Maintain threat intelligence packages on OT network sensors
A Microsoft biztonsági csapatai folyamatosan futtatnak védett ICS-fenyegetésfelderítési és sebezhetőségi kutatásokat. A biztonsági kutatás biztonsági észlelést, elemzést és választ biztosít a Microsoft felhőinfrastruktúra és -szolgáltatások, a hagyományos termékek és eszközök, valamint a belső vállalati erőforrások számára.
A Microsoft Defender for IoT rendszeresen biztosít fenyegetésfelderítési csomagfrissítéseket az OT hálózati érzékelőkhöz, így nagyobb védelmet nyújt az ismert és releváns fenyegetések és megállapítások ellen, amelyek segíthetnek a csapatoknak a riasztások osztályozásában és rangsorolásában.
A fenyegetésfelderítési csomagok aláírásokat, például kártevő-aláírásokat, cves-eket és egyéb biztonsági tartalmakat tartalmaznak.
A CVE-pontszámok a nemzeti biztonságirés-adatbázishoz (NVD) igazodnak, és a CVSS v3-pontszámok jelennek meg, ha relevánsak. Ha nincs releváns CVSS v3-pontszám, akkor a CVSS v2 pontszáma jelenik meg.
Tipp.
Javasoljuk, hogy az OT-hálózati érzékelők mindig a legújabb fenyegetésintelligencia-csomagokkal rendelkezzenek, hogy a környezet érintettsége előtt mindig a veszély teljes kontextusa, valamint a nagyobb relevancia, pontosság és végrehajtható javaslatok legyenek telepítve.
Az új csomagokkal kapcsolatos közlemények a TechCommunity blogban érhetők el.
Permissions
A cikkben szereplő eljárások végrehajtásához győződjön meg arról, hogy rendelkezik az alábbi eljárásokkal:
Egy vagy több, az Azure-ba előkészített OT-érzékelő.
Releváns engedélyek az Azure Portalon és az esetleges ot hálózati érzékelőkön vagy a frissíteni kívánt helyszíni felügyeleti konzolon.
Ha az Azure Portalról szeretne fenyegetésfelderítési csomagokat letölteni, biztonsági olvasóként, biztonsági Rendszergazda, közreműködői vagy tulajdonosi szerepkörként kell hozzáférnie az Azure Portalhoz.
Ha az Azure Portalról szeretné leküldni a fenyegetésintelligencia-frissítéseket a felhőbe csatlakoztatott OT-érzékelőkre, biztonsági Rendszergazda, közreműködői vagy tulajdonosi szerepkörként kell hozzáférnie az Azure Portalhoz.
Ha manuálisan szeretne fenyegetésfelderítési csomagokat feltölteni az OT-érzékelőkre vagy a helyszíni felügyeleti konzolokra, hozzá kell férnie az OT-érzékelőhöz vagy a helyszíni felügyeleti konzolhoz Rendszergazda felhasználóként.
További információkért tekintse meg az Azure-beli felhasználói szerepköröket és engedélyeket az IoT-hez készült Defenderhez és a helyszíni felhasználókhoz, valamint az IoT-hez készült Defender használatával végzett ot-monitorozási szerepköröket.
A legújabb fenyegetésfelderítési csomag megtekintése
A Defender for IoT legújabb csomagjának megtekintése:
Az Azure Portalon válassza a Helyek és érzékelők>fenyegetésintelligencia-frissítés (előzetes verzió)>Helyi frissítés lehetőséget. A legújabb elérhető csomag részletei a Sensor TI frissítési panelen jelennek meg. Például:
Fenyegetésfelderítési csomagok frissítése
Frissítse a fenyegetésfelderítési csomagokat az OT-érzékelőkön az alábbi módszerek bármelyikével:
- A frissítéseket automatikusan le kell küldeni a felhőbe csatlakoztatott OT-érzékelőkre a kiadásukkor.
- Frissítések manuális leküldése a felhőalapú OT-érzékelőkre.
- Töltse le a frissítési csomagot , és töltse fel manuálisan az OT-érzékelőbe. Másik lehetőségként töltse fel a csomagot egy helyszíni felügyeleti konzolra, és küldje el a frissítéseket a csatlakoztatott OT-érzékelőknek.
Frissítések automatikus leküldése felhőalapú érzékelőkre
A fenyegetésfelderítési csomagok automatikusan frissíthetők a felhőalapú érzékelőkre az IoT-hez készült Defender kiadásával.
Gondoskodjon az automatikus csomagfrissítésről a felhőalapú érzékelő automatikus fenyegetésfelderítési Frissítések beállítás engedélyezésével történő előkészítésével. További információ: Az OT-érzékelők előkészítése a Defender for IoT-be.
A frissítési mód módosítása az OT-érzékelő előkészítése után:
- Az Azure Portalon a Defender for IoT-ben válassza a Helyek és érzékelők lehetőséget, majd keresse meg a módosítani kívánt érzékelőt.
- Válassza ki a kiválasztott OT-érzékelő> szerkesztésének beállításait (...).
- Szükség szerint kapcsolja be vagy kapcsolja ki az Automatikus fenyegetésintelligencia Frissítések beállítást.
