Quelles sont les nouveautés de Microsoft Defender pour IoT ?
Cet article décrit les fonctionnalités disponibles dans Microsoft Defender pour IoT, sur les réseaux IoT OT et d’entreprise, à la fois en local et dans le Portail Azure, et pour les versions publiées au cours des neufs derniers mois.
Les fonctionnalités publiées il y a plus de neuf mois sont décrites dans Archive des nouveautés de Microsoft Defender pour IoT pour les organisations. Pour plus d’informations sur les versions des logiciels de surveillance OT, consultez Notes de publication des logiciels de surveillance OT.
Notes
Les fonctionnalités notées qui sont répertoriées ci-dessous sont disponibles en PRÉVERSION. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
Remarque
Cet article décrit Microsoft Defender pour IoT dans le portail Azure.
Si vous êtes un client Microsoft Defender à la recherche d’une expérience IT/OT unifiée, consultez la documentation de Microsoft Defender pour IoT dans la documentation du portail Microsoft Defender (préversion).
En savoir plus sur les portails de gestion Defender pour IoT.
Octobre 2024
Zone de service | Mises à jour |
---|---|
Réseaux OT | - Ajouter des caractères génériques pour autoriser les noms de domaine - Ajout de protocole - Nouveau type de paramètre de capteur : Adresses publiques - Amélioration de l’intégration des capteurs OT |
Ajouter des caractères génériques pour autoriser les noms de domaine
Lorsque vous ajoutez des noms de domaine à la liste verte FQDN, utilisez le caractère générique *
pour inclure tous les sous-domaines. Pour plus d’informations, consultez Autoriser les connexions Internet sur un réseau OT.
Ajout de protocole
Nous prenons désormais en charge le protocole OCPI. Consultez la liste des protocoles mise à jour.
Nouveau type de paramètre de capteur : Adresses publiques
Nous ajoutons le type Adresses publiques aux paramètres de capteur, ce qui vous permet d’exclure les adresses IP publiques qui ont pu être utilisées en interne et qui ne doivent pas être suivies. Pour plus d’informations, consultez Ajouter des paramètres de capteur.
Amélioration de l’intégration des capteurs OT
En cas de problème de connexion, durant l’intégration du capteur, entre le capteur OT et le portail Azure au moment de la configuration, le processus ne peut pas s’achever tant que le problème de connexion n’est pas résolu.
Nous prenons désormais en charge l’achèvement du processus de configuration sans qu’il soit nécessaire de résoudre le problème de communication, ce qui vous permet de poursuivre rapidement l’intégration de votre capteur OT, et de résoudre le problème plus tard. Pour plus d’informations, consultez Activer votre capteur OT.
Juillet 2024
Zone de service | Mises à jour |
---|---|
Réseaux OT | - Security update |
Mise à jour de sécurité
Cette mise à jour résout une CVE, qui est répertoriée dans la documentation des fonctionnalités de la version 24.1.4 du logiciel.
Juin 2024
Zone de service | Mises à jour |
---|---|
Réseaux OT | - Alerte de chemin d’URL malveillant - Protocoles récemment pris en charge |
Alerte de chemin d’URL malveillant
La nouvelle alerte Chemin d’URL malveillant permet aux utilisateurs d’identifier les chemins malveillants dans des URL légitimes. L’alerte Chemin d’URL malveillant étend l’identification des menaces de Defender pour IoT afin d’inclure des signatures d’URL génériques, cruciales pour contrer un large éventail de cybermenaces.
Pour plus d’informations, cette alerte est décrite dans le tableau des alertes de moteur de programmes malveillants.
Protocoles récemment pris en charge
Nous prenons désormais en charge le protocole Open. Consultez la liste des protocoles mise à jour.
Avril 2024
Zone de service | Mises à jour |
---|---|
Réseaux OT | - Authentification unique pour la console de capteur - Détection de dérive temporelle du capteur - Security update |
Authentification unique pour la console de capteur
Vous pouvez apprendre à configurer l’authentification unique (SSO) pour la console de capteur Defender pour IoT à l’aide de Microsoft Entra ID. L’authentification unique permet une connexion simple pour les utilisateurs de votre organisation, permet à votre organisation de répondre aux normes réglementaires et augmente votre posture de sécurité. Avec l’authentification unique, vos utilisateurs n’ont pas besoin de plusieurs informations d’identification de connexion sur différents capteurs et sites.
L’utilisation de Microsoft Entra ID simplifie les processus d’intégration et de désintégration, réduit la surcharge administrative et garantit des contrôles d’accès cohérents au sein de l’organisation.
Pour plus d’informations, consultez Configurer l’authentification unique pour la console de capteur.
Détection de dérive temporelle du capteur
Cette version introduit un nouveau test de résolution des problèmes dans la fonctionnalité de l’outil de connectivité, spécifiquement conçue pour identifier les problèmes de dérive temporelle.
Vous pouvez rencontrez des difficultés courantes lors de la connexion de capteurs à Defender pour IoT dans le Portail Azure qui sont dues à des incohérences dans l’heure UTC du capteur, ce qui peut entraîner des problèmes de connectivité. Pour résoudre ce problème, nous vous recommandons de configurer un serveur NTP (Network Time Protocol) dans les paramètres du capteur.
Mise à jour de sécurité
Cette mise à jour résout six CVE, qui sont répertoriées dans la documentation des fonctionnalités de la version 24.1.3 du logiciel.
Février 2024
Règles de suppression d’alerte à partir du portail Azure (préversion publique)
Vous pouvez désormais configurer des règles de suppression d’alerte à partir du portail Azure pour indiquer à vos capteurs OT de supprimer les alertes liés à un trafic spécifié sur votre réseau qui, sans cela, déclencherait une alerte.
- Configurez les alertes à supprimer en spécifiant un titre d’alerte, une adresse IP/MAC, un nom d’hôte, un sous-réseau, un capteur ou un site.
- Pour chaque règle de suppression, définissez si elle doit être toujours active ou uniquement active pendant une période prédéfinie (par exemple, une fenêtre de maintenance spécifique).
Conseil
Si vous utilisez actuellement des règles d’exclusion sur la console de gestion locale, nous vous recommandons de les migrer vers le portail Azure vers des règles de suppression sur le portail Azure. Pour plus d’informations, consultez Supprimer les alertes non pertinentes.
Alertes ciblées dans les environnements TO/TI
Les organisations dans lesquelles les capteurs sont déployés entre les réseaux de TO et de TI traitent de nombreuses alertes liées aux TO et aux TI. Le nombre d’alertes, dont certaines ne sont pas pertinentes, peut entraîner la fatigue des alertes et affecter les performances globales.
Pour résoudre ces problèmes, nous avons mis à jour la stratégie de détection de Microsoft Defender pour IoT afin de déclencher automatiquement des alertes en fonction de l’impact sur l’entreprise et du contexte réseau, et de réduire les alertes liées à l’informatique à faible valeur.
Cette mise à jour est disponible dans la version 24.1.3 et les versions ultérieures du capteur.
Pour plus d’informations, consultez Alertes prioritaires dans les environnements TO/TI.
ID d’alerte désormais aligné sur le portail Microsoft Azure et la console de capteur
L’ID d’alerte dans la colonne ID de la page Alertes du portail Microsoft Azure affiche désormais le même ID d’alerte que la console du capteur. En savoir plus sur les alertes sur le portail Microsoft Azure.
Remarque
Si l’alerte a été fusionnée avec d’autres alertes provenant de capteurs qui ont détecté la même alerte, le portail Microsoft Azure affiche l’ID d’alerte du premier capteur qui a généré les alertes.
Protocoles récemment pris en charge
Nous prenons désormais en charge ces protocoles :
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Rockwell AADvance Discover
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
Consultez la liste des protocoles mise à jour.
Le profil matériel L60 n’est plus pris en charge
Le profil matériel L60 n’est plus pris en charge et a été supprimé de la documentation de support. Les profils matériels nécessitent désormais un minimum de 100 Go (le profil matériel minimal est dorénavant L100).
Pour migrer le profil L60 vers un profil pris en charge, suivez la procédure Sauvegarder et restaurer un capteur réseau OT.
Nouveau rappel de renouvellement de licence dans le portail Azure
Quand la licence d’un ou de plusieurs de vos sites OT est sur le point d’expirer, une note est visible en haut de Defender pour IoT dans le portail Azure, qui vous rappelle de renouveler vos licences. Pour continuer à obtenir la valeur de sécurité de Defender pour IoT, sélectionnez le lien dans la note afin de renouveler les licences concernées dans le centre d’administration Microsoft 365. En savoir plus sur la facturation Defender pour IoT.
Nouveau profil matériel de l’appliance OT
L’appliance DELL XE4 SFF est maintenant prise en charge pour les capteurs OT surveillant des lignes de production. Elle fait partie du profil matériel L500, un environnement Ligne de production avec six cœurs, 8 Go de RAM et un stockage disque de 512 Go.
Pour obtenir plus d’informations, consultez DELL XE4 SFF.
Nouveaux champs pour les OID SNMP Mio
Des champs génériques supplémentaires ont été ajoutés aux OID SNMP Mio. Pour obtenir la liste complète des champs, consultez OID du capteur OT pour les configurations SNMP manuelles.
Janvier 2024
Zone de service | Mises à jour |
---|---|
Réseaux OT | La mise à jour du capteur dans le portail Microsoft Azure prend désormais en charge la sélection d’une version spécifique |
La mise à jour du capteur dans le portail Microsoft Azure prend désormais en charge la sélection d’une version spécifique
Lorsque vous mettez à jour le capteur dans le portail Microsoft Azure, vous pouvez désormais choisir de mettre à jour l’une des versions précédentes prises en charge (versions autres que la dernière version). Auparavant, les capteurs intégrés à Microsoft Defender pour IoT sur le portail Azure étaient automatiquement mis à jour vers la dernière version.
Il se peut que vous souhaitiez mettre à jour votre capteur vers une version spécifique pour diverses raisons, par exemple à des fins de test, ou pour aligner tous les capteurs sur la même version.
Pour plus d’informations, consultez Mettre à jour le logiciel de surveillance OT Defender pour IoT.
| Réseaux OT |Version 24.1.0 :
- Règles de suppression d’alerte à partir du portail Azure (préversion publique)|
Décembre 2023
Zone de service | Mises à jour |
---|---|
Réseaux OT | Nouvelle architecture pour la prise en charge des réseaux hybrides et non connectés Version 23.2.0 : - Les capteurs réseau OT s’exécutent désormais sur Debian 11 - L’utilisateur privilégié par défaut est désormais administrateur au lieu de support Fonctionnalités cloud : - États dynamiques pour les mises à jour de capteurs cloud - Enregistrements d’alerte rationalisés dans la table SecurityAlert |
Les capteurs réseau OT fonctionnent désormais sur Debian 11
La version des capteurs 23.2.0 s’exécutent sur un système d’exploitation Debian 11 au lieu d’Ubuntu. Debian est un système d’exploitation Linux largement utilisé pour les serveurs et les appareils incorporés, et il est connu pour être plus léger que d’autres systèmes d’exploitation ainsi que pour sa stabilité, sa sécurité et sa prise en charge étendue du matériel.
L’utilisation de Debian comme base pour notre logiciel des capteurs permet de réduire le nombre de packages installés sur les capteurs, ce qui augmente l’efficacité et la sécurité de vos systèmes.
En raison du changement de système d’exploitation, la mise à jour de logiciel de votre version héritée vers la version 23.2.0 peut être plus longue et plus lourde que d’habitude.
Pour plus d’informations, consultez Sauvegarder et restaurer des capteurs réseau OT à partir de la console des capteurs et Mettre à jour le logiciel de supervision OT Defender pour IoT.
L’utilisateur privilégié par défaut est désormais administrateur au lieu de support
À compter de la version 23.2.0, l’utilisateur privilégié par défaut installé avec de nouvelles installations de capteurs OT est l’utilisateur administrateur au lieu de l’utilisateur support.
Par exemple, utilisez l’utilisateur privilégié administrateur dans les scénarios suivants :
Connexion à un nouveau capteur pour la première fois après l’installation. Pour plus d’informations, consultez Configurer et activer votre capteur OT.
Utilisation de l’interface CLI de Defender pour IoT. Pour plus d’informations, consultez Utiliser les commandes de l’interface CLI Defender pour IoT.
Accès à la page Support du capteur.
Important
Si vous mettez à jour votre logiciel de capteur d’une version précédente vers la version 23.2.0, l’utilisateur privilégié support est renommé automatiquement en administrateur. Si vous avez enregistré vos informations d’identification de support, comme dans des scripts CLI, vous devez mettre à jour vos scripts pour utiliser à la place le nouvel utilisateur privilégié administrateur.
L’utilisateur support hérité est disponible et pris en charge seulement sur les versions antérieures à 23.2.0.
Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Nouvelle architecture pour la prise en charge des réseaux hybrides et non connectés
Les réseaux hybrides et non connectés sont courants dans de nombreux secteurs d’activité, comme le secteur public, les services financiers ou la fabrication industrielle. Les réseaux non connectés sont physiquement séparés d’autres réseaux externes non sécurisés, comme les réseaux d’entreprise ou Internet, et ils sont moins vulnérables aux cyberattaques. Cependant, les réseaux non connectés ne sont néanmoins pas complètement sécurisés, ils peuvent toujours faire l’objet de violations, et ils doivent être sécurisés et supervisés avec soin.
Defender pour IoT fournit désormais de nouvelles instructions pour la connexion et la supervision des réseaux hybrides et non connectés. Les instructions pour la nouvelle architecture sont conçues pour ajouter de l’efficacité, de la sécurité et de la fiabilité à vos opérations SOC, avec moins de composants à gérer et à dépanner. La technologie de capteur utilisée dans la nouvelle architecture permet un traitement local qui conserve les données au sein de votre propre réseau, ce qui réduit le besoin de ressources cloud et améliore les performances.
L’image suivante montre un exemple d’architecture générale correspondant à nos recommandations pour la supervision et la maintenance des systèmes Defender pour IoT, où chaque capteur OT se connecte à plusieurs systèmes de gestion de la sécurité dans le cloud ou localement.
Dans l’exemple de cette image, la communication pour les alertes, les messages syslog et les API est représentée par une ligne noire continue. La communication pour la gestion locale est représentée par une ligne violette continue, et la communication pour la gestion cloud / hybride est représentée par une ligne noire en pointillés.
Nous recommandons aux clients existants qui utilisent actuellement une console de gestion locale pour gérer les capteurs OT de suivre les instructions pour l’architecture mise à jour.
Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou non connectés.
Mise hors service de la console de gestion locale
La console de gestion locale héritée ne sera plus disponible en téléchargement après le 1er janvier 2025. Nous vous recommandons de passer à la nouvelle architecture en utilisant le spectre complet des API locales et cloud avant cette date.
Les versions des capteurs publiées après le 1er janvier 2025 ne pourront pas être gérées par une console de gestion locale.
Les versions logicielles des capteurs publiées entre le 1er janvier 2024 et le 1er janvier 2025 continueront de prendre en charge une version de la console de gestion locale.
Les capteurs non connectés qui ne peuvent pas se connecter au cloud peuvent être gérés directement via la console des capteurs ou en utilisant l’API REST.
Pour plus d’informations, consultez l’article suivant :
- Transition depuis une console de gestion locale héritée.
- Contrôle de version et prise en charge des versions logicielles locales
États dynamiques pour les mises à jour de capteurs cloud
Lors de l’exécution d’une mise à jour de capteur à partir du portail Azure, une nouvelle barre de progression s’affiche dans la colonne Version du capteur pendant le processus de mise à jour. À mesure que la mise à jour progresse, la barre indique le pourcentage réalisé de la mise à jour, vous montrant que le processus est en cours, qu’il n’est pas bloqué ou qu’il a échoué. Par exemple :
Pour plus d’informations, consultez Mettre à jour le logiciel de surveillance OT Defender pour IoT.
Enregistrements d’alerte rationalisés dans la table SecurityAlert
Lors de l’intégration à Microsoft Sentinel, la table SecurityAlert est désormais mise à jour immédiatement seulement pour les modifications apportées à l’état et à la gravité des alertes. Les autres modifications apportées aux alertes, comme la dernière détection d’une alerte existante, sont agrégées sur plusieurs heures et affichent seulement les dernières modifications apportées.
Pour plus d’informations, consultez Comprendre les enregistrements multiples par alerte.
Novembre 2023
Zone de service | Mises à jour |
---|---|
Réseaux IoT Entreprise | Protection IoT Entreprise désormais incluse dans les licences Microsoft 365 E5 et E5 Security |
Réseaux OT | Aide à l’intégration de la pile de sécurité mise à jour |
Protection IoT Entreprise désormais incluse dans les licences Microsoft 365 E5 et E5 Security
La sécurité IoT Entreprise (EIoT) proposée avec Defender pour IoT découvre les appareils IoT non gérés et renforce la sécurité, avec notamment la surveillance continue, les évaluations des vulnérabilités et des suggestions personnalisées spécifiquement conçues pour les appareils IoT Entreprise. Intégré de façon transparente à Microsoft Defender XDR, à la Gestion des vulnérabilités de Microsoft Defender et à Microsoft Defender for Endpoint sur le portail Microsoft Defender, il assure une approche holistique de la protection du réseau d’une organisation.
La surveillance EIoT de Defender pour IoT est désormais automatiquement prise en charge dans le cadre des plans Microsoft 365 E5 (ME5) et E5 Security, couvrant jusqu’à cinq appareils par licence utilisateur. Par exemple, si votre organisation possède 500 licences ME5, vous pouvez utiliser Defender pour IoT pour surveiller jusqu’à 2 500 appareils EIoT. Cette intégration représente une avancée significative vers la fortification de votre écosystème IoT dans l’environnement Microsoft 365.
Les clients qui ont des plans de sécurité ME5 ou E5, mais qui n’utilisent pas encore Defender pour IoT pour leurs appareils EIoT doivent activer leur prise en charge dans le portail Microsoft Defender.
Les nouveaux clients sans plan ME5 ou E5 Security peuvent acheter une licence autonome, Microsoft Defender pour IoT - Licence d’appareil EIoT - module complémentaire, en tant que module complémentaire de Microsoft Defender for Endpoint P2. Achetez des licences autonomes à partir du centre d’administration Microsoft.
Les clients existants disposant à la fois de plans IoT Entreprise hérités et de plans ME5/E5 Security sont automatiquement basculés vers la nouvelle méthode de licence. La surveillance IoT Entreprise est désormais regroupée dans votre licence, sans frais supplémentaires et sans intervention de votre part.
Les clients disposant de plans IoT Entreprise hérités et dépourvus de plans ME5/E5 Security peuvent continuer à utiliser leurs plans existants jusqu’à leur expiration.
Les licences d’évaluation sont disponibles pour les clients Defender for Endpoint P2 en tant que licences autonomes. Les licences d'essai prennent en charge 100 appareils.
Pour plus d’informations, consultez l’article suivant :
- Sécurisation des appareils IoT dans l’entreprise
- Activer la sécurité IoT Entreprise avec Defender for Endpoint
- Facturation d’un abonnement Defender pour IoT
- Plans et tarification de Microsoft Defender pour IoT
- Blog : Solution Sécurité IoT Entreprise avec Defender pour IoT désormais incluse dans les plans Microsoft 365 E5 et E5 Security
Aide à l’intégration de la pile de sécurité mise à jour
Defender pour IoT actualise ses intégrations de pile de sécurité pour améliorer la robustesse globale, la scalabilité et la facilité de maintenance de différentes solutions de sécurité.
Si vous intégrez votre solution de sécurité à des systèmes informatiques, nous vous recommandons d’utiliser des connecteurs de données via Microsoft Sentinel. Pour des intégrations locales, nous vous recommandons de configurer votre capteur OT pour transférer des événements syslog ou d’utiliser des API Defender pour IoT.
Les intégrations héritées Aruba ClearPass, Palo Alto Panorama et Splunk sont prises en charge jusqu’en octobre 2024 à l’aide du capteur version 23.1.3 et ne seront plus prises en charge dans les prochaines versions logicielles majeures.
Pour les clients qui utilisent des méthodes d’intégration héritées, nous recommandons de déplacer vos intégrations vers les méthodes nouvellement recommandées. Pour plus d’informations, consultez l’article suivant :
- Intégrer ClearPass à Microsoft Defender pour IoT
- Intégrer Palo Alto à Microsoft Defender pour IoT
- Intégrer Splunk à Microsoft Defender pour IoT
- Intégrations à d’autres services Microsoft et partenaires
September 2023
Zone de service | Mises à jour |
---|---|
Réseaux OT | Version 23.1.3 : - Résoudre les problèmes de connectivité des capteurs OT - Accès chronologie aux événements pour les utilisateurs en lecture seule du capteur OT |
Résoudre les problèmes de connectivité des capteurs OT
À compter de la version 23.1.3, les capteurs OT vous aident automatiquement à résoudre les problèmes de connectivité avec le Portail Azure. Si un capteur géré par le cloud n’est pas connecté, une erreur est indiquée dans le Portail Azure de la page Sites et capteurs et dans la page Vue d’ensemble du capteur.
Par exemple :
À partir de votre capteur, effectuez l’une des opérations suivantes pour ouvrir le volet de résolution des problèmes de connectivité cloud , qui fournit des détails sur les problèmes de connectivité et les étapes d’atténuation :
- Dans la page Vue d’ensemble , sélectionnez le lien Résoudre les problèmes en haut de la page
- Sélectionnez Paramètres > système Gestion des > capteurs Intégrité et résolution des problèmes de > connectivité cloud
Pour plus d’informations, consultez Vérifier le capteur : problèmes de connectivité cloud.
Accès chronologie aux événements pour les utilisateurs en lecture seule du capteur OT
À compter de la version 23.1.3, les utilisateurs en lecture seule sur le capteur OT peuvent afficher la page Chronologie des événements. Par exemple :
Pour plus d’informations, consultez l’article suivant :
- Suivre l’activité du réseau et des capteurs avec la chronologie des événements
- Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT
Août 2023
Zone de service | Mises à jour |
---|---|
Réseaux OT | Les CVE de Defender pour IoT s’alignent sur CVSS v3 |
Les CVE de Defender pour IoT s’alignent sur CVSS v3
Les scores CVE affichés dans le capteur OT et sur le portail Azure sont alignés sur la base de données nationale des vulnérabilités (NVD), et à compter de la mise à jour du renseignement sur les menaces d’août de Defender pour IoT, les scores CVSS v3 sont affichés s’ils sont pertinents. S’il n’existe aucun score CVSS v3 pertinent, le score CVSS v2 est affiché à la place.
Affichez les données CVE du portail Azure, soit sous l’onglet Vulnérabilités d’un appareil Defender pour IoT, avec les ressources disponibles de la solution Microsoft Sentinel, soit dans une requête d’exploration de données sur votre capteur OT. Pour plus d’informations, consultez l’article suivant :
- Gérer les packages de renseignement sur les menaces sur les capteurs réseau OT
- Afficher les détails complets d’un appareil
- Tutoriel : examiner et détecter les menaces pour les appareils IoT avec Microsoft Sentinel
- Créer des requêtes d’exploration de données
Juillet 2023
Améliorations apportées à l’installation et à la configuration des capteurs OT
Dans la version 23.1.2, nous avons mis à jour les Assistants installation et configuration des capteurs OT pour qu’ils soient plus rapides et plus conviviaux. Les mises à jour comprennent :
Assistant Installation : si vous installez un logiciel sur vos propres machines physiques ou virtuelles, l’Assistant Installation de Linux passe maintenant directement par le processus d’installation sans avoir besoin d’aucune entrée ni de détails de votre part.
Vous pouvez observer l’exécution de l’installation à partir d’une station de travail de déploiement, mais vous pouvez également choisir d’installer le logiciel sans utiliser un clavier ou un écran, et de laisser l’installation s’exécuter automatiquement. Lorsque vous avez terminé, accédez au capteur à partir du navigateur à l’aide de l’adresse IP par défaut.
L’installation utilise des valeurs par défaut pour vos paramètres réseau. Ajustez ces paramètres par la suite, soit dans l’interface CLI comme avant, soit dans un nouvel Assistant basé sur un navigateur.
Tous les capteurs sont installés avec un utilisateur et un mot de passe de support par défaut. Modifiez immédiatement le mot de passe par défaut avec la première connexion.
Configurer la configuration initiale dans le navigateur : après avoir installé le logiciel et configuré vos paramètres réseau initiaux, passez à l’assistant basé sur le navigateur pour activer votre capteur et définir les paramètres de certificat SSL/TLS.
Pour plus d’informations, consultez Installer et configurer votre capteur OT et Configurer et activer votre capteur OT.
Analyser et affiner votre déploiement
Une fois l’installation terminée et la configuration initiale, analysez le trafic que le capteur détecte par défaut à partir des paramètres du capteur. Sur le capteur, sélectionnezParamètres du capteur>De base>Déploiement pour analyser les détections actuelles.
Vous constaterez peut-être que vous devez affiner votre déploiement, par exemple en modifiant l’emplacement du capteur dans le réseau ou en vérifiant que vos interfaces de supervision sont correctement connectées. Sélectionnez à nouveau Analyser après avoir apporté des modifications pour voir l’état d’analyse mis à jour.
Pour plus d’informations, voir Analyser votre déploiement.
Configurer des interfaces surveillées via l’interface graphique du capteur
Si vous souhaitez modifier les interfaces utilisées pour surveiller votre trafic après la configuration initiale du capteur, vous pouvez maintenant utiliser la nouvelle pageParamètres de capteur>Configurations d’interface pour mettre à jour vos paramètres au lieu de l’Assistant Linux accessible par l’interface CLI. Par exemple :
La page Configurations d’interface affiche les mêmes options que l’onglet Configurations d’interface de l’Assistant Configuration initiale.
Pour plus d’informations, consultez Mettre à jour les interfaces de supervision d’un capteur (configurer ERSPAN).
Utilisateurs privilégiés simplifiés
Dans les nouvelles installations de capteur de la version 23.1.2, seul l’utilisateur de support privilégié est disponible par défaut. Les utilisateurs cyberx et cyberx_host sont disponibles, mais sont désactivés par défaut. Si vous avez besoin d’utiliser ces utilisateurs, par exemple pour l’accès à l’interface CLI Defender pour IoT, modifiez le mot de passe de l’utilisateur.
Dans les capteurs qui ont été mis à jour à partir des versions précédentes vers la version 23.1.2, les utilisateurs cyberx et cyberx_host restent activés comme avant.
Conseil
Pour exécuter des commandes CLI disponibles uniquement pour les utilisateurs cyberx ou cyberx_host lorsqu’ils sont connectés en tant qu’utilisateur de support , veillez à accéder d’abord à la racine système de l’ordinateur hôte. Pour plus d’informations, consultez Accéder à la racine du système en tant qu’utilisateur administrateur.
Migrer vers des licences basées sur le site
Les clients existants peuvent maintenant migrer leurs plans d’achat Defender pour IoT hérités vers un plan Microsoft 365, en fonction des licences Microsoft 365 basées sur le site.
Dans la page Plans et tarification, modifiez votre plan, puis sélectionnez le plan Microsoft 365 au lieu de votre plan mensuel ou annuel actuel. Par exemple :
Veillez à modifier tous les sites pertinents pour qu’ils correspondent à la taille de vos sites nouvellement concédés sous licence. Par exemple :
Si vous souhaitez en savoir plus, veuillez consulter les rubriques Migrer depuis un plan OT hérité et Facturation de l’abonnement Defender pour IoT.
Juin 2023
Zone de service | Mises à jour |
---|---|
Réseaux OT | Plans OT facturés par licences basées sur le site Recommandations de sécurité pour les réseaux OT pour les mots de passe non sécurisés et les CVC critiques |
Plans OT facturés par licences basées sur le site
À compter du 1er juin 2023, les licences Microsoft Defender pour IoT pour la supervision OT peuvent être achetées uniquement dans le centre d'administration Microsoft 365.
Des licences sont disponibles pour des sites individuels, en fonction de la taille de ces sites respectifs. Une version d’essai est également disponible, couvrant une grande taille du site pour 60 jours.
Tout achat de licences supplémentaires est automatiquement mis à jour dans votre plan OT dans le Portail Azure.
Lorsque vous intégrez un nouveau capteur, vous êtes maintenant invité à l’affecter à un site basé sur la taille de votre site sous licence.
Les clients existants peuvent continuer à utiliser n’importe quel plan OT hérité déjà intégré à un abonnement Azure, sans modification des fonctionnalités. Cependant, vous ne pouvez pas ajouter de nouveau plan à un nouvel abonnement sans une licence adéquat venant du centre d’admin de Microsoft 365.
Conseil
Un site Defender pour IoT est un emplacement physique, tel qu’un établissement, un campus, un immeuble de bureaux, un hôpital, une plate-forme, etc. Chaque site peut contenir n’importe quel nombre de capteurs réseau, qui identifient les appareils sur le trafic réseau détecté.
Pour plus d'informations, consultez les pages suivantes :
- Facturation d’un abonnement Defender pour IoT
- Démarrer une évaluation gratuite de Microsoft Defender pour IoT
- Gérer les plans OT sur les abonnements Azure
- Intégrer des capteurs OT à Defender pour IoT
Recommandations de sécurité pour les réseaux OT pour les mots de passe non sécurisés et les CVC critiques
Defender pour IoT fournit désormais des suggestions de sécurité pour les mots de passes non sécurisés et les CVE critiques, afin d’aider les clients à gérer leur posture de sécurité sur les réseaux OT/IoT.
Vous pouvez voir les nouvelles recommandations de sécurité suivantes dans le portail Azure pour les appareils détectés sur vos réseaux :
Sécurisez vos appareils vulnérables : Les appareils ayant cette recommandation sont détectés avec une ou plusieurs vulnérabilités d’une gravité critique. Nous vous recommandons de suivre les étapes répertoriées par le fournisseur de l’appareil ou la CISA (Cybersecurity Infrastructure Agency).
Définissez un mot de passe sécurisé pour les appareils dont l’authentification est manquante : les appareils avec cette recommandation sont trouvés sans authentification basée sur des connexions réussies. Nous vous recommandons d’activer l’authentification et de définir un mot de passe plus fort avec une longueur et une complexité minimales.
Définissez un mot de passe plus fort avec une longueur et une complexité minimales : les appareils avec cette recommandation sont trouvés avec des mots de passe faibles basés sur des connexions réussies. Nous vous recommandons de remplacer le mot de passe de l’appareil par un mot de passe plus fort avec une longueur et une complexité minimales.
Pour plus d’informations, consultez Recommandations prises en charges en matière de sécurité.
Mai 2023
Zone de service | Mises à jour |
---|---|
Réseaux OT | Version du capteur 22.3.9 : - Amélioration de la surveillance et de la prise en charge des journaux de capteurs OT Versions du capteur 22.3.x et ultérieures : - Configurer les paramètres Active Directory et NTP dans le Portail Azure |
Amélioration de la surveillance et de la prise en charge des journaux des capteurs OT
Dans la version 22.3.9, nous avons ajouté une nouvelle fonctionnalité permettant de collecter les journaux à partir du capteur OT via un nouveau point de terminaison. Les données supplémentaires nous aident à résoudre les problèmes des clients, en offrant des temps de réponse plus rapides et des solutions et des recommandations plus ciblées. Le nouveau point de terminaison a été ajouté à notre liste de points de terminaison obligatoires qui connectent vos capteurs OT à Azure.
Après avoir mis à jour vos capteurs OT, téléchargez la liste la plus récente des points de terminaison et assurez-vous que vos capteurs peuvent accéder à tous les points de terminaison répertoriés.
Pour plus d'informations, consultez les pages suivantes :
Configurer les paramètres Active Directory et NTP dans le Portail Azure
Vous pouvez à présent configurer à distance les paramètres Active Directory et NTP pour vos capteurs OT depuis la page Sites et capteurs du Portail Azure. Ces paramètres sont disponibles pour les versions de capteur OT 22.3.x et ultérieures.
Pour plus d’informations, consultez Référence sur les paramètres du capteur.
Avril 2023
Zone de service | Mises à jour |
---|---|
Documentation | Guides de déploiement de bout en bout |
Réseaux OT | Version du capteur 22.3.8 : - Prise en charge du proxy pour les certificats SSL/TLS clients - Enrichir les données de la station de travail et du serveur Windows avec un script local (préversion publique) - Notifications de système d’exploitation résolues automatiquement - Améliorations apportées à l’interface utilisateur lors du chargement de certificats SSL/TLS |
Guides de déploiement de bout en bout
La documentation Defender pour IoT comprend désormais une nouvelle section Déployer dotée d’un ensemble complet de guides de déploiement pour les scénarios suivants :
- Déploiement standard pour la surveillance OT
- Déploiement en air gap pour la surveillance OT avec une gestion des capteurs locale
- Déploiement IoT d’entreprise
Par exemple, le déploiement recommandé pour la surveillance OT comprend les étapes suivantes qui sont toutes détaillées dans nos nouveaux articles :
Les instructions pas à pas de chaque section sont destinées à aider les clients à optimiser la réussite et à déployer pour une Confiance Zéro. Les éléments de navigation sur chaque page, y compris les organigrammes en haut et les liens Étapes suivantes en bas, indiquent votre progression dans le processus, ce que vous avez terminé et quelle doit être l’étape suivante. Par exemple :
Pour plus d’informations, consultez Déployer Defender pour IoT pour la surveillance OT.
Prise en charge du proxy pour les certificats SSL/TLS clients
Un certificat SSL/TLS client est requis pour les serveurs proxy qui inspectent le trafic SSL/TLS, par exemple lors de l’utilisation de services tels que Zscaler et Palo Alto Prisma. À partir de la version 22.3.8, vous pouvez charger un certificat client via la console du capteur OT.
Pour plus d’informations, consultez Configurer un proxy.
Enrichir les données de la station de travail et du serveur Windows avec un script local (préversion publique)
Utilisez un script local, disponible depuis l’interface utilisateur du capteur OT, pour enrichir les données du serveur et de la station de travail Microsoft Windows sur votre capteur OT. Le script s’exécute en tant qu’utilitaire pour détecter les appareils et enrichir des données. Il peut être exécuté manuellement ou à l’aide d’outils d’automatisation standard.
Pour plus d’informations, consultez Enrichir les données de la station de travail et du serveur Windows avec un script local.
Notifications de système d’exploitation résolues automatiquement
Une fois que vous avez mis à jour votre capteur OT vers la version 22.3.8, aucune nouvelle notification d’appareil pour les Modifications du système d’exploitation n’est générée. Les notification Modifications du système d exploitation sont automatiquement résolues si elles ne sont pas ignorées ni gérées dans un délai de 14 jours.
Pour plus d’informations, consulter Gérer les notifications des appareils
Améliorations apportées à l’interface utilisateur lors du chargement de certificats SSL/TLS
Le capteur OT version 22.3.8 dispose d’une page de configuration de Certificats SSL/TLS améliorée pour définir vos paramètres de certificat SSL/TLS et déployer un certificat signé par l’autorité de certification.
Pour plus d’informations, consultez Gérer les certificats SSL/TLS.
Mars 2023
Zone de service | Mises à jour |
---|---|
Réseaux OT | Version du capteur 22.3.6/22.3.7 : - Prise en charge des appareils temporaires - Découvrir un trafic DNS en configurant des listes d’autorisation - Mises à jour de conservation des données de l’appareil - Améliorations apportées à l’interface utilisateur lors du chargement de certificats SSL/TLS - Mises à jour de l’expiration des fichiers d’activation - Améliorations apportées à l’interface utilisateur pour la gestion de l’inventaire des appareils - Gravité mise à jour de toutes les alertes de suspicion d’activité malveillante - Notifications d’appareil résolues automatiquement La version 22.3.7 inclut les mêmes fonctionnalités que la version 22.3.6. Si la version 22.3.6 est installée, nous vous recommandons vivement d’effectuer une mise à jour vers la version 22.3.7 qui inclut également des correctifs de bogues importants. Fonctionnalités cloud : - Nouvelle expérience d’incident Microsoft Sentinel pour Defender pour IoT |
Prise en charge des appareils temporaires
Defender pour IoT identifie désormais les appareils temporaires en tant que type d’appareil unique qui représente des appareils qui ont été détectés pendant une courte période. Nous vous recommandons d’investiguer attentivement ces appareils pour comprendre leur impact sur votre réseau.
Pour plus d’informations, consultez Inventaire des appareils Defender pour IoT et Gérer l’inventaire de votre appareil à partir du Portail Azure.
Découvrir un trafic DNS en configurant des listes d’autorisation
L’utilisateur du support peut désormais réduire le nombre d’alertes Internet non autorisées en créant une liste d’autorisation de noms de domaine sur votre capteur OT.
Quand une liste d’autorisation DNS est configurée, le capteur vérifie chaque tentative de connectivité Internet non autorisée par rapport à la liste avant de déclencher une alerte. Si le nom de domaine complet du domaine est inclus dans la liste d’autorisation, le capteur ne déclenche pas l’alerte et autorise automatiquement le trafic.
Tous les utilisateurs du capteur OT peuvent afficher la liste des domaines DNS autorisés et leurs adresses IP résolues dans les rapports d’exploration de données.
Par exemple :
Pour plus d’informations, consultez Autoriser les connexions Internet sur un réseau OT et Créer des requêtes d’exploration de données.
Mises à jour de conservation des données de l’appareil
La période de conservation des données de l’appareil sur le capteur OT et la console de gestion locale a été mise à jour à 90 jours à compter de la date de la valeur Dernière activité.
Pour plus d’informations, consultez Périodes de conservation des données de l’appareil.
Améliorations apportées à l’interface utilisateur lors du chargement de certificats SSL/TLS
Le capteur OT version 22.3.6 dispose d’une page de configuration de Certificats SSL/TLS améliorée pour définir vos paramètres de certificat SSL/TLS et déployer un certificat signé par l’autorité de certification.
Pour plus d’informations, consultez Gérer les certificats SSL/TLS.
Mises à jour de l’expiration des fichiers d’activation
Les fichiers d’activation sur des capteurs OT gérés localement restent désormais activés tant que votre plan Defender pour IoT est actif sur votre abonnement Azure, tout comme les fichiers d’activation sur les capteurs OT connectés au cloud.
Vous n’aurez besoin de mettre à jour votre fichier d’activation que si vous mettez à jour un capteur OT à partir d’une version récente ou si vous basculez le mode d’administration du capteur. Par exemple si vous passez d’un capteur géré localement à un capteur connecté au cloud.
Pour plus d’informations, consultez Gérer des capteurs individuels.
Améliorations apportées à l’interface utilisateur pour la gestion de l’inventaire des appareils
Les améliorations suivantes ont été ajoutées à l’inventaire des appareils du capteur OT dans la version 22.3.6 :
- Un processus plus fluide pour modifier les détails de l’appareil sur le capteur OT. Modifiez les détails de l’appareil directement à partir de la page d’inventaire des appareils sur la console du capteur OT en utilisant le nouveau bouton Modifier dans la barre d’outils en haut de la page.
- Le capteur OT prend désormais en charge la suppression simultanée de plusieurs appareils.
- Les procédures de fusion et de suppression des appareils incluent désormais des messages de confirmation qui s’affichent une fois l’action terminée.
Pour plus d’informations, consultez Gérer l’inventaire de vos appareils OT à partir de la console de capteurs.
Gravité mise à jour de toutes les alertes de suspicion d’activité malveillante
Toutes les alertes avec la catégorie Suspicion d’activité malveillante ont désormais une gravité Critique.
Pour plus d’informations, consultez Alertes du moteur anti-programme malveillant.
Notifications d’appareil résolues automatiquement
À compter de la version 22.3.6, les notifications sélectionnées sur la page Carte des appareils du capteur OT sont désormais automatiquement résolues si elles ne sont pas ignorées ou traitées dans les 14 jours.
Une fois que vous avez mis à jour la version de votre capteur, les notifications Appareils inactifs et Nouveaux appareils OT ne s’affichent plus. Bien que toutes les notifications Appareils inactifs qui sont laissées avant la mise à jour soient automatiquement ignorées, vous pouvez toujours avoir des notifications héritées Nouveaux appareils OT à gérer. Gérez ces notifications en fonction des besoins pour les supprimer de votre capteur.
Pour plus d’informations, consultez Gérer les notifications des appareils.
Nouvelle expérience d’incident Microsoft Sentinel pour Defender pour IoT
La nouvelle expérience d’incident de Microsoft Sentinel inclut des fonctionnalités spécifiques pour les clients Defender pour IoT. Les analystes du centre des opérations de sécurité qui investiguent les incidents liés à OT/IoT peuvent désormais utiliser les améliorations suivantes dans les pages des détails des incidents :
Consultez les sites, les zones, les capteurs et l’importance de l’appareil associés pour mieux comprendre l’impact commercial et l’emplacement physique d’un incident.
Passez en revue une chronologie agrégée des appareils affectés et leurs détails associés, au lieu d’investiguer sur des pages de détails d’entité distinctes des appareils associés.
Passez en revue les étapes de correction des alertes OT directement dans la page des détails de l’incident.
Pour plus d’informations, consultez Tutoriel : Examiner et détecter les menaces pour les appareils IoT et Naviguer et examiner les incidents dans Microsoft Sentinel.
Février 2023
Zone de service | Mises à jour |
---|---|
Réseaux OT | Fonctionnalités cloud : - Microsoft Sentinel : solution Microsoft Defender pour IoT version 2.0.2 - Télécharger les mises à jour à partir de la page Sites et capteurs (préversion publique) - Page Alertes en disponibilité générale dans le Portail Azure - Disponibilité générale de l’inventaire des appareils sur le portail Azure - Améliorations apportées au regroupement de l’inventaire des appareils (préversion publique) - Inventaire ciblé dans l’inventaire des appareils Azure (préversion publique) Capteur version 22.2.3 : Configurer les paramètres du capteur OT à partir du portail Azure (préversion publique) |
Réseaux IoT Entreprise | Fonctionnalités du cloud : page Alertes en disponibilité générale dans le portail Azure |
Microsoft Sentinel : solution Microsoft Defender pour IoT version 2.0.2
La version 2.0.2 de la solution Microsoft Defender pour IoT est maintenant disponible dans le hub de contenu Microsoft Sentinel, avec des améliorations des règles d’analytique pour la création d’incidents, une page de détails des incidents améliorée et de meilleures performances pour les requêtes de règles d’analytique.
Pour plus d'informations, consultez les pages suivantes :
- Tutoriel : Examiner et détecter les menaces pour les appareils IoT
- Versions de la solution Microsoft Defender pour IoT dans Microsoft Sentinel
Télécharger les mises à jour à partir de la page Sites et capteurs (préversion publique)
Si vous exécutez une mise à jour logicielle locale sur votre capteur OT ou votre console de gestion locale, la page Sites et capteurs fournit désormais un nouvel Assistant pour télécharger vos packages de mise à jour, accessible via le menu Mise à jour du capteur (préversion).
Par exemple :
Les mises à jour de la veille des menaces sont désormais disponibles uniquement à partir de la page Sites et capteurs de l’option >Mise à jour de la veille des menaces (préversion).
Les packages de mise à jour pour la console de gestion locale sont également disponibles à partir de l’onglet Prise en main>de la console de gestion locale.
Pour plus d'informations, consultez les pages suivantes :
- Mettre à jour le logiciel de surveillance OT Defender pour IoT
- Mettre à jour des packages de renseignement sur les menaces
- Versions des logiciels de surveillance OT
Disponibilité générale de l’inventaire des appareils sur le portail Azure
La page Inventaire des appareils du portail Azure est désormais en disponibilité générale (GA) ; elle offre une vue centralisée de tous vos appareils détectés, à grande échelle.
L’inventaire des appareils de Defender pour IoT vous permet d’identifier des informations concernant des appareils spécifiques, notamment le fabricant, le type, le numéro de série, le microprogramme, etc. Tous ces détails sur vos appareils aident vos équipes à rechercher de manière proactive les vulnérabilités susceptibles de compromettre vos ressources les plus critiques.
Gérez tous vos appareils IoT/OT en constituant un inventaire à jour qui comprend tous vos appareils gérés et non gérés
Protégez les appareils selon une approche basée sur le risque pour identifier les risques (correctifs manquants, vulnérabilités, etc.) et hiérarchiser les correctifs en fonction de l’évaluation des risques et de la modélisation automatisée des menaces
Mettez à jour votre inventaire en supprimant les appareils superflus et en ajoutant des informations spécifiques qui soulignent les préférences de votre organisation
L’Inventaire des appareils en GA comprend les améliorations d’IU suivantes :
Amélioration | Description |
---|---|
Améliorations au niveau de la grille | - Exportez l’inventaire complet des appareils pour l’examiner en mode hors connexion et comparer les notes avec vos équipes - Supprimez les appareils superflus qui n’existent plus ou qui ne sont plus fonctionnels - Fusionnez des appareils pour ajuster la liste d’appareils si le capteur a découvert des entités réseau distinctes associées à un seul et même appareil. Par exemple, un PLC avec quatre cartes réseau, un ordinateur portable avec Wi-Fi et carte réseau physique ou une station de travail unique dotée de plusieurs cartes réseau. - Modifiez les vues de vos tableaux pour afficher uniquement les données qui vous intéressent |
Améliorations au niveau de l’appareil | - Modifiez les informations sur un appareil en annotant des informations contextuelles propres à l’organisation, telles que son importance relative, des étiquettes descriptives et des informations sur sa fonction métier |
Amélioration des fonctions de filtrage et de recherche | - Exécutez des recherches approfondies sur un champ d’inventaire des appareils pour trouver rapidement les appareils les plus importants - Filtrez l’inventaire des appareils en fonction d’un champ. Par exemple, filtrez par Type pour identifier les appareils de type Industriel ou par champs d’heure pour identifier les appareils actifs et inactifs. |
Des contrôles de sécurité, de gouvernance et d’administration élaborés offrent également la possibilité d’affecter des administrateurs, ce qui permet de limiter le nombre de personnes pouvant fusionner, supprimer et modifier des appareils pour le compte d’un propriétaire.
Améliorations apportées au regroupement de l’inventaire des appareils (préversion publique)
La page Inventaire des appareils du portail Azure prend en charge de nouvelles catégories de regroupement. Vous pouvez maintenant regrouper votre inventaire des appareils par classe, source de données, emplacement, niveau Purdue, site, type, fournisseur et zone. Pour plus d’informations, consultez Afficher des informations complètes sur les appareils.
Inventaire ciblé dans l’inventaire des appareils Azure (préversion publique)
La page Inventaire des appareils du portail Azure inclut désormais une indication d’emplacement réseau pour vos appareils, afin de vous aider à cibler votre inventaire des appareils sur les appareils se trouvant dans votre étendue IoT/OT.
Consultez et filtrez les appareils définis comme locaux ou routés, en fonction de vos sous-réseaux configurés. Le filtre Emplacement réseau est activé par défaut. Ajoutez la colonne Emplacement réseau en modifiant les colonnes dans l’inventaire de l’appareil. Configurez vos sous-réseaux sur le Portail Azure ou sur votre capteur OT. Pour plus d'informations, consultez les pages suivantes :
- Gérer l’inventaire de votre appareil à partir du Portail Azure
- Configurer les paramètres de capteur OT à partir du portail Azure
- Affiner votre liste de sous-réseaux
Configurer les paramètres du capteur OT à partir du Portail Azure (préversion publique)
Pour le capteur versions 22.2.3 et ultérieures, vous pouvez maintenant configurer certains paramètres pour les capteurs connectés au cloud dans la nouvelle page Paramètres de capteur (préversion), accessible via la page Sites et capteurs du portail Azure. Par exemple :
Pour plus d’informations, consultez Définir et afficher les paramètres du capteur OT à partir du Portail Azure (préversion publique).
Alertes en disponibilité générale dans le portail Azure
La page Alertes du portail Azure est désormais en disponibilité générale. Les alertes Microsoft Defender pour IoT améliorent la sécurité et les opérations du réseau avec des informations en temps réel sur les événements détectés dans votre réseau. Les alertes sont déclenchées quand les capteurs réseau OT ou IoT Entreprise, ou encore le micro agent Defender pour IoT, détectent des changements ou des activités suspectes dans le trafic réseau qui nécessitent votre attention.
