Novità di Microsoft Defender per IoT
Questo articolo descrive le funzionalità disponibili in Microsoft Defender per IoT, sia nelle reti OT che nelle reti IoT aziendali, sia in locale che nelle portale di Azure e per le versioni rilasciate negli ultimi nove mesi.
Le funzionalità rilasciate prima di nove mesi fa sono descritte nell'archivio Novità per Microsoft Defender per IoT per le organizzazioni. Per altre informazioni specifiche per le versioni software di monitoraggio OT, vedere note sulla versione del software di monitoraggio OT.
Nota
Le funzionalità indicate di seguito sono disponibili in ANTEPRIMA. Le condizioni supplementari per l'anteprima di Azure includono altri termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Aprile 2024
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | - Single Sign-On per la console del sensore - Rilevamento della deriva del tempo del sensore - Security update |
Single Sign-On per la console del sensore
È possibile configurare l'accesso Single Sign-On (SSO) per la console del sensore Defender per IoT usando Microsoft Entra ID. SSO consente l'accesso semplice per gli utenti dell'organizzazione, consente all'organizzazione di soddisfare gli standard di regolamento e di aumentare il comportamento di sicurezza. Con l'accesso Single Sign-On, gli utenti non necessitano di più credenziali di accesso in diversi sensori e siti.
L'uso di Microsoft Entra ID semplifica i processi di onboarding e offboarding, riduce il sovraccarico amministrativo e garantisce controlli di accesso coerenti all'interno dell'organizzazione.
Per altre informazioni, vedere Configurare l'accesso Single Sign-On per la console del sensore.
Rilevamento della deriva del tempo del sensore
Questa versione introduce un nuovo test di risoluzione dei problemi nella funzionalità dello strumento di connettività, appositamente progettato per identificare i problemi di deriva del tempo.
Una sfida comune quando si connettono sensori a Defender per IoT nella portale di Azure si verificano discrepanze nell'ora UTC del sensore, che possono causare problemi di connettività. Per risolvere questo problema, è consigliabile configurare un server NTP (Network Time Protocol) nelle impostazioni del sensore.
Security update
Questo aggiornamento risolve sei CVE, elencate nella documentazione delle funzionalità della versione 23.1.3 del software.
Febbraio 2024
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Versione 24.1.2: - Regole di eliminazione degli avvisi dalla portale di Azure (anteprima pubblica) - Avvisi incentrati in ambienti OT/IT - ID avviso ora allineato alla console di portale di Azure e sensore - Protocolli appena supportati Funzionalità cloud - Nuovo promemoria per il rinnovo delle licenze nel portale di Azure - Nuovo profilo hardware dell'appliance OT - Nuovi campi per gli ID MIB SNMP |
Regole di eliminazione degli avvisi dalla portale di Azure (anteprima pubblica)
Ora è possibile configurare le regole di eliminazione degli avvisi dal portale di Azure per indicare ai sensori OT di specificare il traffico nella rete che altrimenti attiverebbe un avviso.
- Configurare gli avvisi da eliminare specificando un titolo di avviso, un indirizzo IP/MAC, un nome host, una subnet, un sensore o un sito.
- Impostare ogni regola di eliminazione come attiva sempre o solo durante un periodo predefinito, ad esempio per una finestra di manutenzione specifica.
Suggerimento
Se attualmente si usano regole di esclusione nella console di gestione locale, è consigliabile eseguirne la migrazione alle regole di eliminazione nel portale di Azure. Per altre informazioni, vedere Eliminare gli avvisi irrilevanti.
Avvisi incentrati in ambienti OT/IT
Le organizzazioni in cui i sensori vengono distribuiti tra reti OT e IT gestiscono molti avvisi, correlati sia al traffico OT che al traffico IT. Il numero di avvisi, alcuni dei quali irrilevanti, possono causare affaticamento degli avvisi e influire sulle prestazioni complessive.
Per risolvere questi problemi, sono stati aggiornati i criteri di rilevamento di Defender per IoT per attivare automaticamente gli avvisi in base all'impatto aziendale e al contesto di rete e ridurre gli avvisi correlati all'IT a basso valore.
Per altre informazioni, vedere Avvisi incentrati in ambienti OT/IT.
ID avviso ora allineato alla console di portale di Azure e sensore
L'ID avviso nella colonna ID nella pagina Avvisi di portale di Azure ora visualizza lo stesso ID avviso della console del sensore. Altre informazioni sugli avvisi sul portale di Azure.
Nota
Se l'avviso è stato unito ad altri avvisi provenienti da sensori che hanno rilevato lo stesso avviso, il portale di Azure visualizza l'ID avviso del primo sensore che ha generato gli avvisi.
Protocolli appena supportati
Sono ora supportati questi protocolli:
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Rockwell AADvance Discover
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
Vedere l'elenco dei protocolli aggiornato.
Il profilo hardware L60 non è più supportato
Il profilo hardware L60 non è più supportato e viene rimosso dalla documentazione del supporto. I profili hardware richiedono ora almeno 100 GB (il profilo hardware minimo è ora L100).
Per eseguire la migrazione dal profilo L60 a un profilo supportato, seguire la procedura Backup e ripristino del sensore di rete OT.
Nuovo promemoria per il rinnovo delle licenze nel portale di Azure
Quando la licenza per uno o più siti OT sta per scadere, una nota è visibile nella parte superiore di Defender per IoT nella portale di Azure, ricordando di rinnovare le licenze. Per continuare a ottenere il valore di sicurezza da Defender per IoT, selezionare il collegamento nella nota per rinnovare le licenze pertinenti nel interfaccia di amministrazione di Microsoft 365. Altre informazioni sulla fatturazione di Defender per IoT.
Nuovo profilo hardware dell'appliance OT
L'appliance DELL XE4 SFF è ora supportata per i sensori OT che monitora le linee di produzione. Questo è parte del profilo hardware L500, un ambiente linea di produzione, con sei core, 8 GB di RAM e 512 GB di archiviazione su disco.
Per altre informazioni, vedere DELL XE4 SFF.
Nuovi campi per gli ID MIB SNMP
Sono stati aggiunti altri campi standard generici agli IDE MIB SNMP. Per l'elenco completo dei campi, vedere OID del sensore OT per le configurazioni SNMP manuali.
Gennaio 2024
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | L'aggiornamento del sensore in portale di Azure supporta ora la selezione di una versione specifica |
L'aggiornamento del sensore in portale di Azure supporta ora la selezione di una versione specifica
Quando si aggiorna il sensore nella portale di Azure, è ora possibile scegliere di eseguire l'aggiornamento a una delle versioni supportate precedenti (versioni diverse dalla versione più recente). In precedenza, i sensori di cui è stato eseguito l'onboarding in Microsoft Defender per IoT nel portale di Azure sono stati aggiornati automaticamente alla versione più recente.
È possibile aggiornare il sensore a una versione specifica per vari motivi, ad esempio per scopi di test o per allineare tutti i sensori alla stessa versione.
Per altre informazioni, vedere Software di monitoraggio di Update Defender per IoT OT.
| |Reti OT versione 24.1.0:
- Regole di eliminazione degli avvisi dalla portale di Azure (anteprima pubblica)|
Dicembre 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Nuova architettura per il supporto ibrido e air-gapped Versione 23.2.0: - I sensori di rete OT vengono ora eseguiti in Debian 11 - L'utente con privilegi predefinito è ora amministratore anziché supporto Funzionalità cloud: - Stati in tempo reale per gli aggiornamenti dei sensori basati sul cloud - Record di avviso semplificati nella tabella SecurityAlert |
I sensori di rete OT vengono ora eseguiti in Debian 11
Le versioni del sensore 23.2.0 vengono eseguite in un sistema operativo Debian 11 invece di Ubuntu. Debian è un sistema operativo basato su Linux ampiamente usato per i server e i dispositivi incorporati ed è noto per essere più snella rispetto ad altri sistemi operativi e la stabilità, la sicurezza e il supporto hardware completo.
L'uso di Debian come base per il software del sensore consente di ridurre il numero di pacchetti installati nei sensori, aumentando l'efficienza e la sicurezza dei sistemi.
A causa del cambio del sistema operativo, l'aggiornamento software dalla versione legacy alla versione 23.2.0 potrebbe essere più lungo e più pesante del solito.
Per altre informazioni, vedere Eseguire il backup e il ripristino di sensori di rete OT dalla console del sensore e dal software di monitoraggio OT di Update Defender per IoT.
L'utente con privilegi predefinito è ora amministratore anziché supporto
A partire dalla versione 23.2.0, l'utente con privilegi predefinito installato con nuove installazioni di sensori OT è l'utente amministratore anziché l'utente del supporto .
Ad esempio, usare l'utente amministratore con privilegi negli scenari seguenti:
Accesso a un nuovo sensore per la prima volta dopo l'installazione. Per altre informazioni, vedere Configurare e attivare il sensore OT.
Uso dell'interfaccia della riga di comando di Defender per IoT. Per altre informazioni, vedere Usare i comandi dell'interfaccia della riga di comando di Defender per IoT.
Accesso alla pagina supporto del sensore.
Importante
Se si aggiorna il software del sensore da una versione precedente alla versione 23.2.0, l'utente del supporto con privilegi viene rinominato automaticamente come amministratore. Se sono state salvate le credenziali di supporto, ad esempio negli script dell'interfaccia della riga di comando, è necessario aggiornare gli script per usare il nuovo utente amministratore.
L'utente di supporto legacy è disponibile e supportato solo nelle versioni precedenti alla 23.2.0.
Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Nuova architettura per il supporto ibrido e air-gapped
Le reti ibride e air-gapped sono comuni in molti settori, ad esempio enti pubblici, servizi finanziari o produzione industriale. Le reti air-gapped sono fisicamente separate da altre reti esterne non protette come reti aziendali o Internet e sono meno vulnerabili agli attacchi informatici. Tuttavia, le reti air-gapped non sono ancora completamente sicure, possono comunque essere violate e devono essere protette e monitorate attentamente.
Defender per IoT offre ora nuove linee guida per la connessione e il monitoraggio di reti ibride e air-gapped. Le nuove linee guida per l'architettura sono progettate per aggiungere efficienza, sicurezza e affidabilità alle operazioni SOC, con meno componenti da gestire e risolvere i problemi. La tecnologia del sensore usata nella nuova architettura consente l'elaborazione locale che mantiene i dati all'interno della propria rete, riducendo la necessità di risorse cloud e migliorando le prestazioni.
L'immagine seguente mostra un'architettura generale di esempio delle raccomandazioni per il monitoraggio e la gestione dei sistemi Defender per IoT, in cui ogni sensore OT si connette a più sistemi di gestione della sicurezza nel cloud o in locale.
In questa immagine di esempio, la comunicazione per avvisi, messaggi syslog e API viene visualizzata in una linea nera continua. La comunicazione di gestione locale viene visualizzata in una linea viola continua e la comunicazione di gestione cloud/ibrida viene visualizzata in una linea nera tratteggiata.
È consigliabile che i clienti esistenti che attualmente usano una console di gestione locale per gestire la transizione dei sensori OT alle linee guida sull'architettura aggiornate.
Per altre informazioni, vedere Distribuire la gestione dei sensori OT ibrida o air-gapped.
Ritiro della console di gestione locale
La console di gestione locale legacy non sarà disponibile per il download dopo il 1° gennaio 2025. È consigliabile passare alla nuova architettura usando l'intero spettro di API locali e cloud prima di questa data.
Le versioni dei sensori rilasciate dopo il 1° gennaio 2025 non potranno essere gestite da una console di gestione locale.
