Gérer les packages de veille des menaces sur des capteurs réseau OT

  • Article

Les équipes de sécurité Microsoft mènent continuellement des recherches exclusives sur les menaces et les vulnérabilités des ICS. Les recherches en matière de sécurité assurent la détection de sécurité, l’analyse et la réponse à l’infrastructure et aux services cloud de Microsoft, aux produits et appareils traditionnels et aux ressources internes de l’entreprise.

Microsoft Defender pour IoT fournit régulièrement des mises à jour de package de veille des menaces pour les capteurs réseau OT, offrant une protection accrue contre les menaces connues et pertinentes et des insights qui peuvent aider vos équipes à trier et à classer par ordre de priorité les alertes.

Les packages de veille des menaces contiennent des signatures telles que des signatures de programmes malveillants, des CVE et d’autres contenus de sécurité.

Les scores CVE affichés sont alignés sur la base de données nationale sur les vulnérabilités (NVD) et les scores CVSS v3 sont affichés s'ils sont pertinents. S’il n’existe aucun score CVSS v3 pertinent, le score CVSS v2 est affiché à la place.

Conseil

Nous vous recommandons de vous assurer que le package de veille des menaces le plus récent est toujours installé sur vos capteurs réseau OT afin que vous disposiez toujours du contexte complet d’une menace avant qu’un environnement ne soit affecté, ainsi que d’une pertinence accrue, d’une précision et de suggestions exploitables.

Les annonces concernant les nouveaux packages sont disponibles sur notre blog TechCommunity.

Autorisations

Pour effectuer les procédures décrites dans cet article, vérifiez que vous avez bien :

  • Un ou plusieurs capteurs OT intégrés dans Azure.

  • Les autorisations appropriées sur le Portail Azure et sur tout capteur réseau OT ou toute console de gestion locale que vous souhaitez mettre à jour.

    • Pour télécharger des packages de veille des menaces à partir du Portail Azure, vous devez accéder au Portail Azure en tant que Lecteur Sécurité, Administrateur Sécurité, Contributeur ou Propriétaire.

    • Pour envoyer (push) des mises à jour de veille des menaces aux capteurs OT connectés au cloud à partir du portail Azure, vous devez accéder au portail Azure en tant qu’Administrateur de la sécurité, Contributeur ou Propriétaire.

    • Pour charger manuellement des packages de veille des menaces sur des capteurs OT ou des consoles de gestion locales, vous devez accéder au capteur OT ou à la console de gestion locale en tant qu’utilisateur Administrateur.

Pour plus d’informations, consultez Rôles d’utilisateur et autorisations Azure pour Defender pour IoT et Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

Afficher le package de veille des menaces le plus récent

Pour afficher le package le plus récent disponible à partir de Defender pour IoT :

Dans le portail Azure, sélectionnez Sites et capteurs>Mise à jour de la veille des menaces (préversion)>Mise à jour locale. Les détails sur le package le plus récent disponible sont affichés dans le volet Mise à jour de la veille des menaces du capteur. Par exemple :

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Mettre à jour des packages de renseignement sur les menaces

Mettez à jour les packages de veille des menaces sur vos capteurs OT à l’aide de l’une des méthodes suivantes :

Envoyer automatiquement les mises à jour aux capteurs OT connectés au cloud

Les packages de veille des menaces peuvent être automatiquement mis à jour sur les capteurs connectés au cloud dès qu’ils sont publiés par Defender pour IoT.

Assurez la mise à jour automatique des packages en intégrant votre capteur connecté au cloud avec l’option Mises à jour automatiques de Threat Intelligence activée. Pour plus d’informations, consultez Intégrer des capteurs OT à Defender pour IoT.

Pour modifier le mode de mise à jour après avoir intégré votre capteur OT :

  1. Dans Defender pour IoT sur le portail Azure, sélectionnez Sites et capteurs, et recherchez ensuite le capteur que vous souhaitez modifier.
  2. Sélectionnez le menu options (...) du capteur OT sélectionné >Modifier.
  3. Activez ou désactivez l’option Mises à jour automatiques de la veille des menaces si nécessaire.

Envoyer (push) manuellement les mises à jour aux capteurs OT connectés au cloud

Vos capteurs connectés au cloud peuvent être automatiquement mis à jour avec des packages de veille des menaces. Toutefois, si vous souhaitez adopter une approche plus conservatrice, vous pouvez envoyer (push) des packages aux capteurs à partir de Defender pour IoT uniquement lorsque vous estimez que cela est nécessaire. Envoyer (push) manuellement les mises à jour vous donne la possibilité de contrôler le moment où un package est installé, sans avoir à le télécharger, puis à le charger sur vos capteurs.

Pour envoyer (push) manuellement les mises à jour à un seul capteur OT :

  1. Dans Defender pour IoT sur le portail Azure, sélectionnez Sites et capteurs, et recherchez le capteur OT que vous souhaitez mettre à jour.
  2. Sélectionnez le menu options (...) du capteur sélectionné, et sélectionnez ensuite Envoyer (push) la mise à jour de la veille des menaces.

Le champ État de la mise à jour du renseignement sur les menaces affiche la progression de la mise à jour.

Pour envoyer (push) manuellement les mises à jour à plusieurs capteurs OT :

  1. Dans Defender pour IoT sur le portail Azure, sélectionnez Sites et capteurs. Recherchez et sélectionnez les capteurs OT que vous souhaitez mettre à jour.
  2. Sélectionnez Mises à jour de la veille des menaces (préversion)>Mise à jour à distance.

Le champ État de la mise à jour de la veille des menaces affiche la progression de la mise à jour pour chaque capteur sélectionné.

Mettre à jour manuellement les capteurs gérés localement

Si vous utilisez des capteurs OT gérés localement, vous devez télécharger les packages de veille des menaces mis à jour et les charger manuellement sur vos capteurs.

Si vous utilisez également une console de gestion locale, nous vous recommandons de charger le package de veille des menaces sur la console de gestion locale et d’envoyer (push) la mise à jour à partir de cette console.

Conseil

Cette option peut également être utilisée pour les capteurs connectés au cloud si vous ne souhaitez pas envoyer (push) les mises à jour à partir du Portail Azure.

Pour télécharger des packages de veille des menaces :

  1. Dans Defender pour IoT sur le portail Azure, sélectionnez Sites et capteurs>Mise à jour de la veille des menaces (préversion)>Mise à jour locale.

  2. Dans le volet Mise à jour de la veille des menaces du capteur, sélectionnez Télécharger pour télécharger le dernier fichier de veille des menaces.

Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

Pour mettre à jour un seul capteur :

  1. Connectez-vous au capteur OT, puis sélectionnez Paramètres système>Renseignement sur les menaces.

  2. Dans le volet Renseignement sur les menaces, sélectionnez Charger le fichier. Par exemple :

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Recherchez et sélectionnez le package que vous avez téléchargé à partir du portail Azure, puis chargez-le sur le capteur.

Pour mettre à jour simultanément plusieurs capteurs :

  1. Connectez-vous à votre console de gestion locale et sélectionnez Paramètres système.

  2. Dans la zone Configuration des moteurs des capteurs, sélectionnez les capteurs qui doivent recevoir les packages mis à jour. Par exemple :

    Screenshot of where you can select which sensors you want to make changes to.

  3. Dans la section Données de renseignement sur les menaces du capteur, sélectionnez le signe plus (+).

  4. Dans la boîte de dialogue Charger le fichier, sélectionnez PARCOURIR LE FICHIER... pour accéder au package de mise à jour et le sélectionner. Par exemple :

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Sélectionnez FERMER, puis ENREGISTRER LES MODIFICATIONS pour envoyer la mise à jour de renseignement sur les menaces à tous les capteurs sélectionnés.

    Screenshot of where you can save changes made to selected sensors on the management console.

Examinez l’état de la mise à jour de la veille des menaces

Sur chaque capteur OT, les informations sur l’état et la version de la mise à jour de la veille des menaces sont affichées dans les paramètres du capteur Paramètres système, paramètres>Renseignement sur les menaces.

Pour les capteurs OT connectés au cloud, les données de la veille des menaces sont également affichées dans la page Sites et capteurs. Pour afficher l’état de la veille des menaces à partir du Portail Azure :

  1. Dans Defender pour IoT sur le portail Azure, sélectionnez Site et capteurs.

  2. Localisez les capteurs OT dont vous souhaitez vérifier l’état de la veille des menaces.

  3. Notez les valeurs des colonnes suivantes pour vos capteurs OT :

    Nom de la colonne Description
    Version de Threat Intelligence Le nom de la version est basé sur le jour où le package a été généré par Defender pour IoT.
    Mode Threat Intelligence Automatique indique que les packages nouvellement disponibles seront automatiquement installés sur les capteurs au fur et à mesure de leur publication par Defender pour IoT.

    Manuel indique que vous pouvez envoyer (push) des packages nouvellement disponibles directement aux capteurs en fonction des besoins.
    État de la mise à jour Threat Intelligence Affiche l’un des états suivants :
    - Échec
    - En cours
    - Mise à jour disponible
    - OK

Conseil

Si un capteur OT connecté au cloud présente un échec de mise à jour de la veille des menaces, nous vous recommandons de vérifier les détails de la connexion de votre capteur. Dans la page Sites et capteurs, vérifiez l’État du capteur et les colonnes Dernière connexion UTC.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :