Quais são as novidades no Microsoft Defender para IoT?
Este artigo descreve os recursos disponíveis no Microsoft Defender para IoT, nas redes OT e Enterprise IoT, no local e no portal do Azure e para as versões lançadas nos últimos nove meses.
Os recursos lançados há menos de nove meses estão descritos no Arquivo de novidades do Microsoft Defender para IoT para organizações. Para obter mais informações específicas das versões de software de monitoramento de OT, confira Notas sobre a versão do software de monitoramento de OT.
Observação
Os recursos indicados abaixo estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Março de 2023
Suporte para dispositivos transitórios
Agora o Defender para IoT identifica dispositivos transitórios como um tipo de dispositivo único que representa dispositivos que foram detectados apenas por um curto período de tempo. Recomenda-se investigar esses dispositivos cuidadosamente para entender o impacto deles na rede.
Para obter mais informações, consulte Inventário de dispositivos do Defender para IoT e Gerenciar seu inventário de dispositivos do portal do Azure.
Aprenda o tráfego de DNS configurando listas de permissões
Agora o usuário do suporte pode reduzir o número de alertas da internet não autorizados criando uma lista de permissões de nomes de domínio no seu sensor de OT.
Quando uma lista de permitidos de DNS é configurada, o sensor verifica cada tentativa de conectividade de Internet não autorizada na lista antes de disparar um alerta. Se o FQDN do domínio estiver incluído na lista de permitidos, o sensor não vai disparar o alerta e permitirá o tráfego automaticamente.
Todos os usuários do sensor de OT podem visualizar a lista de domínios do Sistema de Nomes de Domínio (DNS) permitidos e seus endereços IP resolvidos nos relatórios de mineração de dados.
Por exemplo:
Para obter mais informações, confira Permitir conexões de internet em uma rede de OT e Criar consultas de mineração de dados.
Atualizações de retenção de dados do dispositivo
O período de retenção de dados do dispositivo no sensor de OT e no console de gerenciamento local foi atualizado para 90 dias a partir da data do valor Última atividade.
Para obter mais informações, confira Períodos de retenção de dados do dispositivo.
Aprimoramentos da interface do usuário ao carregar certificados SSL/TLS
O sensor de OT versão 22.3.6 tem uma página de configuração aprimorada de Certificados SSL/TLS para definir suas configurações de certificado SSL/TLS e implantar um certificado assinado por AC.
Para obter mais informações, confira Implantar certificados SSL/TLS em dispositivos OT.
Atualizações da expiração de arquivos de ativação
Os arquivos de ativação em sensores de OT gerenciados localmente agora permanecem ativados enquanto o plano do Defender para IoT estiver ativo em sua assinatura do Azure, exatamente como os arquivos de ativação nos sensores de OT conectados à nuvem.
Você só precisará atualizar o arquivo de ativação se estiver atualizando um sensor de OT de uma versão herdada ou alternando o modo de gerenciamento do sensor, como, por exemplo, mudando de gerenciado localmente para conectado à nuvem.
Para obter mais informações, confira Gerenciar sensores individuais.
Aprimoramentos da interface do usuário para gerenciar o inventário de dispositivos
Os seguintes aprimoramentos foram adicionados ao inventário de dispositivos do sensor de OT na versão 22.3.6:
- Um processo mais suave para editar detalhes do dispositivo no sensor de OT. Edite os detalhes do dispositivo diretamente da página de inventário do dispositivo no console do sensor de OT usando o novo botão Editar na barra de ferramentas na parte superior da página.
- Agora o sensor de OT dá suporte à exclusão de vários dispositivos simultaneamente.
- Os procedimentos para mesclar e excluir dispositivos agora incluem mensagens de confirmação que aparecem quando a ação é concluída.
Para obter mais informações, confira Gerenciar o inventário de dispositivos OT em um console de sensor.
Gravidade atualizada para todos os alertas de Suspeita de Atividade Mal-Intencionada
Todos os alertas com a categoria Suspeita de Atividade Mal-Intencionada agora têm uma gravidade Crítica.
Para obter mais informações, confira Alertas do mecanismo de malware.
Notificações de dispositivo resolvidas automaticamente
A partir da versão 22.3.6, as notificações selecionadas na página de Mapa de dispositivos do sensor de OT agora são resolvidas automaticamente se não forem descartadas ou tratadas de alguma outra forma no prazo de 14 dias.
Após atualizar a versão do sensor, as notificações de Dispositivos inativos e Novos dispositivos de OT deixarão de aparecer. Embora todas as notificações de Dispositivos inativos anteriores à atualização que sobraram sejam descartadas automaticamente, você ainda poderá ter que lidar com algumas notificações herdadas de Novos dispositivos de OT. Lide com essas notificações conforme o necessário para removê-las do seu sensor.