Les alertes spécifiques déclenchées par le capteur IoT Entreprise restent actuellement en préversion publique.
Pour plus d'informations, consultez les pages suivantes :
- Afficher et gérer les alertes à partir du portail Azure
- Investiguer une alerte réseau OT et y répondre
- Types et descriptions des alertes de monitoring OT
Janvier 2023
Zone de service | Mises à jour |
---|---|
Réseaux OT | Capteur version 22.3.4 : Affichage de l’état de la connectivité Azure sur les capteurs OT Capteur version 22.2.3 : Mise à jour du logiciel du capteur à partir du portail Azure |
Mettre à jour le logiciel du capteur à partir du portail Azure (préversion publique)
Pour les capteurs versions 22.2.3 et ultérieures connectés au cloud, vous pouvez désormais mettre à jour le logiciel de votre capteur directement à partir de la nouvelle page Sites et capteurs du portail Azure.
Pour plus d’informations, consultez Mettre à jour vos capteurs à partir du portail Azure.
État de connectivité Azure affiché sur les capteurs OT
Des détails sur l’état de la connectivité Azure sont désormais affichés dans la page Vue d’ensemble des capteurs réseau OT, et des erreurs s’affichent si la connexion du capteur à Azure est perdue.
Par exemple :
Pour plus d’informations, consultez Gérer des capteurs individuels et Intégrer des capteurs OT à Defender pour IoT.
Décembre 2022
Zone de service | Mises à jour |
---|---|
Réseaux OT | Nouvelle expérience d’achat pour les plans OT |
Réseaux IoT Entreprise | Alertes et recommandations du capteur IoT d’entreprise (préversion publique) |
Alertes et recommandations du capteur IoT d’entreprise (préversion publique)
Le Portail Azure fournit désormais les données de sécurité supplémentaires suivantes pour le trafic détecté par les capteurs réseau IoT d’entreprise :
Type de données | Description |
---|---|
Alertes | Le capteur réseau IoT d’entreprise déclenche désormais les alertes suivantes : - Tentative de connexion à une adresse IP malveillante connue - Demande malveillante de nom de domaine |
Recommandations | Le capteur réseau IoT d’entreprise déclenche désormais la recommandation suivante pour les appareils détectés, le cas échéant : Désactiver le protocole d’administration non sécurisé |
Pour plus d'informations, consultez les pages suivantes :
- Alertes du moteur de programme malveillant
- Afficher et gérer les alertes à partir du portail Azure
- Améliorer la posture de sécurité avec des recommandations de sécurité
- Découvrir les appareils IoT Entreprise avec un capteur réseau IoT Entreprise (préversion publique)
Nouvelle expérience d’achat pour les plans OT
La page Plans et tarification du Portail Azure inclut désormais une nouvelle expérience d’achat améliorée pour les plans Defender pour IoT pour les réseaux OT. Modifiez votre plan OT dans le Portail Azure, par exemple pour passer d’une version d’évaluation à un engagement mensuel ou annuel, ou mettre à jour le nombre d’appareils ou de sites.
Pour plus d’informations, consultez Gérer les plans OT sur les abonnements Azure.
Novembre 2022
Zone de service | Mises à jour |
---|---|
Réseaux OT | - Capteur versions 22.x et ultérieures : contrôle d’accès en fonction du site sur le Portail Azure (préversion publique) - Toutes les versions des capteurs OT : Notes de publication du nouveau logiciel de supervision OT |
Contrôle d’accès basé sur le site sur le Portail Azure (préversion publique)
Pour les versions des logiciels de capteur 22.x, Defender pour IoT prend désormais en charge le contrôle d’accès basé sur le site, qui permet aux clients de contrôler l’accès des utilisateurs aux fonctionnalités Defender pour IoT sur le Portail Azure au niveau du site.
Par exemple, appliquez les rôles Lecteur de sécurité, Administrateur de sécurité, Contributeur ou Propriétaire pour déterminer l’accès utilisateur aux ressources Azure, comme les pages Alertes, Inventaire des appareils ou Classeurs.
Pour gérer le contrôle d’accès basé sur le site, sélectionnez le site dans la page Sites et capteurs, puis le lien Gérer le contrôle d’accès au site (préversion). Par exemple :
Pour plus d’informations, consultez Gérer les utilisateurs de surveillance OT sur le Portail Azure et Rôles utilisateur Azure pour la surveillance OT et IoT d’entreprise.
Notes
Les sites, et par conséquent le contrôle d’accès basé sur le site, sont pertinents uniquement pour la surveillance des réseaux OT.
Nouvelles notes de publication des logiciels de surveillance OT
La documentation Defender pour IoT contient désormais une nouvelle page de notes de publication consacrée aux logiciels de surveillance OT, avec des détails sur nos modèles de prise en charge des versions et nos recommandations de mise à jour.
Nous continuons à mettre à jour cet article, notre page principale Nouveautés, avec de nouvelles fonctionnalités et améliorations pour les réseaux OT et IoT d’entreprise. Les nouveaux éléments répertoriés incluent des fonctionnalités locales et cloud, et sont répertoriés par mois.
En revanche, les nouvelles notes de publication des logiciels de surveillance OT répertorient uniquement les mises à jour de surveillance du réseau OT qui vous obligent à mettre à jour vos logiciels locaux. Les éléments sont répertoriés par versions principales et correctives, avec une table agrégée des versions, des dates et de la portée.
Pour plus d’informations, consultez Notes de publication des logiciels de surveillance OT.
Octobre 2022
Zone de service | Mises à jour |
---|---|
Réseaux OT | Informations de référence sur les alertes de supervision OT améliorées |
Informations de référence sur les alertes de supervision OT améliorées
Notre article de référence sur les alertes inclut désormais les détails de chaque alerte :
Catégorie d’alerte, utile lorsque vous souhaitez examiner les alertes agrégées par une activité spécifique ou configurer des règles SIEM pour générer des incidents en fonction d’activités spécifiques
Seuil d’alerte, pour les alertes pertinentes. Les seuils indiquent le point spécifique auquel une alerte est déclenchée. L’utilisateur cyberx peut modifier les seuils d’alerte en fonction des besoins à partir de la page Support du capteur.
Pour plus d’informations, consultez Types et descriptions d’alertes de supervision OT, et Catégories d’alerte prises en charge.
Septembre 2022
Zone de service | Mises à jour |
---|---|
Réseaux OT | Toutes les versions logicielles du capteur OT prises en charge : - Vulnérabilités d’appareil à partir du portail Azure - Recommandations de sécurité pour les réseaux OT Toutes les versions logicielles 22.x du capteur OT : Mises à jour des règles de pare-feu pour les connexions cloud Azure Version logicielle 22.2.7 du capteur : - Correction de bogues et stabilité améliorée Version logicielle 22.2.6 du capteur : - Correction de bogues et stabilité améliorée - Améliorations apportées à l’algorithme de classification du type d’appareil Intégration de Microsoft Sentinel : - Améliorations de l’investigation avec les entités d’appareil IoT - Mises à jour apportées à la solution Microsoft Defender pour IoT |
Recommandations de sécurité pour les réseaux OT (préversion publique)
Defender pour IoT fournit désormais des recommandations de sécurité pour aider les clients à gérer leur posture de sécurité sur les réseaux OT/IoT. Les recommandations Defender pour IoT aident les utilisateurs à établir des plans d’atténuation actionnables et hiérarchisés qui traitent les problématiques propres aux réseaux OT/IoT. Utilisez les recommandations pour réduire les risques et la surface d’attaque de votre réseau.
Vous pouvez voir les recommandations de sécurité suivantes dans le portail Azure pour les appareils détectés sur vos réseaux :
Passer en revue le mode d’exploitation PLC. Les appareils concernés par cette recommandation ont des PCL définis sur des états de mode d’exploitation non sécurisés. Pour réduire la menace d’une programmation PLC malveillante, nous vous recommandons de définir le mode d’exploitation PLC sur l’état Exécution sécurisée si l’accès à ce PLC n’est plus nécessaire.
Examiner les appareils non autorisés. Les appareils concernés par cette recommandation doivent être identifiés et autorisés dans le cadre de la base de référence du réseau. Nous vous recommandons d’effectuer une action pour identifier tous les appareils indiqués. Déconnectez tous les appareils de votre réseau qui restent inconnus même après investigation, afin de réduire la menace des appareils non fiables ou potentiellement malveillants.
Accédez aux recommandations de sécurité à partir de l’un des emplacements suivants :
La page Recommandations, qui affiche toutes les recommandations actuelles sur tous les appareils OT détectés.
L’onglet Recommandations dans une page de détails d’appareil affiche toutes les recommandations actuelles pour l’appareil sélectionné.
À partir de l’un ou l’autre de ces emplacements, sélectionnez une recommandation pour l’explorer plus en détail et voir les listes de tous les appareils OT détectés qui sont actuellement dans un état sain ou non sain, selon la recommandation sélectionnée. Sous l’onglet Appareils non sains ou Appareils sains, sélectionnez un lien d’appareil pour accéder à la page de détails de l’appareil sélectionné. Par exemple :
Pour plus d’informations, consultez Afficher l’inventaire des appareils et Améliorer la posture de sécurité avec les recommandations de sécurité.
Vulnérabilités d’appareil à partir du portail Azure (préversion publique)
Defender pour IoT fournit désormais les données sur les vulnérabilités dans le portail Azure pour les appareils réseau OT détectés. Les données sur les vulnérabilités sont basées sur le référentiel des données de vulnérabilité normalisées qui sont documentées dans la base de données américaine National Vulnerability Database (NVD).
Accédez aux données sur les vulnérabilités dans le portail Azure à partir des emplacements suivants :
Dans la page de détails d’un appareil, sélectionnez l’onglet Vulnérabilités pour afficher les vulnérabilités actuelles concernant l’appareil sélectionné. Par exemple, dans la page Inventaire des appareils, sélectionnez un appareil spécifique, puis sélectionnez Vulnérabilités.
Pour plus d’informations, consultez Afficher l’inventaire des appareils.
Un nouveau classeur Vulnérabilités affiche les données sur les vulnérabilités pour tous les appareils OT supervisés. Utilisez le classeur Vulnérabilités pour voir les données telles que le CVE par gravité ou fournisseur, ainsi que les listes complètes des vulnérabilités détectées et des appareils/composants vulnérables.
Sélectionnez un élément dans les tableaux Vulnérabilités des appareils, Appareils vulnérables ou Composants vulnérables pour afficher les informations associées dans les tableaux à droite.
Par exemple :
Pour plus d’informations, consultez Utiliser des classeurs Azure Monitor dans Microsoft Defender pour IOT.
Mises à jour des règles de pare-feu pour les connexions cloud Azure (préversion publique)
Les capteurs réseau OT se connectent à Azure pour fournir des données d’appareil et d’alerte ainsi que des messages d’intégrité des capteurs, accéder aux packages de renseignement sur les menaces, etc. Les services Azure connectés incluent IoT Hub, Stockage Blob, Event Hubs et le Centre de téléchargement Microsoft.
Pour les capteurs OT avec version logicielle 22.x ou ultérieure, Defender pour IoT assure maintenant une sécurité renforcée lors de l’ajout de règles d’autorisation du trafic sortant pour les connexions à Azure. Vous pouvez désormais définir des règles d’autorisation du trafic sortant pour les connexions à Azure sans utiliser de caractères génériques.
Lorsque vous définissez des règles d’autorisation du trafic sortant pour vous connecter à Azure, vous devez activer le trafic HTTPS vers chacun des points de terminaison requis sur le port 443. Les règles d’autorisation du trafic sortant sont définies une seule fois pour tous les capteurs OT intégrés au même abonnement.
Pour les versions de capteur prises en charge, téléchargez la liste complète des points de terminaison sécurisés requis à partir des emplacements suivants dans le portail Azure :
Page d’inscription du capteur réussie : après l’intégration d’un nouveau capteur OT avec la version 22.x, la page d’inscription réussie fournit désormais des instructions pour les étapes suivantes ; elle contient notamment un lien vers les points de terminaison que vous devrez ajouter en tant que règles d’autorisation du trafic sortant sécurisé sur votre réseau. Sélectionnez le lien Télécharger les détails des points de terminaison pour télécharger le fichier JSON.
Par exemple :
Page Sites et capteurs : sélectionnez un capteur OT avec version logicielle 22.x ou ultérieure, ou sélectionnez un site avec une ou plusieurs versions de capteur prises en charge. Ensuite, sélectionnez Plus d’actions>Télécharger les détails des points de terminaison pour télécharger le fichier JSON. Par exemple :
Pour plus d'informations, consultez les pages suivantes :
- Tutoriel : prise en main de Microsoft Defender pour IoT pour la sécurité OT
- Gérer les capteurs avec Defender pour IoT dans le portail Azure
- Exigences réseau
Améliorations de l’investigation avec les entités d’appareil IoT dans Microsoft Sentinel
L’intégration de Defender pour IoT à Microsoft Sentinel prend désormais en charge une page d’entité d’appareil IoT. Lors de l’examen des incidents et du monitoring de la sécurité IoT dans Microsoft Sentinel, vous pouvez maintenant identifier vos appareils les plus sensibles et accéder directement à plus de détails sur la page d’entité de chaque appareil.
La page d’entité d’appareil IoT fournit des informations contextuelles sur un appareil IoT, avec des détails généraux sur l’appareil et les coordonnées du propriétaire de l’appareil. Les propriétaires d’appareil sont définis site par site dans la page Sites et capteurs dans Defender pour IoT.
La page d’entité d’appareil IoT peut aider à hiérarchiser la correction en fonction de l’importance de l’appareil et de son impact sur l’activité, selon le site, la zone et le capteur de chaque alerte. Par exemple :
Vous pouvez également repérer les appareils vulnérables sur la page Comportement des entités dans Microsoft Sentinel. Par exemple, examinez les cinq premiers appareils IoT avec le plus grand nombre d’alertes, ou recherchez un appareil par son adresse IP ou son nom d’appareil :
Pour plus d’informations, consultez Approfondir l’examen avec les entités d’appareil IoT et Options de gestion de site dans le portail Azure.
Mises à jour de la solution Microsoft Defender pour IoT dans le hub de contenu de Microsoft Sentinel
Ce mois-ci, nous avons publié la version 2.0 de la solution Microsoft Defender pour IoT dans le hub de contenu de Microsoft Sentinel, précédemment appelée solution Monitoring des menaces IoT/OT avec Defender pour IoT.
Les mises à jour dans cette version de la solution sont les suivantes :
Changement de nom. Si vous avez précédemment installé la solution Monitoring des menaces IoT/OT avec Defender pour IoT dans votre espace de travail Microsoft Sentinel, la solution est automatiquement renommée en Microsoft Defender pour IoT, même si vous ne mettez pas à jour la solution.
Améliorations apportées au classeur : le classeur Defender pour IoT inclut maintenant les éléments suivants :
Nouveau tableau de bord Vue d’ensemble avec des métriques clés sur l’inventaire des appareils, la détection des menaces et la posture de sécurité. Par exemple :
Nouveau tableau de bord Vulnérabilités avec des détails sur les CVE identifiés dans votre réseau et les appareils vulnérables concernés. Par exemple :
Améliorations apportées au tableau de bord Inventaire des appareils, comme l’accès aux recommandations d’appareil, les vulnérabilités et les liens directs vers les pages de détails des appareils Defender pour IoT. Le tableau de bord Inventaire des appareils dans le classeur Monitoring des menaces IoT/OT avec Defender pour IoT est entièrement aligné sur les données d’inventaire des appareils Defender pour IoT.
Mises à jour des playbooks : la solution Microsoft Defender pour IoT prend désormais en charge les fonctionnalités d’automatisation SOC suivantes grâce à de nouveaux playbooks :
Automatisation avec les détails CVE : utilisez le playbook AD4IoT-CVEAutoWorkflow pour enrichir les commentaires d’incident avec les CVE des appareils concernés basés sur les données Defender pour IoT. Les incidents sont triés et, si le CVE est critique, le propriétaire de la ressource est averti de l’incident par e-mail.
Automatisation des notifications par e-mail aux propriétaires d’appareil. Utilisez le playbook AD4IoT-SendEmailtoIoTOwner pour envoyer automatiquement un e-mail de notification au propriétaire d’un appareil concernant les nouveaux incidents détectés. Les propriétaires d’appareil peuvent ensuite répondre à l’e-mail pour mettre à jour les incidents selon les besoins. Les propriétaires d’appareil sont définis au niveau du site dans Defender pour IoT.
Automatisation des incidents sur des appareils sensibles : utilisez le playbook AD4IoT-AutoTriageIncident pour mettre à jour automatiquement la gravité d’un incident en fonction des appareils impliqués dans l’incident, ainsi que leur niveau de sensibilité ou leur importance pour votre organisation. Par exemple, tout incident impliquant un appareil sensible peut être automatiquement réaffecté à un niveau de gravité plus élevé.
Pour plus d’informations, consultez Examiner les incidents Microsoft Defender pour IoT avec Microsoft Sentinel.
Août 2022
Zone de service | Mises à jour |
---|---|
Réseaux OT | Version du logiciel du capteur 22.2.5 : version mineure avec améliorations de la stabilité Version du logiciel du capteur 22.2.4 : nouvelles colonnes d’alerte avec données d’horodatage Version du logiciel du capteur 22.1.3 : intégrité du capteur à partir du portail Azure (préversion publique) |
Nouvelles colonnes d’alerte avec données d’horodatage
À partir de la version 22.2.4 du capteur OT, les alertes Defender pour IoT du portail Azure et de la console du capteur affichent les colonnes et données suivantes :
Dernière détection. Définit la dernière fois que l’alerte a été détectée dans le réseau et remplace la colonne Heure de détection.
Première détection. Définit la première fois que l’alerte a été détectée dans le réseau.
Dernière activité. Dernière fois où l’alerte a été modifiée. Cela inclut les mises à jour manuelles en lien avec la gravité ou l’état, ou les modifications automatisées pour les mises à jour des appareils ou la déduplication des appareils/alertes.
Par défaut, les colonnes Première détection et Dernière activité ne sont pas affichées. Si besoin, ajoutez-les à votre page Alertes.
Conseil
Si vous avez l’habitude d’utiliser Microsoft Sentinel, ce type de données vous rappellera celles de vos requêtes Log Analytics. Les nouvelles colonnes d’alerte de Defender pour IoT sont mappées comme suit :
- L’heure de la Dernière détection de Defender pour IoT est semblable au paramètre EndTime de Log Analytics.
- L’heure de la Première détection de Defender pour IoT est semblable au paramètre StartTime de Log Analytics.
- L’heure de la Dernière activité de Defender pour IoT est semblable au paramètre TimeGenerated de Log Analytics. Pour plus d’informations, consultez
- Afficher les alertes dans le portail Defender pour IoT
- Afficher les alertes sur votre capteur
- Monitoring des menaces OT dans les équipes SOC de l’entreprise
Intégrité du capteur à partir du portail Azure (préversion publique)
Pour les versions 22.1.3 et ultérieures des capteurs OT, vous pouvez utiliser les nouveaux widgets d’intégrité des capteurs et les données des colonnes du tableau pour surveiller l’intégrité des capteurs directement à partir de la page Sites et capteurs du portail Azure.
Nous avons également ajouté une page détaillée qui permet d’accéder à un capteur spécifique à partir du portail Azure. Sur la page Sites et capteurs , sélectionnez un nom de capteur spécifique. La page détaillée répertorie les données de base du capteur, son intégrité et tous les paramètres appliqués à celui-ci.
Pour plus d’informations, consultez Présentation de l’intégrité des capteurs et Informations de référence sur les messages d’intégrité des capteurs.
Juillet 2022
Zone de service | Mises à jour |
---|---|
Réseaux IoT Entreprise | - Intégration d’Entreprise IoT et Defender pour point de terminaison en disponibilité générale |
Réseaux OT | Version du logiciel du capteur 22.2.4 : - Améliorations apportées à l’inventaire des appareils - Améliorations apportées à l’API d’intégration ServiceNow Version du logiciel du capteur 22.2.3 : - Mises à jour du profil matériel de l’appliance OT - Accès aux données à partir du Portail Azure - Synchronisation des alertes bidirectionnelles entre les capteurs et le Portail Azure - Connexions de capteur restaurées après la rotation des certificats - Prise en charge des améliorations du journal de diagnostic - Noms des capteurs affichés dans les onglets du navigateur Version du logiciel du capteur 22.1.7 : - Mêmes mots de passe pour les utilisateurs cyberx_host et cyberx |
Fonctionnalités cloud uniquement | - Synchronisation des incidents Microsoft Sentinel avec les alertes Defender pour IoT |
Intégration d’Entreprise IoT et Defender pour Endpoint en disponibilité générale
L’intégration d’Enterprise IoT à Microsoft Defender pour Endpoint est désormais en disponibilité générale. Avec cette mise à jour, nous avons apporté les mises à jour et améliorations suivantes :
Intégrez un plan Entreprise IoT directement à Defender pour Endpoint. Pour plus d’informations, consultez Gérer vos abonnements et la documentation Defender pour Endpoint.
Intégration transparente avec Microsoft Defender pour Endpoint pour afficher les appareils Enterprise IoT détectés et leurs alertes, vulnérabilités et recommandations associées dans le portail de sécurité Microsoft 365. Pour plus d’informations, consultez le didacticiel Entreprise IoT et la documentation Defender pour Endpoint. Vous pouvez continuer à afficher les appareils IoT d’entreprise détectés sur la page Device Inventory (Inventaire des appareils) Defender pour IoT dans le Portail Azure.
Tous les capteurs Enterprise IoT sont désormais ajoutés automatiquement au même site dans Defender pour IoT, nommé Réseau Enterprise. Lors de l’intégration d’un nouvel appareil Enterprise IoT, vous devez uniquement définir un nom de capteur et sélectionner votre abonnement, sans définir de site ou de zone.
Notes
Le capteur réseau Enterprise IoT et toutes les détections restent en préversion publique.
Mêmes mots de passe pour les utilisateurs cyberx_host et cyberx
Pendant les installations et mises à jour logicielles de surveillance des OT, un mot de passe aléatoire est attribué à l’utilisateur cyberx. Lorsque vous mettez à jour la version 10.x.x vers la version 22.1.7, le mot de passe cyberx_host est attribué avec un mot de passe identique à l’utilisateur cyberx.
Pour plus d’informations, consultez Installer le logiciel de surveillance sans agent OT et Mettre à jour le logiciel de surveillance OT Defender pour IoT.
Améliorations apportées à l’inventaire des appareils
À compter de la version 22.2.4 du capteur OT, vous pouvez désormais effectuer les actions suivantes à partir de la page Device Inventory (Inventaire des appareils) de la console de capteurs :
Fusionner les appareils en double. Vous devrez peut-être fusionner des appareils si le capteur a découvert des entités réseau distinctes associées à un seul et unique appareil. Par exemple, il peut s’agir d’un PLC avec quatre cartes réseau, d’un ordinateur portable avec Wi-Fi et carte réseau physique, ou d’une même station de travail avec plusieurs cartes réseau.
Supprimez des appareils uniques. Vous pouvez maintenant supprimer un seul appareil qui n’a pas communiqué pendant au moins 10 minutes.
Supprimez les appareils inactifs par les utilisateurs d’administration. Maintenant, tous les utilisateurs administrateurs, en plus de l’utilisateur cyberx, peuvent supprimer des appareils inactifs.
À compter de la version 22.2.4, dans la page Device Inventory (Inventaire des appareils) de la console de capteurs, la valeur Vu pour la dernière fois dans le volet Détails de l’appareil est remplacée par Activité la plus récente. Par exemple :
Pour plus d’informations, consultez Gérer l’inventaire de vos appareils OT à partir de la console de capteurs.
Améliorations apportées à l’API d’intégration ServiceNow
Le capteur OT version 22.2.4 fournit des améliorations pour l’API devicecves
, qui obtient des détails sur les CVE trouvées pour un appareil donné.
Vous pouvez maintenant ajouter l’un des paramètres suivants à votre requête pour affiner vos résultats :
- « sensorId » : affiche les résultats d’un capteur spécifique, tel que défini par l’ID de capteur donné.
