Manter pacotes de inteligência contra ameaças em sensores de rede de OT

  • Artigo

As equipes de segurança da Microsoft executam de modo contínuo a inteligência contra ameaças e a pesquisa de vulnerabilidades proprietárias do ICS (compartilhamento de conexão com a internet). A pesquisa de segurança fornece detecção, análise e resposta à infraestrutura e aos serviços de nuvem da Microsoft, produtos e dispositivos tradicionais e recursos corporativos internos.

O Microsoft Defender para IoT fornece regularmente atualizações dos pacote de inteligência contra ameaças para sensores de rede OT, fornecendo maior proteção contra ameaças e insights conhecidos e relevantes que podem ajudar suas equipes a fazer a triagem e priorizar alertas.

Os pacotes de inteligência contra ameaças contêm assinaturas (incluindo assinaturas de malware), CVEs (vulnerabilidades e exposições comuns) e outros conteúdos de segurança.

As pontuações do CVE mostradas estão alinhadas com o Banco de Dados de Vulnerabilidade Nacional (NVD) e as pontuações do CVSS v3 são mostradas se forem relevantes. Se não houver nenhuma pontuação CVSS v3 relevante, a pontuação CVSS v2 será mostrada em vez disso.

Dica

Recomendamos garantir que seus sensores de rede OT sempre tenham o pacote de inteligência contra ameaças mais recente instalado para que você sempre tenha o contexto completo de uma ameaça antes que um ambiente seja afetado e relevância, precisão e recomendações acionáveis aprimoradas.

Anúncios sobre novos pacotes estão disponíveis em nosso blog da TechCommunity.

Permissões

Antes de executar os procedimentos neste artigo, verifique se você tem:

  • Um ou mais sensores de OT integrados ao Azure.

  • Permissões relevantes no portal do Azure e em todos os sensores de rede de OT ou no console de gerenciamento local que você deseja atualizar.

    • Para baixar pacotes de inteligência contra ameaças do portal do Azure, você precisa ter acesso ao Portal do Azure comoLeitor de segurança, Administrador de segurança, Colaboradorou Proprietário.

    • Para enviar atualizações de inteligência contra ameaças por push para sensores de OT conectados à nuvem do portal do Azure, você precisa ter acesso ao portal do Azure com uma função de Administrador de segurança, Colaborador ou Proprietário.

    • Para carregar manualmente pacotes de inteligência contra ameaças em sensores de OT ou consoles de gerenciamento locais, você precisa ter acesso ao sensor OT ou ao console de gerenciamento local como um usuárioadministrador.

Para obter mais informações, consulte Funções e permissões de usuário do Azure para o Defender para IoT e Usuários locais e funções para o monitoramento de OT com o Defender para IoT.

Exibir o pacote de inteligência contra ameaças mais recente

Para exibir o pacote mais recente disponível no Defender para IoT:

No portal do Azure, selecione Sites e sensores>Atualização de inteligência contra ameaças (versão prévia)>Atualização local. Os detalhes sobre o pacote mais recente disponível são mostrados no painel de atualização do Sensor TI. Por exemplo:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Atualizar pacotes de inteligência contra ameaças

Atualize pacotes de inteligência contra ameaças em seus sensores de OT usando um dos seguintes métodos:

Enviar automaticamente atualizações por push para sensores de OT conectados à nuvem

Os pacotes de inteligência contra ameaças podem ser enviados automaticamente para sensores conectados à nuvem assim que são lançados pelo Defender para IoT.

Ative a atualização automática do pacote para o sensor conectado à nuvem habilitando a opção Atualizações automáticas de inteligência contra ameaças. Para obter mais informações, confira Integrar sensores de OT ao Defender para IoT.

Para alterar o modo de atualização depois de integrar o sensor de OT:

  1. No Defender para IoT no portal do Azure, selecione Sites e sensores e depois localize o sensor que você deseja alterar.
  2. Selecione o menu opções (...) para o sensor de OT selecionado >Editar.
  3. Ative ou desative a opção Atualizações de Inteligência Contra Ameaças Automática (Versão Prévia), conforme necessário.

Envia atualizações por push manualmente para sensores de OT conectados à nuvem

Os sensores conectados à nuvem podem ser atualizados automaticamente com pacotes de inteligência contra ameaças. No entanto, se você quiser adotar uma abordagem mais conservadora, envie pacotes por push do Defender para IoT aos sensores somente quando achar necessário. Isso possibilita controlar quando um pacote é instalado, sem a necessidade de baixá-lo nem carregá-lo nos sensores.

Para enviar atualizações por push manualmente para um único sensor de OT:

  1. No Defender para IoT no portal do Azure, selecione Sites e sensores e localize o sensor de OT que você deseja atualizar.
  2. Selecione o menu opções (...) para o sensor escolhido e selecione Atualização da inteligência contra ameaças por push.

O campo Status da atualização da inteligência contra ameaças exibe o progresso da atualização.

Para enviar atualizações por push manualmente para múltiplos sensores de OT:

  1. No Defender para IoT no portal do Azure, selecione Sites e sensores. Localize e selecione os sensores de OT que você deseja atualizar.
  2. Selecione Atualizações de inteligência contra ameaças (versão prévia)>Atualização remota.

O campo Status da atualização da inteligência contra ameaças exibe o progresso da atualização.

Atualizar manualmente sensores gerenciados localmente

Se você estiver trabalhando com sensores de OT gerenciados localmente, precisará baixar os pacotes atualizados de inteligência contra ameaças e carregá-los manualmente em seus sensores.

Se você também estiver trabalhando com um console de gerenciamento local, recomendamos que você carregue o pacote de inteligência contra ameaças no console de gerenciamento local e envie de lá a atualização por push.

Dica

Essa opção também pode ser usada para sensores conectados à nuvem se você não quiser enviar por push as atualizações do portal do Azure.

Para baixar pacotes de inteligência contra ameaças:

  1. No Defender para IoT no portal do Azure, selecione Sites e sensores>Atualização de inteligência contra ameaças (versão prévia)>Atualização local.

  2. No painel Atualização do sensor de Inteligência contra ameaças (TI), selecione Baixar para baixar o arquivo de inteligência contra ameaças mais recente.

Todos os arquivos baixados do portal do Azure são assinados pela raiz de confiança para que suas máquinas usem apenas ativos assinados.

Para atualizar um único sensor:

  1. Entre no console do sensor de OT e selecione Configurações do sistema>Inteligência contra ameaças.

  2. No painel Inteligência contra ameaças, selecione Carregar arquivo. Por exemplo:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Navegue até e selecione o pacote que você baixou do portal do Azure e carregue-o no sensor.

Para carregar vários sensores simultaneamente:

  1. Entre no console de gerenciamento local e selecione Configurações do Sistema.

  2. Na área Configuração do mecanismo do sensor, selecione os sensores que deseja que recebam os pacotes atualizados. Por exemplo:

    Screenshot of where you can select which sensors you want to make changes to.

  3. Na seção Dados de Inteligência Contra Ameaças do Sensor, selecione o sinal de adição (+).

  4. Na caixa de diálogo Carregar Arquivo, selecione PROCURAR ARQUIVO... para navegar e selecionar o pacote de atualização. Por exemplo:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Selecione FECHAR e, em seguida, SALVAR ALTERAÇÕES para enviar por push a atualização de inteligência contra ameaças para todos os sensores selecionados.

    Screenshot of where you can save changes made to selected sensors on the management console.

Analise o status da atualização da inteligência contra ameaça

Em cada sensor de OT, o status de atualização de inteligência contra ameaças e as informações de versão são mostrados no sensor em Configurações de sistema >Inteligência contra ameaças.

Para sensores de OT conectados à nuvem, os dados de inteligência contra ameaças também são mostrados na página Sites e sensores. Para exibir os status de inteligência contra ameaças do portal do Azure:

  1. No Defender para IoT no portal do Azure, selecione Sites e sensores.

  2. Localize os sensores de OT onde você deseja verificar os status de inteligência contra ameaças.

  3. Observe os valores das seguintes colunas para seus sensores de OT:

    Nome da coluna Descrição
    Versão da Inteligência contra Ameaças A atribuição de nomes de versão é baseada no dia em que o pacote foi criado pelo Defender para IoT.
    Modo de inteligência contra ameaças Automático indica que os pacotes recentemente disponíveis serão instalados automaticamente nos sensores conforme eles são liberados pelo Defender para IoT.

    Manual: indica que você pode enviar por push os pacotes recentemente disponíveis diretamente aos sensores, conforme necessário.
    Status de atualização da inteligência contra ameaças Mostra um dos seguintes status:
    - Com falha
    - Em andamento
    - Atualização disponível
    - Ok

Dica

Se um sensor de OT conectado à nuvem mostrar que uma atualização de inteligência contra ameaças falhou, recomendamos que você verifique os detalhes da conexão do sensor. Na página Sites e sensores, verifique o Status do sensor e as colunas Última conexão UTC.

Próximas etapas

Para obter mais informações, consulte: