Share via

Údržba balíčků analýzy hrozeb v síťových senzorech OT

  • Článek

Bezpečnostní týmy Microsoftu nepřetržitě provozují proprietární analýzy hrozeb ICS a výzkum ohrožení zabezpečení. Výzkum zabezpečení poskytuje detekci, analýzu a reakci na cloudovou infrastrukturu a služby Microsoftu, tradiční produkty a zařízení a interní podnikové prostředky.

Microsoft Defender for IoT pravidelně poskytuje aktualizace balíčků analýzy hrozeb pro síťové senzory OT, které poskytují zvýšenou ochranu před známými a relevantními hrozbami a přehledy, které pomáhají týmům určit prioritu výstrah a určit jejich prioritu.

Balíčky analýzy hrozeb obsahují podpisy, jako jsou podpisy malwaru, CVEs a další obsah zabezpečení.

Zobrazené skóre CVE odpovídají národní databázi ohrožení zabezpečení (NVD) a pokud jsou relevantní, zobrazí se skóre CVSS v3. Pokud není relevantní žádné skóre CVSS v3, zobrazí se místo toho skóre CVSS v2.

Tip

Doporučujeme zajistit, aby vaše síťové senzory OT vždy měly nainstalovaný nejnovější balíček analýzy hrozeb, abyste měli vždy úplný kontext hrozby před tím, než dojde k ovlivnění prostředí, a zvýšili levnost, přesnost a užitečná doporučení.

Oznámení o nových balíčcích jsou k dispozici na našem blogu TechCommunity.

Oprávnění

Pokud chcete provést postupy v tomto článku, ujistěte se, že máte:

  • Jeden nebo více snímačů OT nasazených do Azure.

  • Relevantní oprávnění na webu Azure Portal a všechny síťové senzory OT nebo místní konzola pro správu, které chcete aktualizovat.

    • Pokud chcete stáhnout balíčky analýzy hrozeb z webu Azure Portal, potřebujete přístup k webu Azure Portal jako čtenář zabezpečení, Správa zabezpečení, přispěvatele nebo roli vlastníka.

    • Pokud chcete odesílat aktualizace analýzy hrozeb do senzorů OT připojených ke cloudu z webu Azure Portal, potřebujete přístup k webu Azure Portal jako roli zabezpečení Správa, přispěvatele nebo vlastníka.

    • Pokud chcete ručně nahrát balíčky analýzy hrozeb do senzorů OT nebo místních konzol pro správu, potřebujete přístup ke snímači OT nebo místní konzole pro správu jako uživatel Správa.

Další informace najdete v tématu Role a oprávnění uživatelů Azure pro Defender pro IoT a místní uživatele a role pro monitorování OT pomocí Defenderu pro IoT.

Zobrazení nejnovějšího balíčku analýzy hrozeb

Zobrazení nejnovějšího balíčku dostupného v defenderu pro IoT:

Na webu Azure Portal vyberte Weby a senzory>Aktualizace analýzy hrozeb (Preview)>Místní aktualizace. Podrobnosti o nejnovějším dostupném balíčku se zobrazují v podokně aktualizace Sensor TI. Příklad:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Aktualizace balíčků analýzy hrozeb

Pomocí některé z následujících metod aktualizujte balíčky analýzy hrozeb na senzorech OT:

Automatické nabízení aktualizací do senzorů připojených ke cloudu

Balíčky analýzy hrozeb je možné automaticky aktualizovat na senzory připojené ke cloudu, protože je vydává Defender pro IoT.

Zajistěte automatickou aktualizaci balíčků onboardingem senzoru připojeného ke cloudu s povolenou možností Automatické analýzy hrozeb Aktualizace. Další informace najdete v tématu Onboarding senzorů OT do Defenderu pro IoT.

Pokud chcete změnit režim aktualizace po připojení senzoru OT:

  1. V defenderu pro IoT na webu Azure Portal vyberte Weby a senzory a vyhledejte senzor, který chcete změnit.
  2. Vyberte nabídku možností (...) pro vybranou úpravu senzoru >OT.
  3. Podle potřeby zapněte nebo vypněte možnost Automatické analýzy hrozeb Aktualizace.

Ruční nabízení aktualizací do senzorů připojených ke cloudu

Senzory připojené ke cloudu se dají automaticky aktualizovat balíčky analýzy hrozeb. Pokud ale chcete použít konzervativnější přístup, můžete balíčky z Defenderu pro IoT nasdílet do senzorů jenom v případě, že se cítíte, že je to potřeba. Ruční nabízení aktualizací vám dává možnost řídit, kdy je balíček nainstalovaný, aniž by bylo nutné stáhnout a nahrát je do senzorů.