Frissítések manuális leküldése felhőalapú érzékelőkre
A felhőalapú érzékelők automatikusan frissíthetők fenyegetésfelderítési csomagokkal. Ha azonban konzervatívabb megközelítést szeretne alkalmazni, akkor csak akkor küldhet csomagokat a Defender for IoT-ről az érzékelőkre, ha szükségesnek érzi. A frissítések manuális leküldésével szabályozhatja a csomagok telepítését anélkül, hogy le kellene töltenie, majd fel kellene töltenie az érzékelőkre.
Frissítések manuális leküldése egyetlen OT-érzékelőre:
- Az Azure Portalon a Defender for IoT-ben válassza a Helyek és érzékelők lehetőséget, és keresse meg a frissíteni kívánt OT-érzékelőt.
- Válassza ki a kiválasztott érzékelő beállításainak (...) menüjét, majd válassza a Push Threat Intelligence frissítését.
A Fenyegetésfelderítés frissítési állapotmezője megjeleníti a frissítés előrehaladását.
Frissítések manuális leküldése több OT-érzékelőre:
- Az Azure Portalon a Defender for IoT-ben válassza a Helyek és érzékelők lehetőséget. Keresse meg és válassza ki a frissíteni kívánt OT-érzékelőket.
- Válassza a Fenyegetésintelligencia-frissítések (előzetes verzió)>Távoli frissítés lehetőséget.
A Threat Intelligence frissítési állapotmezője megjeleníti az egyes kiválasztott érzékelők frissítési állapotát.
Helyileg felügyelt érzékelők manuális frissítése
Ha helyileg felügyelt OT-érzékelőkkel dolgozik, le kell töltenie a frissített fenyegetésfelderítési csomagokat, és manuálisan kell feltöltenie őket az érzékelőkre.
Ha helyszíni felügyeleti konzollal is dolgozik, javasoljuk, hogy töltse fel a fenyegetésfelderítési csomagot a helyszíni felügyeleti konzolra, és onnan küldje el a frissítést.
Tipp.
Ez a lehetőség felhőalapú érzékelőkhöz is használható, ha nem szeretné leküldeni a frissítéseket az Azure Portalról.
Fenyegetésfelderítési csomagok letöltése:
Az Azure Portalon a Defender for IoT-ben válassza a Helyek és érzékelők>fenyegetésfelderítési frissítés (előzetes verzió)>Helyi frissítés lehetőséget.
A Sensor TI frissítési panelen válassza a Letöltés lehetőséget a legújabb fenyegetésfelderítési fájl letöltéséhez.
Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.
Egyetlen érzékelő frissítése:
Jelentkezzen be az OT-érzékelőbe, majd válassza a Rendszerbeállítások>fenyegetésintelligencia lehetőséget.
A Fenyegetésfelderítés panelen válassza a Fájl feltöltése lehetőséget. Például:
Keresse meg és válassza ki az Azure Portalról letöltött csomagot, és töltse fel az érzékelőbe.
Több érzékelő egyidejű frissítése:
Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a Rendszerbeállítások lehetőséget.
Az Érzékelőmotor konfigurációja területen válassza ki a frissített csomagokat fogadni kívánt érzékelőket. Például:
A Sensor Threat Intelligence Data (Érzékelő fenyegetésfelderítési adatai ) szakaszban válassza a pluszjelet (+).
A Fájl feltöltése párbeszédpanelen válassza a BROW Standard kiadás FÁJL... lehetőséget a frissítési csomag megkereséséhez és kiválasztásához. Például:
Válassza a CLO Standard kiadás, majd a SAVE CHANGES lehetőséget a fenyegetésintelligencia frissítésének az összes kiválasztott érzékelőre való leküldéséhez.
A fenyegetésintelligencia frissítési állapotainak áttekintése
Minden EGYES OT-érzékelőn a fenyegetésintelligencia frissítési állapota és a verzióinformációk megjelennek az érzékelő rendszerbeállítások > fenyegetésintelligencia-beállításai között.
A felhőalapú ot-érzékelők esetén a fenyegetésfelderítési adatok a Webhelyek és érzékelők lapon is megjelennek. A fenyegetésfelderítési szobrok megtekintése az Azure Portalról:
Az Azure Portalon található Defender for IoT-ben válassza a Webhely és az érzékelők lehetőséget.
Keresse meg az OT-érzékelőket, ahol ellenőrizni szeretné a fenyegetésintelligencia-szobrokat.
Jegyezze fel az OT-érzékelők alábbi oszlopainak értékeit:
Column name Leírás Fenyegetésintelligencia-verzió A verzió elnevezése azon a napon alapul, amikor a csomagot a Defender for IoT készítette. Fenyegetésfelderítési mód Az automatikus beállítás azt jelzi, hogy az újonnan elérhető csomagok automatikusan települnek az érzékelőkre, amint a Defender for IoT kibocsátja őket.
A manuális adatok azt jelzik, hogy szükség esetén közvetlenül az érzékelőkre küldheti az újonnan elérhető csomagokat.Fenyegetésintelligencia frissítési állapota Az alábbi állapotok egyikét jeleníti meg:
- Failed
- Folyamatban
- Elérhető frissítés
- Oké
Tipp.
Ha egy felhőhöz csatlakoztatott OT-érzékelő azt mutatja, hogy a fenyegetésintelligencia-frissítés meghiúsult, javasoljuk, hogy ellenőrizze az érzékelő kapcsolatának adatait. A Helyek és érzékelők lapon ellenőrizze az érzékelő állapotát és az utolsó csatlakoztatott UTC-oszlopokat.
További lépések
For more information, see: