Obsługa pakietów analizy zagrożeń w czujnikach sieciowych OT

  • Artykuł

Zespoły ds. zabezpieczeń firmy Microsoft stale uruchamiają zastrzeżone analizy zagrożeń ICS i badania luk w zabezpieczeniach. Badania zabezpieczeń zapewniają wykrywanie zabezpieczeń, analizę i reagowanie na infrastrukturę i usługi w chmurze firmy Microsoft, tradycyjne produkty i urządzenia oraz wewnętrzne zasoby firmowe.

Usługa Microsoft Defender dla IoT regularnie dostarcza aktualizacje pakietów analizy zagrożeń dla czujników sieci OT, zapewniając zwiększoną ochronę przed znanymi i odpowiednimi zagrożeniami oraz szczegółowymi informacjami, które mogą pomóc zespołom w klasyfikacji i określaniu priorytetów alertów.

Pakiety analizy zagrożeń zawierają podpisy, takie jak sygnatury złośliwego oprogramowania, CVE i inną zawartość zabezpieczeń.

Wyświetlane wyniki CVE są zgodne z krajową bazą danych luk w zabezpieczeniach (NVD), a wyniki CVSS w wersji 3 są wyświetlane, jeśli są one istotne. Jeśli nie ma odpowiedniego wyniku CVSS w wersji 3, zamiast tego zostanie wyświetlony wynik CVSS v2.

Napiwek

Zalecamy upewnienie się, że czujniki sieciowe OT zawsze mają zainstalowany najnowszy pakiet analizy zagrożeń, dzięki czemu zawsze masz pełny kontekst zagrożenia przed wystąpieniem zagrożenia i zwiększonej trafności, dokładności i zaleceń z możliwością działania.

Ogłoszenia o nowych pakietach są dostępne na naszym blogu TechCommunity.

Uprawnienia

Aby wykonać procedury opisane w tym artykule, upewnij się, że masz następujące elementy:

  • Co najmniej jeden czujnik OT dołączony do platformy Azure.

  • Odpowiednie uprawnienia w witrynie Azure Portal oraz wszelkie czujniki sieciowe OT lub lokalna konsola zarządzania, którą chcesz zaktualizować.

    • Aby pobrać pakiety analizy zagrożeń z witryny Azure Portal, musisz mieć dostęp do witryny Azure Portal jako czytelnik zabezpieczeń, Administracja zabezpieczeń, współautor lub właściciel.

    • Aby wypychać aktualizacje analizy zagrożeń do czujników OT połączonych z chmurą z witryny Azure Portal, musisz mieć dostęp do witryny Azure Portal jako rola Administracja zabezpieczeń, Współautor lub Właściciel.

    • Aby ręcznie przekazać pakiety analizy zagrożeń do czujników OT lub lokalnych konsol zarządzania, musisz mieć dostęp do czujnika OT lub lokalnej konsoli zarządzania jako użytkownik Administracja.

Aby uzyskać więcej informacji, zobacz Role i uprawnienia użytkowników platformy Azure dla usługi Defender dla IoT oraz lokalnych użytkowników i ról monitorowania ot za pomocą usługi Defender for IoT.

Wyświetlanie najnowszego pakietu analizy zagrożeń

Aby wyświetlić najnowszy pakiet dostępny w usłudze Defender dla IoT:

W witrynie Azure Portal wybierz pozycję Lokacje>i czujniki Aktualizacja analizy zagrożeń (wersja zapoznawcza)>Aktualizacja lokalna. Szczegółowe informacje o najnowszym dostępnym pakiecie są wyświetlane w okienku aktualizacji Czujnik TI. Na przykład:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Aktualizowanie pakietów analizy zagrożeń

Zaktualizuj pakiety analizy zagrożeń na czujnikach OT przy użyciu dowolnej z następujących metod:

  • Aktualizacje wypychane do czujników OT połączonych z chmurą automatycznie podczas ich wydawania.
  • Ręcznie wypychaj aktualizacje do czujników OT połączonych z chmurą.
  • Pobierz pakiet aktualizacji i ręcznie przekaż go do czujnika OT. Alternatywnie przekaż pakiet do lokalnej konsoli zarządzania i wypchnij aktualizacje z tego miejsca do dowolnych połączonych czujników OT.

Automatyczne wypychanie aktualizacji do czujników połączonych z chmurą

Pakiety analizy zagrożeń można automatycznie aktualizować do czujników połączonych z chmurą w miarę ich wydawania przez usługę Defender dla IoT.

Upewnij się, że automatyczna aktualizacja pakietu została włączona, dołączając czujnik połączony z chmurą z włączoną opcją Automatycznego analizy zagrożeń Aktualizacje. Aby uzyskać więcej informacji, zobacz Dołączanie czujników OT do usługi Defender dla IoT.

Aby zmienić tryb aktualizacji po dołączeniu czujnika OT:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki, a następnie znajdź czujnik, który chcesz zmienić.
  2. Wybierz menu opcji (...) dla wybranego czujnika >OT Edytuj.
  3. Włącz lub wyłącz opcję automatycznej analizy zagrożeń Aktualizacje zgodnie z potrzebami.

Ręczne wypychanie aktualizacji do czujników połączonych z chmurą

Czujniki połączone z chmurą można automatycznie aktualizować przy użyciu pakietów analizy zagrożeń. Jeśli jednak chcesz podjąć bardziej konserwatywne podejście, możesz wypchnąć pakiety z usługi Defender dla IoT do czujników tylko wtedy, gdy uważasz, że jest to wymagane. Wypychanie aktualizacji ręcznie umożliwia kontrolowanie, kiedy pakiet jest zainstalowany, bez konieczności pobierania, a następnie przekazywania go do czujników.

Aby ręcznie wypchnąć aktualizacje do pojedynczego czujnika OT:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki i znajdź czujnik OT, który chcesz zaktualizować.
  2. Wybierz menu opcji (...) dla wybranego czujnika, a następnie wybierz pozycję Wypychanie aktualizacji analizy zagrożeń.

W polu Stan aktualizacji analizy zagrożeń jest wyświetlany postęp aktualizacji.

Aby ręcznie wypchnąć aktualizacje do wielu czujników OT:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki. Znajdź i wybierz czujniki OT, które chcesz zaktualizować.
  2. Wybierz pozycję Aktualizacje analizy zagrożeń (wersja zapoznawcza)>Aktualizacja zdalna.

Pole Stan aktualizacji analizy zagrożeń wyświetla postęp aktualizacji dla każdego wybranego czujnika.

Ręczne aktualizowanie czujników zarządzanych lokalnie

Jeśli pracujesz z lokalnie zarządzanymi czujnikami OT, musisz pobrać zaktualizowane pakiety analizy zagrożeń i przekazać je ręcznie na czujniki.

Jeśli pracujesz również z lokalną konsolą zarządzania, zalecamy przekazanie pakietu analizy zagrożeń do lokalnej konsoli zarządzania i wypchnięcie aktualizacji stamtąd.

Napiwek

Ta opcja może być również używana w przypadku czujników połączonych z chmurą, jeśli nie chcesz wypychać aktualizacji z witryny Azure Portal.

Aby pobrać pakiety analizy zagrożeń:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Lokacje>i czujniki Aktualizacja analizy zagrożeń (wersja zapoznawcza)>Aktualizacja lokalna.

  2. W okienku Aktualizacji czujnika TI wybierz pozycję Pobierz , aby pobrać najnowszy plik analizy zagrożeń.

Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

Aby zaktualizować pojedynczy czujnik:

  1. Zaloguj się do czujnika OT, a następnie wybierz pozycję Ustawienia>systemu Analiza zagrożeń.

  2. W okienku Analiza zagrożeń wybierz pozycję Przekaż plik. Na przykład:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Przejdź do i wybierz pakiet pobrany z witryny Azure Portal i przekaż go do czujnika.

Aby zaktualizować wiele czujników jednocześnie:

  1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Ustawienia systemu.

  2. W obszarze Konfiguracja aparatu czujnika wybierz czujniki, które chcesz otrzymywać zaktualizowane pakiety. Na przykład:

    Screenshot of where you can select which sensors you want to make changes to.

  3. W sekcji Dane analizy zagrożeń czujnika wybierz znak plus (+).

  4. W oknie dialogowym Przekazywanie pliku wybierz pozycję PRZEGLĄDAJ PLIK... , aby przejść do i wybrać pakiet aktualizacji. Na przykład:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Wybierz pozycję ZAMKNIJ , a następnie pozycję ZAPISZ ZMIANY , aby wypchnąć aktualizację analizy zagrożeń do wszystkich wybranych czujników.

    Screenshot of where you can save changes made to selected sensors on the management console.

Przeglądanie stanów aktualizacji analizy zagrożeń

Na każdym czujniku OT stan aktualizacji analizy zagrożeń i informacje o wersji są wyświetlane w ustawieniach > systemu czujnika Ustawienia analizy zagrożeń.

W przypadku czujników OT połączonych z chmurą dane analizy zagrożeń są również wyświetlane na stronie Lokacje i czujniki. Aby wyświetlić posągi analizy zagrożeń w witrynie Azure Portal:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryna i czujniki.

  2. Znajdź czujniki OT, w których chcesz sprawdzić posągi analizy zagrożeń.

  3. Zanotuj wartości następujących kolumn dla czujników OT:

    Nazwa kolumny opis
    Wersja analizy zagrożeń Nazewnictwo wersji jest oparte na dniu tworzenia pakietu przez usługę Defender dla IoT.
    Tryb analizy zagrożeń Automatyczne wskazuje, że nowo dostępne pakiety zostaną automatycznie zainstalowane na czujnikach, ponieważ są one wydawane przez usługę Defender dla IoT.

    Ręczne wskazuje, że nowo dostępne pakiety można wypchnąć bezpośrednio do czujników zgodnie z potrzebami.
    Stan aktualizacji analizy zagrożeń Przedstawia jeden z następujących stanów:
    - Nie działa
    - W trakcie wykonywania
    - Dostępna aktualizacja
    - OK

Napiwek

Jeśli czujnik OT połączony z chmurą pokazuje, że aktualizacja analizy zagrożeń nie powiodła się, zalecamy sprawdzenie szczegółów połączenia czujnika. Na stronie Witryny i czujniki sprawdź kolumny Stan czujnika i Ostatnio połączony czas UTC.

Następne kroki

Aby uzyskać więcej informacji, zobacz: