Maintain threat intelligence packages on OT network sensors

  • Cikk

A Microsoft biztonsági csapatai folyamatosan futtatnak védett ICS-fenyegetésfelderítési és sebezhetőségi kutatásokat. A biztonsági kutatás biztonsági észlelést, elemzést és választ biztosít a Microsoft felhőinfrastruktúra és -szolgáltatások, a hagyományos termékek és eszközök, valamint a belső vállalati erőforrások számára.

A Microsoft Defender for IoT rendszeresen biztosít fenyegetésfelderítési csomagfrissítéseket az OT hálózati érzékelőkhöz, így nagyobb védelmet nyújt az ismert és releváns fenyegetések és megállapítások ellen, amelyek segíthetnek a csapatoknak a riasztások osztályozásában és rangsorolásában.

A fenyegetésfelderítési csomagok aláírásokat, például kártevő-aláírásokat, cves-eket és egyéb biztonsági tartalmakat tartalmaznak.

A CVE-pontszámok a nemzeti biztonságirés-adatbázishoz (NVD) igazodnak, és a CVSS v3-pontszámok jelennek meg, ha relevánsak. Ha nincs releváns CVSS v3-pontszám, akkor a CVSS v2 pontszáma jelenik meg.

Tipp.

Javasoljuk, hogy az OT-hálózati érzékelők mindig a legújabb fenyegetésintelligencia-csomagokkal rendelkezzenek, hogy a környezet érintettsége előtt mindig a veszély teljes kontextusa, valamint a nagyobb relevancia, pontosság és végrehajtható javaslatok legyenek telepítve.

Az új csomagokkal kapcsolatos közlemények a TechCommunity blogban érhetők el.

Permissions

A cikkben szereplő eljárások végrehajtásához győződjön meg arról, hogy rendelkezik az alábbi eljárásokkal:

  • Egy vagy több, az Azure-ba előkészített OT-érzékelő.

  • Releváns engedélyek az Azure Portalon és az esetleges ot hálózati érzékelőkön vagy a frissíteni kívánt helyszíni felügyeleti konzolon.

    • Ha az Azure Portalról szeretne fenyegetésfelderítési csomagokat letölteni, biztonsági olvasóként, biztonsági Rendszergazda, közreműködői vagy tulajdonosi szerepkörként kell hozzáférnie az Azure Portalhoz.

    • Ha az Azure Portalról szeretné leküldni a fenyegetésintelligencia-frissítéseket a felhőbe csatlakoztatott OT-érzékelőkre, biztonsági Rendszergazda, közreműködői vagy tulajdonosi szerepkörként kell hozzáférnie az Azure Portalhoz.

    • Ha manuálisan szeretne fenyegetésfelderítési csomagokat feltölteni az OT-érzékelőkre vagy a helyszíni felügyeleti konzolokra, hozzá kell férnie az OT-érzékelőhöz vagy a helyszíni felügyeleti konzolhoz Rendszergazda felhasználóként.

További információkért tekintse meg az Azure-beli felhasználói szerepköröket és engedélyeket az IoT-hez készült Defenderhez és a helyszíni felhasználókhoz, valamint az IoT-hez készült Defender használatával végzett ot-monitorozási szerepköröket.

A legújabb fenyegetésfelderítési csomag megtekintése

A Defender for IoT legújabb csomagjának megtekintése:

Az Azure Portalon válassza a Helyek és érzékelők>fenyegetésintelligencia-frissítés (előzetes verzió)>Helyi frissítés lehetőséget. A legújabb elérhető csomag részletei a Sensor TI frissítési panelen jelennek meg. Például:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Fenyegetésfelderítési csomagok frissítése

Frissítse a fenyegetésfelderítési csomagokat az OT-érzékelőkön az alábbi módszerek bármelyikével:

Frissítések automatikus leküldése felhőalapú érzékelőkre

A fenyegetésfelderítési csomagok automatikusan frissíthetők a felhőalapú érzékelőkre az IoT-hez készült Defender kiadásával.

Gondoskodjon az automatikus csomagfrissítésről a felhőalapú érzékelő automatikus fenyegetésfelderítési Frissítések beállítás engedélyezésével történő előkészítésével. További információ: Az OT-érzékelők előkészítése a Defender for IoT-be.

A frissítési mód módosítása az OT-érzékelő előkészítése után:

  1. Az Azure Portalon a Defender for IoT-ben válassza a Helyek és érzékelők lehetőséget, majd keresse meg a módosítani kívánt érzékelőt.
  2. Válassza ki a kiválasztott OT-érzékelő> szerkesztésének beállításait (...).
  3. Szükség szerint kapcsolja be vagy kapcsolja ki az Automatikus fenyegetésintelligencia Frissítések beállítást.

Frissítések manuális leküldése felhőalapú érzékelőkre

A felhőalapú érzékelők automatikusan frissíthetők fenyegetésfelderítési csomagokkal. Ha azonban konzervatívabb megközelítést szeretne alkalmazni, akkor csak akkor küldhet csomagokat a Defender for IoT-ről az érzékelőkre, ha szükségesnek érzi. A frissítések manuális leküldésével szabályozhatja a csomagok telepítését anélkül, hogy le kellene töltenie, majd fel kellene töltenie az érzékelőkre.

Frissítések manuális leküldése egyetlen OT-érzékelőre:

  1. Az Azure Portalon a Defender for IoT-ben válassza a Helyek és érzékelők lehetőséget, és keresse meg a frissíteni kívánt OT-érzékelőt.
  2. Válassza ki a kiválasztott érzékelő beállításainak (...) menüjét, majd válassza a Push Threat Intelligence frissítését.

A Fenyegetésfelderítés frissítési állapotmezője megjeleníti a frissítés előrehaladását.

Frissítések manuális leküldése több OT-érzékelőre:

  1. Az Azure Portalon a Defender for IoT-ben válassza a Helyek és érzékelők lehetőséget. Keresse meg és válassza ki a frissíteni kívánt OT-érzékelőket.
  2. Válassza a Fenyegetésintelligencia-frissítések (előzetes verzió)>Távoli frissítés lehetőséget.

A Threat Intelligence frissítési állapotmezője megjeleníti az egyes kiválasztott érzékelők frissítési állapotát.

Helyileg felügyelt érzékelők manuális frissítése

Ha helyileg felügyelt OT-érzékelőkkel dolgozik, le kell töltenie a frissített fenyegetésfelderítési csomagokat, és manuálisan kell feltöltenie őket az érzékelőkre.

Ha helyszíni felügyeleti konzollal is dolgozik, javasoljuk, hogy töltse fel a fenyegetésfelderítési csomagot a helyszíni felügyeleti konzolra, és onnan küldje el a frissítést.

Tipp.

Ez a lehetőség felhőalapú érzékelőkhöz is használható, ha nem szeretné leküldeni a frissítéseket az Azure Portalról.

Fenyegetésfelderítési csomagok letöltése:

  1. Az Azure Portalon a Defender for IoT-ben válassza a Helyek és érzékelők>fenyegetésfelderítési frissítés (előzetes verzió)>Helyi frissítés lehetőséget.

  2. A Sensor TI frissítési panelen válassza a Letöltés lehetőséget a legújabb fenyegetésfelderítési fájl letöltéséhez.

Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.

Egyetlen érzékelő frissítése:

  1. Jelentkezzen be az OT-érzékelőbe, majd válassza a Rendszerbeállítások>fenyegetésintelligencia lehetőséget.

  2. A Fenyegetésfelderítés panelen válassza a Fájl feltöltése lehetőséget. Például:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Keresse meg és válassza ki az Azure Portalról letöltött csomagot, és töltse fel az érzékelőbe.

Több érzékelő egyidejű frissítése:

  1. Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a Rendszerbeállítások lehetőséget.

  2. Az Érzékelőmotor konfigurációja területen válassza ki a frissített csomagokat fogadni kívánt érzékelőket. Például:

    Screenshot of where you can select which sensors you want to make changes to.

  3. A Sensor Threat Intelligence Data (Érzékelő fenyegetésfelderítési adatai ) szakaszban válassza a pluszjelet (+).

  4. A Fájl feltöltése párbeszédpanelen válassza a BROW Standard kiadás FÁJL... lehetőséget a frissítési csomag megkereséséhez és kiválasztásához. Például:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Válassza a CLO Standard kiadás, majd a SAVE CHANGES lehetőséget a fenyegetésintelligencia frissítésének az összes kiválasztott érzékelőre való leküldéséhez.

    Screenshot of where you can save changes made to selected sensors on the management console.

A fenyegetésintelligencia frissítési állapotainak áttekintése

Minden EGYES OT-érzékelőn a fenyegetésintelligencia frissítési állapota és a verzióinformációk megjelennek az érzékelő rendszerbeállítások > fenyegetésintelligencia-beállításai között.

A felhőalapú ot-érzékelők esetén a fenyegetésfelderítési adatok a Webhelyek és érzékelők lapon is megjelennek. A fenyegetésfelderítési szobrok megtekintése az Azure Portalról:

  1. Az Azure Portalon található Defender for IoT-ben válassza a Webhely és az érzékelők lehetőséget.

  2. Keresse meg az OT-érzékelőket, ahol ellenőrizni szeretné a fenyegetésintelligencia-szobrokat.

  3. Jegyezze fel az OT-érzékelők alábbi oszlopainak értékeit:

    Column name Leírás
    Fenyegetésintelligencia-verzió A verzió elnevezése azon a napon alapul, amikor a csomagot a Defender for IoT készítette.
    Fenyegetésfelderítési mód Az automatikus beállítás azt jelzi, hogy az újonnan elérhető csomagok automatikusan települnek az érzékelőkre, amint a Defender for IoT kibocsátja őket.

    A manuális adatok azt jelzik, hogy szükség esetén közvetlenül az érzékelőkre küldheti az újonnan elérhető csomagokat.
    Fenyegetésintelligencia frissítési állapota Az alábbi állapotok egyikét jeleníti meg:
    - Failed
    - Folyamatban
    - Elérhető frissítés
    - Oké

Tipp.

Ha egy felhőhöz csatlakoztatott OT-érzékelő azt mutatja, hogy a fenyegetésintelligencia-frissítés meghiúsult, javasoljuk, hogy ellenőrizze az érzékelő kapcsolatának adatait. A Helyek és érzékelők lapon ellenőrizze az érzékelő állapotát és az utolsó csatlakoztatott UTC-oszlopokat.

További lépések

For more information, see: