Effettuare la manutenzione sui pacchetti di intelligence per le minacce nei sensori di rete OT

I team di sicurezza Microsoft eseguono continuamente ricerche di intelligence sulle minacce ICS proprietarie e vulnerabilità. La ricerca sulla sicurezza fornisce il rilevamento della sicurezza, l'analisi e la risposta all'infrastruttura e ai servizi cloud di Microsoft, ai prodotti e ai dispositivi tradizionali e alle risorse aziendali interne.

Microsoft Defender per IoT offre regolarmente aggiornamenti dei pacchetti di intelligence per le minacce per i sensori di rete OT, offrendo una maggiore protezione da minacce note e rilevanti e informazioni dettagliate che consentono ai team di valutare e classificare in ordine di priorità gli avvisi.

I pacchetti di Intelligence per le minacce contengono firme, ad esempio firme malware, CVE e altro contenuto di sicurezza.

I punteggi CVE visualizzati sono allineati al national vulnerability database (NVD) e i punteggi CVSS v3 vengono visualizzati se pertinenti. Se non è presente alcun punteggio CVSS v3 pertinente, viene invece visualizzato il punteggio CVSS v2.

Suggerimento

È consigliabile assicurarsi che i sensori di rete OT abbiano sempre installato il pacchetto di intelligence per le minacce più recente in modo da avere sempre il contesto completo di una minaccia prima che un ambiente sia interessato e aumentare la pertinenza, l'accuratezza e le raccomandazioni praticabili.

Gli annunci sui nuovi pacchetti sono disponibili nel blog TechCommunity.

Autorizzazioni

Per eseguire le procedure descritte in questo articolo, assicurarsi di disporre di:

• Uno o più sensori OT di cui è stato eseguito l'onboarding in Azure.

• Autorizzazioni rilevanti per il portale di Azure e per tutti i sensori di rete OT o la console di gestione locale da aggiornare.

  • Per scaricare i pacchetti di Intelligence per le minacce dalla portale di Azure, è necessario accedere all'portale di Azure come ruolo con autorizzazioni di lettura per la sicurezza, Amministrazione di sicurezza, collaboratore o proprietario.

  • Per eseguire il push degli aggiornamenti di Intelligence sulle minacce ai sensori OT connessi al cloud dal portale di Azure, è necessario accedere all'portale di Azure come ruolo Security Amministrazione, Collaboratore o Proprietario.

  • Per caricare manualmente pacchetti di intelligence per le minacce in sensori OT o console di gestione locali, è necessario accedere al sensore OT o alla console di gestione locale come utente Amministrazione.

Per altre informazioni, vedere Ruoli utente e autorizzazioni di Azure per Gli utenti e i ruoli locali di Defender per IoT e per il monitoraggio OT con Defender per IoT.

Visualizzare il pacchetto di Intelligence per le minacce più recente

Per visualizzare il pacchetto più recente disponibile da Defender per IoT:

Nella portale di Azure selezionare Siti e sensori>Aggiornamento intelligence per le minacce (anteprima)>Aggiornamento locale. I dettagli sul pacchetto più recente disponibile sono visualizzati nel riquadro di aggiornamento ti sensore. Ad esempio:

Aggiornare i pacchetti di Intelligence per le minacce

Aggiornare i pacchetti di Intelligence per le minacce nei sensori OT usando uno dei metodi seguenti:

• Gli aggiornamenti vengono inviati automaticamente ai sensori OT connessi al cloud man mano che vengono rilasciati.
• Eseguire manualmente il push degli aggiornamenti ai sensori OT connessi al cloud.
• Scaricare un pacchetto di aggiornamento e caricarlo manualmente nel sensore OT. In alternativa, caricare il pacchetto in una console di gestione locale ed eseguire il push degli aggiornamenti da questa posizione a eventuali sensori OT connessi.

Eseguire automaticamente il push degli aggiornamenti ai sensori connessi al cloud

I pacchetti di Intelligence per le minacce possono essere aggiornati automaticamente ai sensori connessi al cloud man mano che vengono rilasciati da Defender per IoT.

Assicurarsi l'aggiornamento automatico dei pacchetti eseguendo l'onboarding del sensore connesso al cloud con l'opzione Automatic Threat Intelligence Aggiornamenti abilitata. Per altre informazioni, vedere Eseguire l'onboarding di sensori OT in Defender per IoT.

Per modificare la modalità di aggiornamento dopo l'onboarding del sensore OT:

1. In Defender per IoT nella portale di Azure selezionare Siti e sensori e quindi individuare il sensore che si vuole modificare.
2. Selezionare il menu delle opzioni (...) per il sensore >OT selezionato Modifica.
3. Attivare o disattivare l'opzione Automatic Threat Intelligence Aggiornamenti in base alle esigenze.

Eseguire manualmente il push degli aggiornamenti ai sensori connessi al cloud

I sensori connessi al cloud possono essere aggiornati automaticamente con i pacchetti di Intelligence per le minacce. Tuttavia, se si vuole adottare un approccio più conservativo, è possibile eseguire il push dei pacchetti da Defender per IoT ai sensori solo quando si ritiene necessario. Il push degli aggiornamenti consente di controllare manualmente quando viene installato un pacchetto, senza la necessità di scaricarlo e caricarlo nei sensori.

Per eseguire manualmente il push degli aggiornamenti a un singolo sensore OT:

1. In Defender per IoT nella portale di Azure selezionare Siti e sensori e individuare il sensore OT da aggiornare.
2. Selezionare il menu delle opzioni (...) per il sensore selezionato e quindi selezionare Push Threat Intelligence update (Push Threat Intelligence update).

Il campo Stato dell'aggiornamento di Intelligence per le minacce visualizza lo stato di avanzamento dell'aggiornamento.

Per eseguire manualmente il push degli aggiornamenti a più sensori OT:

1. In Defender per IoT nel portale di Azure selezionare Siti e sensori. Individuare e selezionare i sensori OT da aggiornare.
2. Selezionare Aggiornamenti di Intelligence per le minacce (anteprima)>Aggiornamento remoto.

Il campo Stato dell'aggiornamento di Intelligence per le minacce visualizza lo stato di avanzamento dell'aggiornamento per ogni sensore selezionato.

Aggiornare manualmente i sensori gestiti in locale

Se si lavora con sensori OT gestiti in locale, è necessario scaricare i pacchetti di Intelligence per le minacce aggiornati e caricarli manualmente nei sensori.

Se si usa anche una console di gestione locale, è consigliabile caricare il pacchetto di Intelligence per le minacce nella console di gestione locale ed eseguire il push dell'aggiornamento da questa posizione.

Suggerimento

Questa opzione può essere usata anche per i sensori connessi al cloud se non si vuole eseguire il push degli aggiornamenti dal portale di Azure.

Per scaricare i pacchetti di Intelligence per le minacce:

1. In Defender per IoT nel portale di Azure selezionare Siti e sensori>Aggiornamento intelligence sulle minacce (anteprima)>Aggiornamento locale.

2. Nel riquadro di aggiornamento di Sensor TI selezionare Scarica per scaricare il file di Intelligence per le minacce più recente.

Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.

Per aggiornare un singolo sensore:

1. Accedere al sensore OT e quindi selezionare Impostazioni di sistema Intelligence per le>minacce.

2. Nel riquadro Intelligence per le minacce selezionare Carica file. Ad esempio:

   

3. Passare a e selezionare il pacchetto scaricato dal portale di Azure e caricarlo nel sensore.

Per aggiornare più sensori contemporaneamente:

1. Accedere alla console di gestione locale e selezionare Impostazioni di sistema.

2. Nell'area Configurazione motore di sensori selezionare i sensori che si desidera ricevere i pacchetti aggiornati. Ad esempio:

   

3. Nella sezione Sensor Threat Intelligence Data (Dati di Sensor Threat Intelligence) selezionare il segno più (+).

4. Nella finestra di dialogo Carica file selezionare BROW edizione Standard FILE... per passare a e selezionare il pacchetto di aggiornamento. Ad esempio:

   

5. Selezionare CLO edizione Standard e quindi SALVA MODIFICHE per eseguire il push dell'aggiornamento di Intelligence per le minacce a tutti i sensori selezionati.

   

Esaminare gli stati di aggiornamento di Intelligence per le minacce

In ogni sensore OT, le informazioni sullo stato di aggiornamento e sulla versione di Intelligence per le minacce vengono visualizzate nelle impostazioni > di Intelligence sulle minacce del sensore.

Per i sensori OT connessi al cloud, i dati di intelligence sulle minacce vengono visualizzati anche nella pagina Siti e sensori . Per visualizzare le statue di intelligence sulle minacce dal portale di Azure:

1. In Defender per IoT nella portale di Azure selezionare Sito e sensori.

2. Individuare i sensori OT in cui si vogliono controllare le statue di intelligence per le minacce.

3. Si notino i valori delle colonne seguenti per i sensori OT:

   Nome colonna	Descrizione
   Versione di Intelligence per le minacce	La denominazione delle versioni si basa sul giorno in cui il pacchetto è stato compilato da Defender per IoT.
   Modalità intelligence per le minacce	Automatic indica che i pacchetti appena disponibili verranno installati automaticamente nei sensori man mano che vengono rilasciati da Defender per IoT. Manual indica che è possibile eseguire il push dei pacchetti appena disponibili direttamente nei sensori in base alle esigenze.
   Stato di aggiornamento di Intelligence per le minacce	Mostra uno degli stati seguenti: - Non riuscito - In corso - Aggiorna disponibile - Ok

Suggerimento

Se un sensore OT connesso al cloud indica che un aggiornamento dell'intelligence sulle minacce non è riuscito, è consigliabile controllare i dettagli della connessione del sensore. Nella pagina Siti e sensori controllare le colonne Stato sensore e Ultimo UTC connesso.

Passaggi successivi

Per altre informazioni, vedi:

• Eseguire l'onboarding dei sensori OT in Defender per IoT

• Gestire i sensori dalla console di gestione locale