Le versioni software del sensore rilasciate tra il 1° gennaio 2024 e il 1° gennaio 2025 continueranno a supportare una versione della console di gestione locale.
I sensori air-gapped che non possono connettersi al cloud possono essere gestiti direttamente tramite la console del sensore o usando le API REST.
Per altre informazioni, vedi:
- Transizione da una console di gestione locale legacy.
- Controllo delle versioni e supporto per le versioni software locali
Stati in tempo reale per gli aggiornamenti dei sensori basati sul cloud
Quando si esegue un aggiornamento del sensore dal portale di Azure, viene visualizzata una nuova barra di stato nella colonna Versione del sensore durante il processo di aggiornamento. Man mano che l'aggiornamento procede, la barra mostra la percentuale di completamento dell'aggiornamento, che indica che il processo è in corso, non è bloccato o non è riuscito. Ad esempio:
Per altre informazioni, vedere Software di monitoraggio di Update Defender per IoT OT.
Record di avviso semplificati nella tabella SecurityAlert
Quando si esegue l'integrazione con Microsoft Sentinel, la tabella SecurityAlert di Microsoft Sentinel viene ora aggiornata immediatamente solo per le modifiche apportate allo stato e alla gravità degli avvisi. Altre modifiche negli avvisi, ad esempio l'ultimo rilevamento di un avviso esistente, vengono aggregate in diverse ore e visualizzano solo la modifica più recente apportata.
Per altre informazioni, vedere Informazioni su più record per ogni avviso.
Novembre 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Reti IoT aziendali | Protezione IoT aziendale ora inclusa nelle licenze di Microsoft 365 E5 e E5 Security |
| Reti OT | Linee guida aggiornate per l'integrazione dello stack di sicurezza |
Protezione IoT aziendale ora inclusa nelle licenze di Microsoft 365 E5 e E5 Security
La sicurezza IoT aziendale (EIoT) con Defender per IoT individua i dispositivi IoT non gestiti e offre anche un valore aggiunto per la sicurezza, tra cui monitoraggio continuo, valutazioni delle vulnerabilità e raccomandazioni personalizzate progettate appositamente per i dispositivi IoT aziendali. Perfettamente integrato con Microsoft Defender XDR, Gestione delle vulnerabilità di Microsoft Defender e Microsoft Defender per endpoint nel portale di Microsoft Defender, garantisce un approccio olistico alla protezione della rete di un'organizzazione.
Il monitoraggio di Defender per IoT EIoT è ora supportato automaticamente come parte dei piani microsoft 365 E5 (ME5) ed E5 Security, coprendo fino a cinque dispositivi per licenza utente. Ad esempio, se l'organizzazione possiede 500 licenze ME5, è possibile usare Defender per IoT per monitorare fino a 2500 dispositivi EIoT. Questa integrazione rappresenta un salto significativo verso la fortificazione dell'ecosistema IoT all'interno dell'ambiente Microsoft 365.
I clienti che hanno piani di sicurezza ME5 o E5 ma non usano ancora Defender per IoT per i dispositivi EIoT devono attivare o disattivare il supporto nel portale di Microsoft Defender.
I nuovi clienti senza un piano di sicurezza ME5 o E5 possono acquistare una licenza autonoma di Microsoft Defender per IoT - Licenza per dispositivi EIoT- come componente aggiuntivo per Microsoft Defender per endpoint P2. Acquistare licenze autonome dall'interfaccia di amministrazione Microsoft.
I clienti esistenti con piani enterprise IoT legacy e i piani ME5/E5 Security vengono passati automaticamente al nuovo metodo di licenza. Il monitoraggio IoT aziendale è ora incluso nella licenza, senza costi aggiuntivi e senza alcun elemento di azione richiesto dall'utente.
I clienti con piani enterprise IoT legacy e nessun piano di sicurezza ME5/E5 possono continuare a usare i piani esistenti fino alla scadenza dei piani.
Le licenze di valutazione sono disponibili per i clienti di Defender per Endpoint P2 come licenze autonome. Le licenze di valutazione supportano 100 dispositivi per 90 giorni.
Per altre informazioni, vedi:
- Protezione dei dispositivi IoT nell'azienda
- Abilitare la sicurezza IoT aziendale con Defender per endpoint
- Fatturazione della sottoscrizione di Defender per IoT
- Piani e prezzi di Microsoft Defender per IoT
- Blog: Sicurezza IoT aziendale con Defender per IoT ora incluso nei piani di sicurezza di Microsoft 365 E5 e E5
Linee guida aggiornate per l'integrazione dello stack di sicurezza
Defender per IoT sta aggiornando le integrazioni dello stack di sicurezza per migliorare l'affidabilità complessiva, la scalabilità e la facilità di manutenzione di varie soluzioni di sicurezza.
Se si sta integrando la soluzione di sicurezza con sistemi basati sul cloud, è consigliabile usare i connettori dati tramite Microsoft Sentinel. Per le integrazioni locali, è consigliabile configurare il sensore OT per inoltrare gli eventi syslog o usare le API defender per IoT.
Le integrazioni legacy di Aruba ClearPass, Palo Alto Panorama e Splunk sono supportate fino a ottobre 2024 usando la versione del sensore 23.1.3 e non saranno supportate nelle prossime versioni principali del software.
Per i clienti che usano metodi di integrazione legacy, è consigliabile spostare le integrazioni in nuovi metodi consigliati. Per altre informazioni, vedi:
- Integrare ClearPass con Microsoft Defender per IoT
- Integrare Palo Alto con Microsoft Defender per IoT
- Integrare Splunk con Microsoft Defender per IoT
- Integrazioni con Microsoft e servizi partner
Settembre 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Versione 23.1.3: - Risolvere i problemi di connettività del sensore OT - Accesso alla sequenza temporale degli eventi per gli utenti di sola lettura del sensore OT |
Risolvere i problemi di connettività del sensore OT
A partire dalla versione 23.1.3, i sensori OT consentono automaticamente di risolvere i problemi di connettività con il portale di Azure. Se un sensore gestito dal cloud non è connesso, viene indicato un errore nella portale di Azure nella pagina Siti e sensori e nella pagina Panoramica del sensore.
Ad esempio:
Dal sensore eseguire una delle operazioni seguenti per aprire il riquadro Risoluzione dei problemi di connettività cloud, che fornisce informazioni dettagliate sui problemi di connettività e sui passaggi di mitigazione:
- Nella pagina Panoramica selezionare il collegamento Risoluzione dei problemi nella parte superiore della pagina
- Selezionare Impostazioni di sistema Integrità > della gestione > dei sensori e risoluzione dei problemi di > connettività cloud
Per altre informazioni, vedere Controllare i problemi di connettività del sensore - cloud.
Accesso alla sequenza temporale degli eventi per gli utenti di sola lettura del sensore OT
A partire dalla versione 23.1.3, gli utenti di sola lettura nel sensore OT possono visualizzare la pagina Sequenza temporale eventi. Ad esempio:
Per altre informazioni, vedi:
- Tenere traccia dell'attività di rete e sensore con la sequenza temporale degli eventi
- Utenti e ruoli locali per il monitoraggio OT con Defender per IoT
Agosto 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Le CVE di Defender per IoT sono allineate a CVSS v3 |
Le CVE di Defender per IoT sono allineate a CVSS v3
I punteggi CVE visualizzati nel sensore OT e sul portale di Azure sono allineati al database di vulnerabilità nazionale (NVD) e a partire dall'aggiornamento di August Threat Intelligence di Defender per IoT, i punteggi CVSS v3 vengono visualizzati se pertinenti. Se non è presente alcun punteggio CVSS v3 pertinente, viene invece visualizzato il punteggio CVSS v2.
Visualizzare i dati CVE dalla portale di Azure, nella scheda Vulnerabilità del dispositivo di Defender per IoT, con le risorse disponibili con la soluzione Microsoft Sentinel o in una query di data mining sul sensore OT. Per altre informazioni, vedi:
- Effettuare la manutenzione sui pacchetti di intelligence per le minacce nei sensori di rete OT
- Visualizzare i dettagli completi del dispositivo
- Esercitazione: Analizzare e rilevare le minacce per i dispositivi IoT con Microsoft Sentinel
- Creare query di data mining
Luglio 2023
Miglioramenti all'installazione e alla configurazione dei sensori OT
Nella versione 23.1.2 sono state aggiornate le procedure guidate per l'installazione e l'installazione guidata del sensore OT in modo che siano più veloci e più semplici da usare. Gli aggiornamenti includono:
Installazione guidata: se si installa software in macchine fisiche o virtuali personalizzate, l'installazione guidata di Linux passa ora direttamente attraverso il processo di installazione senza richiedere input o dettagli.
È possibile controllare l'esecuzione dell'installazione da una workstation di distribuzione, ma è anche possibile scegliere di installare il software senza usare una tastiera o uno schermo e lasciare che l'installazione venga eseguita automaticamente. Al termine, accedere al sensore dal browser usando l'indirizzo IP predefinito.
L'installazione usa i valori predefiniti per le impostazioni di rete. Ottimizzare queste impostazioni in un secondo momento, nell'interfaccia della riga di comando come in precedenza o in una nuova procedura guidata basata su browser.
Tutti i sensori vengono installati con un utente e una password di supporto predefiniti. Modificare immediatamente la password predefinita con il primo accesso.
Configurare la configurazione iniziale nel browser: dopo l'installazione del software e la configurazione delle impostazioni di rete iniziali, continuare con la stessa procedura guidata basata su browser per attivare il sensore e definire le impostazioni del certificato SSL/TLS.
Per altre informazioni, vedere Installare e configurare il sensore OT e configurare e attivare il sensore OT.
Analizzare e ottimizzare la distribuzione
Dopo aver completato l'installazione e la configurazione iniziale, analizzare il traffico rilevato dal sensore per impostazione predefinita dalle impostazioni del sensore. Nel sensore selezionare Impostazioni>sensore Distribuzione di base>per analizzare i rilevamenti correnti. Ad esempio:
Potrebbe essere necessario ottimizzare la distribuzione, ad esempio modificare la posizione del sensore nella rete o verificare che le interfacce di monitoraggio siano connesse correttamente. Selezionare di nuovo Analizza dopo aver apportato eventuali modifiche per visualizzare lo stato di monitoraggio aggiornato.
Per altre informazioni, vedere Analizzare la distribuzione.
Configurare le interfacce monitorate tramite l'interfaccia utente grafica del sensore
Se si vogliono modificare le interfacce usate per monitorare il traffico dopo la configurazione iniziale del sensore, è ora possibile usare la nuova pagina Configurazioni dell'interfaccia delle impostazioni>del sensore per aggiornare le impostazioni anziché la procedura guidata Linux a cui si accede dall'interfaccia della riga di comando. Ad esempio:
La pagina Configurazioni dell'interfaccia mostra le stesse opzioni della scheda Configurazioni dell'interfaccia nella configurazione guidata iniziale.
Per altre informazioni, vedere Aggiornare le interfacce di monitoraggio di un sensore (configurare ERSPAN).
Utenti con privilegi semplificati
Nelle nuove installazioni di sensori della versione 23.1.2 solo l'utente con supporto con privilegi è disponibile per impostazione predefinita. Gli utenti cyberx e cyberx_host sono disponibili, ma sono disabilitati per impostazione predefinita. Se è necessario usare questi utenti, ad esempio per l'accesso all'interfaccia della riga di comando di Defender per IoT , modificare la password utente.
Nei sensori aggiornati dalle versioni precedenti alla 23.1.2, i cyberx e i cyberx_host utenti rimangono abilitati come in precedenza.
Suggerimento
Per eseguire i comandi dell'interfaccia della riga di comando disponibili solo per gli utenti cyberx o cyberx_host quando hanno eseguito l'accesso come utente del supporto , assicurarsi di accedere prima alla radice del sistema del computer host. Per altre informazioni, vedere Accedere alla radice di sistema come utente amministratore.
Eseguire la migrazione alle licenze basate sul sito
I clienti esistenti possono ora eseguire la migrazione dei piani di acquisto legacy di Defender per IoT a un piano di Microsoft 365 , in base alle licenze di Microsoft 365 basate sul sito.
Nella pagina Piani e prezzi modificare il piano e selezionare il piano di Microsoft 365 anziché il piano mensile o annuale corrente. Ad esempio:
Assicurarsi di modificare i siti pertinenti in modo che corrispondano alle dimensioni del sito appena concesse in licenza. Ad esempio:
Per altre informazioni, vedere Eseguire la migrazione da un piano OT legacy e la fatturazione della sottoscrizione di Defender per IoT.
Giugno 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Piani OT fatturati dalle licenze basate sul sito Raccomandazioni sulla sicurezza per le reti OT per password non sicure e CVE critiche |
Piani OT fatturati dalle licenze basate sul sito
A partire dal 1° giugno 2023, le licenze di Microsoft Defender per IoT per il monitoraggio OT sono disponibili per l'acquisto solo nel interfaccia di amministrazione di Microsoft 365.
Le licenze sono disponibili per i singoli siti, in base alle dimensioni dei rispettivi siti. È disponibile anche una licenza di valutazione, che copre le dimensioni di un sito di grandi dimensioni per 60 giorni.
Qualsiasi acquisto di licenze aggiuntive viene aggiornato automaticamente nel piano OT nel portale di Azure.
Quando si esegue l'onboarding di un nuovo sensore, viene richiesto di assegnare il sensore a un sito basato sulle dimensioni del sito con licenza.
I clienti esistenti possono continuare a usare qualsiasi piano OT legacy già sottoposto a onboarding in una sottoscrizione di Azure, senza apportare modifiche alle funzionalità. Non è tuttavia possibile aggiungere un nuovo piano a una nuova sottoscrizione senza una licenza corrispondente dal interfaccia di amministrazione di Microsoft 365.
Suggerimento
Un sito di Defender per IoT è una posizione fisica, ad esempio una struttura, un campus, un edificio di uffici, un ospedale, un impianto e così via. Ogni sito può contenere un numero qualsiasi di sensori di rete, che identificano i dispositivi attraverso il traffico di rete rilevato.
Per altre informazioni, vedi:
- Fatturazione della sottoscrizione di Defender per IoT
- Avviare una versione di valutazione di Microsoft Defender per IoT
- Gestire i piani OT nelle sottoscrizioni di Azure
- Onboarding di un sensore OT in Defender per IoT
Raccomandazioni sulla sicurezza per le reti OT per password non sicure e CVE critiche
Defender per IoT offre ora raccomandazioni sulla sicurezza per le password non sicure e per le CVE critiche per aiutare i clienti a gestire il comportamento di sicurezza di rete OT/IoT.
È possibile visualizzare le nuove raccomandazioni di sicurezza seguenti del portale di Azure per i dispositivi rilevati nelle reti:
Proteggere i dispositivi vulnerabili: i dispositivi con questa raccomandazione vengono rilevati con una o più vulnerabilità con gravità critica. È consigliabile seguire i passaggi elencati dal fornitore del dispositivo o dal CISA (Cybersecurity & Infrastructure Agency).
Impostare una password sicura per i dispositivi con autenticazione mancante: i dispositivi con questa raccomandazione vengono trovati senza autenticazione in base agli accessi riusciti. È consigliabile abilitare l'autenticazione e impostare una password più complessa con lunghezza minima e complessità.
Impostare una password più complessa con lunghezza minima e complessità: i dispositivi con questa raccomandazione si trovano con password deboli in base agli accessi riusciti. È consigliabile modificare la password del dispositivo in una password più complessa con lunghezza minima e complessità.
Per altre informazioni, vedere Raccomandazioni sulla sicurezza supportate.
Maggio 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Sensore versione 22.3.9: - Monitoraggio e supporto migliorati per i log dei sensori OT Versioni del sensore 22.3.x e successive: - Configurare le impostazioni di Active Directory e NTP nel portale di Azure |
Monitoraggio e supporto migliorati per i log dei sensori OT
Nella versione 22.3.9 è stata aggiunta una nuova funzionalità per raccogliere i log dal sensore OT tramite un nuovo endpoint. I dati aggiuntivi ci aiutano a risolvere i problemi dei clienti, fornendo tempi di risposta più rapidi e soluzioni e raccomandazioni più mirate. Il nuovo endpoint è stato aggiunto all'elenco degli endpoint necessari che connettono i sensori OT ad Azure.
Dopo aver aggiornato i sensori OT, scaricare l'elenco più recente degli endpoint e assicurarsi che i sensori possano accedere a tutti gli endpoint elencati.
Per altre informazioni, vedi:
Configurare le impostazioni di Active Directory e NTP nel portale di Azure
Ora è possibile configurare le impostazioni di Active Directory e NTP per i sensori OT in remoto dalla pagina Siti e sensori nel portale di Azure. Queste impostazioni sono disponibili per le versioni del sensore OT 22.3.x e successive.
Per altre informazioni, vedere Informazioni di riferimento sulle impostazioni del sensore.
Aprile 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Documentazione | Guide alla distribuzione end-to-end |
| Reti OT | Sensore versione 22.3.8: - Supporto proxy per certificati SSL/TLS client - Arricchire i dati di workstation e server Windows con uno script locale (anteprima pubblica) - Notifiche del sistema operativo risolte automaticamente - Miglioramento dell'interfaccia utente durante il caricamento di certificati SSL/TLS |
Guide alla distribuzione end-to-end
La documentazione di Defender per IoT include ora una nuova sezione Distribuisci , con un set completo di guide alla distribuzione per gli scenari seguenti:
- Distribuzione standard per il monitoraggio OT
- Distribuzione air-gapped per il monitoraggio OT con una gestione dei sensori locale
- Distribuzione IoT aziendale
Ad esempio, la distribuzione consigliata per il monitoraggio OT include i passaggi seguenti, descritti in dettaglio nei nuovi articoli:
Le istruzioni dettagliate in ogni sezione sono destinate a aiutare i clienti a ottimizzare il successo e la distribuzione per Zero Trust. Gli elementi di spostamento in ogni pagina, inclusi i grafici di flusso nella parte superiore e i collegamenti Passaggi successivi nella parte inferiore, indicano dove ci si trova nel processo, cosa è stato completato e cosa dovrebbe essere il passaggio successivo. Ad esempio:
Per altre informazioni, vedere Distribuire Defender per IoT per il monitoraggio OT.
Supporto proxy per certificati SSL/TLS client
Per i server proxy che controllano il traffico SSL/TLS è necessario un certificato SSL/TLS, ad esempio quando si usano servizi come Zscaler e Palo Alto Prisma. A partire dalla versione 22.3.8, è possibile caricare un certificato client tramite la console del sensore OT.
Per altre informazioni, vedere Configurare un proxy.
Arricchire i dati di workstation e server Windows con uno script locale (anteprima pubblica)
Usa uno script locale, disponibile nell'interfaccia utente del sensore OT, per arricchire i dati della workstation e del server di Microsoft Windows nel sensore OT. Lo script viene eseguito come utilità per rilevare i dispositivi e arricchire i dati e può essere eseguito manualmente o usando strumenti di automazione standard.
Per altre informazioni, vedere Arricchire i dati di workstation e server Windows con uno script locale.
Notifiche del sistema operativo risolte automaticamente
Dopo aver aggiornato il sensore OT alla versione 22.3.8, non vengono generate nuove notifiche sul dispositivo per le modifiche del sistema operativo. Le notifiche delle modifiche del sistema operativo esistenti vengono risolte automaticamente se non vengono ignorate o gestite in altro modo entro 14 giorni.
Per altre informazioni, vedere Risposte alle notifiche dei dispositivi
Miglioramento dell'interfaccia utente durante il caricamento di certificati SSL/TLS
Il sensore OT versione 22.3.8 include una pagina di configurazione avanzata dei certificati SSL/TLS per la definizione delle impostazioni del certificato SSL/TLS e la distribuzione di un certificato firmato dalla CA.
Per altre informazioni, vedere Gestire i certificati SSL/TLS.
Marzo 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Sensore versione 22.3.6/22.3.7: - Supporto per i dispositivi temporanei - Informazioni sul traffico DNS configurando gli elenchi di elementi consentiti - Aggiornamenti della conservazione dei dati dei dispositivi - Miglioramenti dell'interfaccia utente durante il caricamento di certificati SSL/TLS - Aggiornamenti di scadenza dei file di attivazione - Miglioramenti dell'interfaccia utente per la gestione dell'inventario dei dispositivi - Gravità aggiornata per tutti gli avvisi sospetti di attività dannose - Notifiche dei dispositivi risolte automaticamente La versione 22.3.7 include le stesse funzionalità della versione 22.3.6. Se è installata la versione 22.3.6, è consigliabile eseguire l'aggiornamento alla versione 22.3.7, che include anche importanti correzioni di bug. Funzionalità cloud: - Nuova esperienza per gli eventi imprevisti di Microsoft Sentinel per Defender per IoT |
Supporto per i dispositivi temporanei
Defender per IoT identifica ora i dispositivi temporanei come un tipo di dispositivo univoco che rappresenta i dispositivi rilevati per un breve periodo di tempo. È consigliabile esaminare attentamente questi dispositivi per comprenderne l'impatto sulla rete.
Per altre informazioni, vedere Inventario dei dispositivi Defender per IoT e Gestire l'inventario dei dispositivi dal portale di Azure.
Informazioni sul traffico DNS configurando gli elenchi di elementi consentiti
L'utente del supporto può ora ridurre il numero di avvisi Internet non autorizzati creando un elenco di nomi di dominio nel sensore OT.
Quando viene configurato un elenco di elementi consentiti DNS, il sensore controlla ogni tentativo di connettività Internet non autorizzato nell'elenco prima di attivare un avviso. Se l'FQDN del dominio è incluso nell'elenco consenti, il sensore non attiva l'avviso e consente il traffico automaticamente.
Tutti gli utenti del sensore OT possono visualizzare l'elenco dei domini DNS consentiti e dei relativi indirizzi IP risolti nei report di data mining.
Ad esempio:
Per altre informazioni, vedere Consentire connessioni Internet in una rete OT e Creare query di data mining.
Aggiornamenti della conservazione dei dati dei dispositivi
Il periodo di conservazione dei dati del dispositivo nel sensore OT e nella console di gestione locale è stato aggiornato a 90 giorni dalla data del valore Ultima attività .
Per altre informazioni, vedere Periodi di conservazione dei dati del dispositivo.
Miglioramenti dell'interfaccia utente durante il caricamento di certificati SSL/TLS
Il sensore OT versione 22.3.6 include una pagina di configurazione avanzata dei certificati SSL/TLS per la definizione delle impostazioni del certificato SSL/TLS e la distribuzione di un certificato firmato dalla CA.
Per altre informazioni, vedere Gestire i certificati SSL/TLS.
Aggiornamenti di scadenza dei file di attivazione
I file di attivazione nei sensori OT gestiti in locale rimangono ora attivati finché il piano Defender per IoT è attivo nella sottoscrizione di Azure, proprio come i file di attivazione nei sensori OT connessi al cloud.
È necessario aggiornare il file di attivazione solo se si aggiorna un sensore OT da una versione recente o si passa alla modalità di gestione del sensore, ad esempio passando da un dispositivo gestito in locale a quello connesso al cloud.
Per altre informazioni, vedere Gestire singoli sensori.
Miglioramenti dell'interfaccia utente per la gestione dell'inventario dei dispositivi
I miglioramenti seguenti sono stati aggiunti all'inventario dei dispositivi del sensore OT nella versione 22.3.6:
- Un processo più fluido per la modifica dei dettagli del dispositivo nel sensore OT. Modificare i dettagli del dispositivo direttamente dalla pagina inventario dispositivi nella console del sensore OT usando il nuovo pulsante Modifica nella barra degli strumenti nella parte superiore della pagina.
- Il sensore OT ora supporta l'eliminazione simultanea di più dispositivi .
- Le procedure per l'unione e l'eliminazione dei dispositivi includono ora messaggi di conferma visualizzati al termine dell'azione.
Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console del sensore.
Gravità aggiornata per tutti gli avvisi sospetti di attività dannose
Tutti gli avvisi con la categoria Sospetto di attività dannose hanno ora una gravità critica.
Per altre informazioni, vedere Avvisi del motore malware.
Notifiche dei dispositivi risolte automaticamente
A partire dalla versione 22.3.6, le notifiche selezionate nella pagina Mappa del dispositivo del sensore OT vengono ora risolte automaticamente se non vengono ignorate o gestite in altro modo entro 14 giorni.
Dopo aver aggiornato la versione del sensore, le notifiche Dispositivi inattivi e Nuovi dispositivi OT non vengono più visualizzate. Anche se tutte le notifiche dei dispositivi inattivi lasciate prima che l'aggiornamento vengano ignorate automaticamente, è possibile che le notifiche dei nuovi dispositivi OT legacy vengano comunque gestite. Gestire queste notifiche in base alle esigenze per rimuoverle dal sensore.
Per altre informazioni, vedere Gestire le notifiche dei dispositivi.
Nuova esperienza per gli eventi imprevisti di Microsoft Sentinel per Defender per IoT
La nuova esperienza degli eventi imprevisti di Microsoft Sentinel include funzionalità specifiche per i clienti di Defender per IoT. Gli analisti SOC che stanno analizzando OT/IoT possono ora usare i miglioramenti seguenti nelle pagine dei dettagli degli eventi imprevisti:
Visualizzare siti correlati, zone, sensori e importanza del dispositivo per comprendere meglio l'impatto aziendale e la posizione fisica di un evento imprevisto.
Esaminare una sequenza temporale aggregata dei dispositivi interessati e i dettagli del dispositivo correlati, invece di esaminare le pagine dei dettagli delle entità separate per i dispositivi correlati
Esaminare i passaggi di correzione degli avvisi OT direttamente nella pagina dei dettagli dell'evento imprevisto
Per altre informazioni, vedere Esercitazione: Analizzare e rilevare le minacce per i dispositivi IoT e Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel.
2023 febbraio
Microsoft Sentinel: Soluzione Microsoft Defender per IoT versione 2.0.2
La versione 2.0.2 della soluzione Microsoft Defender per IoT è ora disponibile nell'hub del contenuto di Microsoft Sentinel, con miglioramenti apportati alle regole di analisi per la creazione di eventi imprevisti, una pagina dei dettagli degli eventi imprevisti avanzata e miglioramenti delle prestazioni per le query sulle regole di analisi.
Per altre informazioni, vedi:
- Esercitazione: Analizzare e rilevare le minacce per i dispositivi IoT
- Versioni della soluzione Microsoft Defender per IoT in Microsoft Sentinel
Scaricare gli aggiornamenti dalla pagina Siti e sensori (anteprima pubblica)
Se si esegue un aggiornamento software locale nel sensore OT o nella console di gestione locale, la pagina Siti e sensori fornisce ora una nuova procedura guidata per scaricare i pacchetti di aggiornamento, a cui si accede tramite il menu Aggiornamento sensore (anteprima).
Ad esempio:
Gli aggiornamenti di Intelligence per le minacce sono ora disponibili solo dall'opzione Aggiornamento intelligence sulle minacce (anteprima) della pagina >Siti e sensori.
I pacchetti di aggiornamento per la console di gestione locale sono disponibili anche nella scheda Introduzione>alla console di gestione locale.
Per altre informazioni, vedi:
- Software di monitoraggio di Update Defender per IoT OT
- Aggiornare i pacchetti di Intelligence per le minacce
- Versioni del software di monitoraggio OT
Inventario dei dispositivi disponibile a livello generale nella portale di Azure
La pagina Inventario dispositivi nella portale di Azure è ora disponibile a livello generale ,offrendo una visualizzazione centralizzata in tutti i dispositivi rilevati su larga scala.
L'inventario dei dispositivi di Defender per IoT consente di identificare i dettagli relativi a dispositivi specifici, ad esempio produttore, tipo, numero di serie, firmware e altro ancora. La raccolta di dettagli sui dispositivi consente ai team di analizzare in modo proattivo le vulnerabilità che possono compromettere gli asset più critici.
Gestire tutti i dispositivi IoT/OT creando un inventario aggiornato che include tutti i dispositivi gestiti e non gestiti
Proteggere i dispositivi con un approccio basato sul rischio per identificare i rischi, ad esempio patch mancanti, vulnerabilità e definizione delle priorità delle correzioni in base al punteggio dei rischi e alla modellazione automatizzata delle minacce
Aggiornare l'inventario eliminando i dispositivi irrilevanti e aggiungendo informazioni specifiche dell'organizzazione per evidenziare le preferenze dell'organizzazione
La disponibilità generale dell'inventario dei dispositivi include i miglioramenti seguenti dell'interfaccia utente:
| Funzionalità avanzata | Descrizione |
|---|---|
| Miglioramenti a livello di griglia | - Esportare l'intero inventario dei dispositivi per esaminare offline e confrontare le note con i team - Eliminare dispositivi irrilevanti che non esistono più o non sono più funzionali - Unire i dispositivi per ottimizzare l'elenco di dispositivi se il sensore ha individuato entità di rete separate associate a un singolo dispositivo univoco. Ad esempio, un PLC con quattro schede di rete, un portatile con wi-fi e una scheda di rete fisica o una singola workstation con più schede di rete. - Modificare le visualizzazioni tabella in modo da riflettere solo i dati che si desidera visualizzare |
| Miglioramenti a livello di dispositivo | - Modificare i dettagli del dispositivo annotando i dettagli contestuali specifici dell'organizzazione, ad esempio l'importanza relativa, i tag descrittivi e le informazioni sulle funzioni aziendali |
| Miglioramenti per i filtri e la ricerca | - Eseguire ricerche approfondite in qualsiasi campo di inventario dei dispositivi per trovare rapidamente i dispositivi più importanti - Filtrare l'inventario dei dispositivi in base a qualsiasi campo. Ad esempio, filtrare in base al tipo per identificare i dispositivi industriali o i campi ora per determinare i dispositivi attivi e inattivi. |
I controlli avanzati di sicurezza, governance e amministrazione offrono anche la possibilità di assegnare amministratori, limitare gli utenti che possono unire, eliminare e modificare i dispositivi per conto di un proprietario.
Miglioramenti del raggruppamento dell'inventario dei dispositivi (anteprima pubblica)
La pagina Inventario dispositivi nella portale di Azure supporta nuove categorie di raggruppamento. È ora possibile raggruppare l'inventario dei dispositivi per classe, origine dati, posizione, livello Purdue, sito, tipo, fornitore e zona. Per altre informazioni, vedere Visualizzare i dettagli completi del dispositivo.
Inventario mirato nell'inventario dei dispositivi di Azure (anteprima pubblica)
La pagina Inventario dispositivi nella portale di Azure include ora un'indicazione della posizione di rete per i dispositivi, per concentrarsi sull'inventario dei dispositivi nei dispositivi all'interno dell'ambito IoT/OT.
Vedere e filtrare i dispositivi definiti come locali o indirizzati, in base alle subnet configurate. Il filtro Percorso di rete è attivato per impostazione predefinita. Aggiungere la colonna Percorso di rete modificando le colonne nell'inventario dei dispositivi. Configurare le subnet nel portale di Azure o nel sensore OT. Per altre informazioni, vedi:
- Gestire l'inventario dei dispositivi dal portale di Azure
- Configurare le impostazioni del sensore OT dal portale di Azure
- Ottimizzare l'elenco di subnet
Configurare le impostazioni del sensore OT dal portale di Azure (anteprima pubblica)
Per le versioni del sensore 22.2.3 e successive, è ora possibile configurare le impostazioni selezionate per i sensori connessi al cloud usando la nuova pagina Impostazioni sensore (anteprima), accessibile tramite la pagina Siti e sensori della portale di Azure. Ad esempio:
Per altre informazioni, vedere Definire e visualizzare le impostazioni del sensore OT dalla portale di Azure (anteprima pubblica).
Avvisi a livello generale nella portale di Azure
La pagina Avvisi nella portale di Azure è ora disponibile per la disponibilità generale. Gli avvisi di Microsoft Defender per IoT migliorano la sicurezza e le operazioni di rete con dettagli in tempo reale sugli eventi rilevati nella rete. Gli avvisi vengono attivati quando i sensori di rete OT o Enterprise IoT o il micro agente Defender per IoT rilevano modifiche o attività sospette nel traffico di rete che richiede attenzione.
Gli avvisi specifici attivati dal sensore Enterprise IoT rimangono attualmente in anteprima pubblica.
Per altre informazioni, vedi:
- Visualizzare e gestire gli avvisi dal portale di Azure
- Analizzare e rispondere a un avviso di rete OT
- Tipi di avviso e descrizioni di monitoraggio OT
Gennaio 2023
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Sensore versione 22.3.4: stato della connettività di Azure visualizzato nei sensori OT Sensor version 22.2.3: Update sensor software from the portale di Azure |
Aggiornare il software del sensore dal portale di Azure (anteprima pubblica)
Per le versioni del sensore connesse al cloud 22.2.3 e versioni successive, è ora possibile aggiornare il software del sensore direttamente dalla nuova pagina Siti e sensori del portale di Azure.
Per altre informazioni, vedere Aggiornare i sensori dal portale di Azure.
Stato della connettività di Azure visualizzato nei sensori OT
I dettagli sullo stato della connettività di Azure sono ora visualizzati nella pagina Panoramica nei sensori di rete OT e vengono visualizzati errori se la connessione del sensore ad Azure viene persa.
Ad esempio:
Per altre informazioni, vedere Gestire i singoli sensori ed eseguire l'onboarding di sensori OT in Defender per IoT.
Dicembre 2022
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Nuova esperienza di acquisto per i piani OT |
| Reti IoT aziendali | Avvisi e raccomandazioni per i sensori IoT aziendali (anteprima pubblica) |
Avvisi e raccomandazioni per i sensori IoT aziendali (anteprima pubblica)
Il portale di Azure fornisce ora i seguenti dati di sicurezza aggiuntivi per il traffico rilevato dai sensori di rete IoT aziendali:
| Tipo di dati | Descrizione |
|---|---|
| Avvisi | Il sensore di rete IoT aziendale attiva ora gli avvisi seguenti: - Connessione tentativo di ip dannoso noto - Richiesta di nome di dominio dannoso |
| Raccomandazioni | Il sensore di rete IoT aziendale attiva ora la raccomandazione seguente per i dispositivi rilevati, come pertinente: Disabilitare il protocollo di amministrazione non sicuro |
Per altre informazioni, vedi:
- Avvisi del motore malware
- Visualizzare e gestire gli avvisi dal portale di Azure
- Migliorare il comportamento di sicurezza con le raccomandazioni sulla sicurezza
- Individuare i dispositivi IoT aziendali con un sensore di rete IoT aziendale (anteprima pubblica)
Nuova esperienza di acquisto per i piani OT
La pagina Piani e prezzi nella portale di Azure include ora una nuova esperienza di acquisto avanzata per i piani Defender per IoT per le reti OT. Modificare il piano OT nel portale di Azure, ad esempio per modificare il piano da una versione di valutazione a un impegno mensile o annuale o aggiornare il numero di dispositivi o siti.
Per altre informazioni, vedere Gestire i piani OT nelle sottoscrizioni di Azure.
novembre 2022
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | - Versioni del sensore 22.x e successive: controllo degli accessi in base al sito nella portale di Azure (anteprima pubblica) - Tutte le versioni del sensore OT: Nuove note sulla versione del software di monitoraggio OT |
Controllo degli accessi in base al sito nel portale di Azure (anteprima pubblica)
Per le versioni del software del sensore 22.x, Defender per IoT supporta ora il controllo degli accessi in base al sito, che consente ai clienti di controllare l'accesso utente alle funzionalità di Defender per IoT sul portale di Azure a livello di sito.
Ad esempio, applicare i ruoli con autorizzazioni di lettura per la sicurezza, Amministrazione di sicurezza, collaboratore o proprietario per determinare l'accesso utente alle risorse di Azure, ad esempio avvisi, inventario dispositivi o cartelle di lavoro.
Per gestire il controllo degli accessi in base al sito, selezionare il sito nella pagina Siti e sensori e quindi selezionare il collegamento Gestisci controllo di accesso al sito (anteprima). Ad esempio:
Per altre informazioni, vedere Gestire gli utenti di monitoraggio OT nei ruoli utente di portale di Azure e Azure per il monitoraggio di OT ed Enterprise IoT.
Nota
I siti, e quindi il controllo degli accessi in base al sito, sono rilevanti solo per il monitoraggio della rete OT.
Nuove note sulla versione del software di monitoraggio OT
La documentazione di Defender per IoT include ora una nuova pagina delle note sulla versione dedicata al software di monitoraggio OT, con informazioni dettagliate sui modelli di supporto delle versioni e sulle raccomandazioni sugli aggiornamenti.
Continuiamo ad aggiornare questo articolo, la pagina principale Novità , con nuove funzionalità e miglioramenti per le reti OT e Enterprise IoT. I nuovi elementi elencati includono sia le funzionalità locali che quelle cloud e sono elencate al mese.
Al contrario, le nuove note sulla versione del software di monitoraggio OT elencano solo gli aggiornamenti di monitoraggio della rete OT che richiedono l'aggiornamento del software locale. Gli elementi sono elencati in base alle versioni principali e patch, con una tabella aggregata di versioni, date e ambito.
Per altre informazioni, vedere Note sulla versione del software di monitoraggio OT.
Ottobre 2022
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Informazioni di riferimento avanzate sugli avvisi di monitoraggio OT |
Informazioni di riferimento avanzate sugli avvisi di monitoraggio OT
L'articolo di riferimento per gli avvisi include ora i dettagli seguenti per ogni avviso:
Categoria di avvisi, utile quando si desidera analizzare gli avvisi aggregati da un'attività specifica o configurare regole SIEM per generare eventi imprevisti in base a attività specifiche
Soglia di avviso, per gli avvisi pertinenti. Le soglie indicano il punto specifico in cui viene attivato un avviso. L'utente cyberx può modificare le soglie di avviso in base alle esigenze dalla pagina Supporto del sensore.
Per altre informazioni, vedere Tipi di avviso e descrizioni di monitoraggio OT e Categorie di avviso supportate.
Settembre 2022
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Tutte le versioni del software del sensore OT supportate: - Vulnerabilità del dispositivo dal portale di Azure - Raccomandazioni sulla sicurezza per le reti OT Tutte le versioni del software del sensore OT 22.x: Aggiornamenti per le regole del firewall di connessione cloud di Azure Software sensore versione 22.2.7: - Correzioni di bug e miglioramenti della stabilità Software sensore versione 22.2.6: - Correzioni di bug e miglioramenti della stabilità - Miglioramenti all'algoritmo di classificazione dei tipi di dispositivo Integrazione di Microsoft Sentinel: - Miglioramenti dell'indagine con le entità del dispositivo IoT - Aggiornamenti alla soluzione Microsoft Defender per IoT |
Raccomandazioni sulla sicurezza per le reti OT (anteprima pubblica)
Defender per IoT offre ora raccomandazioni sulla sicurezza per aiutare i clienti a gestire il comportamento di sicurezza di rete OT/IoT. Le raccomandazioni di Defender per IoT aiutano gli utenti a formare piani di mitigazione interattivi e prioritari che affrontano le sfide specifiche delle reti OT/IoT. Usare le raccomandazioni per ridurre il rischio e la superficie di attacco della rete.
È possibile visualizzare le raccomandazioni di sicurezza seguenti del portale di Azure per i dispositivi rilevati tra le reti:
Rivedere la modalità operativa PLC. I dispositivi con questa raccomandazione sono disponibili con I PC impostati su stati della modalità operativa non sicuri. È consigliabile impostare le modalità operative PLC sullo stato Secure Run se l'accesso non è più necessario al PLC per ridurre la minaccia di programmazione PLC dannosa.
Esaminare i dispositivi non autorizzati. I dispositivi con questa raccomandazione devono essere identificati e autorizzati come parte della baseline di rete. È consigliabile intervenire per identificare i dispositivi indicati. Disconnettere tutti i dispositivi dalla rete che rimangono sconosciuti anche dopo l'indagine per ridurre la minaccia di dispositivi non autorizzati o potenzialmente dannosi.
Accedere alle raccomandazioni sulla sicurezza da una delle posizioni seguenti:
La pagina Consigli, che visualizza tutte le raccomandazioni correnti in tutti i dispositivi OT rilevati.
La scheda Consigli in una pagina dei dettagli del dispositivo, che visualizza tutte le raccomandazioni correnti per il dispositivo selezionato.
In entrambi i percorsi selezionare una raccomandazione per eseguire il drill-down e visualizzare gli elenchi di tutti i dispositivi OT rilevati attualmente in uno stato integro o non integro , in base alla raccomandazione selezionata. Nella scheda Dispositivi non integri o Dispositivi integri selezionare un collegamento al dispositivo per passare alla pagina dei dettagli del dispositivo selezionata. Ad esempio:
Per altre informazioni, vedere Visualizzare l'inventario dei dispositivi e Migliorare il comportamento di sicurezza con le raccomandazioni sulla sicurezza.
Vulnerabilità del dispositivo dal portale di Azure (anteprima pubblica)
Defender per IoT fornisce ora i dati sulle vulnerabilità nel portale di Azure per i dispositivi di rete OT rilevati. I dati sulle vulnerabilità si basano sul repository di dati sulle vulnerabilità basati su standard documentati nel database nvd (National Vulnerability Database) del governo degli Stati Uniti.
Accedere ai dati delle vulnerabilità nel portale di Azure dalle posizioni seguenti:
In una pagina dei dettagli del dispositivo selezionare la scheda Vulnerabilità per visualizzare le vulnerabilità correnti nel dispositivo selezionato. Ad esempio, nella pagina Inventario dispositivi selezionare un dispositivo specifico e quindi selezionare Vulnerabilità.
Per altre informazioni, vedere Visualizzare l'inventario dei dispositivi.
Una nuova cartella di lavoro Vulnerabilità visualizza i dati sulle vulnerabilità in tutti i dispositivi OT monitorati. Usare la cartella di lavoro Vulnerabilità per visualizzare dati come CVE per gravità o fornitore e elenchi completi di vulnerabilità rilevate e dispositivi e componenti vulnerabili.
Selezionare un elemento nelle tabelle Vulnerabilità del dispositivo, Dispositivi vulnerabili o Componenti vulnerabili per visualizzare le informazioni correlate nelle tabelle a destra.
Ad esempio:
Per altre informazioni, vedere Usare cartelle di lavoro di Monitoraggio di Azure in Microsoft Defender per IoT.
Aggiornamenti per le regole del firewall di connessione cloud di Azure (anteprima pubblica)
I sensori di rete OT si connettono ad Azure per fornire messaggi di integrità di avvisi e dispositivi e sensori, accedere ai pacchetti di intelligence sulle minacce e altro ancora. I servizi di Azure Connessione includono hub IoT, Archiviazione BLOB, Hub eventi e l'Area download Microsoft.
Per i sensori OT con versioni software 22.x e successive, Defender per IoT supporta ora una maggiore sicurezza quando si aggiungono regole di autorizzazione in uscita per le connessioni ad Azure. È ora possibile definire le regole di autorizzazione in uscita per connettersi ad Azure senza usare caratteri jolly.
Quando si definiscono regole di autorizzazione in uscita per connettersi ad Azure, è necessario abilitare il traffico HTTPS a ognuno degli endpoint necessari sulla porta 443. Le regole di autorizzazione in uscita vengono definite una sola volta per tutti i sensori OT eseguiti nella stessa sottoscrizione.
Per le versioni dei sensori supportate, scaricare l'elenco completo degli endpoint sicuri necessari dalle posizioni seguenti nella portale di Azure:
Pagina di registrazione del sensore riuscita: dopo l'onboarding di un nuovo sensore OT con la versione 22.x, la pagina di registrazione riuscita fornisce ora istruzioni per i passaggi successivi, incluso un collegamento agli endpoint da aggiungere come regole di autorizzazione in uscita sicure nella rete. Selezionare il collegamento Download endpoint details (Scarica dettagli endpoint) per scaricare il file JSON.
Ad esempio:
Pagina Siti e sensori: selezionare un sensore OT con versioni software 22.x o successive oppure un sito con una o più versioni del sensore supportate. Selezionare quindi Altre azioni>Scaricare i dettagli dell'endpoint per scaricare il file JSON. Ad esempio:
Per altre informazioni, vedi:
- Esercitazione: Introduzione a Microsoft Defender per IoT per la sicurezza OT
- Gestire i sensori con Defender per IoT nel portale di Azure
- Requisiti di rete
Miglioramenti dell'indagine con le entità dei dispositivi IoT in Microsoft Sentinel
L'integrazione di Defender per IoT con Microsoft Sentinel supporta ora una pagina di entità dispositivo IoT. Quando si esaminano gli eventi imprevisti e si monitora la sicurezza IoT in Microsoft Sentinel, è ora possibile identificare i dispositivi più sensibili e passare direttamente a altri dettagli in ogni pagina dell'entità del dispositivo.
La pagina dell'entità dispositivo IoT fornisce informazioni contestuali sul dispositivo su un dispositivo IoT, con i dettagli di base del dispositivo e le informazioni di contatto del proprietario del dispositivo. I proprietari dei dispositivi sono definiti dal sito nella pagina Siti e sensori in Defender per IoT.
La pagina dell'entità dispositivo IoT consente di classificare in ordine di priorità la correzione in base all'importanza del dispositivo e all'impatto aziendale, in base al sito, alla zona e al sensore di ogni avviso. Ad esempio:
È anche possibile cercare i dispositivi vulnerabili nella pagina Comportamento dell'entità di Microsoft Sentinel. Ad esempio, visualizzare i primi cinque dispositivi IoT con il numero più alto di avvisi oppure cercare un dispositivo in base all'indirizzo IP o al nome del dispositivo:
Per altre informazioni, vedere Analizzare ulteriormente le entità dei dispositivi IoT e le opzioni di gestione del sito dal portale di Azure.
Aggiornamenti alla soluzione Microsoft Defender per IoT nell'hub del contenuto di Microsoft Sentinel
Questo mese è stata rilasciata la versione 2.0 della soluzione Microsoft Defender per IoT nell'hub del contenuto di Microsoft Sentinel, nota in precedenza come IoT /OT Threat Monitoring con Defender per IoT .
Aggiornamenti in questa versione della soluzione includono:
Modifica del nome. Se in precedenza è stata installata la soluzione IoT/OT Threat Monitoring con Defender per IoT nell'area di lavoro di Microsoft Sentinel, la soluzione viene rinominata automaticamente in Microsoft Defender per IoT, anche se non si aggiorna la soluzione.
Miglioramenti della cartella di lavoro: la cartella di lavoro di Defender per IoT include ora:
Nuovo dashboard Panoramica con le metriche chiave nell'inventario dei dispositivi, nel rilevamento delle minacce e nel comportamento di sicurezza. Ad esempio:
Un nuovo dashboard delle vulnerabilità con informazioni dettagliate sulle CVE visualizzate nella rete e sui relativi dispositivi vulnerabili. Ad esempio:
Miglioramenti nel dashboard Inventario dispositivi, inclusi l'accesso a raccomandazioni, vulnerabilità e collegamenti diretti alle pagine dei dettagli del dispositivo Defender per IoT. Il dashboard Inventario dispositivi nella cartella di lavoro IoT/OT Threat Monitoring con Defender per IoT è completamente allineato ai dati di inventario dei dispositivi Defender per IoT.
Aggiornamenti del playbook: la soluzione Microsoft Defender per IoT supporta ora le funzionalità di automazione SOC seguenti con i nuovi playbook:
Automazione con i dettagli CVE: usare il playbook AD4IoT-CVEAutoWorkflow per arricchire i commenti degli eventi imprevisti con CVEs dei dispositivi correlati in base ai dati di Defender per IoT. Gli eventi imprevisti vengono valutati e, se CVE è critico, il proprietario dell'asset riceve una notifica sull'evento imprevisto tramite posta elettronica.
Automazione per le notifiche tramite posta elettronica ai proprietari dei dispositivi. Usare il playbook AD4IoT-SendEmailtoIoTOwner per inviare automaticamente un messaggio di posta elettronica di notifica al proprietario di un dispositivo in merito ai nuovi eventi imprevisti. I proprietari dei dispositivi possono quindi rispondere al messaggio di posta elettronica per aggiornare l'evento imprevisto in base alle esigenze. I proprietari dei dispositivi vengono definiti a livello di sito in Defender per IoT.
Automazione per gli eventi imprevisti con dispositivi sensibili: usare il playbook AD4IoT-AutoTriageIncident per aggiornare automaticamente la gravità di un evento imprevisto in base ai dispositivi coinvolti nell'evento imprevisto e al relativo livello di riservatezza o importanza per l'organizzazione. Ad esempio, qualsiasi evento imprevisto che interessa un dispositivo sensibile può essere inoltrato automaticamente a un livello di gravità superiore.
Per altre informazioni, vedere Analizzare gli eventi imprevisti di Microsoft Defender per IoT con Microsoft Sentinel.
Agosto 2022
| Area di servizio | Aggiornamenti |
|---|---|
| Reti OT | Software sensore versione 22.2.5: versione secondaria con miglioramenti della stabilità Software sensore versione 22.2.4: Nuove colonne di avviso con dati timestamp Software del sensore versione 22.1.3: Integrità del sensore dal portale di Azure (anteprima pubblica) |
Nuove colonne di avviso con dati timestamp
A partire dal sensore OT versione 22.2.4, gli avvisi di Defender per IoT nella portale di Azure e la console del sensore mostrano ora le colonne e i dati seguenti:
Ultimo rilevamento. Definisce l'ultima volta che l'avviso è stato rilevato nella rete e sostituisce la colonna Tempo rilevamento.
Primo rilevamento. Definisce la prima volta che l'avviso è stato rilevato nella rete.
Ultima attività. Definisce l'ultima volta che l'avviso è stato modificato, inclusi gli aggiornamenti manuali per la gravità o lo stato o le modifiche automatiche per gli aggiornamenti dei dispositivi o la deduplicazione di dispositivi/avvisi.
Le colonne First detection e Last activity non vengono visualizzate per impostazione predefinita. Aggiungerli alla pagina Avvisi in base alle esigenze.
Suggerimento
Se si è anche un utente di Microsoft Sentinel, si ha familiarità con dati simili delle query di Log Analytics. Le nuove colonne di avviso in Defender per IoT vengono mappate come segue:
- L'ora dell'ultimo rilevamento di Defender per IoT è simile all'ora finale di Log Analytics
- L'ora di rilevamento di Defender per IoT è simile all'ora di avvio di Log Analytics
- L'ora dell'ultima attività di Defender per IoT è simile all'ora di Log AnalyticsGenerated Per altre informazioni, vedere:
- Visualizzare gli avvisi nel portale di Defender per IoT
- Visualizzare gli avvisi nel sensore
- Monitoraggio delle minacce OT nei SOC aziendali
Integrità del sensore dal portale di Azure (anteprima pubblica)
Per le versioni del sensore OT 22.1.3 e successive, è possibile usare i nuovi widget di integrità dei sensori e i dati delle colonne di tabella per monitorare l'integrità dei sensori direttamente dalla pagina Siti e sensori del portale di Azure.
È stata aggiunta anche una pagina dei dettagli del sensore, in cui si esegue il drill-down a un sensore specifico dal portale di Azure. Nella pagina Siti e sensori selezionare un nome di sensore specifico. La pagina dei dettagli del sensore elenca i dati di base dei sensori, l'integrità del sensore e le eventuali impostazioni del sensore applicate.
Per altre informazioni, vedere Informazioni sull'integrità dei sensori e informazioni di riferimento sul messaggio di integrità del sensore.
Luglio 2022
| Area di servizio | Aggiornamenti |
|---|---|
| Reti IoT aziendali | - Integrazione di Enterprise IoT e Defender per endpoint nella disponibilità generale |
| Reti OT | Software sensore versione 22.2.4: - Miglioramenti dell'inventario dei dispositivi - Miglioramenti per l'API di integrazione di ServiceNow Software del sensore versione 22.2.3: - Aggiornamenti del profilo hardware dell'appliance OT - Accesso PCAP dalla portale di Azure - Sincronizzazione degli avvisi bidirezionali tra sensori e portale di Azure - Connessioni del sensore ripristinate dopo la rotazione dei certificati - Supportare i miglioramenti dei log di diagnostica - Nomi dei sensori visualizzati nelle schede del browser Software del sensore versione 22.1.7: - Stesse password per gli utenti cyberx_host e cyberx |
| Funzionalità solo cloud | - Sincronizzazione degli eventi imprevisti di Microsoft Sentinel con gli avvisi di Defender per IoT |
Integrazione di Enterprise IoT e Defender per endpoint nella disponibilità generale
L'integrazione di Enterprise IoT con Microsoft Defender per endpoint è ora disponibile a livello generale. Con questo aggiornamento sono stati apportati gli aggiornamenti e i miglioramenti seguenti:
Eseguire l'onboarding di un piano IoT aziendale direttamente in Defender per endpoint. Per altre informazioni, vedere Gestire le sottoscrizioni e la documentazione di Defender per endpoint.
Integrazione senza problemi con Microsoft Defender per endpoint per visualizzare i dispositivi IoT aziendali rilevati e i relativi avvisi, vulnerabilità e consigli correlati nel portale di Microsoft 365 Security. Per altre informazioni, vedere l'esercitazione su Enterprise IoT e la documentazione di Defender per endpoint. È possibile continuare a visualizzare i dispositivi IoT aziendali rilevati nella pagina Inventario dispositivi Defender per IoT nel portale di Azure.
Tutti i sensori IoT aziendali vengono ora aggiunti automaticamente allo stesso sito in Defender per IoT, denominato Rete Enterprise. Quando si esegue l'onboarding di un nuovo dispositivo IoT aziendale, è sufficiente definire un nome di sensore e selezionare la sottoscrizione, senza definire un sito o una zona.
Nota
Il sensore di rete IoT aziendale e tutti i rilevamenti rimangono in anteprima pubblica.
Stesse password per gli utenti cyberx_host e cyberx
Durante le installazioni e gli aggiornamenti software di monitoraggio OT, all'utente cyberx viene assegnata una password casuale. Quando si esegue l'aggiornamento dalla versione 10.x.x alla versione 22.1.7, la password cyberx_host viene assegnata con una password identica all'utente cyberx .
Per altre informazioni, vedere Installare il software di monitoraggio senza agente OT e il software di monitoraggio di Update Defender per IoT OT.
Miglioramenti dell'inventario dei dispositivi
A partire da OT sensor versions 22.2.4, you can now take the following actions from the sensor console's Device inventory page:
Unire dispositivi duplicati. Potrebbe essere necessario unire i dispositivi se il sensore ha individuato entità di rete separate associate a un singolo dispositivo univoco. Esempi di questo scenario possono includere un PLC con quattro schede di rete, un portatile con wi-fi e una scheda di rete fisica o una singola workstation con più schede di rete.
Eliminare singoli dispositivi. A questo punto, è possibile eliminare un singolo dispositivo che non ha comunicato per almeno 10 minuti.
Eliminare i dispositivi inattivi dagli utenti amministratori. Ora, tutti gli utenti amministratori, oltre all'utente cyberx , possono eliminare i dispositivi inattivi.
A partire anche dalla versione 22.2.4, nella pagina Inventario dispositivi della console del sensore il valore Ultimo visualizzato nel riquadro dei dettagli del dispositivo viene sostituito da Ultima attività. Ad esempio:
Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console del sensore.
Miglioramenti per l'API di integrazione di ServiceNow
Il sensore OT versione 22.2.4 offre miglioramenti per l'API devicecves , che ottiene i dettagli sulle CVE trovate per un determinato dispositivo.
È ora possibile aggiungere uno dei parametri seguenti alla query per ottimizzare i risultati:
- "sensorId" - Mostra i risultati di un sensore specifico, come definito dall'ID sensore specificato.
- "score" - Determina un punteggio CVE minimo da recuperare. Tutti i risultati hanno un punteggio CVE uguale o superiore al valore specificato. Valore predefinito = 0.
- "deviceIds" - Elenco delimitato da virgole di ID dispositivo da cui visualizzare i risultati. Ad esempio: 1232,34,2,456
Per altre informazioni, vedere Informazioni di riferimento sulle API di integrazione per le console di gestione locali (anteprima pubblica).
Aggiornamenti del profilo hardware dell'appliance OT
Abbiamo aggiornato le convenzioni di denominazione per i profili hardware dell'appliance OT per maggiore trasparenza e chiarezza.
I nuovi nomi riflettono sia il tipo di profilo, tra cui la linea Aziendale, Enterprise e Produzione, sia le relative dimensioni di archiviazione su disco.
Usare la tabella seguente per comprendere il mapping tra i nomi dei profili hardware legacy e i nomi correnti usati nell'installazione software aggiornata:
| Nome legacy | Nuovo nome | Descrizione |
|---|---|---|
| Azienda | C5600 | Un ambiente aziendale , con: 16 core 32 GB di RAM Archiviazione su disco da 5,6 TB |
| Funzionalità per le aziende | E1800 | Un ambiente aziendale con: Otto core 32 GB di RAM Archiviazione su disco da 1,8 TB |
| SMB | L500 | Un ambiente linea di produzione con: Quattro core 8 GB di RAM Archiviazione su disco da 500 GB |
| Office | L100 | Un ambiente linea di produzione con: Quattro core 8 GB di RAM Archiviazione su disco da 100 GB |
| Robusto | L64 | Un ambiente linea di produzione con: Quattro core 8 GB di RAM Archiviazione su disco da 64 GB |
Sono ora supportati anche nuovi profili hardware aziendali, per i sensori che supportano sia 500 GB che dimensioni del disco da 1 TB.
Per altre informazioni, vedere Quali appliance sono necessarie?
Accesso PCAP dalla portale di Azure (anteprima pubblica)
È ora possibile accedere ai file di traffico non elaborati, noti come file di acquisizione di pacchetti o file PCAP, direttamente dalla portale di Azure. Questa funzionalità supporta i tecnici della sicurezza SOC o OT che vogliono analizzare gli avvisi di Defender per IoT o Microsoft Sentinel, senza dover accedere separatamente a ogni sensore.
I file PCAP vengono scaricati nell'archiviazione di Azure.
Per altre informazioni, vedere Visualizzare e gestire gli avvisi dal portale di Azure.
Sincronizzazione degli avvisi bidirezionali tra sensori e portale di Azure (anteprima pubblica)
Per i sensori aggiornati alla versione 22.2.1, gli stati degli avvisi e gli stati di apprendimento sono ora completamente sincronizzati tra la console del sensore e il portale di Azure. Ad esempio, ciò significa che è possibile chiudere un avviso nella portale di Azure o nella console del sensore e lo stato dell'avviso viene aggiornato in entrambe le posizioni.
Informazioni su un avviso dal portale di Azure o dalla console del sensore per assicurarsi che non venga attivato di nuovo la volta successiva che viene rilevato lo stesso traffico di rete.
La console del sensore viene sincronizzata anche con una console di gestione locale, in modo che gli stati degli avvisi e gli stati di apprendimento rimangano aggiornati nelle interfacce di gestione.
Per altre informazioni, vedi:
- Visualizzare e gestire gli avvisi dal portale di Azure
- Visualizzare e gestire gli avvisi nel sensore
- Usare gli avvisi nella console di gestione locale
Connessioni del sensore ripristinate dopo la rotazione dei certificati
A partire dalla versione 22.2.3, dopo la rotazione dei certificati, le connessioni del sensore vengono ripristinate automaticamente nella console di gestione locale e non è necessario riconnetterle manualmente.
Per altre informazioni, vedere Creare certificati SSL/TLS per appliance OT e Gestire i certificati SSL/TLS.
Supporto dei miglioramenti dei log di diagnostica (anteprima pubblica)
A partire dalla versione del sensore 22.1.1, è stato possibile scaricare un log di diagnostica dalla console del sensore per inviare il supporto quando si apre un ticket.
Ora, per i sensori gestiti in locale, è possibile caricare il log di diagnostica direttamente nella portale di Azure.
Suggerimento
Per i sensori connessi al cloud, a partire dalla versione 22.1.3 del sensore, il log di diagnostica è automaticamente disponibile per il supporto quando si apre il ticket.
Per altre informazioni, vedi:
Nomi dei sensori visualizzati nelle schede del browser
A partire dalla versione del sensore 22.2.3, il nome del sensore viene visualizzato nella scheda del browser, semplificando l'identificazione dei sensori in uso.
Ad esempio:
Per altre informazioni, vedere Gestire singoli sensori.
Sincronizzazione degli eventi imprevisti di Microsoft Sentinel con gli avvisi di Defender per IoT
La soluzione IoT OT Threat Monitoring con Defender per IoT garantisce ora che gli avvisi in Defender per IoT vengano aggiornati con le modifiche relative allo stato degli eventi imprevisti da Microsoft Sentinel.
Questa sincronizzazione esegue l'override di qualsiasi stato definito in Defender per IoT, nella portale di Azure o nella console del sensore, in modo che gli stati dell'avviso corrispondano a quelli dell'evento imprevisto correlato.
Aggiornare il monitoraggio delle minacce IoT OT con la soluzione Defender per IoT per usare il supporto di sincronizzazione più recente, incluso il nuovo playbook AD4IoT-AutoAlertStatusSync . Dopo aver aggiornato la soluzione, assicurarsi di eseguire anche i passaggi necessari per assicurarsi che il nuovo playbook funzioni come previsto.
Per altre informazioni, vedi:
- Esercitazione: Integrare Defender per IoT e Sentinel
- Visualizzare e gestire gli avvisi nel portale di Defender per IoT (anteprima)
- Visualizzare gli avvisi nel sensore
Giugno 2022
Software del sensore versione 22.1.6: versione secondaria con aggiornamenti di manutenzione per i componenti interni del sensore
Software sensore versione 22.1.5: versione secondaria per migliorare i pacchetti di installazione ti e gli aggiornamenti software
La documentazione è stata ottimizzata e migliorata di recente come indicato di seguito:
- Catalogo dell'appliance aggiornato per gli ambienti OT
- Riorganizzazione della documentazione per le organizzazioni degli utenti finali
Catalogo dell'appliance aggiornato per gli ambienti OT
È stato aggiornato e rinnovato il catalogo di appliance supportate per il monitoraggio degli ambienti OT. Queste appliance supportano opzioni di distribuzione flessibili per ambienti di tutte le dimensioni e possono essere usate per ospitare sia il sensore di monitoraggio OT che le console di gestione locali.
Usare le nuove pagine come indicato di seguito:
Comprendere il modello hardware più adatto alle esigenze dell'organizzazione. Per altre informazioni, vedere Quali appliance sono necessarie?
Informazioni sulle appliance hardware preconfigurate disponibili per l'acquisto o i requisiti di sistema per le macchine virtuali. Per altre informazioni, vedere Appliance fisiche preconfigurate per il monitoraggio OT e il monitoraggio OT con appliance virtuali.
Per altre informazioni su ogni tipo di appliance, usare la pagina di riferimento collegata o sfogliare la nuova sezione Appliance di monitoraggio OT di riferimento>.
Gli articoli di riferimento per ogni tipo di appliance, incluse le appliance virtuali, includono passaggi specifici per configurare l'appliance per il monitoraggio OT con Defender per IoT. Le procedure generiche di installazione e risoluzione dei problemi del software sono ancora documentate in Installazione del software Defender per IoT.
Riorganizzazione della documentazione per le organizzazioni degli utenti finali
Di recente abbiamo riorganizzato la documentazione di Defender per IoT per le organizzazioni degli utenti finali, evidenziando un percorso più chiaro per l'onboarding e l'introduzione.
Scopri la nuova struttura per seguire la visualizzazione di dispositivi e asset, la gestione di avvisi, vulnerabilità e minacce, l'integrazione con altri servizi e la distribuzione e la gestione del sistema Defender per IoT.
Gli articoli nuovi e aggiornati includono:
- Benvenuto in Microsoft Defender per IoT per le organizzazioni
- Architettura di Microsoft Defender per IoT
- Guida introduttiva: Introduzione a Defender per IoT
- Esercitazione: Configurazione della versione di valutazione di Microsoft Defender per IoT
- Esercitazione: Introduzione a Enterprise IoT
Nota
Per inviare commenti e suggerimenti sulla documentazione tramite GitHub, scorrere fino alla fine della pagina e selezionare l'opzione Commenti e suggerimenti per Questa pagina. Saremmo contenti di sentirti!
Aprile 2022
Dati delle proprietà del dispositivo estesi nell'inventario dispositivi
Versione software del sensore: 22.1.4
A partire dai sensori aggiornati alla versione 22.1.4, la pagina Inventario dispositivi nella portale di Azure mostra i dati estesi per i campi seguenti:
- Descrizione
- Tag
- Protocolli
- Scanner
- Ultima attività
Per altre informazioni, vedere Gestire l'inventario dei dispositivi dal portale di Azure.
Marzo 2022
Versione del sensore: 22.1.3
- Usare le cartelle di lavoro di Monitoraggio di Azure con Microsoft Defender per IoT
- IoT OT Threat Monitoring con la soluzione Defender per IoT disponibile a livello generale
- Modificare ed eliminare i dispositivi dal portale di Azure
- Aggiornamenti degli avvisi di stato chiave
- Disconnettersi da una sessione dell'interfaccia della riga di comando
Usare le cartelle di lavoro di Monitoraggio di Azure con Microsoft Defender per IoT (anteprima pubblica)
Le cartelle di lavoro di Monitoraggio di Azure forniscono grafici e dashboard che riflettono visivamente i dati e sono ora disponibili direttamente in Microsoft Defender per IoT con i dati di Azure Resource Graph.
Nella portale di Azure usare la nuova pagina Cartelle di lavoro di Defender per IoT per visualizzare le cartelle di lavoro create da Microsoft e fornite predefinite oppure creare cartelle di lavoro personalizzate personalizzate.
Per altre informazioni, vedere Usare cartelle di lavoro di Monitoraggio di Azure in Microsoft Defender per IoT.
IoT OT Threat Monitoring con la soluzione Defender per IoT disponibile a livello generale
La soluzione IoT OT Threat Monitoring con Defender per IoT in Microsoft Sentinel è ora disponibile a livello generale. Nella portale di Azure, usare questa soluzione per proteggere l'intero ambiente OT, indipendentemente dal fatto che sia necessario proteggere i dispositivi OT esistenti o integrare la sicurezza in nuove innovazioni OT.
Per altre informazioni, vedere Monitoraggio delle minacce OT nelle soc aziendali ed Esercitazione: Integrare Defender per IoT e Sentinel.
Modificare ed eliminare i dispositivi dalla portale di Azure (anteprima pubblica)
La pagina Inventario dispositivi nella portale di Azure supporta ora la possibilità di modificare i dettagli del dispositivo, ad esempio sicurezza, classificazione, posizione e altro ancora:
Per altre informazioni, vedere Modificare i dettagli del dispositivo.
È possibile eliminare i dispositivi da Defender per IoT solo se sono stati inattivi per più di 14 giorni. Per altre informazioni, vedere Eliminare un dispositivo.
Aggiornamenti degli avvisi di stato chiave (anteprima pubblica)
Defender per IoT supporta ora il protocollo Rockwell per i rilevamenti in modalità operativa PLC.
Per il protocollo Rockwell, le pagine Inventario dispositivi sia nella portale di Azure che nella console del sensore ora indicano la chiave della modalità operativa PLC e lo stato di esecuzione e se il dispositivo è attualmente in modalità protetta.
Se la modalità operativa PLC del dispositivo è mai passata a una modalità non protetta, ad esempio Programma o Remoto, viene generato un avviso di modifica della modalità operativa PLC.
Per altre informazioni, vedere Gestire i dispositivi IoT con l'inventario dei dispositivi per le organizzazioni.
Disconnettersi da una sessione dell'interfaccia della riga di comando
A partire da questa versione, gli utenti dell'interfaccia della riga di comando vengono disconnessi automaticamente dalla sessione dopo 300 secondi inattivi. Per disconnettersi manualmente, usare il nuovo logout comando dell'interfaccia della riga di comando.
Per altre informazioni, vedere Usare i comandi dell'interfaccia della riga di comando di Defender per IoT.