Para obter mais informações, confira Gerenciar notificações de dispositivo.
Nova experiência de incidentes do Microsoft Sentinel para o Defender para IoT
A nova experiência de incidentes do Microsoft Sentinel inclui recursos específicos para clientes do Defender para IoT. Ao investigar incidentes relacionados a OT/IoT, os analistas de SOC agora podem usar os seguintes aprimoramentos nas páginas de detalhes do incidente:
Exibir os sites, as zonas, os sensores e a importância do dispositivo relacionados para entender melhor o impacto nos negócios e a localização física de um incidente.
Examinar uma linha do tempo agregada de dispositivos afetados e detalhes de dispositivos relacionados, em vez de investigar os dispositivos relacionados em páginas de detalhes de entidade separadas
Examinar as etapas de correção de alertas de OT diretamente na página de detalhes do incidente
Para saber mais, confira Tutorial: Investigar e detectar ameaças a dispositivos IoT e Navegar e investigar incidentes no Microsoft Sentinel.
Fevereiro de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Recursos de nuvem: - Microsoft Sentinel: solução Microsoft Defender para IoT, versão 2.0.2 - Baixar atualizações da página Sites e sensores (versão prévia pública) - GA da página Alertas no portal do Azure - Disponibilidade geral do inventário de dispositivos no portal do Azure - Aprimoramentos de agrupamento do inventário de dispositivos (Versão prévia pública) Versão do sensor 22.2.3: Defina as configurações do sensor de OT no portal do Azure (visualização pública) |
| Redes do Enterprise IoT | Recursos de nuvem: GA da página Alertas no portal do Azure |
Microsoft Sentinel: solução Microsoft Defender para IoT, versão 2.0.2
A versão 2.0.2 da solução Microsoft Defender para IoT agora está disponível no hub de conteúdo do Microsoft Sentinel, com melhorias nas regras de análise para criação de incidentes, uma página de detalhes de incidentes aprimorada e melhorias de desempenho para consultas de regra de análise.
Para obter mais informações, consulte:
- Tutorial: investigar e detectar ameaças para dispositivos IoT
- Versões da solução Microsoft Defender para IoT no Microsoft Sentinel
Baixar atualizações da página Sites e sensores (versão prévia pública)
Se você estiver executando uma atualização de software local no sensor OT ou no console de gerenciamento local, a página Sites e sensores agora fornecerá um novo assistente para baixar seus pacotes de atualização, acessados por meio do menu Atualização do sensor (versão prévia).
Por exemplo:
As atualizações de inteligência contra ameaças também agora estão disponíveis apenas na página Sites e sensores> da opção Atualização de inteligência contra ameaças (versão prévia).
Os pacotes de atualização para o console de gerenciamento local também estão disponíveis na guia Introdução> no Console de gerenciamento local.
Para obter mais informações, consulte:
- Atualizar o software de monitoramento de OT do Defender para IoT
- Atualizar pacotes de inteligência contra ameaças
- Versões do software de monitoramento de OT
Disponibilidade geral do inventário de dispositivos no portal do Azure
A página Inventário de dispositivos no portal do Azure agora está em GA (Disponibilidade Geral), fornecendo uma exibição centralizada em todos os dispositivos detectados, em escala.
O inventário de dispositivos do Defender para IoT ajuda você a identificar detalhes sobre dispositivos específicos, como fabricante, tipo, número de série, firmware e muito mais. Reunir detalhes sobre seus dispositivos ajuda suas equipes a investigar proativamente vulnerabilidades que podem comprometer seus ativos mais críticos.
Gerencie todos os dispositivos IoT/OT criando um inventário atualizado que inclui todos os dispositivos gerenciados e não gerenciados
Proteja dispositivos com abordagem baseada em risco para identificar riscos como patches ausentes, vulnerabilidades e priorizar correções com base na pontuação de risco e na modelagem automatizada de ameaças
Atualize seu inventário excluindo dispositivos irrelevantes e adicionando informações específicas da organização para enfatizar as preferências da sua organização
A disponibilidade geral do Inventário de dispositivos inclui os seguintes aprimoramentos de interface do usuário:
| Aprimoramento | Descrição |
|---|---|
| Aprimoramentos no nível da grade | - Exporte todo o inventário de dispositivos para examinar offline e comparar anotações com suas equipes - Exclua dispositivos irrelevantes que não existem ou não funcionam mais - Mescle dispositivos para ajustar a lista de dispositivos se o sensor tiver descoberto entidades de rede separadas associadas a um único dispositivo exclusivo. Por exemplo. um PLC com quatro cartões de rede, um laptop com WiFi e um cartão de rede físico ou uma única estação de trabalho com vários cartões de rede. - Edite suas exibições de tabela para refletir apenas os dados que você está interessado em exibir |
| Aprimoramentos no nível do dispositivo | - Edite detalhes do dispositivo anotando detalhes contextuais específicos da organização, como importância relativa, marcas descritivas e informações de função de negócios |
| Aprimoramentos de pesquisa e filtro | - Execute pesquisas avançadas em qualquer campo do inventário de dispositivos para localizar rapidamente os dispositivos mais importantes - Filtre o inventário de dispositivos por qualquer campo. Por exemplo, filtre por Tipo para identificar dispositivos industriais ou campos de hora para determinar dispositivos ativos e inativos. |
Os controles avançados de segurança, governança e administrador também fornece a capacidade de atribuir administradores, restringindo quem pode mesclar, excluir e editar dispositivos em nome de um proprietário.
Aprimoramentos de agrupamento do inventário de dispositivos (Versão prévia pública)
A página Inventário de dispositivos no portal do Azure dá suporte a novas categorias de agrupamento. Agora é possível agrupar o inventário de dispositivos por classe, fonte de dados, localização, nível de Purdue, site, tipo, fornecedor e zona. Para obter mais informações, veja Exibir detalhes completos do dispositivo.
Defina as configurações do sensor de OT no portal do Azure (Versão preliminar pública)
Para as versões de sensor 22.2.3 e superiores, agora você pode definir as configurações selecionadas para sensores conectados à nuvem usando a nova página Configurações do sensor (versão prévia), acessada por meio da página Sites e sensores do portal do Azure. Por exemplo:
Para obter mais informações, consulte Definir e exibir configurações do sensor de OT do portal do Azure (visualização pública).
GA de Alertas no portal do Azure
A página Alertas no portal do Azure agora está em Disponibilidade Geral. Os alertas do Microsoft Defender para IoT aprimoram a segurança e as operações de rede com detalhes em tempo real sobre eventos detectados em sua rede. Os alertas são disparados quando alterações ou atividades suspeitas que precisam de sua atenção são detectadas pelos sensores de rede OT ou Enterprise IoT ou pelo microagente do Defender para IoT no tráfego de rede.
Alertas específicos disparados pelo sensor de Enterprise IoT permanecem em visualização pública.
Para obter mais informações, consulte:
- Exibir e gerenciar alertas no portal do Azure
- Investigar e responder a um alerta de rede OT
- Tipos de alertas de monitoramento de OT e descrições
Janeiro de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Sensor versão 22.3.4: status de conectividade do Azure mostrado em sensores de OT Sensor versão 22.2.3: atualizar o software do sensor por meio do portal do Azure |
Atualizar o software do sensor por meio do portal do Azure (versão prévia pública)
Para versões 22.2.3 e superiores do sensor conectado à nuvem, agora você pode atualizar o software do sensor usando diretamente a nova página Sites e sensores no portal do Azure.
Para obter mais informações, confira Atualizar os sensores usando o portal do Azure.
Status de conectividade do Azure mostrado em sensores de OT
Os detalhes sobre o status de conectividade do Azure agora são mostrados na página Visão geral nos sensores de rede OT e os erros são mostrados se a conexão do sensor com o Azure é perdida.
Por exemplo:
Para obter mais informações, consulte Gerenciar sensores individuais e Integrar sensores de OT ao Defender para IoT.
Dezembro de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Nova experiência de compra para planos de OT |
| Redes do Enterprise IoT | Alertas e recomendações do sensor de Enterprise IoT (versão prévia pública) |
Alertas e recomendações do sensor de Enterprise IoT (versão prévia pública)
O portal do Azure agora fornece os seguintes dados de segurança adicionais para o tráfego detectado pelos sensores de rede do Enterprise IoT:
| Tipo de dados | Descrição |
|---|---|
| Alertas | O sensor de rede do Enterprise IoT agora dispara os seguintes alertas: - Tentativa de conexão com IP mal-intencionado conhecido - Solicitação de nome de domínio mal-intencionado |
| Recomendações | O sensor de rede do Enterprise IoT agora dispara a seguinte recomendação para dispositivos detectados, conforme relevante: Desabilitar o protocolo de administração não seguro |
Para obter mais informações, consulte:
- Alertas do mecanismo de malware
- Exibir e gerenciar alertas no portal do Azure
- Aprimorar a postura de segurança com recomendações de segurança
- Descobrir dispositivos Enterprise IoT com um sensor de rede do Enterprise IoT (versão prévia pública)
Nova experiência de compra para planos de OT
Agora, a página Planos e preços no portal do Azure inclui uma nova experiência de compra aprimorada para planos do Defender para IoT para redes de OT. Edite seu plano de OT no portal do Azure, por exemplo, para alterar seu plano de uma avaliação para um compromisso mensal ou anual ou atualizar o número de dispositivos ou sites.
Para obter mais informações, consulte Gerenciar planos de OT em assinaturas do Azure.
Novembro de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | - Versões do sensor 22.x e posteriores: controle de acesso baseado em site no portal do Azure (versão prévia pública) - Todas as versões do sensor de OT: novas notas sobre a versão do software de monitoramento de OT |
Controle de acesso baseado em site no portal do Azure (versão prévia pública)
Para as versões de software do sensor 22.x, o Defender para IoT agora dá suporte ao controle de acesso baseado em site, que permite aos clientes controlar o acesso do usuário aos recursos do Defender para IoT no portal do Azure no nível do site.
Por exemplo, aplique as funções Leitor de Segurança, Administração de Segurança, Colaborador ou Proprietário para determinar o acesso do usuário aos recursos do Azure, como as páginas de Alertas, Inventário de dispositivos ou Pastas de Trabalho.
Para gerenciar o controle de acesso baseado em site, selecione o site na página Sites e sensores e, em seguida, selecione o link Gerenciar controle de acesso ao site (versão prévia). Por exemplo:
Para obter mais informações, consulte Gerenciar usuários de monitoramento de OT no portal do Azure e Funções de usuário do Azure para monitoramento de OT e IoT Enterprise.
Observação
Os Sites e, portanto, o controle de acesso baseado em site, são relevantes apenas para monitoramento de rede OT.
Novas notas sobre a versão do software de monitoramento de OT
A documentação do Defender para IoT agora tem uma nova página de notas sobre a versão dedicada ao software de monitoramento de OT, com detalhes sobre nossos modelos de suporte de versão e recomendações de atualização.
Continuamos atualizando este artigo, nossa página principal Novidades, com novos recursos e aprimoramentos para as redes OT e Enterprise IoT. Os novos itens listados incluem recursos no locais e na nuvem e são listados por mês.
Por outro lado, as novas notas sobre a versão do software de monitoramento de OT listam apenas as atualizações de monitoramento de rede OT que exigem que você atualize o software local. Os itens são listados por versões principais e de patch, com uma tabela agregada de versões, datas e escopo.
Para mais informações, confira Notas sobre a versão do software de monitoramento de OT.
Outubro de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Referência avançada de alerta de monitoramento de OT |
Referência avançada de alerta de monitoramento de OT
Nosso artigo de referência de alerta agora inclui os seguintes detalhes para cada alerta:
Categoria de alerta, útil quando você deseja investigar alertas agregados por uma atividade específica ou configurar regras SIEM para gerar incidentes com base em atividades específicas
Limite de alerta, para alertas relevantes. Os limites indicam o ponto específico no qual um alerta é disparado. O usuário cyberx pode modificar limites de alerta conforme necessário na página Suporte do sensor.
Para saber mais, confira Tipos e descrições de alertas de monitoramento de OT, especificamente Categorias de alerta com suporte.
Setembro de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Todas as versões com suporte do software do sensor de OT: - Vulnerabilidades de dispositivo do portal do Azure - Recomendações sobre segurança para redes de OT Todas as versões de software do sensor de OT 22.x: Atualizações para regras de firewall de conexão de nuvem do Azure Versão do software do sensor 22.2.7: – Correções de bug e melhorias de estabilidade Versão do software do sensor 22.2.6: – Correções de bug e melhorias de estabilidade – Aprimoramentos no algoritmo de classificação de tipo de dispositivo Integração do Microsoft Sentinel: - Aprimoramentos de investigação com entidades de dispositivo IoT - Atualizações da solução Microsoft Defender para IoT |
Recomendações sobre segurança para redes de OT (visualização pública)
Agora, o Defender para IoT fornece recomendações de segurança para ajudar os clientes a gerenciar sua postura de segurança de rede OT/IoT. As recomendações do Defender para IoT ajudam os usuários a formar planos de mitigação acionáveis e priorizados que abordam os desafios exclusivos das redes OT/IoT. Use recomendações para reduzir o risco e a superfície de ataque da rede.