- « score » : détermine un score CVE minimal à récupérer. Tous les résultats auront un score CVE égal ou supérieur à la valeur donnée. Valeur par défaut = 0.
- « deviceIds » : liste séparée par des virgules d’ID d’appareil à partir de laquelle vous souhaitez afficher les résultats. Par exemple : 1232,34,2,456
Pour plus d’informations, consultez les Informations de référence sur l’API d’intégration pour les consoles de gestion locales (préversion publique).
Mises à jour du profil matériel de l’appliance OT
Nous avons actualisé les conventions d’affectation de noms pour nos profils matériels d’appliance OT pour améliorer la transparence et la clarté.
Les nouveaux noms reflètent à la fois le type de profil, y compris Corporate, Enterprise et Production line, ainsi que la taille de stockage disque associée.
Utilisez le tableau suivant pour comprendre le mappage entre les noms de profils matériels hérités et les noms actuels utilisés dans l’installation logicielle mise à jour :
Nom hérité | Nouveau nom | Description |
---|---|---|
Entreprise | C5600 | Un environnement Corporate avec : 16 cœurs 32 Go de RAM Stockage disque de 5,6 To |
Entreprise | E1800 | Un environnement Entreprise avec : Huit cœurs 32 Go de RAM Stockage disque de 1,8 To |
SMB | L500 | Un environnement de ligne de production, avec : Quatre cœurs 8 Go de RAM Stockage disque de 500 Go |
Office | L100 | Un environnement de ligne de production, avec : Quatre cœurs 8 Go de RAM Stockage disque de 100 Go |
Renforcé | L64 | Un environnement de ligne de production, avec : Quatre cœurs 8 Go de RAM Stockage disque de 64 Go |
Nous prenons également en charge de nouveaux profils matériels d’entreprise, pour les capteurs prenant en charge à la fois les tailles de disque 500 Go et 1 To.
Pour plus d’informations, consultez De quelles appliances ai-je besoin ?
Accès PCAP à partir du Portail Azure (préversion publique)
Vous pouvez maintenant accéder aux fichiers de trafic brut, appelés fichiers de capture de paquets ou fichiers PCAP, directement à partir du Portail Azure. Cette fonctionnalité aide les ingénieurs de sécurité SOC ou OT désireux d’étudier les alertes provenant de Defender pour IoT ou de Microsoft Sentinel, en leur évitant de devoir à accéder à chaque capteur séparément.
Les fichiers PCAP sont téléchargés dans votre stockage Azure.
Pour plus d’informations, consultez Afficher et gérer les alertes à partir du Portail Azure.
Synchronisation des alertes bidirectionnelles entre les capteurs et le Portail Azure (préversion publique)
Pour les capteurs mis à jour vers la version 22.2.1, les états d’alerte et les états d’apprentissage sont désormais entièrement synchronisés entre la console de capteur et le Portail Azure. Par exemple, cela signifie que vous pouvez fermer une alerte sur le Portail Azure ou la console de capteur, et que l’état de l’alerte est mis à jour dans les deux emplacements.
Découvrez une alerte à partir du Portail Azure ou de la console de capteur pour vous assurer qu’elle n’est pas déclenchée à nouveau la prochaine fois que le même trafic réseau est détecté.
La console de capteurs est également synchronisée avec une console de gestion locale, de sorte que les états d’alerte et les états d’apprentissage restent à jour sur vos interfaces de gestion.
Pour plus d'informations, consultez les pages suivantes :
- Afficher et gérer les alertes à partir du portail Azure
- Afficher et gérer les alertes sur votre capteur
- Utiliser les alertes dans la console de gestion locale
Connexions de capteur restaurées après la rotation des certificats
À compter de la version 22.2.3, après avoir effectué une rotation de vos certificats, vos connexions de capteur sont automatiquement restaurées sur votre console de gestion locale et vous n’avez pas besoin de les reconnecter manuellement.
Pour plus d’informations, consultez Créer des certificats SSL/TLS pour les appliances OT et Gérer les certificats SSL/TLS.
Prise en charge des améliorations du journal de diagnostic (préversion publique)
À compter de la version 22.1.1 du capteur, vous avez pu télécharger un journal de diagnostic à partir de la console de capteur pour l’envoi à l’assistance lorsque vous ouvrez un ticket.
Maintenant, pour les capteurs gérés localement, vous pouvez charger ce journal de diagnostic directement sur le Portail Azure.
Conseil
Pour les capteurs connectés au cloud, à partir de la version 22.1.3 du capteur, le journal de diagnostic est automatiquement disponible pour prendre en charge lorsque vous ouvrez le ticket.
Pour plus d'informations, consultez les pages suivantes :
- Télécharger un journal de diagnostic pour la prise en charge
- Charger un journal de diagnostic pour la prise en charge
Noms des capteurs affichés dans les onglets du navigateur
À compter de la version 22.2.3 du capteur, le nom de votre capteur s’affiche sous l’onglet du navigateur, ce qui vous permet d’identifier plus facilement les capteurs avec 22.2.3.
Par exemple :
Pour plus d’informations, consultez Gérer des capteurs individuels.
Synchronisation des incidents Microsoft Sentinel avec les alertes Defender pour IoT
La solution IoT OT Threat Monitoring avec Defender pour IoT garantit désormais que les alertes dans Defender pour IoT sont mises à jour avec les modifications d’État des incidents associées de Microsoft Sentinel.
Cette synchronisation remplace tout état défini dans Defender pour IoT, dans le Portail Azure ou la console du capteur, afin que les états d’alerte correspondent à celui de l’incident associé.
Mettez à jour votre solution IoT OT Threat Monitoring avec Defender pour IoT pour utiliser la dernière prise en charge de la synchronisation, notamment le nouveau guide opérationnel AD4IoT-AutoAlertStatusSync. Après avoir mis à jour la solution, assurez-vous que vous effectuez également les étapes nécessaires pour vous assurer que le nouveau guide opérationnel fonctionne comme prévu.
Pour plus d'informations, consultez les pages suivantes :
- Tutoriel : Intégrer Defender pour IoT et Microsoft Sentinel
- Afficher et gérer les alertes sur le portail Defender pour IoT (préversion)
- Afficher les alertes sur votre capteur
Juin 2022
Logiciel de capteur version 22.1.6 : version mineure avec mises à jour de maintenance pour les composants de capteur internes
Logiciel de capteur version 22.1.5 : version mineure pour améliorer les packages d’installation TI et les mises à jour logicielles
Nous avons également récemment optimisé et amélioré notre documentation comme suit :
- Catalogue d’appliances mis à jour pour les environnements OT
- Réorganisation de la documentation pour les organisations des utilisateurs finaux
Catalogue d’appliances mis à jour pour les environnements OT
Nous avons actualisé et repensé le catalogue d’appliances prises en charge pour la supervision des environnements OT. Ces appliances prennent en charge des options de déploiement flexibles pour les environnements de toutes tailles et peuvent être utilisées pour héberger le capteur de supervision OT et les consoles de gestion locales.
Utilisez les nouvelles pages comme suit :
Découvrez quel modèle matériel convient le mieux aux besoins de votre organisation. Pour plus d’informations, consultez De quelles appliances ai-je besoin ?
Découvrez les appliances matérielles préconfigurées disponibles pour l’achat ou la configuration système requise pour les machines virtuelles. Pour plus d’informations, consultez Appliances physiques préconfigurées pour la supervision OT et Supervision OT avec des appliances virtuelles.
Pour plus d’informations sur chaque type d’appliance, utilisez la page de référence liée ou parcourez notre nouvelle section Informations de référence > Appliances de supervision OT.
Les articles de référence pour chaque type d’appliance, y compris les appliances virtuelles, incluent des étapes spécifiques pour configurer l’appliance pour la supervision OT avec Defender pour IoT. Les procédures génériques d’installation et de dépannage des logiciels sont toujours documentées dans Installation du logiciel Defender pour IoT.
Réorganisation de la documentation pour les organisations des utilisateurs finaux
Nous avons récemment réorganisé notre documentation Defender pour IoT pour les organisations des utilisateurs finaux, en mettant en évidence un chemin plus clair pour l’intégration et la prise en main.
Découvrez notre nouvelle structure qui facilite l’affichage des appareils et des ressources, la gestion des alertes, des vulnérabilités et des menaces, l’intégration à d’autres services et le déploiement et la maintenance de votre système Defender pour IoT.
Les articles nouveaux et les articles mis à jour sont les suivants :
- Bienvenue dans Microsoft Defender pour IoT pour les organisations
- Architecture de Microsoft Defender pour IoT
- Démarrage rapide : Bien démarrer avec Defender pour IoT
- Tutoriel : Installation d’un essai de Microsoft Defender pour IoT
- Tutoriel : Bien démarrer avec IoT Entreprise
Notes
Pour envoyer des commentaires sur la documentation via GitHub, faites défiler jusqu’au bas de la page et sélectionnez l’option Commentaires pour Cette page. Nous serions ravis d’avoir vos remarques !
Avril 2022
Données des propriétés de l’appareil étendues dans l’inventaire des appareils
Version du logiciel du capteur : 22.1.4
À compter des capteurs mis à jour vers la version 22.1.4, la page Inventaire des appareils du portail Azure affiche les données étendues pour les champs suivants :
- Description
- Balises
- Protocoles
- Scanneur
- Dernière activité
Pour plus d’informations, consultez Gérer l’inventaire de vos appareils à partir du portail Azure.
Mars 2022
Version du capteur : 22.1.3
- Utiliser des classeurs Azure Monitor avec Microsoft Defender pour IoT
- Disponibilité générale de la solution de surveillance des menaces OT IoT avec Defender pour IoT
- Modifier et supprimer des appareils dans le Portail Azure
- Mises à jour d’alerte d’état de clé
- Se déconnecter d’une session CLI
Utiliser des classeurs Azure Monitor avec Microsoft Defender pour IoT (préversion publique)
Les classeurs Azure Monitor fournissent des graphiques et des tableaux de bord qui reflètent visuellement vos données et sont disponibles directement dans Microsoft Defender pour IoT avec des données d’Azure Resource Graph.
Dans le Portail Azure, utilisez la nouvelle page Classeurs de Defender pour IoT pour consulter les classeurs créés par Microsoft et fournis prêts à l’emploi, ou créez vos propres classeurs personnalisés.
Pour plus d’informations, consultez Utiliser des classeurs Azure Monitor dans Microsoft Defender pour IOT.
Disponibilité générale de la solution de surveillance des menaces OT IoT avec Defender pour IoT
La solution de surveillance des menaces OT IoT avec Defender pour IoT dans Microsoft Sentinel est désormais en disponibilité générale. Dans le Portail Azure, utilisez cette solution pour vous aider à sécuriser l’ensemble de votre environnement OT, que vous ayez besoin de protéger des appareils OT existants ou de renforcer la sécurité de nouvelles innovations OT.
Pour plus d’informations, consultez la page Gestion des menaces dans les SOC d’entreprise et Didacticiel : intégrer Defender pour IOT et Sentinel.
Modifier et supprimer des appareils dans le Portail Azure (version préliminaire)
La page Inventaire des appareils dans le Portail Azure prend désormais en charge la possibilité de modifier les détails de l’appareil, tels que la sécurité, la classification, l’emplacement, etc. :
Pour plus d’informations, consultez Modifier les détails de l’appareil.
Vous pouvez uniquement supprimer des appareils de Defender pour IoT s’ils sont inactifs depuis plus de 14 jours. Pour plus d’informations, consultez Supprimer un appareil.
Mises à jour d’alerte d’état de clé (version préliminaire publique)
Defender pour IoT prend désormais en charge le protocole Rockwell pour les détections du mode d’opération PLC.
Pour le protocole Rockwell, les pages d'inventaire des appareils dans le Portail Azure et la console de capteur indiquent maintenant la clé du mode de fonctionnement et l’état d’exécution PLC, et si l’appareil est actuellement en mode sécurisé.
Si le mode de fonctionnement PLC de l’appareil passe à un mode non sécurisé, tel que Programme ou Distant, une alerte de changement de mode de fonctionnement PLC est générée.
Pour plus d’informations, consultez Gérer vos appareils IoT avec l’inventaire des appareils pour les organisations.
Se déconnecter d’une session CLI
À partir de cette version, les utilisateurs de l’interface CLI sont automatiquement déconnectés de leur session après 300 secondes inactives. Pour vous déconnecter manuellement, utilisez la nouvelle commande CLI logout
.
Pour plus d’informations, consultez Utiliser les commandes de l’interface CLI Defender pour IoT.
Février 2022
Version du logiciel du capteur : 22.1.1
- Assistant Installation du nouveau capteur
- Reconception du capteur et expérience unifiée de produit Microsoft
- Page de présentation du capteur amélioré
- Nouveau journal de diagnostic de support
- Mises à jour des alertes
- Mises à jour des alertes personnalisées
- Mises à jour de commandes CLI
- Mise à jour vers la version 22.1.x
- Nouveau modèle de connectivité et exigences du pare-feu
- Améliorations du protocole
- Options et configurations modifiées, remplacées ou supprimées
Assistant Installation du nouveau capteur
Auparavant, vous deviez utiliser des boîtes de dialogue distinctes pour charger un fichier d’activation de capteur, vérifier la configuration réseau du capteur et configurer vos certificats SSL/TLS.
Désormais, lors de l’installation d’un nouveau capteur ou d’une nouvelle version de capteur, notre assistant Installation fournit une interface rationalisée pour effectuer l’ensemble de ces tâches à partir d’un emplacement unique.
Pour plus d’informations, consultez Installation de Defender pour IoT.
Reconception du capteur et expérience unifiée de produit Microsoft
La console du capteur Defender pour IoT a été repensée afin de créer une expérience Microsoft Azure unifiée, d’améliorer et de simplifier les flux de travail.
Ces fonctionnalités sont désormais en disponibilité générale (GA). Les mises à jour incluent l’aspect général, les volets d’exploration, les options de recherche et d’action, etc. Par exemple :
Les workflows simplifiés comprennent :
La page Inventaire des appareils comprend désormais des pages d’appareil détaillées. Sélectionnez un appareil dans le tableau, puis sélectionnez Afficher tous les détails à droite.
Les propriétés mises à jour à partir de l’inventaire du capteur sont désormais mises à jour automatiquement dans l’inventaire des appareils cloud.
Les pages présentant les détails des appareils, accessibles à partir des pages Carte des appareils ou Inventaire des appareils, s’affichent en lecture seule. Pour modifier les propriétés de l’appareil, sélectionnez Modifier les propriétés en bas à gauche.
La page Exploration de données comprend désormais une fonctionnalité de création de rapports. Alors que la page Rapports a été supprimée, les utilisateurs disposant d’un accès en lecture seule peuvent afficher les mises à jour sur la page Exploration de données sans pouvoir modifier les rapports ni les paramètres.
Pour les utilisateurs administrateurs qui créent de nouveaux rapports, vous pouvez désormais activer l’option Envoyer à la console CM afin d’envoyer également le rapport à une console de gestion centralisée. Pour plus d’informations, consultez Création d’un rapport.
La zone Paramètres système a été réorganisée en plusieurs sections pour les paramètres De base, les paramètres pour la Supervision du réseau, la Gestion du capteur, les Intégrations et les Paramètres d’importation.
L’aide en ligne du capteur est désormais liée à des articles clés de la documentation Microsoft Defender pour IoT.
Les cartes Defender pour IoT incluent désormais :
Une nouvelle Vue cartographique s’affiche désormais pour les alertes et dans les pages sur les détails des appareils, indiquant l’emplacement de l’alerte ou de l’appareil dans votre environnement.
Cliquez avec le bouton droit sur un appareil de la carte pour afficher des informations contextuelles sur l’appareil, notamment les alertes associées, les données de chronologie des événements et les appareils connectés.
Sélectionnez Désactiver l’affichage des groupes de réseaux informatiques pour empêcher la possibilité de réduire les réseaux informatiques dans la carte. Cette option est activée par défaut.
L’option Vue cartographique simplifiée a été supprimée.
Nous avons également implémenté des fonctionnalités globales de disponibilité et d’accessibilité pour être conforme aux normes de Microsoft. Dans la console du capteur local, ces mises à jour incluent à la fois des thèmes d’affichage avec un contraste élevé et d’affichage normal de l’écran, ainsi que la localisation pour plus de 15 langues.
Par exemple :
Accédez aux options globales de disponibilité et d’accessibilité à partir de l’icône de Paramètres en haut à droite de l’écran :
Page de présentation du capteur améliorée
La page Tableau de bord du portail du capteur Defender pour IoT a été renommée en Vue d’ensemble. Elle inclut désormais des données qui mettent mieux en évidence les détails de déploiement du système, l’intégrité de la supervision réseau critique, les alertes les plus importantes, ainsi que les tendances et statistiques importantes.
La page de présentation sert désormais également de boîte noire permettant d’afficher l’état global de votre capteur au cas où vos connexions sortantes sont défaillantes, comme les connexions vers le portail Azure.
Créez d’autres tableaux de bord à l’aide de la page Tendances et statistiques, située sous le menu Analyser à gauche.
Nouveau journal de diagnostic de support
Vous pouvez désormais obtenir un résumé des informations sur le journal et le système qui sont ajoutées à vos tickets de support. Dans la boîte de dialogue Sauvegarde et restauration, sélectionnez Diagnostics de ticket de support.
Pour plus d’informations, consultez Télécharger un journal de diagnostic pour le support
Mises à jour des alertes
À partir du portail Azure :
Les alertes sont désormais disponibles dans Defender pour IoT dans le portail Azure. Utilisez des alertes pour améliorer la sécurité et le fonctionnement de votre réseau IoT/OT.
La nouvelle page Alertes est actuellement en préversion publique. Elle fournit les éléments suivants :
- Affichage agrégé et en temps réel des menaces détectées par les capteurs réseau.
- Étapes de correction pour les appareils et les processus réseau.
- Diffusion en continu des alertes vers Microsoft Sentinel pour assister votre équipe SOC.
- Stockage des alertes pendant 90 jours à partir de la première détection.
- Outils permettant d’examiner l’activité de source et de destination, la gravité et l’état de l’alerte, les informations MITRE ATT&CK, ainsi que les informations contextuelles sur l’alerte.
Par exemple :
Dans la console du capteur :
Dans la console du capteur, la page Alertes affiche désormais des détails sur les alertes détectées par les capteurs configurés avec une connexion cloud à Defender pour IoT sur Azure. Les utilisateurs qui utilisent des alertes à la fois dans Azure et localement doivent comprendre comment les alertes sont gérées entre le portail Azure et les composants locaux.
Autres mises à jour des alertes :
Accédez aux données contextuelles pour chaque alerte, comme les événements qui se sont produits à peu près en même temps ou une carte des appareils connectés. Les cartes d’appareils connectés sont disponibles uniquement pour les alertes de la console de capteur.
Les États d’alerte sont mis à jour. Ils incluent désormais, par exemple, un état Fermé au lieu de Reconnu.
Stockage des alertes pendant 90 jours à partir de la première détection.
Alerte de l’activité de sauvegarde avec signatures antivirus. Ce nouvel avertissement d’alerte est déclenché pour le trafic détecté entre un appareil source et un serveur de sauvegarde de destination. Il s’agit souvent d’une activité de sauvegarde légitime. Les alertes de logiciels malveillants critiques ou majeures ne sont plus déclenchées pour une activité de ce type.
Pendant les mises à niveau, les alertes de la console de capteur qui sont actuellement archivées sont supprimées. Les alertes épinglées ne sont plus prises en charge. Par conséquent, les épingles sont supprimées pour les alertes de la console de capteur le cas échéant.
Pour plus d’informations, consultez Afficher les alertes sur votre capteur.
Mises à jour des alertes personnalisées
La page Règles d’alerte personnalisées de la console du capteur fournit désormais les éléments suivants :
Informations sur le nombre d’accès dans le tableau des Règles d’alerte personnalisées, avec aperçu rapide des détails sur le nombre d’alertes déclenchées au cours de la dernière semaine pour chaque règle que vous avez créée.
Possibilité de planifier l’exécution de règles d’alerte personnalisées en dehors des heures de travail normales.
Possibilité d’émettre des alertes sur n’importe quel champ pouvant être extrait d’un protocole à l’aide du moteur DPI.
Prise en charge complète des protocoles lors de la création de règles personnalisées et prise en charge d’une large gamme de variables de protocole associées.
Pour plus d’informations, consultez Créer des règles d’alerte personnalisées sur un capteur OT.
Mises à jour de commandes CLI
L’installation du logiciel du capteur Defender pour IoT est désormais conteneurisée. Avec le capteur qui est désormais conteneurisé, vous pouvez utiliser l’utilisateur cyberx_host pour examiner les problèmes liés aux autres conteneurs ou au système d’exploitation, ou pour envoyer des fichiers via FTP.
Cet utilisateur cyberx_host est disponible par défaut et se connecte à l’ordinateur hôte. Si nécessaire, récupérez le mot de passe de l’utilisateur cyberx_host à partir de la page Sites et capteurs dans Defender pour IoT.
Dans le cadre du capteur conteneurisé, les commandes CLI suivantes ont été modifiées :
Nom hérité | Remplacement |
---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
La commande CLI sudo cyberx-xsense-limit-interface-I eth0 -l value
a été supprimée. Cette commande était utilisée pour limiter la bande passante de l’interface utilisée par le capteur pour les procédures quotidiennes. Elle n’est plus prise en charge.
Pour plus d’informations, consultez Installation de Defender pour IoT, Utiliser les commandes CLI Defender pour IoT et Informations de référence sur les commandes CLI à partir de capteurs réseau OT.
Mise à jour vers la version 22.1.x
Pour utiliser toutes les dernières fonctionnalités de Defender pour IoT, veillez à mettre à jour les versions de vos logiciels de capteur vers la 22.1.x.
Si vous utilisez une version héritée, vous devrez peut-être exécuter une série de mises à jour pour accéder à la dernière version. Vous devez également mettre à jour vos règles de pare-feu et réactiver votre capteur avec un nouveau fichier d’activation.
Une fois que vous avez effectué une mise à niveau vers la version 22.1.x, le nouveau journal de mise à niveau se trouve à l’emplacement suivant. Il est accessible via le protocole SSH et l’utilisateur cyberx_host : /opt/sensor/logs/legacy-upgrade.log
.
Pour plus d’informations, consultez Mettre à jour le logiciel système OT.
Notes
La mise à niveau vers la version 22.1.x est une mise à jour importante et vous devez vous attendre à ce que le processus de mise à jour nécessite plus de temps que les mises à jour précédentes.
Nouveau modèle de connectivité et exigences du pare-feu
Defender pour IoT version 22.1. x prend en charge un nouvel ensemble de méthodes de connexion de capteur qui offrent un déploiement simplifié, une sécurité améliorée, une évolutivité et une connectivité flexible.
En plus des étapes de migration, ce nouveau modèle de connectivité requiert l’ouverture d’une nouvelle règle de pare-feu. Pour plus d'informations, consultez les pages suivantes :
- Nouvelle configuration requise du pare-feu : accès du capteur au Portail Azure.
- Architecture : méthodes de connexion de capteur
- Procédures de connexion : connectez vos capteurs à Microsoft Defender pour IoT
Améliorations du protocole
Cette version de Defender pour IoT offre une prise en charge améliorée des éléments suivants :
- Profinet DCP
- Honeywell
- Détection de point de terminaison Windows
Pour plus d’informations, consultez Microsoft Defender pour IoT - protocoles IoT, OT, ICS, et SCADA pris en charge.
Options et configurations modifiées, remplacées ou supprimées
Les options et configurations suivantes de Defender pour IoT ont été déplacées, supprimées et/ou remplacées :
Les rapports figurant auparavant sur la page Rapports s’affichent désormais sur la page Exploration de données. Vous pouvez également continuer à afficher les informations d’exploration de données directement à partir de la console de gestion locale.
La modification du nom d’un capteur géré localement est désormais prise en charge uniquement en intégrant à nouveau le capteur au portail Azure avec le nouveau nom. Il n’est plus possible de modifier le nom d’un capteur directement à partir du capteur. Pour plus d’informations, consultez Charger un nouveau fichier d’activation.