Co je nového archivu v Programu Microsoft Defender pro IoT pro organizace

Poznámka:

Azure Defender for IoT se přejmenoval na Microsoft Defender for IoT.

Tento článek slouží jako archiv funkcí a vylepšení vydaných pro Microsoft Defender for IoT pro organizace před více než devíti měsíci.

Nejnovější aktualizace najdete v tématu Co je nového v programu Microsoft Defender for IoT?

Uvedené funkce jsou uvedené níže ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Prosinec 2021

Verze softwaru senzoru: 10.5.4

• Vylepšená integrace se službou Microsoft Sentinel (Preview)
• Ohrožení zabezpečení Apache Log4j
• Upozorňování

Vylepšená integrace se službou Microsoft Sentinel (Preview)

Nové řešení IoT OT Threat Monitoring with Defender for IoT je k dispozici a poskytuje vylepšené možnosti pro integraci Microsoft Defenderu pro IoT se službou Microsoft Sentinel. Řešení IoT OT Threat Monitoring with Defender for IoT je sada seskupeného obsahu, včetně analytických pravidel, sešitů a playbooků nakonfigurovaných speciálně pro data Defenderu pro IoT. Toto řešení v současné době podporuje pouze provozní sítě (OT/ICS).

Informace o integraci s Microsoft Sentinelem najdete v kurzu Integrace defenderu pro IoT a Sentinel.

Ohrožení zabezpečení Apache Log4j

Verze 10.5.4 Microsoft Defenderu pro IoT snižuje ohrožení zabezpečení Apache Log4j. Podrobnosti najdete v aktualizaci poradce pro zabezpečení.

Upozorňování

Verze 10.5.4 programu Microsoft Defender pro IoT přináší důležitá vylepšení výstrah:

• Upozornění na určité menší události nebo hraniční případy jsou teď zakázaná.
• V některých scénářích jsou podobné výstrahy minimalizované v jedné zprávě upozornění.

Tyto změny snižují objem výstrah a umožňují efektivnější cílení a analýzu zabezpečení a provozních událostí.

Další informace najdete v tématu Typy a popisy výstrah monitorování OT.

Upozornění jsou trvale zakázaná

Níže uvedené výstrahy jsou trvale zakázané s verzí 10.5.4. Detekce a monitorování jsou stále podporovány pro provoz přidružený k upozorněním.

Upozornění modulu zásad

• Volání procedur RPC
• Neautorizovaný server HTTP
• Neobvyklé využití adres MAC

Upozornění jsou ve výchozím nastavení zakázaná.

Níže uvedené výstrahy jsou ve výchozím nastavení zakázané ve verzi 10.5.4. Výstrahy můžete v případě potřeby znovu povolit na stránce Podpory konzoly senzoru.

Upozornění modulu anomálií

• Neobvyklý počet parametrů v hlavičce HTTP
• Neobvyklá délka hlavičky HTTP
• Neplatný obsah hlavičky HTTP

Výstrahy operačního modulu

• Chyba klienta HTTP
• Operace RPC selhala.

Upozornění modulu zásad

Zakázání těchto výstrah také zakáže monitorování souvisejících přenosů. Konkrétně tento provoz nebude hlášen v sestavách dolování dat.

• Upozornění na neplatnou komunikaci HTTP a přenosy dolování dat Připojení HTTP
• Upozornění neautorizovaného uživatelského agenta HTTP a provoz dolování dat agentů uživatelů HTTP
• Neautorizovaná akce PROTOKOLU HTTP SOAP a provoz dolování dat HTTP SOAP

Aktualizované funkce upozornění

Výstraha neautorizované operace databáze dříve zahrnovala výstrahy DDL a DML a generování sestav dolování dat. Nwo:

• Provoz DDL: Podporuje se upozorňování a monitorování.
• Provoz DML: Monitorování se podporuje. Upozorňování se nepodporuje.

Nová výstraha Zjištěná prostředky Tato výstraha je zakázaná pro nová zařízení zjištěná v podsítích IT. Upozornění New Asset Detected se stále aktivuje pro nová zařízení zjištěná v podsítích OT. Podsítě OT se detekují automaticky a v případě potřeby je můžou uživatelé aktualizovat.

Minimalizované upozorňování

Aktivace výstrah pro konkrétní scénáře byla minimalizovaná, aby se snížil objem výstrah a zjednodušilo se šetření výstrah. Pokud zařízení v těchto scénářích provádí opakovanou aktivitu cílů, aktivuje se upozornění jednou. Dříve se aktivovalo nové upozornění pokaždé, když byla provedena stejná aktivita.

Tato nová funkce je k dispozici pro následující výstrahy:

• Zjištěná upozornění prohledávání portů na základě aktivity zdrojového zařízení (generovaného modulem anomálií)
• Výstrahy malwaru založené na aktivitě zdrojového zařízení (vygenerovaný modulem malwaru).
• Podezření na výstrahy útoku na dostupnost služby na základě aktivity cílového zařízení (generovaného modulem malwaru)

Listopad 2021

Verze softwaru senzoru: 10.5.3

Následující vylepšení funkcí jsou k dispozici ve verzi 10.5.3 programu Microsoft Defender for IoT.

• Místní konzola pro správu má nové rozhraní API pro podporu naší integrace ServiceNow. Další informace najdete v referenčních informacích k rozhraní INTEGRATION API pro místní konzoly pro správu (Public Preview).

• Vylepšení analýzy síťového provozu několika dissectorů protokolu OT a ICS.

• V rámci naší automatizované údržby se teď automaticky odstraní archivovaná upozornění starší než 90 dnů.

• Na základě zpětné vazby zákazníků jsme provedli řadu vylepšení exportu metadat upozornění.

Říjen 2021

Verze softwaru senzoru: 10.5.2

Následující vylepšení funkcí jsou k dispozici ve verzi 10.5.2 programu Microsoft Defender for IoT.

• Detekce provozního režimu PLC (Public Preview)

• PCAP API

• Audit místní konzoly pro správu

• Rozšířený webhook

• Podpora kódování Unicode pro přístupové heslo certifikátu

Detekce provozního režimu PLC (Public Preview)

Uživatelé teď můžou zobrazit stavy, změny a rizika v provozním režimu PLC. Provozní režim PLC se skládá z logického stavu spuštění PLC a stavu fyzického klíče, pokud na PLC existuje přepínač fyzického klíče.

Tato nová funkce pomáhá zlepšit zabezpečení tím, že detekuje nezabezpečené řadiče domény a v důsledku toho brání škodlivým útokům, jako jsou soubory KE stažení programu PLC. Útok Tritonu na petrochemickou továrnu z roku 2017 ilustruje účinky těchto rizik. Tyto informace také poskytují provozním technikům kritický přehled o provozním režimu podnikových počítačů.

Co je nezabezpečený režim?

Pokud se stav klíče zjistí jako Program nebo se stav spuštění zjistí jako vzdálený nebo program, program PLC definuje Defender pro IoT jako nezabezpečený.

Viditelnost a posouzení rizik

• Inventář zařízení slouží k zobrazení stavu PLC organizačních počítačů a informací o kontextových zařízeních. Pomocí dialogového okna Nastavení inventáře zařízení přidejte tento sloupec do inventáře.

  

• V části Atributy na obrazovce Vlastnosti zařízení zobrazte informace o zabezpečeném stavu PLC a informace o poslední změně na plc. Pokud se stav klíče zjistí jako Program nebo se stav spuštění zjistí jako vzdálený nebo program, program PLC definuje Defender pro IoT jako nezabezpečený. Možnost Zabezpečení objektu PLC vlastností zařízení bude číst hodnotu false.

  

• Zobrazení všech stavů spuštění a stavu klíče plc sítě vytvořením data Mining s informacemi o provozním režimu PLC.

  

• Pomocí sestavy posouzení rizik zkontrolujte počet síťových počítačů v nezabezpečeném režimu a další informace, které můžete použít ke zmírnění nezabezpečených rizik PLC.

PCAP API

Nové rozhraní PCAP API umožňuje uživateli načíst soubory PCAP ze senzoru prostřednictvím místní konzoly pro správu s přímým přístupem k samotnému senzoru nebo bez přímého přístupu.

Audit místní konzoly pro správu

Protokoly auditu pro místní konzolu pro správu se teď dají exportovat, aby bylo možné usnadnit šetření o provedených změnách a o tom, kdo.

Webhook rozšířený

Rozšíření Webhooku se dá použít k odesílání dalších dat do koncového bodu. Rozšířená funkce obsahuje všechny informace v upozornění webhooku a do sestavy přidá následující informace:

• sensorID
• sensorName
• zoneID
• Název_zóny
• siteID
• Sitename
• sourceDeviceAddress
• destinationDeviceAddress
• nápravné kroky
• Zpracovány
• additionalInformation

Podpora kódování Unicode pro přístupové heslo certifikátu

Při práci s heslem certifikátu senzoru se teď podporují znaky Unicode. Další informace najdete v tématu Příprava certifikátů podepsaných certifikační autoritou.