Febbraio 2022
Versione software del sensore: 22.1.1
- Installazione guidata nuovo sensore
- Riprogettazione del sensore e esperienza unificata del prodotto Microsoft
- Pagina Panoramica del sensore avanzato
- Nuovo log di diagnostica del supporto
- Aggiornamenti degli avvisi
- Aggiornamenti degli avvisi personalizzati
- Aggiornamenti dei comandi dell'interfaccia della riga di comando
- Aggiornamento alla versione 22.1.x
- Nuovi requisiti del firewall e del modello di connettività
- Miglioramenti del protocollo
- Opzioni e configurazioni modificate, sostituite o rimosse
Installazione guidata nuovo sensore
In precedenza, era necessario usare finestre di dialogo separate per caricare un file di attivazione del sensore, verificare la configurazione della rete del sensore e configurare i certificati SSL/TLS.
Ora, quando si installa un nuovo sensore o una nuova versione del sensore, l'installazione guidata fornisce un'interfaccia semplificata per eseguire tutte queste attività da un'unica posizione.
Per altre informazioni, vedere Installazione di Defender per IoT.
Riprogettazione del sensore e esperienza unificata del prodotto Microsoft
La console del sensore Defender per IoT è stata riprogettata per creare un'esperienza unificata di Microsoft Azure e migliorare e semplificare i flussi di lavoro.
Queste funzionalità sono ora disponibili a livello generale. Aggiornamenti includere l'aspetto generale, i riquadri drill-down, le opzioni di ricerca e azione e altro ancora. Ad esempio:
I flussi di lavoro semplificati includono:
La pagina Inventario dispositivi include ora pagine dettagliate del dispositivo. Selezionare un dispositivo nella tabella e quindi selezionare Visualizza dettagli completi a destra.
Le proprietà aggiornate dall'inventario del sensore vengono ora aggiornate automaticamente nell'inventario dei dispositivi cloud.
Le pagine dei dettagli del dispositivo, a cui si accede dalle pagine Mappa dispositivo o Inventario dispositivi, vengono visualizzate come di sola lettura. Per modificare le proprietà del dispositivo, selezionare Modifica proprietà in basso a sinistra.
La pagina Data mining include ora la funzionalità di creazione di report. Mentre la pagina Report è stata rimossa, gli utenti con accesso in sola lettura possono visualizzare gli aggiornamenti nella pagina Data mining senza la possibilità di modificare report o impostazioni.
Per gli utenti amministratori che creano nuovi report, è ora possibile attivare o disattivare un'opzione Invia a CM per inviare il report anche a una console di gestione centrale. Per altre informazioni, vedere Creare un report
L'area Impostazioni di sistema è stata riorganizzata nelle sezioni impostazioni di base , impostazioni per monitoraggio di rete, gestione dei sensori, integrazioni e impostazioni di importazione.
La Guida online del sensore ora include collegamenti ad articoli chiave nella documentazione di Microsoft Defender per IoT.
Le mappe di Defender per IoT includono ora:
Viene ora visualizzata una nuova visualizzazione mappa per gli avvisi e nelle pagine dei dettagli del dispositivo, che mostra dove viene trovato l'avviso o il dispositivo nell'ambiente.
Fare clic con il pulsante destro del mouse su un dispositivo sulla mappa per visualizzare informazioni contestuali sul dispositivo, inclusi avvisi correlati, dati della sequenza temporale degli eventi e dispositivi connessi.
Selezionare Disabilita visualizza gruppi di reti IT per impedire la possibilità di comprimere le reti IT nella mappa. Per impostazione predefinita, questa opzione è impostata su attivato.
L'opzione Visualizzazione mappa semplificata è stata rimossa.
Sono state implementate anche funzionalità globali di idoneità e accessibilità per la conformità agli standard Microsoft. Nella console del sensore locale, questi aggiornamenti includono temi di visualizzazione dello schermo a contrasto elevato e localizzazione normali per oltre 15 lingue.
Ad esempio:
Accedere alle opzioni di idoneità e accessibilità globali dall'icona Impostazioni nell'angolo superiore destro dello schermo:
Pagina Panoramica del sensore avanzato
La pagina Dashboard del portale del sensore Defender per IoT è stata rinominata Come Panoramica e ora include dati che evidenziano meglio i dettagli della distribuzione del sistema, l'integrità critica del monitoraggio della rete, gli avvisi principali e le tendenze e le statistiche importanti.
La pagina Panoramica funge anche da casella nera per visualizzare lo stato complessivo del sensore nel caso in cui le connessioni in uscita, ad esempio al portale di Azure, vadano in basso.
Creare altri dashboard usando la pagina Tendenze e statistiche , che si trova nel menu Analizza a sinistra.
Nuovo log di diagnostica del supporto
È ora possibile ottenere un riepilogo delle informazioni di log e di sistema aggiunte ai ticket di supporto. Nella finestra di dialogo Backup e ripristino selezionare Diagnostica ticket di supporto.
Per altre informazioni, vedere Scaricare un log di diagnostica per il supporto
Aggiornamenti degli avvisi
Nel portale di Azure:
Gli avvisi sono ora disponibili in Defender per IoT nella portale di Azure. Usare gli avvisi per migliorare la sicurezza e il funzionamento della rete IoT/OT.
La nuova pagina Avvisi è attualmente in anteprima pubblica e fornisce:
- Visualizzazione aggregata in tempo reale delle minacce rilevate dai sensori di rete.
- Procedura di correzione per dispositivi e processi di rete.
- Streaming di avvisi a Microsoft Sentinel e supporto per il team SOC.
- Archiviazione degli avvisi per 90 giorni dal momento in cui vengono rilevati per la prima volta.
- Strumenti per analizzare l'attività di origine e di destinazione, la gravità e lo stato degli avvisi, le informazioni MITRE ATT&CK e le informazioni contestuali sull'avviso.
Ad esempio:
Nella console del sensore:
Nella console del sensore la pagina Avvisi mostra ora i dettagli degli avvisi rilevati dai sensori configurati con una connessione cloud a Defender per IoT in Azure. Gli utenti che riguardano gli avvisi in Azure e in locale devono comprendere come vengono gestiti gli avvisi tra i portale di Azure e i componenti locali.
Altri aggiornamenti degli avvisi includono:
Accedere ai dati contestuali per ogni avviso, ad esempio gli eventi che si sono verificati nello stesso momento o una mappa dei dispositivi connessi. Mappe dei dispositivi connessi sono disponibili solo per gli avvisi della console del sensore.
Gli stati degli avvisi vengono aggiornati e, ad esempio, ora includono uno stato Chiuso anziché Confermato.
Archiviazione degli avvisi per 90 giorni dal momento in cui vengono rilevati per la prima volta.
L'attività di backup con l'avviso delle firme antivirus. Questo nuovo avviso di avviso viene attivato per il traffico rilevato tra un dispositivo di origine e un server di backup di destinazione, che spesso è legittima attività di backup. Gli avvisi malware critici o principali non vengono più attivati per tale attività.
Durante gli aggiornamenti, gli avvisi della console del sensore attualmente archiviati vengono eliminati. Gli avvisi aggiunti non sono più supportati, quindi i pin vengono rimossi per gli avvisi della console del sensore come pertinenti.
Per altre informazioni, vedere Visualizzare gli avvisi nel sensore.
Aggiornamenti degli avvisi personalizzati
La pagina Regole di avviso personalizzate della console del sensore fornisce ora:
Informazioni sul numero di passaggi nella tabella Regole di avviso personalizzate, con informazioni dettagliate dettagliate sul numero di avvisi attivati nell'ultima settimana per ogni regola creata.
Possibilità di pianificare regole di avviso personalizzate da eseguire al di fuori dell'orario lavorativo normale.
Possibilità di inviare avvisi su qualsiasi campo che può essere estratto da un protocollo usando il motore DPI.
Supporto completo del protocollo durante la creazione di regole personalizzate e supporto per un'ampia gamma di variabili di protocollo correlate.
Per altre informazioni, vedere Creare regole di avviso personalizzate in un sensore OT.
Aggiornamenti dei comandi dell'interfaccia della riga di comando
L'installazione del software del sensore Defender per IoT è ora in contenitori. Con il sensore ora in contenitori, è possibile usare l'utente cyberx_host per analizzare i problemi relativi ad altri contenitori o al sistema operativo o per inviare file tramite FTP.
Questo cyberx_host utente è disponibile per impostazione predefinita e si connette al computer host. Se necessario, ripristinare la password per l'utente cyberx_host dalla pagina Siti e sensori in Defender per IoT.
Come parte del sensore in contenitori, sono stati modificati i comandi dell'interfaccia della riga di comando seguenti:
| Nome legacy | Sostituzione |
|---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
Il comando dell'interfaccia della sudo cyberx-xsense-limit-interface-I eth0 -l value riga di comando è stato rimosso. Questo comando è stato usato per limitare la larghezza di banda dell'interfaccia usata dal sensore per le procedure quotidiane e non è più supportato.
Per altre informazioni, vedere Installazione di Defender per IoT, Usare i comandi dell'interfaccia della riga di comando di Defender per IoT e informazioni di riferimento sui comandi dell'interfaccia della riga di comando dai sensori di rete OT.
Aggiornamento alla versione 22.1.x
Per usare tutte le funzionalità più recenti di Defender per IoT, assicurarsi di aggiornare le versioni del software del sensore alla versione 22.1.x.
Se si usa una versione legacy, potrebbe essere necessario eseguire una serie di aggiornamenti per ottenere la versione più recente. Dovrai anche aggiornare le regole del firewall e riattivare il sensore con un nuovo file di attivazione.
Dopo aver eseguito l'aggiornamento alla versione 22.1.x, il nuovo log di aggiornamento è disponibile nel percorso seguente, accessibile tramite SSH e l'utente cyberx_host : /opt/sensor/logs/legacy-upgrade.log.
Per altre informazioni, vedere Aggiornare il software di sistema OT.
Nota
L'aggiornamento alla versione 22.1.x è un aggiornamento di grandi dimensioni e si prevede che il processo di aggiornamento richieda più tempo rispetto agli aggiornamenti precedenti.
Nuovi requisiti del firewall e del modello di connettività
Defender per IoT versione 22.1.x supporta un nuovo set di metodi di connessione del sensore che forniscono una distribuzione semplificata, una maggiore sicurezza, scalabilità e connettività flessibile.
Oltre ai passaggi di migrazione, questo nuovo modello di connettività richiede l'apertura di una nuova regola del firewall. Per altre informazioni, vedi:
- Nuovi requisiti del firewall: accesso ai sensori per portale di Azure.
- Architettura: metodi di connessione del sensore
- procedure di Connessione ion: Connessione i sensori a Microsoft Defender per IoT
Miglioramenti del protocollo
Questa versione di Defender per IoT offre un supporto migliorato per:
- Profinet DCP
- Honeywell
- Rilevamento degli endpoint di Windows
Per altre informazioni, vedere Microsoft Defender per IoT : protocolli IoT, OT, ICS e SCADA supportati.
Opzioni e configurazioni modificate, sostituite o rimosse
Le opzioni e le configurazioni di Defender per IoT seguenti sono state spostate, rimosse e/o sostituite:
I report trovati in precedenza nella pagina Report sono ora visualizzati nella pagina Data mining . È anche possibile continuare a visualizzare le informazioni di data mining direttamente dalla console di gestione locale.
La modifica del nome di un sensore gestito in locale è ora supportata solo eseguendo nuovamente l'onboarding del sensore nel portale di Azure con il nuovo nome. I nomi dei sensori non possono più essere modificati direttamente dal sensore. Per altre informazioni, vedere Caricare un nuovo file di attivazione.