Ruční nabízení aktualizací do jednoho senzoru OT:

  1. V programu Defender for IoT na webu Azure Portal vyberte Weby a senzory a vyhledejte senzor OT, který chcete aktualizovat.
  2. Vyberte nabídku možností (...) pro vybraný senzor a pak vyberte Aktualizovat funkci Push Threat Intelligence.

V poli Stav aktualizace Analýzy hrozeb se zobrazuje průběh aktualizace.

Ruční nabízení aktualizací do několika snímačů OT:

  1. V programu Defender for IoT na webu Azure Portal vyberte Weby a senzory. Vyhledejte a vyberte senzory OT, které chcete aktualizovat.
  2. Vyberte aktualizace analýzy hrozeb (Preview)>Vzdálená aktualizace.

Pole stavu aktualizace Analýzy hrozeb zobrazuje průběh aktualizace pro každý vybraný senzor.

Ruční aktualizace místně spravovaných senzorů

Pokud pracujete s místně spravovanými senzory OT, musíte si stáhnout aktualizované balíčky analýzy hrozeb a nahrát je ručně do senzorů.

Pokud pracujete také s místní konzolou pro správu, doporučujeme nahrát balíček analýzy hrozeb do místní konzoly pro správu a odeslat aktualizaci odtud.

Tip

Tuto možnost můžete použít také pro senzory připojené ke cloudu, pokud nechcete odesílat aktualizace z webu Azure Portal.

Stažení balíčků analýzy hrozeb:

  1. V programu Defender for IoT na webu Azure Portal vyberte Aktualizace analýzy hrozeb pro weby a senzory>(Preview)>Místní aktualizace.

  2. V podokně aktualizace Senzor TI vyberte Stáhnout a stáhněte si nejnovější soubor analýzy hrozeb.

Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

Aktualizace jednoho senzoru:

  1. Přihlaste se ke snímači OT a pak vyberte Analýzu hrozeb v nastavení>systému.

  2. V podokně Analýza hrozeb vyberte Nahrát soubor. Příklad:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Vyhledejte a vyberte balíček, který jste stáhli z webu Azure Portal, a nahrajte ho do senzoru.

Aktualizace více senzorů současně:

  1. Přihlaste se k místní konzole pro správu a vyberte Nastavení systému.

  2. V oblasti Konfigurace snímače vyberte senzory, které chcete dostávat aktualizované balíčky. Příklad:

    Screenshot of where you can select which sensors you want to make changes to.

  3. V části Data analýzy hrozeb senzoru vyberte znaménko plus (+).

  4. V dialogovém okně Nahrát soubor vyberte PROCHÁZET SOUBOR... a přejděte na balíček aktualizace a vyberte ho. Příklad:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Vyberte ZAVŘÍT a pak ULOŽTE ZMĚNY , aby se aktualizace analýzy hrozeb odeslala do všech vybraných senzorů.

    Screenshot of where you can save changes made to selected sensors on the management console.

Kontrola stavu aktualizací analýzy hrozeb

Na každém senzoru OT se stav aktualizace analýzy hrozeb a informace o verzi zobrazují v nastavení analýzy hrozeb nastavení > systému senzoru.

U snímačů OT připojených ke cloudu se data analýzy hrozeb zobrazují také na stránce Weby a senzory . Zobrazenísoch

  1. V programu Defender for IoT na webu Azure Portal vyberte Web a senzory.

  2. Vyhledejte senzory OT, kde chcete zkontrolovat sochy analýzy hrozeb.

  3. Poznamenejte si hodnoty následujících sloupců pro senzory OT:

    Název sloupce Popis
    Verze analýzy hrozeb Pojmenování verzí vychází z dne, kdy byl balíček sestaven programem Defender for IoT.
    Režim analýzy hrozeb Automatická indikuje, že nově dostupné balíčky se automaticky nainstalují na senzory, které vydává Defender pro IoT.

    Ruční indikuje, že nově dostupné balíčky můžete podle potřeby odesílat přímo do senzorů.
    Stav aktualizace analýzy hrozeb Zobrazuje jeden z následujících stavů:
    - Neúspěch
    - Probíhající
    - K dispozici je aktualizace
    - Ok

Tip

Pokud senzor OT připojený ke cloudu ukazuje, že aktualizace analýzy hrozeb selhala, doporučujeme zkontrolovat podrobnosti o připojení senzoru. Na stránce Weby a senzory zkontrolujte stav senzoru a sloupce Naposledy připojené ve standardu UTC.

Další kroky

Další informace naleznete v tématu: