzolon, és a riasztás állapota mindkét helyen frissül.
Az Azure Portalon vagy az érzékelőkonzolon keresztül értesülhet arról, hogy nem aktiválódik újra, amikor legközelebb ugyanazt a hálózati forgalmat észleli.
Az érzékelőkonzol egy helyszíni felügyeleti konzollal is szinkronizálva van, így a riasztási állapotok és a megtanult állapotok naprakészek maradnak a felügyeleti felületeken.
További információk:
- Riasztások megtekintése és kezelése az Azure Portalról
- Riasztások megtekintése és kezelése az érzékelőn
- Riasztások használata a helyszíni felügyeleti konzolon
A tanúsítvány elforgatása után visszaállított érzékelőkapcsolatok
A 22.2.3-s verziótól kezdve a tanúsítványok elforgatása után az érzékelőkapcsolatok automatikusan visszaállnak a helyszíni felügyeleti konzolra, és nem kell manuálisan újracsatlakoztatnia őket.
További információ: SSL/TLS-tanúsítványok létrehozása OT-berendezésekhez és SSL-/TLS-tanúsítványok kezelése.
Diagnosztikai naplók fejlesztéseinek támogatása (nyilvános előzetes verzió)
A 22.1.1-es érzékelőverziótól kezdve le tudott tölteni egy diagnosztikai naplót az érzékelőkonzolról, hogy elküldhesse a támogatást a jegy megnyitásakor.
A helyileg felügyelt érzékelők esetében ezt a diagnosztikai naplót közvetlenül az Azure Portalon töltheti fel.
Tipp.
A felhőalapú érzékelők esetében a 22.1.3-s érzékelőtől kezdve a diagnosztikai napló automatikusan elérhető a jegy megnyitásakor.
További információk:
A böngészőlapokban megjelenő érzékelőnevek
A 22.2.3-s érzékelőtől kezdve az érzékelő neve megjelenik a böngészőlapon, így könnyebben azonosíthatja a használt érzékelőket.
Példa:
További információ: Egyéni érzékelők kezelése.
Microsoft Sentinel-incidens szinkronizálása a Defender for IoT-riasztásokkal
Az IoT OT threat monitoring with Defender for IoT megoldás mostantól biztosítja, hogy a Defender for IoT riasztásai frissülnek a Microsoft Sentinel incidensállapot-változásaival.
Ez a szinkronizálás felülírja az IoT Defenderben, az Azure Portalon vagy az érzékelőkonzolon definiált állapotokat, így a riasztások állapota megegyezik a kapcsolódó incidens állapotával.
Frissítse az IoT OT-fenyegetésfigyelést a Defender for IoT megoldással a legújabb szinkronizálási támogatás használatához, beleértve az új AD4IoT-AutoAlertStatusSync forgatókönyvet is. A megoldás frissítése után győződjön meg arról, hogy a szükséges lépéseket is megteszi annak érdekében, hogy az új forgatókönyv a várt módon működjön.
További információk:
- Oktatóanyag: Az IoT-hez és a Sentinelhez készült Defender integrálása
- Riasztások megtekintése és kezelése az IoT-alapú Defender portálon (előzetes verzió)
- Riasztások megtekintése az érzékelőn
2022. június
Érzékelőszoftver 22.1.6-os verziója: Kisebb verzió, belső érzékelőösszetevők karbantartási frissítéseivel
Érzékelőszoftver 22.1.5-ös verziója: Kisebb verzió a TI telepítési csomagok és szoftverfrissítések fejlesztéséhez
A közelmúltban optimalizáltuk és bővítettük a dokumentációt az alábbiak szerint:
- Frissített berendezéskatalógus OT-környezetekhez
- Dokumentációk átszervezése végfelhasználói szervezetek számára
Frissített berendezéskatalógus OT-környezetekhez
Frissítettük és átalakítottuk a támogatott berendezések katalógusát az OT-környezetek monitorozásához. Ezek a berendezések támogatják a rugalmas üzembe helyezési lehetőségeket minden méretű környezethez, és az OT monitorozási érzékelő és a helyszíni felügyeleti konzolok üzemeltetésére is használhatók.
Használja az új oldalakat az alábbiak szerint:
Ismerje meg, hogy melyik hardvermodell felel meg a legjobban a szervezet igényeinek. További információ: Melyik készülékre van szükségem?
Ismerje meg a megvásárolható előre konfigurált hardverberendezéseket vagy a virtuális gépek rendszerkövetelményét. További információ: Előre konfigurált fizikai berendezések az OT monitorozásához és a virtuális berendezésekkel végzett OT-monitorozáshoz.
Az egyes berendezéstípusokkal kapcsolatos további információkért használja a hivatkozott referenciaoldalt, vagy tallózással keresse meg az új Referencia > OT monitorozási berendezések szakaszt.
Az egyes berendezéstípusokra vonatkozó referenciacikkek, beleértve a virtuális berendezéseket is, tartalmazzák a berendezésnek az IoT-hez készült Defenderrel való ot-monitorozáshoz való konfigurálásához szükséges konkrét lépéseket. Az általános szoftvertelepítési és hibaelhárítási eljárások továbbra is dokumentálva vannak a Defender for IoT-szoftvertelepítésben.
Dokumentációk átszervezése végfelhasználói szervezetek számára
Nemrégiben átszerveztük a Defender for IoT dokumentációt a végfelhasználói szervezetek számára, kiemelve az előkészítés és az első lépések egyértelműbb útját.
Tekintse meg az új struktúrát az eszközök és eszközök megtekintésével, a riasztások, a biztonsági rések és a fenyegetések kezelésével, a más szolgáltatásokkal való integrációval, valamint a Defender for IoT-rendszer üzembe helyezésével és karbantartásával.
Az új és frissített cikkek a következők:
- Üdvözli a Microsoft Defender for IoT szervezeteknek
- Microsoft Defender for IoT architektúra
- Rövid útmutató: Az IoT Defender használatának első lépései
- Oktatóanyag: Microsoft Defender for IoT próbaverzió beállítása
- Oktatóanyag: Az Enterprise IoT használatának első lépései
Feljegyzés
Ha a GitHubon keresztül szeretne visszajelzést küldeni a dokumentumokról, görgessen a lap aljára, és válassza az Oldal Visszajelzés beállítását. Örömmel hallanánk tőled!
2022. április
Kiterjesztett eszköztulajdonság-adatok az eszközleltárban
Érzékelőszoftver verziója: 22.1.4
A 22.1.4-es verzióra frissített érzékelőktől kezdve az Azure Portal Eszközleltár lapján a következő mezők bővített adatai láthatók:
- Leírás
- Címkék
- Protokollok
- Szkenner
- Utolsó tevékenység
További információ: Eszközleltár kezelése az Azure Portalról.
2022. március
Érzékelő verziója: 22.1.3
- Azure Monitor-munkafüzetek használata az IoT-hez készült Microsoft Defenderrel
- IoT OT Threat Monitoring with Defender for IoT solution GA
- Eszközök szerkesztése és törlése az Azure Portalról
- Kulcsállapot-riasztások frissítései
- Kijelentkezés parancssori felületről
Azure Monitor-munkafüzetek használata a Microsoft Defender for IoT-vel (nyilvános előzetes verzió)
Az Azure Monitor-munkafüzetek olyan grafikonokat és irányítópultokat biztosítanak, amelyek vizuálisan tükrözik az adatokat, és mostantól közvetlenül a Microsoft Defender for IoT-ben érhetők el az Azure Resource Graph adataival.
Az Azure Portalon az új Defender for IoT-munkafüzetek lapon megtekintheti a Microsoft által létrehozott és beépített munkafüzeteket, vagy létrehozhat saját egyéni munkafüzeteket.
További információ: Azure Monitor-munkafüzetek használata a Microsoft Defender for IoT-ben.
IoT OT Threat Monitoring with Defender for IoT solution GA
Az IoT OT Threat Monitoring with Defender for IoT megoldás a Microsoft Sentinelben mostantól ga. Az Azure Portalon ezzel a megoldásokkal biztonságossá teheti a teljes OT-környezetet, függetlenül attól, hogy meg kell védenie a meglévő OT-eszközöket, vagy új OT-innovációkba kell építenie a biztonságot.
További információkért tekintse meg az OT-fenyegetések monitorozását a vállalati socsokban és oktatóanyagot: A Defender integrálása az IoT-hez és a Sentinelhez.
Eszközök szerkesztése és törlése az Azure Portalról (nyilvános előzetes verzió)
Az Azure Portal Eszközleltár lapja mostantól támogatja az eszköz részleteinek szerkesztését, például a biztonságot, a besorolást, a helyet és egyebeket:
További információ: Eszközadatok szerkesztése.
Csak akkor törölhet eszközöket a Defender for IoT-ből, ha több mint 14 napja inaktívak. További információ: Eszköz törlése.
Kulcsállapot-riasztások frissítései (nyilvános előzetes verzió)
Az IoT Defender mostantól támogatja a Rockwell protokollt a PLC működési mód észleléséhez.
A Rockwell protokoll esetében az Eszközleltár lapjai az Azure Portalon és az érzékelőkonzolon is jelzik a PLC működési mód kulcsát és futási állapotát, valamint azt, hogy az eszköz jelenleg biztonságos módban van-e.
Ha az eszköz PLC-üzemmódja valaha is nem biztonságos üzemmódra (például programra vagy távolira) vált, a rendszer a PLC megváltozott üzemmódú riasztását hozza létre.
További információ: IoT-eszközök kezelése a szervezetek eszközleltárával.
Kijelentkezés parancssori felületről
Ebben a verzióban a parancssori felület felhasználói 300 inaktív másodperc után automatikusan kijelentkeznek a munkamenetből. A manuális kijelentkezéshez használja az új logout
CLI-parancsot.
További információ: A Defender for IoT CLI-parancsok használata.
február 2022.
Érzékelőszoftver verziója: 22.1.1
- Új érzékelő telepítővarázslója
- Érzékelő újratervezése és egységes Microsoft-termékélmény
- Továbbfejlesztett érzékelő – áttekintési oldal
- Új támogatási diagnosztikai napló
- Riasztási frissítések
- Egyéni riasztási frissítések
- Parancssori felület parancsfrissítései
- Frissítés a 22.1.x verzióra
- Új kapcsolati modell és tűzfalkövetelmények
- Protokoll fejlesztései
- Módosított, lecserélt vagy eltávolított beállítások és konfigurációk
Új érzékelő telepítővarázslója
Korábban külön párbeszédpaneleket kellett használnia egy érzékelőaktiválási fájl feltöltéséhez, az érzékelő hálózati konfigurációjának ellenőrzéséhez és az SSL/TLS-tanúsítványok konfigurálásához.
Most, amikor új érzékelőt vagy új érzékelőverziót telepít, a telepítővarázsló egy egyszerűsített felületet biztosít, amellyel ezeket a feladatokat egyetlen helyről végezheti el.
További információ: Defender for IoT install.
Érzékelő újratervezése és egységes Microsoft-termékélmény
Az IoT-hez készült Defender érzékelőkonzolját úgy alakítottuk át, hogy egységes Microsoft Azure-élményt hozzon létre, és fokozza és egyszerűsítse a munkafolyamatokat.
Ezek a funkciók mostantól általánosan elérhetők (GA). A frissítések közé tartozik az általános megjelenés és megjelenés, a részletezési panelek, a keresési és műveleti lehetőségek stb. Példa:
Az egyszerűsített munkafolyamatok a következők:
Az Eszközleltár lapon mostantól részletes eszközoldalak is találhatók. Jelöljön ki egy eszközt a táblázatban, majd válassza a Jobb oldalon a Teljes adatok megtekintése lehetőséget.
Az érzékelő leltárából frissített tulajdonságok mostantól automatikusan frissülnek a felhőalapú eszközleltárban.
Az eszköz részletes lapjai, amelyek az Eszköztérkép vagy az Eszközleltár oldalról érhetők el, csak olvashatóként jelennek meg. Az eszköz tulajdonságainak módosításához válassza a Tulajdonságok szerkesztése lehetőséget a bal alsó sarokban.
Az Adatbányászat lap mostantól jelentéskészítési funkciókat is tartalmaz. Amíg a Jelentések lap el lett távolítva, az írásvédett hozzáféréssel rendelkező felhasználók anélkül tekinthetik meg a frissítéseket az Adatbányászat lapon, hogy módosítanák a jelentéseket vagy a beállításokat.
Az új jelentéseket létrehozó rendszergazdai felhasználók mostantól a Küldés a CM-be beállításra váltva a jelentést egy központi felügyeleti konzolra is elküldhetik. További információ: Jelentés létrehozása
A Rendszerbeállítások terület át lett rendezve az alapszintű beállítások, a hálózatfigyelési beállítások, az érzékelőkezelés, az integráció és az importálási beállítások szakaszaiba.
Az érzékelő online súgója mostantól a Microsoft Defender for IoT dokumentációjának legfontosabb cikkeit ismerteti.
Az IoT-hez készült Defender-térképek a következők:
Ekkor megjelenik egy új térképnézet a riasztásokhoz és az eszköz részleteinek lapjaihoz, amely megmutatja, hogy a környezetében hol található a riasztás vagy az eszköz.
Kattintson a jobb gombbal egy eszközre a térképen az eszközre vonatkozó környezeti információk megtekintéséhez, beleértve a kapcsolódó riasztásokat, az eseménysor adatait és a csatlakoztatott eszközöket.
Az informatikai hálózatok csoportjainak megjelenítésének letiltása lehetőséget választva megakadályozhatja az informatikai hálózatok összecsukását a térképen. Ez a beállítás alapértelmezés szerint be van kapcsolva.
Az Egyszerűsített térképnézet lehetőség el lett távolítva.
A Microsoft szabványainak való megfelelés érdekében globális felkészültségi és akadálymentességi funkciókat is bevezettünk. A helyszíni érzékelők konzolján ezek a frissítések a kontrasztos és a normál képernyős megjelenítési témákat és a több mint 15 nyelv honosítását is tartalmazzák.
Példa:
A képernyő jobb felső sarkában található Beállítások ikonra kattintva elérheti a globális készültségi és kisegítő lehetőségeket:
Továbbfejlesztett érzékelő – áttekintési oldal
Az IoT-érzékelőhöz készült Defender-érzékelő portál irányítópult-lapja át lett nevezve Áttekintésként, és mostantól olyan adatokat tartalmaz, amelyek jobban kiemelik a rendszer üzembe helyezésének részleteit, a kritikus hálózati monitorozás állapotát, a legfontosabb riasztásokat, valamint a fontos trendeket és statisztikákat.
Az Áttekintés lap mostantól fekete dobozként is szolgál az érzékelő általános állapotának megtekintéséhez, ha a kimenő kapcsolatok( például az Azure Portal) leállnak.
Hozzon létre további irányítópultokat a Bal oldali Elemzés menüBen található Trends &Statistics (Trendek és statisztikák) lap használatával.
Új támogatási diagnosztikai napló
Most letöltheti a támogatási jegyekhez hozzáadott napló- és rendszerinformációk összegzését. A Biztonsági mentés és visszaállítás párbeszédpanelen válassza a Támogatási jegy diagnosztika lehetőséget.
További információ: Diagnosztikai napló letöltése támogatáshoz
Riasztási frissítések
Az Azure Portalon:
A riasztások mostantól elérhetők a Defender for IoT-ben az Azure Portalon. Riasztások használatával javíthatja az IoT/OT-hálózat biztonságát és működését.
Az új Riasztások lap jelenleg nyilvános előzetes verzióban érhető el, és a következő lehetőségeket nyújtja:
- A hálózati érzékelők által észlelt fenyegetések összesített, valós idejű nézete.
- Az eszközök és a hálózati folyamatok szervizelési lépései.
- Riasztások streamelése a Microsoft Sentinelnek, és az SOC-csapat támogatása.
- Riasztási tárterület az első észleléstől számított 90 napig.
- Eszközök a forrás- és céltevékenység, a riasztás súlyossága és állapota, a MITRE ATT&CK-információk és a riasztással kapcsolatos környezeti információk vizsgálatához.
Példa:
Az érzékelőkonzolon:
Az érzékelőkonzol Riasztások lapján mostantól az Azure-beli Defender for IoT-hez felhőalapú kapcsolattal konfigurált érzékelők által észlelt riasztások részletei láthatók. Az Azure-beli és a helyszíni riasztásokkal dolgozó felhasználóknak ismerniük kell, hogyan történik a riasztások kezelése az Azure Portal és a helyszíni összetevők között.
A riasztások további frissítései a következők:
Hozzáférés az egyes riasztások környezeti adataihoz , például az egy időben történt eseményekhez vagy a csatlakoztatott eszközök térképéhez. A csatlakoztatott eszközök térképei csak érzékelőkonzol-riasztásokhoz érhetők el.
A riasztási állapotok frissülnek, és például a Nyugtázás helyett a Lezárt állapotot is tartalmazzák.
Riasztási tárterület az első észlelés időpontjától számított 90 napig.
A biztonsági mentési tevékenység víruskereső aláírási riasztással. Ez az új riasztás a forráseszköz és a cél biztonsági mentési kiszolgáló között észlelt forgalom esetén aktiválódik, ami gyakran jogos biztonsági mentési tevékenység. A kritikus vagy jelentős kártevőriasztások már nem aktiválódnak az ilyen tevékenységekhez.
A frissítések során az érzékelőkonzol aktuálisan archivált riasztásai törlődnek. A rögzített riasztások már nem támogatottak, ezért az érzékelők konzoljára vonatkozó riasztások esetén a rendszer eltávolítja a tűket.
További információ: Riasztások megtekintése az érzékelőn.
Egyéni riasztási frissítések
Az érzékelőkonzol Egyéni riasztási szabályok lapja mostantól a következőt nyújtja:
Az Egyéni riasztási szabályok táblában található számadatokat az egyes létrehozott szabályok esetében az elmúlt héten aktivált riasztások számával kapcsolatos részletes adatokkal láthatja el.
Egyéni riasztási szabályok ütemezése normál munkaidőn kívülre.
Bármely olyan mező riasztása, amely a DPI-motor használatával kinyerhető egy protokollból.
Teljes körű protokolltámogatás egyéni szabályok létrehozásakor, valamint a kapcsolódó protokollváltozók széles körének támogatása.
További információ: Egyéni riasztási szabályok létrehozása egy OT-érzékelőn.
Parancssori felület parancsfrissítései
Az IoT-érzékelőhöz készült Defender szoftver telepítése már tárolóba van telepítve. A most tárolóalapú érzékelővel a cyberx_host felhasználóval kivizsgálhatja a többi tárolóval vagy az operációs rendszerrel kapcsolatos problémákat, vagy FTP-n keresztül küldhet fájlokat.
Ez a cyberx_host felhasználó alapértelmezés szerint elérhető, és csatlakozik a gazdagéphez. Ha szükséges, állítsa vissza a cyberx_host felhasználó jelszavát a Defender for IoT Webhelyek és érzékelők lapján.
A tárolóalapú érzékelő részeként a következő CLI-parancsok módosultak:
Örökölt név | Csere |
---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
A parancssori sudo cyberx-xsense-limit-interface-I eth0 -l value
felület parancsa el lett távolítva. Ezzel a paranccsal korlátozták az érzékelő által a napi eljárásokhoz használt interfész-sávszélességet, és a továbbiakban nem támogatott.
További információ: Defender for IoT install, Work with Defender for IoT CLI parancsok és CLI-parancsok hivatkozása AZ OT hálózati érzékelőkből.
Frissítés a 22.1.x verzióra
Az IoT-hez készült Defender összes legújabb funkciójának használatához frissítse az érzékelőszoftver-verziókat a 22.1.x verzióra.
Ha örökölt verziót használ, előfordulhat, hogy a legújabb verzió eléréséhez frissítések sorozatát kell futtatnia. Emellett frissítenie kell a tűzfalszabályokat, és újra kell aktiválnia az érzékelőt egy új aktiválási fájllal.
Miután frissített a 22.1.x verzióra, az új frissítési napló az alábbi elérési úton található, az SSH-n és a cyberx_host felhasználón keresztül: /opt/sensor/logs/legacy-upgrade.log
.
További információ: Az OT rendszerszoftver frissítése.
Feljegyzés
A 22.1.x verzióra való frissítés nagy frissítés, és a frissítési folyamat várhatóan több időt igényel, mint a korábbi frissítések.
Új kapcsolati modell és tűzfalkövetelmények
Az IoT Defender 22.1.x-es verziója támogatja az érzékelőkapcsolati módszerek új készletét, amelyek egyszerűbb üzembe helyezést, nagyobb biztonságot, méretezhetőséget és rugalmas kapcsolatot biztosítanak.
Az áttelepítési lépések mellett ehhez az új kapcsolati modellhez új tűzfalszabályt kell megnyitnia. További információk:
- Új tűzfalkövetelmények: Érzékelő hozzáférése az Azure Portalhoz.
- Architektúra: Érzékelőkapcsolati módszerek
- Csatlakozási eljárások: Érzékelők csatlakoztatása a Microsoft Defender for IoT-hez
Protokoll fejlesztései
Az IoT-hez készült Defender ezen verziója továbbfejlesztett támogatást nyújt az alábbiakhoz:
- Profinet DCP
- Honeywell
- Windows-végpontészlelés
További információ: Microsoft Defender for IoT – támogatott IoT-, OT-, ICS- és SCADA-protokollok.
Módosított, lecserélt vagy eltávolított beállítások és konfigurációk
A következő Defender for IoT-beállítások és konfigurációk lettek áthelyezve, eltávolítva és/vagy lecserélve:
A Jelentések lapon korábban talált jelentések mostantól az Adatbányászat lapon jelennek meg. Az adatbányászati információkat közvetlenül a helyszíni felügyeleti konzolról is megtekintheti.
A helyileg felügyelt érzékelő nevének módosítása mostantól csak úgy támogatott, ha az érzékelőt ismét az Azure Portalra iktatja az új névvel. Az érzékelőnevek már nem módosíthatók közvetlenül az érzékelőről. További információ: Új aktiválási fájl feltöltése.