Mempertahankan paket inteligensi ancaman pada sensor jaringan OT

  • Artikel

Tim keamanan Microsoft terus menjalankan penelitian inteligensi ancaman dan kerentanan ICS milik. Penelitian keamanan menyediakan deteksi keamanan, analitik, dan respons terhadap infrastruktur dan layanan cloud Microsoft, produk dan perangkat tradisional, dan sumber daya perusahaan internal.

Pertahanan Microsoft untuk IoT secara teratur memberikan pembaruan paket inteligensi ancaman untuk sensor jaringan OT, memberikan peningkatan perlindungan dari ancaman dan wawasan yang diketahui dan relevan yang dapat membantu tim Anda melakukan triase dan memprioritaskan pemberitahuan.

Paket inteligensi ancaman berisi tanda tangan, seperti tanda tangan malware, CVE, dan konten keamanan lainnya.

Skor CVE yang ditampilkan selaras dengan skor National Vulnerability Database (NVD), dan CVSS v3 ditampilkan jika relevan. Jika tidak ada skor CVSS v3 yang relevan, skor CVSS v2 ditampilkan sebagai gantinya.

Tip

Sebaiknya pastikan bahwa sensor jaringan OT Anda selalu memiliki paket inteligensi ancaman terbaru yang diinstal sehingga Anda selalu memiliki konteks penuh ancaman sebelum lingkungan terpengaruh, dan peningkatan relevansi, akurasi, dan rekomendasi yang dapat ditindaklanjuti.

Pengumuman tentang paket baru tersedia dari blog TechCommunity kami.

Izin

Untuk melakukan prosedur dalam artikel ini, pastikan Anda memiliki:

  • Satu atau beberapa sensor OT yang di-onboard ke Azure.

  • Izin yang relevan pada portal Azure dan sensor jaringan OT atau konsol manajemen lokal yang ingin Anda perbarui.

    • Untuk mengunduh paket inteligensi ancaman dari portal Azure, Anda memerlukan akses ke portal Azure sebagai peran Pembaca Keamanan, Admin Keamanan, Kontributor, atau Pemilik.

    • Untuk mendorong pembaruan inteligensi ancaman ke sensor OT yang terhubung ke cloud dari portal Azure, Anda memerlukan akses ke portal Azure sebagai peran Admin Keamanan, Kontributor, atau Pemilik.

    • Untuk mengunggah paket inteligensi ancaman secara manual ke sensor OT atau konsol manajemen lokal, Anda memerlukan akses ke sensor OT atau konsol manajemen lokal sebagai pengguna Admin .

Untuk informasi selengkapnya, lihat Peran dan izin pengguna Azure untuk Defender untuk pengguna dan peran lokal dan Defender untuk IoT untuk pemantauan OT dengan Defender untuk IoT.

Lihat paket inteligensi ancaman terbaru

Untuk melihat paket terbaru yang tersedia dari Defender untuk IoT:

Di portal Azure, pilih Situs dan sensor Pembaruan inteligensi ancaman>(Pratinjau)>Pembaruan lokal. Detail tentang paket terbaru yang tersedia ditampilkan di panel pembaruan SENSOR TI. Misalnya:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Memperbarui paket Kecerdasan Ancaman

Perbarui paket inteligensi ancaman pada sensor OT Anda menggunakan salah satu metode berikut:

  • Memiliki pembaruan yang didorong ke sensor OT yang terhubung ke cloud secara otomatis saat dirilis.
  • Dorong pembaruan secara manual ke sensor OT yang terhubung ke cloud.
  • Unduh paket pembaruan dan unggah secara manual ke sensor OT Anda. Secara bergantian, unggah paket ke konsol manajemen lokal dan dorong pembaruan dari sana ke sensor OT yang terhubung.

Secara otomatis mendorong pembaruan ke sensor yang terhubung ke cloud

Paket inteligensi ancaman dapat diperbarui secara otomatis ke sensor yang terhubung ke cloud saat dirilis oleh Defender for IoT.

Pastikan pembaruan paket otomatis dengan onboarding sensor yang terhubung ke cloud Anda dengan opsi Pembaruan Inteligensi Ancaman Otomatis diaktifkan. Untuk informasi selengkapnya, lihat Menyetor sensor OT ke Defender for IoT.

Untuk mengubah mode pembaruan setelah Anda melakukan onboarding sensor OT:

  1. Di Defender untuk IoT pada portal Azure, pilih Situs dan sensor, lalu temukan sensor yang ingin Anda ubah.
  2. Pilih menu opsi (...) untuk Edit sensor >OT yang dipilih.
  3. Aktifkan atau alihkan opsi Pembaruan Inteligensi Ancaman Otomatis sesuai kebutuhan.

Mendorong pembaruan secara manual ke sensor yang terhubung ke cloud

Sensor yang terhubung ke cloud Anda dapat diperbarui secara otomatis dengan paket inteligensi ancaman. Namun, jika Anda ingin mengambil pendekatan yang lebih konservatif, Anda bisa mendorong paket dari Pertahanan untuk IoT ke sensor hanya ketika Anda merasa perlu saja. Mendorong pembaruan secara manual memberi Anda kemampuan untuk mengontrol kapan paket diinstal, tanpa perlu mengunduh dan kemudian mengunggahnya ke sensor Anda.

Untuk mendorong pembaruan secara manual ke satu sensor OT:

  1. Di Defender untuk IoT pada portal Azure, pilih Situs dan sensor, dan temukan sensor OT yang ingin Anda perbarui.
  2. Pilih menu opsi (...) untuk sensor yang dipilih lalu pilih Dorong pembaruan Inteligensi Ancaman.

Bidang status pembaruan Inteligensi Ancaman akan menampilkan progres pembaruan.

Untuk mendorong pembaruan secara manual ke beberapa sensor OT:

  1. Di Defender untuk IoT pada portal Azure, pilih Situs dan sensor. Temukan dan pilih sensor OT yang ingin Anda perbarui.
  2. Pilih Pembaruan inteligensi ancaman (Pratinjau)>Pembaruan jarak jauh.

Bidang status pembaruan Inteligensi Ancaman menampilkan kemajuan pembaruan untuk setiap sensor yang dipilih.

Memperbarui sensor yang dikelola secara lokal secara manual

Jika Anda bekerja dengan sensor OT yang dikelola secara lokal, Anda perlu mengunduh paket inteligensi ancaman yang diperbarui dan mengunggahnya secara manual di sensor Anda.

Jika Anda juga bekerja dengan konsol manajemen lokal, kami sarankan Anda mengunggah paket inteligensi ancaman ke konsol manajemen lokal dan mendorong pembaruan dari sana.

Tip

Opsi ini juga dapat digunakan untuk sensor yang terhubung ke cloud jika Anda tidak ingin mendorong pembaruan dari portal Azure.

Untuk mengunduh paket inteligensi ancaman:

  1. Di Defender untuk IoT di portal Azure, pilih Situs dan sensor>Pembaruan inteligensi ancaman (Pratinjau)>Pembaruan lokal.

  2. Di panel Pembaruan TI Sensor, pilih Unduh untuk mengunduh file inteligensi ancaman terbaru.

Semua file yang diunduh dari portal Azure ditandatangani oleh akar kepercayaan sehingga mesin Anda hanya menggunakan aset yang ditandatangani.

Untuk memperbarui sensor tunggal:

  1. Masuk ke sensor OT Anda lalu pilih Pengaturan sistem>Inteligensi ancaman.

  2. Di panel Inteligensi ancaman , pilih Unggah file. Misalnya:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Telusuri dan pilih paket yang akan Anda unduh dari portal Azure dan unggah ke sensor.

Untuk memperbarui beberapa sensor secara bersamaan:

  1. Masuk ke konsol manajemen lokal Anda dan pilih Pengaturan sistem.

  2. Di area Konfigurasi Mesin Sensor, pilih sensor yang ingin Anda terima paket yang diperbarui. Misalnya:

    Screenshot of where you can select which sensors you want to make changes to.

  3. Di bagian Data Inteligensi Ancaman Sensor, pilih tanda plus (+).

  4. Dalam dialog Unggah File, pilih TELUSURI FILE... untuk menelusuri dan memilih paket pembaruan. Misalnya:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Pilih TUTUP lalu SIMPAN PERUBAHAN untuk mendorong pembaruan inteligensi ancaman ke semua sensor yang dipilih.

    Screenshot of where you can save changes made to selected sensors on the management console.

Meninjau status pembaruan inteligensi ancaman

Pada setiap sensor OT, status pembaruan inteligensi ancaman dan informasi versi ditampilkan dalam pengaturan Sistem sensor Pengaturan > inteligensi ancaman .

Untuk sensor OT yang terhubung ke cloud, data inteligensi ancaman juga ditampilkan di halaman Situs dan sensor . Untuk melihat patung inteligensi ancaman dari portal Azure:

  1. Di Defender untuk IoT pada portal Azure, pilih Situs dan sensor.

  2. Temukan sensor OT tempat Anda ingin memeriksa patung inteligensi ancaman.

  3. Perhatikan nilai kolom berikut untuk sensor OT Anda:

    Nama kolom Deskripsi
    Versi Inteligensi Ancaman Penamaan versi didasarkan pada hari paket dibangun oleh Defender untuk IoT.
    Mode Inteligensi Ancaman Otomatis menunjukkan bahwa paket yang baru tersedia akan secara otomatis dipasang pada sensor saat paket tersebut dirilis oleh Pertahanan untuk IoT.

    Manual menunjukkan bahwa Anda dapat mendorong paket yang baru tersedia langsung ke sensor sesuai kebutuhan.
    Status pembaruan Inteligensi Ancaman Memperlihatkan salah satu status berikut:
    - Gagal
    - Sedang Berlangsung
    - Pembaruan Tersedia
    - Ok

Tip

Jika sensor OT yang terhubung ke cloud menunjukkan bahwa pembaruan inteligensi ancaman telah gagal, kami sarankan Anda memeriksa detail koneksi sensor Anda. Pada halaman Situs dan sensor , periksa status Sensor dan Kolom UTC terakhir yang tersambung.

Langkah berikutnya

Untuk informasi selengkapnya, lihat: