ما هو الأرشيف الجديد في Microsoft Defender لإنترنت الأشياء للمؤسسات
إشعار
تمت إعادة تسمية Azure Defender for IoT إلى Microsoft Defender for IoT.
تعمل هذه المقالة كأرشيف للميزات والتحسينات التي تم إصدارها لـ Microsoft Defender لإنترنت الأشياء للمؤسسات منذ أكثر من تسعة أشهر.
لمزيد من التحديثات الأخيرة، راجع ما الجديد في Microsoft Defender لإنترنت الأشياء؟.
تسرد الميزات المدرجة في الإصدار الأولي أدناه. تتضمن شروط Azure Preview التكميلية شروطاً قانونيةً إضافيةً تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم تُصدَر بعد في الإتاحة العامة.
ديسمبر 2021
إصدار برنامج الاستشعار: 10.5.4
تكامل محسن مع Microsoft Sentinel (إصدار أولي)
يُتاح حل IoT OT Threat Monitoring الجديد مع Defender for IoT ويوفر قدرات محسنة لتكامل Microsoft Defender for IoT مع Microsoft Sentinel. يعتبرIoT OT Threat Monitoring مع حل Defender لـ IoT عبارة عن مجموعة من المحتوى المجمع، بما في ذلك قواعد التحليلات والمصنفات ودلائل المبادئ، التي تكونت خصيصًا لبيانات Defender for IoT. يدعم هذا الحل حاليًا الشبكات التشغيلية فقط (OT/ICS).
للحصول على معلومات حول التكامل مع Microsoft Sentinel، راجع البرنامج التعليمي: تكامل Defender for IoT و Sentinel
ثغرة أمنية في Apache Log4j
يخفف الإصدار 10.5.4 من Microsoft Defender لـ IoT من ثغرة Apache Log4j. للحصول على التفاصيل، راجع the security advisory update.
التنبيه
يوفر الإصدار 10.5.4 من Microsoft Defender for IoT تحسينات مهمة للتنبيه:
- تعطيل التنبيهات لبعض الأحداث الثانوية أو حالات الحافة.
- بالنسبة إلى سيناريوهات معينة، تصغر التنبيهات المماثلة في رسالة تنبيه واحدة.
تعمل هذه التغييرات على تقليل حجم التنبيه وتمكين الاستهداف والتحليل الأكثر كفاءة للأحداث الأمنية والتشغيلية.
لمزيد من المعلومات، راجع أنواع تنبيهات المراقبة والأوصاف في OT.
تعطيل التنبيهات بشكل دائم
تعطل التنبيهات المذكورة أدناه بشكل دائم مع الإصدار 10.5.4. ما زال يدعم الاكتشاف والمراقبة لنسبة استخدام الشبكة المرتبطة بالتنبيهات.
تنبيهات خاصة بمحرك النهج
- استدعاء الإجراء RPC
- خادم HTTP غير مخول
- استخدام غير طبيعي لعناوين وحدة تحكم وصول الوسائط
تعطل البيانات بشكل افتراضي
تعطل التنبيهات المذكورة أدناه بشكل افتراضي مع الإصدار 10.5.4. بإمكانك إعادة تمكين التنبيهات من صفحة الدعم لوحدة تحكم المستشعر، إذا لزم الأمر.
تنبيهات المحرك غير الطبيعية
- عدد غير طبيعي من المعلمات في عنوان HTTP
- طول عنوان HTTP غير طبيعي
- محتوى عنوان HTTP غير قانوني
تنبيهات المحرك التشغيلي
- خطأ عميل HTTP
- فشلت عملية RCP
تنبيهات خاصة بمحرك النهج
يؤدي تعطيل هذه التنبيهات أيضًا إلى تعطيل مراقبة نسبة استخدام الشبكة ذات الصلة. على وجه التحديد، لن يبلغ عن نسبة استخدام الشبكة هذه في تقارير التنقيب في البيانات.
- تنبيه اتصال HTTP غير القانوني ونسبة استخدام الشبكة بيانات اتصالات HTTP
- تنبيه وكيل مستخدم HTTP غير المصرح به ونسبة استخدام الشبكة بيانات تنقيب وكلاء مستخدم HTTP
- إجراء بروتوكول HTTP SOAP غير مصرح به ونسبة استخدام الشبكة بيانات تنقيب بيانات إجراءات بروتوكول HTTP SOAP
وظيفة تنبيه محدثة
تنبيه عملية قاعدة البيانات غير المصرح بها في السابق، كان هذا التنبيه يغطي تنبيه لغة توصيف البيانات ولغة معالجة البيانات وإعداد تقارير استخراج البيانات. الآن:
- نسبة استخدام الشبكة DDL: يدعم التنبيه والمراقبة.
- نسبة استخدام الشبكة DML: المراقبة مدعومة. يعد التنبيه غير مدعوم.
تنبيه تم اكتشاف أصول جديدة عطل هذا التنبيه للأجهزة الجديدة التي المكتشفة في شبكات تكنولوجيا المعلومات الفرعية. ما زال تنبيه اكتشاف الأصول الجديدة قيد التشغيل للأجهزة الجديدة المكتشفة في شبكات OT الفرعية. يكشف عن الشبكات الفرعية OT تلقائيًا ويمكن تحديثها من قبل المستخدمين إذا لزم الأمر.
تنبيه مصغر
قلل تشغيل التنبيه لسيناريوهات معينة للمساعدة في تقليل حجم التنبيه وتبسيط التحقيق في التنبيه. في هذه السيناريوهات، إذا أجرى الجهاز نشاطًا متكررًا على الأهداف، فسيشغل تنبيه مرة واحدة. في السابق، يشغل تنبيه جديد في كل مرة ينفذ نفس النشاط.
تتاح هذه الوظيفة الجديدة في التنبيهات التالية:
- التنبيهات المكتشفة لفحص المنفذ، استنادًا إلى نشاط الجهاز المصدر (الذي أنشئ بواسطة محرك Anomaly)
- تنبيهات البرامج الضارة، بناءً على نشاط الجهاز المصدر. (أنشئ بواسطة محرك البرامج الضارة).
- الاشتباه في تنبيهات هجوم رفض الخدمة، استنادًا إلى نشاط الجهاز الوجهة (أنشئ بواسطة محرك البرامج الضارة)
نوفمبر 2021
إصدار برنامج الاستشعار: 10.5.3
تتوفر تحسينات الميزات الموضحة أدناه مع الإصدار 10.5.3 من Microsoft Defender لـ IoT.
تحتوي وحدة التحكم بالإدارة المحلية على واجهة برمجة تطبيقات جديدة لدعم تكامل ServiceNow. لمزيد من المعلومات، راجع مرجع واجهة برمجة تطبيقات التكامل لوحدات التحكم بالإدارة المحلية (معاينة عامة).
أجريت تحسينات على تحليل نسبة استخدام الشبكة للعديد من منشئي بروتوكول OT وICS.
كجزء من صيانتنا الآلية، ستحذف التنبيهات المؤرشفة التي مضى عليها أكثر من 90 يومًا تلقائيًا.
أجريت العديد من التحسينات على تصدير بيانات تعريف التنبيه استنادًا إلى ملاحظات العملاء.
أكتوبر 2021
إصدار برنامج الاستشعار: 10.5.2
تتوفر تحسينات الميزات التالية مع الإصدار 10.5.2 من Microsoft Defender لـ IoT.
اكتشافات وضع التشغيل PLC (المعاينة العامة)
يمكن للمستخدمين الآن عرض حالات وضع التشغيل PLC والتغييرات والمخاطر. يتكون وضع التشغيل PLC من حالة التشغيل المنطقية PLC وحالة المفتاح الفعلي، إذا كان مفتاح التبديل الفعلي موجوداً على PLC.
تساعد هذه الإمكانية الجديدة على تحسين الأمان عن طريق الكشف عن برامج PLC غير الآمنة ونتيجة لذلك تمنع الهجمات الضارة مثل عمليات تنزيل برنامج PLC. يوضح هجوم Triton "تريتون" عام 2017 على مصنع للبتروكيماويات آثار هذه المخاطر. وتوفر هذه المعلومات أيضاً للمهندسين العاملين رؤية حاسمة في الوضع التشغيلي لبرامج PLC الخاصة بالمؤسسة.
ما هو الوضع غير الآمن؟
إذا تم الكشف عن حالة مفتاح كبرنامج أو تم الكشف عن حالة تشغيل إما البعيد أو برنامج يتم تعريف PLC بواسطة Defender لـ IoT على أنه غير آمن.
الرؤية وتقييم المخاطر
استخدم مخزون الجهاز لعرض حالة PLC الخاصة بـ PLCs التنظيمية ومعلومات الجهاز السياقية. استخدم مربع الحوار «إعدادات مخزون الأجهزة» لإضافة هذا العمود إلى المخزون.
عرض حالة PLC الآمنة وآخر تغيير للمعلومات لكل PLC في قسم السمات في شاشة «خصائص الجهاز». إذا تم الكشف عن حالة مفتاح كبرنامج أو تم الكشف عن حالة تشغيل إما البعيد أو برنامج يتم تعريف PLC بواسطة Defender لـ IoT على أنه غير آمن. ستتم قراءة الخيار "تأمين PLC لخصائص الجهاز» بشكل خاطئ.
عرض كافة حالات المفاتيح وتشغيل PLC للشبكة عن طريق إنشاء جمع البيانات مع معلومات وضع التشغيل PLC.
استخدم تقرير تقييم المخاطر لمراجعة عدد PLCs للشبكة في الوضع غير الآمن، ومعلومات إضافية يمكنك استخدامها لتخفيف مخاطر PLC غير الآمنة.
واجهة برمجة تطبيقات PCAP
تتيح واجهة برمجة التطبيقات PCAP الجديدة للمستخدم استرداد ملفات PCAP من أداة الاستشعار عبر وحدة تحكم الإدارة المحلية مع أو بدون الوصول المباشر إلى أداة الاستشعار نفسها.
تدقيق وحدة تحكم الإدارة المحلية
يمكن الآن تصدير سجلات التدقيق لوحدة تحكم الإدارة المحلية لتسهيل التحقيقات في التغييرات التي أجريت، ومن قام بها.
إخطار على الويب الموسع
يمكن استخدام الإخطار على الويب الموسّع لإرسال بيانات إضافية إلى نقطة النهاية. تتضمن الميزة الموسعة كافة المعلومات الموجودة في تنبيه إخطار على الويب وتضيف المعلومات التالية إلى التقرير:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled
- معلومات إضافية
دعم Unicode لعبارات مرور الشهادة
يتم الآن دعم أحرف Unicode عند العمل مع عبارة مرور شهادة أداة الاستشعار. لمزيد من المعلومات، راجع إعداد الشهادات الموقعة على CA.
2021 أبريل
العمل مع التحديثات التلقائية لمعلومات التهديدات (معاينة عامة)
يمكن الآن دفع حزم معلومات التهديدات الجديدة تلقائيًا إلى المستشعرات المتصلة بالسحابة حيث يجري إصدارها بواسطة Microsoft Defender لإنترنت الأشياء. هذا بالإضافة إلى تنزيل حزم معلومات التهديدات ثم تحميلها على المستشعرات.
يساعد العمل مع التحديثات التلقائية على تقليل الجهود التشغيلية وضمان المزيد من الأمان. بادر بتمكين التحديث التلقائي عن طريق إعداد المستشعر المتصل بالسحابة خاصتك على مدخل Defender for IoT مع تشغيل تبديل التحديثات التلقائية لمعلومات التهديدات.
في حال كنت ترغب في اتباع نهج أكثر تحفظًا لتحديث بيانات معلومات التهديدات خاصتك، يمكنك دفع الحزم يدويًا من مدخل Azure Defender لإنترنت الأشياء إلى المستشعرات المتصلة بالسحابة فقط عندما تشعر أنها مطلوبة. وهذا يمنحك القدرة على التحكم في توقيت تثبيت الحزمة، دون الحاجة إلى تنزيلها ومن ثم تحميلها على مستشعراتك. دفع التحديثات يدوياً إلى المستشعرات من صفحة Sites and Sensors لـ Defender for IoT.
يمكنك أيضاً مراجعة المعلومات التالية عن حزم معلومات التهديدات:
- إصدار الحزمة المُثبت
- وضع تحديث معلومات التهديد
- حالة تحديث معلومات التهديد
عرض معلومات المستشعر المتصل بالسحابة (المعاينة العامة)
عرض معلومات تشغيلية مهمة عن المستشعر المتصل بالسحابة على صفحة Sites and Sensors.
- إصدار المستشعر المُثبت
- حالة اتصال المستشعر بالسحابة.
- آخر مرة اُكتشِف فيها اتصال المستشعر بالسحابة.
تحسينات واجهة برمجة تطبيقات التنبيه
تتوفر حقول جديدة للمستخدمين الذين يعملون مع واجهات برمجة تطبيقات التنبيه.
