Verwalten von Threat Intelligence-Paketen auf OT-Netzwerksensoren

Microsoft-Sicherheitsteams führen kontinuierlich proprietäre Forschungen zur ICS-Threat Intelligence und zu Sicherheitsrisiken aus. Die Sicherheitsforschung bietet Sicherheitserkennung, -analyse und -reaktion auf die Cloudinfrastruktur und -dienste von Microsoft, traditionelle Produkte und Geräte sowie interne Unternehmensressourcen.

Microsoft Defender for IoT stellt regelmäßig Threat Intelligence-Paketupdates für OT-Netzwerksensoren bereit und bietet einen erhöhten Schutz vor bekannten und relevanten Bedrohungen und Erkenntnissen, die Ihren Teams helfen können, Warnungen zu selektieren und zu priorisieren.

Threat Intelligence-Pakete enthalten Signaturen (wie Schadsoftwaresignaturen), CVEs und andere Sicherheitsinhalte.

Die angezeigten CVE-Bewertungen werden an der National Vulnerability Database (NVD) ausgerichtet, und CVSS v3-Bewertungen werden angezeigt, wenn sie relevant sind. Wenn kein relevanter CVSS v3-Score vorhanden ist, wird stattdessen der CVSS v2-Score angezeigt.

Tipp

Es wird empfohlen, sicherzustellen, dass immer das neueste Threat Intelligence-Paket für Ihre OT-Netzwerksensoren installiert ist, damit Sie immer den vollständigen Kontext einer Bedrohung haben, bevor eine Umgebung betroffen ist, und mehr Relevanz, Genauigkeit und handlungsrelevante Empfehlungen zur Hand haben.

Ankündigungen zu neuen Paketen finden Sie in unserem TechCommunity-Blog.

Berechtigungen

Bevor Sie die Verfahren in diesem Artikel ausführen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Mindestens ein OT-Sensor, der in Azure integriert ist.

  • Relevante Berechtigungen für das Azure-Portal und alle OT-Netzwerksensoren oder die lokale Verwaltungskonsole, die Sie aktualisieren möchten.

    • Zum Herunterladen von Threat Intelligence-Paketen aus dem Azure-Portal benötigen Sie Zugriff auf das Azure-Portal als Sicherheitsleseberechtigter, Sicherheits-Admin, Mitwirkender oder Besitzer.

    • Um Threat Intelligence-Updates vom Azure-Portal an über die Cloud verbundene OT-Sensoren per Push zu übertragen, benötigen Sie Zugriff auf das Azure-Portal als Sicherheits-Admin, Mitwirkender oder Besitzer.

    • Um Threat Intelligence-Pakete manuell auf OT-Sensoren oder lokale Verwaltungskonsolen hochzuladen, benötigen Sie Zugriff auf den OT-Sensor oder die lokale Verwaltungskonsole als Admin-Benutzer.

Weitere Informationen finden Sie unter Azure-Benutzerrollen und -Berechtigungen für Defender for IoT und Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.

Anzeigen des neuesten Threat Intelligence-Pakets

So zeigen Sie das neueste Paket an, das in Defender for IoT verfügbar ist:

Wählen Sie im Azure-Portal Standorte und Sensoren>Threat Intelligence-Update (Vorschau)>Lokales Update aus. Details zum neuesten verfügbaren Paket werden im Bereich Sensor TI-Update angezeigt. Beispiel:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Aktualisieren von Threat Intelligence-Paketen

Aktualisieren Sie Threat Intelligence-Pakete auf Ihren OT-Sensoren mit einer der folgenden Methoden:

  • Updates werden automatisch per Push an mit der Cloud verbundene OT-Sensoren übertragen, sobald sie veröffentlicht werden.
  • Übertragen Sie Updates manuell per Push an mit der Cloud verbundene OT-Sensoren.
  • Laden Sie ein Updatepaket herunter, und laden Sie es manuell auf Ihren OT-Sensor hoch. Laden Sie alternativ das Paket in eine lokale Verwaltungskonsole hoch, und übertragen Sie die Updates von dort aus per Push an alle verbundenen OT-Sensoren.

Updates automatisch per Push an mit der Cloud verbundene OT-Sensoren übertragen

Threat Intelligence-Pakete können auf mit der Cloud verbundenen Sensoren automatisch aktualisiert werden, sobald sie von Defender für IoT veröffentlicht werden.

Sie stellen die automatischen Paketupdates sicher, indem Sie beim Onboarding eines mit der Cloud verbundenen Sensors die Option Automatic Threat Intelligence Updates (Automatische Threat Intelligence-Updates) aktivieren. Weitere Informationen finden Sie unter Onboarding von OT-Sensoren in Defender for IoT.

So ändern Sie den Updatemodus, nachdem Sie den OT-Sensor integriert haben:

  1. Wählen Sie in Defender for IoT im Azure-Portal Standorte und Sensoren und dann den Sensor aus, den Sie ändern möchten.
  2. Wählen Sie das Optionen-Menü (...) für den ausgewählten OT-Sensor >Bearbeiten aus.
  3. Schalten Sie die Option Automatische Threat Intelligence-Updates nach Bedarf ein oder aus.

Updates manuell per Push an mit der Cloud verbundene Sensoren übertragen

Ihre mit der Cloud verbundenen Sensoren können automatisch mit Threat Intelligence-Paketen aktualisiert werden. Wenn Sie jedoch einen konservativeren Ansatz verfolgen möchten, können Sie Pakete auch nur dann aus Defender für IoT auf Sensoren pushen, wenn Sie dies für erforderlich halten. Indem Sie Updates manuell per Push übertragen, können Sie steuern, wann ein Paket installiert wird, ohne es herunterladen und dann auf Ihre Sensoren hochladen zu müssen.

So übertragen Sie Updates manuell per Push an einen einzelnen OT-Sensor:

  1. Wählen Sie in Defender for IoT im Azure-Portal Standorte und Sensoren und dann den OT-Sensor aus, den Sie aktualisieren möchten.
  2. Wählen Sie das Optionen-Menü (...) für den ausgewählten Sensor und dann Threat Intelligence-Update pushen aus.

Im Feld Status des Threat Intelligence-Updates wird der Updatestatus angezeigt.

So übertragen Sie Updates manuell per Push an mehrere OT-Sensor:

  1. Wählen Sie in Defender for IoT im Azure-Portal Standorte und Sensoren aus. Suchen Sie die OT-Sensoren, die Sie aktualisieren möchten, und wählen Sie sie aus.
  2. Wählen Sie Threat Intelligence-Updates (Vorschau)>Remoteupdate aus.

Im Feld Status des Threat Intelligence-Updates wird der Updatefortschritt für jeden ausgewählten Sensor angezeigt.

Manuelles Aktualisieren von lokal verwalteten Sensoren

Wenn Sie mit lokal verwalteten OT-Sensoren arbeiten, müssen Sie die aktualisierten Threat Intelligence-Pakete herunterladen und manuell auf Ihre Sensoren hochladen.

Wenn Sie außerdem mit einer lokalen Verwaltungskonsole arbeiten, empfiehlt es sich, das Threat Intelligence-Paket in die lokale Verwaltungskonsole hochzuladen und das Update von dort per Push zu übertragen.

Tipp

Diese Option kann auch für mit der Cloud verbundene Sensoren verwendet werden, wenn Sie die Updates nicht aus dem Azure-Portal per Push übertragen möchten.

So laden Sie Threat-Intelligence-Pakete herunter:

  1. Wählen Sie in Defender for IoT im Azure-Portal Standorte und Sensoren>Threat Intelligence-Update (Vorschau)>Lokales Update aus.

  2. Wählen Sie im Bereich Sensor-TI-Update die Option Download aus, um die aktuelle Threat Intelligence-Datei herunterzuladen.

Alle aus dem Azure-Portal heruntergeladenen Dateien sind vom Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.

So aktualisieren Sie einen einzelnen Cluster:

  1. Melden Sie sich bei dem OT-Sensor an, und wählen Sie dann Systemeinstellungen>Threat Intelligence aus.

  2. Wählen Sie im Bereich Threat Intelligence die Option Datei hochladen aus. Beispiel:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Navigieren Sie zu dem Paket, das Sie aus dem Azure-Portal heruntergeladen haben, wählen Sie es aus, und laden Sie es auf den Sensor hoch.

So aktualisieren Sie mehrere Sensoren gleichzeitig:

  1. Melden Sie sich bei Ihrer lokalen Verwaltungskonsole an, und klicken Sie auf Systemeinstellungen.

  2. Wählen Sie im Bereich Sensor-Engine-Konfiguration die Sensoren aus, die die aktualisierten Pakete erhalten sollen. Beispiel:

    Screenshot of where you can select which sensors you want to make changes to.

  3. Wählen Sie im Abschnitt Sensor Threat Intelligence-Daten das Pluszeichen (+) aus.

  4. Wählen Sie im Dialogfeld Datei hochladen die Option DATEISUCHE... aus, um zum Updatepaket zu navigieren und es auszuwählen. Beispiel:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Wählen Sie SCHLIESSEN und dann ÄNDERUNGEN SPEICHERN aus, um das Threat Intelligence-Update an alle ausgewählten Sensoren zu pushen.

    Screenshot of where you can save changes made to selected sensors on the management console.

Überprüfen des Status des Threat Intelligence-Updates

Auf jedem OT-Sensor werden der Threat Intelligence-Updatestatus und die Versionsinformationen in den Einstellungen Systemeinstellungen > Threat Intelligence des Sensors angezeigt.

Für mit der Cloud verbundene OT-Sensoren werden Threat Intelligence-Daten auch auf der Seite Standorte und Sensoren angezeigt. So zeigen Sie Threat Intelligence-Status über das Azure-Portal an:

  1. Wählen Sie in Defender for IoT im Azure-Portal Standorte und Sensoren aus.

  2. Suchen Sie die OT-Sensoren, bei denen Sie den Threat Intelligence-Status überprüfen möchten.

  3. Beachten Sie die Werte der folgenden Spalten für Ihre OT-Sensoren:

    Spaltenname BESCHREIBUNG
    Threat Intelligence-Version Die Benennung der Versionen basiert auf dem Tag, an dem das Paket von Defender für IoT erstellt wurde.
    Threat Intelligence-Modus Automatisch gibt an, dass neu verfügbare Pakete auf Sensoren automatisch installiert werden, sobald sie von Defender für IoT veröffentlicht wurden.

    Manuell gibt an, dass Sie neu verfügbare Pakete bei Bedarf direkt an Sensoren pushen können.
    Threat Intelligence-Updatestatus Zeigt einen der folgenden Status an:
    - Fehler
    - In Bearbeitung
    - Update verfügbar
    - OK

Tipp

Wenn ein mit der Cloud verbundener OT-Sensor anzeigt, dass ein Threat Intelligence-Update fehlgeschlagen ist, empfehlen wir, die Verbindungsdetails des Sensors zu überprüfen. Überprüfen Sie auf der Seite Standorte und Sensoren die Spalten Sensorstatus und Letzte Verbindung (UTC).

Nächste Schritte

Weitere Informationen finden Sie unter