2021. duben

Práce s automatickými aktualizacemi analýzy hrozeb (Public Preview)

Nové balíčky analýzy hrozeb se teď dají automaticky odesílat do cloudových senzorů připojených ke cloudu, protože je vydává Microsoft Defender for IoT. To je navíc ke stažení balíčků analýzy hrozeb a následnému nahrání do senzorů.

Práce s automatickými aktualizacemi pomáhá snížit provozní úsilí a zajistit větší zabezpečení. Povolte automatické aktualizace onboardingem senzoru připojeného ke cloudu na portálu Defender for IoT pomocí přepínače Automatické analýzy hrozeb Aktualizace zapnutým přepínačem.

Pokud byste chtěli použít konzervativnější přístup k aktualizaci dat analýzy hrozeb, můžete balíčky z portálu Microsoft Defender for IoT ručně odeslat do cloudových senzorů připojených ke cloudu jenom v případě, že je to potřeba. Díky tomu máte možnost řídit, kdy je balíček nainstalovaný, aniž byste ho museli stahovat a pak nahrávat do senzorů. Ruční nabízení aktualizací do senzorů ze stránky Weby a senzory Defenderu pro IoT

Můžete si také projít následující informace o balíčcích analýzy hrozeb:

• Nainstalovaná verze balíčku
• Režim aktualizace analýzy hrozeb
• Stav aktualizace analýzy hrozeb

Zobrazení informací o senzoru připojeném ke cloudu (Public Preview)

Podívejte se na důležité provozní informace o senzorech připojených ke cloudu na stránce Lokality a senzory .

• Nainstalovaná verze senzoru
• Stav připojení senzoru ke cloudu.
• Čas posledního zjištění senzoru připojení ke cloudu.

Vylepšení rozhraní API pro upozornění

Nová pole jsou k dispozici pro uživatele, kteří pracují s rozhraními API pro výstrahy.

Místní konzola pro správu

• Zdrojová a cílová adresa
• Postup nápravy
• Název senzoru definovaného uživatelem
• Název zóny přidružené k senzoru
• Název lokality přidružené k senzoru

Senzor

• Zdrojová a cílová adresa
• Postup nápravy

Při práci s novými poli se vyžaduje rozhraní API verze 2.

Funkce doručované jako obecně dostupné (GA)

Ve verzi Public Preview byly dříve dostupné následující funkce a jsou teď obecně dostupné (GA):

• Senzor – vylepšená vlastní pravidla upozornění
• Místní konzola pro správu – export upozornění
• Přidání druhého síťového rozhraní do místní konzoly pro správu
• Tvůrce zařízení – nový mikro agent

Březen 2021

Senzor – rozšířená vlastní pravidla upozornění (Public Preview)

Teď můžete vytvořit vlastní pravidla upozornění na základě dne, skupiny dnů a časového období, kdy byla zjištěna síťová aktivita. Práce s podmínkami pravidla dne a času je užitečná, například v případech, kdy je závažnost výstrahy odvozena časem, kdy se událost výstrahy provede. Můžete například vytvořit vlastní pravidlo, které aktivuje upozornění s vysokou závažností, když se síťová aktivita zjistí o víkendu nebo večeru.

Tato funkce je k dispozici na senzoru s vydáním verze 10.2.

Místní konzola pro správu – export upozornění (Public Preview)

Informace o upozorněních se teď dají exportovat do souboru .csv z místní konzoly pro správu. Můžete exportovat informace o všech zjištěných výstrahách nebo exportovat informace na základě filtrovaného zobrazení.

Tato funkce je dostupná v místní konzole pro správu s verzí 10.2.

Přidání druhého síťového rozhraní do místní konzoly pro správu (Public Preview)

Teď můžete zvýšit zabezpečení nasazení přidáním druhého síťového rozhraní do místní konzoly pro správu. Tato funkce umožňuje místní správě mít připojené senzory v jedné zabezpečené síti a zároveň uživatelům umožnit přístup k místní konzole pro správu prostřednictvím druhého samostatného síťového rozhraní.

Tato funkce je dostupná v místní konzole pro správu s verzí 10.2.

Leden 2021

• Zabezpečení
• Připojování
• Použitelnost
• Další aktualizace

Zabezpečení

V této verzi jsme provedli vylepšení obnovení certifikátů a hesel.

Certifikáty

Tato verze umožňuje:

• Nahrajte certifikáty TLS/SSL přímo do senzorů a místních konzol pro správu.
• Proveďte ověření mezi místní konzolou pro správu a připojenými senzory a mezi konzolou pro správu a konzolou pro správu s vysokou dostupností. Ověření vychází z dat vypršení platnosti, pravosti kořenové certifikační autority a seznamů odvolaných certifikátů. Pokud se ověření nezdaří, relace nebude pokračovat.

Pro upgrady:

• Během upgradu se nemění funkce certifikátu TLS/SSL ani ověřování.
• Po aktualizaci senzorů a místních konzol pro správu můžou správci nahradit certifikáty TLS/SSL nebo aktivovat ověření certifikátu TLS/SSL z okna systémového Nastavení, certifikátu TLS/SSL.

Pro nové instalace:

• Při prvním přihlášení se uživatelé musí buď použít certifikát TLS/SSL (doporučeno), nebo místně vygenerovaný certifikát podepsaný svým držitelem (nedoporučuje se).
• Ověření certifikátu je ve výchozím nastavení zapnuté pro nové instalace.

Obnovení hesla

Senzorová a místní konzola pro správu Správa istrativní uživatelé teď můžou obnovit hesla z portálu Microsoft Defender for IoT. Dříve bylo obnovení hesla vyžadováno zásahem týmu podpory.

Onboarding

Místní konzola pro správu – potvrzená zařízení

Po počátečním přihlášení k místní konzole pro správu se teď uživatelé vyžadují k nahrání aktivačního souboru. Soubor obsahuje agregovaný počet zařízení, která se mají monitorovat v síti organizace. Toto číslo se označuje jako počet potvrzených zařízení. Potvrzená zařízení se definují během procesu onboardingu na portálu Microsoft Defender for IoT, kde se vygeneruje aktivační soubor. K nahrání aktivačního souboru se vyžadují uživatelé a uživatelé, kteří upgradují poprvé. Po počáteční aktivaci může počet zařízení zjištěných v síti překročit počet potvrzených zařízení. K této události může dojít například v případě, že ke konzole pro správu připojíte více senzorů. Pokud dojde k nesrovnalostem mezi počtem zjištěných zařízení a počtem potvrzených zařízení, zobrazí se v konzole pro správu upozornění. Pokud k této události dojde, měli byste nahrát nový aktivační soubor.

Možnosti stránky s cenami

Stránka s cenami umožňuje připojit nová předplatná do programu Microsoft Defender for IoT a definovat potvrzená zařízení ve vaší síti.
Stránka Ceny teď navíc umožňuje spravovat stávající předplatná přidružená k senzoru a aktualizovat závazek zařízení.

Zobrazení a správa onboardovaných senzorů

Nová stránka portálu Site and Sensors umožňuje:

• Přidejte popisné informace o senzoru. Například zóna přidružená ke snímači nebo značky volného textu.
• Zobrazení a filtrování informací ze snímačů Můžete například zobrazit podrobnosti o senzorech, které jsou připojené ke cloudu nebo místně spravované, nebo zobrazit informace o senzorech v konkrétní zóně.

Použitelnost

Nová stránka konektoru služby Azure Sentinel

Stránka datového konektoru Microsoft Defenderu pro IoT ve službě Azure Sentinel byla přepracována. Datový konektor je teď založený na předplatných, nikoli na službě IoT Hubs; umožňuje zákazníkům lépe spravovat připojení ke konfiguraci ke službě Azure Sentinel.

Aktualizace oprávnění na webu Azure Portal

Byla přidána podpora čtečky zabezpečení a zabezpečení Správa istrator.

Další aktualizace

Přístupová skupina – oprávnění zóny

Pravidla skupiny přístupu k místní konzole pro správu nezahrnují možnost udělit přístup ke konkrétní zóně. Při definování pravidel, která používají weby, oblasti a organizační jednotky, se nemění. Po upgradu budou skupiny přístupu, které obsahují pravidla umožňující přístup ke konkrétním zónům, upraveny tak, aby umožňovaly přístup k nadřazené lokalitě, včetně všech zón.

Změny terminologie

Termín asset byl přejmenován na zařízení v senzoru a místní konzole pro správu, sestavách a dalších rozhraních řešení. V upozorněních senzoru a místní konzoly pro správu se termín Spravovat tuto událost jmenuje Kroky nápravy.

Další kroky

Začínáme s Defenderem pro IoT