وحدة تحكم الإدارة المحلية
- المصدر وعنوان الوجهة
- خطوات المعالجة
- اسم المستشعر الذي يحدده المستخدم
- اسم المنطقة المقترنة بالمستشعر
- اسم الموقع المقترن بالمستشعر
المستشعر
- المصدر وعنوان الوجهة
- خطوات المعالجة
مطلوب واجهة برمجة تطبيقات الإصدار 2 عند العمل مع الحقول الجديدة.
الميزات المقدمة على أنها متوفرة عموماً (GA)
كانت الميزات التالية متوفرة مسبقاً للمعاينة العامة، وهي الآن ميزات متوفرة عموماً (GA):
- مستشعر - قواعد تنبيه مخصصة مُحسَّنة
- وحدة تحكم الإدارة المحلية - تصدير التنبيهات
- إضافة واجهة الشبكة الثانية إلى وحدة تحكم الإدارة المحلية
- منشئ الجهاز - وكيل صغير جديد
مارس 2021
مستشعر - قواعد التنبيه المخصصة المُحسَّنة (معاينة عامة)
يمكنك الآن إنشاء قواعد تنبيه مخصصة بناءً على اليوم، ومجموعة الأيام، والفترة الزمنية التي كُشِف فيها عن نشاط الشبكة. يعد العمل مع شروط قاعدة اليوم والوقت مفيداً، على سبيل المثال في الحالات التي يجري فيها اشتقاق خطورة التنبيه بحلول وقت وقوع حدث التنبيه. على سبيل المثال، إنشاء قاعدة مخصصة تطلق تنبيهاً شديد الخطورة عند اكتشاف نشاط الشبكة في عطلة نهاية الأسبوع أو في المساء.
تتوفر هذه الميزة على المستشعر مع إطلاق الإصدار 10.2.
وحدة تحكم الإدارة المحلية - تصدير التنبيهات (معاينة عامة)
يمكن الآن تصدير معلومات التنبيه إلى ملف بتنسيق .csv من وحدة تحكم الإدارة المحلية. يمكنك تصدير معلومات جميع التنبيهات المكتشفة أو تصدير المعلومات بناءً على طريقة العرض التي جرى تصفيتها.
تتوفر هذه الميزة في وحدة تحكم الإدارة المحلية مع إطلاق الإصدار 10.2.
إضافة واجهة الشبكة الثانية إلى وحدة تحكم الإدارة المحلية (معاينة عامة)
يمكنك الآن تحسين أمان توزيعك عن طريق إضافة واجهة شبكة ثانية إلى وحدة تحكم الإدارة المحلية خاصتك. تسمح هذه الميزة للإدارة المحلية بالحصول على مستشعرات متصلة على شبكة واحدة آمنة، مع السماح لمُستخدميك بالوصول إلى وحدة تحكم الإدارة المحلية من خلال واجهة شبكة منفصلة ثانية.
تتوفر هذه الميزة في وحدة تحكم الإدارة المحلية مع إطلاق الإصدار 10.2.
يناير 2021
الأمان
أُجريت تحسينات على استرداد الشهادة وكلمة المرور لهذا الإصدار.
الشهادات
يتيح لك هذا الإصدار:
- تحميل شهادات TLS/SSL مباشرة إلى أجهزة الاستشعار ووحدات التحكم بالإدارة المحلية.
- إجراء التحقق من الصحة بين وحدة تحكم الإدارة المحلية والمستشعرات المتصلة، وبين وحدة تحكم الإدارة ووحدة تحكم قابلية الوصول العالية. يستند التحقق من الصحة إلى تواريخ انتهاء الصلاحية وأصالة المرجع المصدق الجذر وقوائم إبطال الشهادات. في حال فشل التحقق من الصحة، لن تستمر الجلسة.
للترقيات:
- لا يوجد تغيير في شهادة TLS/SSL أو وظيفة التحقق من الصحة أثناء الترقية.
- بعد تحديث أدوات الاستشعار ووحدات التحكم بالإدارة المحلية، يمكن للمستخدمين الإداريين استبدال شهادات TLS/SSL، أو تنشيط التحقق من صحة شهادة TLS/SSL من نافذة شهادة النظام الإعدادات وTLS/SSL.
لعمليات التثبيت الحديثة:
- أثناء تسجيل الدخول لأول مرة، يطلب من المستخدمين إما استخدام شهادة TLS/SSL (مستحسن) أو شهادة موقعة ذاتيا تم إنشاؤها محليا (غير مستحسن)
- يُشغَّل التحقق من صحة الشهادة افتراضياً لعمليات التثبيت الحديثة.
استعادة كلمة المرور
يمكن للمُستخدمين الإداريين لوحدة تحكم الإدارة المحلية والمستشعر الآن استرداد كلمات المرور من مدخل Azure Defender لإنترنت الأشياء. كان استرداد كلمة المرور يتطلب تدخل فريق الدعم.
إعداد
وحدة تحكم الإدارة المحلية - الأجهزة المخصصة
بعد تسجيل الدخول الأولي إلى وحدة تحكم الإدارة المحلية، يتعين الآن على المستخدمين تحميل ملف التنشيط. يحتوي الملف على العدد الإجمالي للأجهزة التي سيجري مُراقبتها على الشبكة التنظيمية. يُشار إلى هذا الرقم على أنه عدد الأجهزة المخصصة. تُحدَد الأجهزة المخصصة أثناء عملية التهيئة على مدخل Azure Defender لإنترنت الأشياء، حيث يجري إنشاء ملف التنشيط. يجب على المستخدمين لأول مرة والمستخدمين الذين يجرون الترقية تحميل ملف التنشيط. بعد التنشيط الأولي، قد يتجاوز عدد الأجهزة التي اُكتشفت على الشبكة عدد الأجهزة المخصصة. قد يحدث هذا الحدث، على سبيل المثال، إذا وصلت المزيد من المستشعرات إلى وحدة تحكم الإدارة. في حال كان هناك تناقض بين عدد الأجهزة المكتشفة وعدد الأجهزة المُخصصة، سيظهر تحذير في وحدة تحكم الإدارة. في حالة وقوع هذا الحدث، يجب تحميل ملف تنشيط جديد.
خيارات صفحة التسعير
تتيح لك صفحة التسعير تهيئة اشتراكات جديدة في Azure Defender لإنترنت الأشياء وتحديد الأجهزة المخصصة في شبكتك.
بالإضافة إلى ذلك، تتيح لك صفحة التسعير الآن إدارة الاشتراكات الحالية المقترنة بمستشعر وتحديث التزام الجهاز.
عرض المستشعرات المُهيئة وإدارتها
تتيح لك صفحة مدخل Site and Sensors الجديدة ما يلي:
- إضافة معلومات وصفية عن المستشعر. على سبيل المثال، منطقة مقترنة بالمستشعر أو علامات النص الحر.
- عرض معلومات المستشعر وتصفيتها. على سبيل المثال، عرض تفاصيل عن المستشعرات المتصلة بالسحابة أو المُدارة محلياً أو عرض معلومات عن المستشعرات في منطقةٍ معينةٍ.
قابلية الاستخدام
صفحة موصل جديد لـ Azure Sentinel
أُعيد تصميم صفحة موصل بيانات Azure Defender لإنترنت الأشياء في Azure Sentinel. يعتمد موصل البيانات الآن على الاشتراكات بدلاً من مراكز IoT؛ بما يسمح للعملاء بإدارة اتصال التكوين خاصتهم بـ Azure Sentinel إدارةً أفضل.
تحديثات أذونات مدخل Microsoft Azure
تمت إضافة دعم Security Reader وSecurity Administrator.
تحديثات أخرى
مجموعة الوصول - أذونات المنطقة
لن تتضمن قواعد Access Group لوحدة تحكم الإدارة المحلية خيارَ منح حق الوصول إلى منطقةٍ معينةٍ. لا يوجد تغيير في تحديد القواعدِ التي تستخدم المواقع والمناطق ووحدات الأعمال. بعد الترقية، ستُعدَّل Access Groups التي تحتوي على قواعد تسمح بالوصول إلى مناطق معينة للسماح بالوصول إلى موقعها الأصلي، بما في ذلك جميع مناطقها.
تغييرات المصطلحات
تمت إعادة تسمية أصل المصطلح في وحدة تحكم الإدارة المحلية والمستشعر والتقارير وواجهات الحلول الأخرى. في تنبيهات وحدة تحكمِ الإدارة المحلية والمستشعر، سُمي مصطلح «Manage this Event» بـ «Remediation Steps».