Mantenimiento de paquetes de inteligencia sobre amenazas en sensores de red de OT

Los equipos de seguridad de Microsoft ejecutan continuamente operaciones de investigación de vulnerabilidades e inteligencia sobre amenazas de ICS. La investigación de seguridad se encarga de la detección, el análisis y la respuesta de seguridad para la infraestructura y los servicios en la nube de Microsoft, los productos y dispositivos tradicionales y los recursos corporativos internos.

Microsoft Defender para IoT proporciona periódicamente actualizaciones de paquetes de inteligencia sobre amenazas para sensores de red de OT con objeto de aumentar la protección frente a amenazas conocidas y relevantes, así como información útil para que los equipos puedan clasificar y priorizar las alertas.

Los paquetes de inteligencia sobre amenazas contienen firmas (como firmas de malware), vulnerabilidades y exposiciones comunes, y otros tipos de contenido de seguridad.

Las puntuaciones de CVE que se muestran están alineadas con la base de datos de vulnerabilidades nacional (NVD), y las puntuaciones de CVSS v3 se muestran si son relevantes. Si no hay ninguna puntuación de CVSS v3 relevante, se muestra la puntuación de CVSS v2 en su lugar.

Sugerencia

Es recomendable que los sensores de red de OT tengan instalado el paquete de inteligencia sobre amenazas más reciente para contar en todo momento con el contexto completo de las amenazas antes de que se vea afectado el entorno, así como con recomendaciones prácticas y una relevancia y una precisión mayores.

Los anuncios sobre los nuevos paquetes están disponibles en nuestro blog Tech Community.

Permisos

Para realizar los procedimientos de este artículo, asegúrese de tener lo siguiente:

• Uno o varios sensores de OT incorporados a Azure.

• Los permisos pertinentes en Azure Portal y en los sensores de red de OT o consolas de administración locales que quiera actualizar.

  • Para descargar paquetes de inteligencia sobre amenazas desde Azure Portal, debe acceder a Azure Portal con los roles de Lector de seguridad, Administrador de seguridad, Colaborador o Propietario.

  • Para insertar actualizaciones de inteligencia sobre amenazas desde Azure Portal en sensores de OT conectados a la nube, debe acceder a Azure Portal con los roles de Administrador de seguridad, Colaborador o Propietario.

  • Para cargar manualmente paquetes de inteligencia sobre amenazas en sensores de OT o consolas de administración locales, debe acceder a los sensores de OT o a las consolas de administración locales como usuario administrador.

Para más información, consulte Roles y permisos de usuario de Azure para Defender para IoT y Usuarios y roles locales para la supervisión de OT con Defender para IoT.

Ver el paquete de inteligencia sobre amenazas más reciente

Para ver el paquete más reciente disponible en Defender para IoT:

En Azure Portal, seleccione Sitios y sensores>Actualización de inteligencia sobre amenazas (versión preliminar)>Actualización local. Los detalles sobre el paquete disponible más reciente se muestran en el panel Actualización de TI del sensor. Por ejemplo:

Actualización de paquetes de inteligencia sobre amenazas

Actualice los paquetes de inteligencia sobre amenazas en los sensores de OT mediante cualquiera de los métodos siguientes:

• Insertar automáticamente las actualizaciones en los sensores de OT conectados a la nube a medida que se publican.
• Insertar manualmente las actualizaciones en los sensores de OT conectados a la nube.
• Descargar un paquete de actualización y cargarlo manualmente en el sensor de OT. También puede cargar el paquete en una consola de administración local e insertar desde ahí las actualizaciones en los sensores de OT conectados.

Insertar automáticamente las actualizaciones en los sensores de OT conectados a la nube.

Los paquetes de inteligencia sobre amenazas se pueden actualizar automáticamente en los sensores conectados a la nube cuando Defender para IoT los publica.

Asegúrese de que se realice la actualización automática de los paquetes mediante la incorporación del sensor conectado a la nube con la opción Automatic Threat Intelligence Updates (Actualizaciones automáticas de inteligencia sobre amenazas) habilitada. Para obtener más información, consulte Incorporación de sensores de OT a Defender para IoT.

Para cambiar el modo de actualización después de incorporar el sensor de OT:

1. En Defender para IoT, en Azure Portal, seleccione Sitios y sensores y busque el sensor que quiere cambiar.
2. Seleccione el menú de opciones (...) del sensor de OT seleccionado >Editar.
3. Active o desactive la opción Actualizaciones automáticas de inteligencia sobre amenazas según sea necesario.

Insertar manualmente las actualizaciones en los sensores de OT conectados a la nube

Los sensores conectados a la nube pueden actualizarse de forma automática con los paquetes de inteligencia sobre amenazas. Sin embargo, puede adoptar un enfoque más conservador e insertar los paquetes de Defender para IoT en los sensores solo cuando lo considere necesario. La inserción manual de las actualizaciones le permite controlar cuándo se instala un paquete, sin necesidad de descargarlo y luego cargarlo en los sensores.

Para insertar manualmente actualizaciones en un único sensor de OT:

1. En Defender para IoT, en Azure Portal, seleccione Sitios y sensores y busque el sensor de OT que quiere actualizar.
2. Seleccione el menú de opciones (...) del sensor seleccionado y luego seleccione Enviar actualización de Inteligencia sobre amenazas.

El campo Threat Intelligence update status (Estado de actualización de inteligencia sobre amenazas) muestra el progreso de la actualización.

Para insertar manualmente actualizaciones en varios sensores de OT:

1. En Defender para IoT, en Azure Portal, seleccione Sitios y sensores. Busque y seleccione los sensores de OT que desea actualizar.
2. Seleccione Actualizaciones de inteligencia sobre amenazas (versión preliminar)>Actualización remota.

El campo Estado de la actualización de inteligencia sobre amenazas muestra el progreso de la actualización para cada sensor seleccionado.

Actualizar manualmente los sensores administrados localmente

Si está trabajando con sensores de OT administrados localmente, debe descargar los paquetes de inteligencia sobre amenazas actualizados y cargarlos manualmente en los sensores.

Si también está trabajando con una consola de administración local, se recomienda cargar el paquete de inteligencia sobre amenazas en la consola de administración local e insertar la actualización desde ahí.

Sugerencia

También puede usar esta opción para los sensores conectados a la nube si no desea insertar las actualizaciones desde Azure Portal.

Para descargar paquetes de inteligencia sobre amenazas:

1. En Defender para IoT, en Azure Portal, seleccione Sitios y sensores>Actualización de inteligencia sobre amenazas (versión preliminar)>Actualización local.

2. En el panel Actualización de TI para el sensor, seleccione Descargar para descargar el archivo de inteligencia sobre amenazas más reciente.

Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

Para actualizar un único sensor:

1. Inicie sesión en el sensor de OT y seleccione Configuración del sistema>Inteligencia sobre amenazas.

2. En el panel Inteligencia sobre amenazas, seleccione Cargar archivo. Por ejemplo:

   

3. Vaya al paquete que descargó de Azure Portal, selecciónelo y cárguelo en el sensor.

Para actualizar varios sensores simultáneamente:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema.

2. En el área Sensor Engine Configuration (Configuración del motor de sensores), seleccione los sensores que quiere que reciban los paquetes actualizados. Por ejemplo:

   

3. En la sección Sensor Threat Intelligence Data (Datos de inteligencia sobre amenazas del sensor), seleccione el signo más (+).

4. En el cuadro de diálogo Cargar archivo, seleccione EXAMINAR ARCHIVO… para ir al paquete de actualización y seleccionarlo. Por ejemplo:

   

5. Seleccione CERRAR y GUARDAR CAMBIOS para insertar la actualización de inteligencia sobre amenazas en todos los sensores seleccionados.

   

Revisar los estados de las actualizaciones de inteligencia sobre amenazas

En cada sensor de OT, la información de estado y versión de la actualización de inteligencia sobre amenazas se muestran en la configuración del sistema y la configuración de inteligencia sobre amenazas del sensor.

En el caso de los sensores de OT conectados a la nube, los datos de inteligencia sobre amenazas también se muestran en la página Sitios y sensores. Para ver los estados de la inteligencia sobre amenazas desde Azure Portal:

1. En Defender para IoT, en Azure Portal, seleccione Sitios y sensores.

2. Busque los sensores de OT donde desea comprobar los estados de la inteligencia sobre amenazas.

3. Tenga en cuenta los valores de las columnas siguientes para los sensores de OT:

   Nombre de la columna	Descripción
   Versión de Inteligencia sobre amenazas	La nomenclatura de la versión se basa en el día en el que Defender para IoT compiló el paquete.
   Modo de inteligencia sobre amenazas	Automatic (Automático) indica que los paquetes recién disponibles se instalarán de forma automática en los sensores cuando Defender para IoT los publique. Manual indica que puede insertar los paquetes recién disponibles directamente en los sensores según sea necesario.
   Estado de la actualización de inteligencia sobre amenazas	Muestra uno de los siguientes estados: - Error - En curso - Actualización disponible - Correcto

Sugerencia

Si un sensor de OT conectado a la nube muestra que se ha producido un error en una actualización de inteligencia sobre amenazas, se recomienda comprobar los detalles de la conexión del sensor. En la página Sitios y sensores, revise las columnas Estado del sensor y Última conexión (UTC).

Pasos siguientes

Para más información, consulte:

• Incorporación de sensores de OT a Defender para IoT

• Administración de sensores desde la consola de administración