Você pode ver as seguintes recomendações de segurança no portal do Azure para dispositivos detectados em suas redes:
Revisar o modo de operação de PLC. Dispositivos com essa recomendação são encontrados com PLCs definidos como estados de modo operacional não seguros. Recomendamos definir os modos de operação de PLC para o estado Execução segura se o acesso não for mais necessário a esse PLC a fim de reduzir a ameaça de programa de PLC mal-intencionada.
Revisar dispositivos não autorizados. Dispositivos com essa recomendação devem ser identificados e autorizados como parte da linha de base de rede. Recomendamos tomar medidas para identificar os dispositivos indicados. Desconecte todos os dispositivos da rede que permanecerem desconhecidos mesmo após a investigação para reduzir a ameaça de dispositivos desonestos ou potencialmente mal-intencionados.
Acesse as recomendações de segurança de um dos seguintes locais:
A página Recomendações, que exibe todas as recomendações atuais em todos os dispositivos de OT detectados.
A guia Recomendações em uma página de detalhes do dispositivo, que exibe todas as recomendações atuais para o dispositivo selecionado.
Em qualquer local, selecione uma recomendação para fazer uma busca detalhada e exibir listas de todos os dispositivos de OT detectados que estão em um estado íntegro ou não íntegro de acordo com a recomendação selecionada. Na guia Dispositivos não íntegros ou Dispositivos íntegros, selecione um link de dispositivo para ir para a página de detalhes do dispositivo selecionado. Por exemplo:
Para obter mais informações, consulte Exibir o estoque de dispositivos e Aprimorar a postura de segurança com recomendações de segurança.
Vulnerabilidades de dispositivo do portal do Azure (visualização pública)
Agora, o Defender para IoT fornece dados de vulnerabilidade no portal do Azure para os dispositivos de rede de OT detectados. Os dados de vulnerabilidade baseiam-se no repositório de dados de vulnerabilidade baseados em padrões documentados no NVD (Banco de Dados Nacional de Vulnerabilidades) do governo dos EUA.
Acesse dados de vulnerabilidade no portal do Azure dos seguintes locais:
Em uma página de detalhes do dispositivo, selecione a guia Vulnerabilidades para exibir as vulnerabilidades atuais no dispositivo selecionado. Por exemplo, na página Inventário de dispositivos, selecione um dispositivo específico e selecione Vulnerabilidades.
Para obter mais informações, consulte Exibir o inventário do dispositivo.
Uma nova pasta de trabalho Vulnerabilidades exibe dados de vulnerabilidade em todos os dispositivos de OT monitorados. Use a pasta de trabalho Vulnerabilidades para exibir dados como CVE por gravidade ou fornecedor, bem como listas completas de vulnerabilidades detectadas e dispositivos e componentes vulneráveis.
Selecione um item nas tabelas Vulnerabilidades do dispositivo, Dispositivos vulneráveis ou Componentes vulneráveis para exibir informações relacionadas nas tabelas à direita.
Por exemplo:
Para obter mais informações, confira Usar as pastas de trabalho do Azure Monitor no Microsoft Defender para IoT.
Atualizações para regras de firewall de conexão de nuvem do Azure (visualização pública)
Os sensores de rede de OT se conectam ao Azure para fornecer dados de alerta e de dispositivo e mensagens de integridade do sensor, acessar pacotes de inteligência contra ameaças e muito mais. Os serviços conectados do Azure incluem o Hub IoT, o Armazenamento de Blobs, os Hubs de Eventos e o Centro de Download da Microsoft.
Para sensores de OT com as versões de software 22.x e superiores, o Defender para IoT agora dá suporte a maior segurança ao adicionar regras de permissão de saída para conexões com o Azure. Agora, você pode definir suas regras de permissão de saída para se conectar ao Azure sem usar curingas.
Ao definir regras de permissão de saída para se conectar ao Azure, você precisará habilitar o tráfego HTTPS para cada um dos pontos de extremidade necessários na porta 443. As regras de permissão de saída são definidas uma vez para todos os sensores de OT integrados à mesma assinatura.
Para versões do sensor com suporte, baixe a lista completa de pontos de extremidade seguros necessários dos seguintes locais no portal do Azure:
Uma página de registro de sensor bem-sucedida: depois de integrar um novo sensor de OT, versão 22.x, a página de registro bem-sucedido agora fornece instruções para as próximas etapas, incluindo um link para os pontos de extremidade que você precisará adicionar como regras de permissão de saída segura em sua rede. Selecione o link Baixar detalhes do ponto de extremidade para baixar o arquivo JSON.
Por exemplo:
A página Sites e sensores: selecione um sensor de OT com versões de software 22.x ou superior ou um site com uma ou mais versões de sensor com suporte. Em seguida, selecione Mais ações>Baixar detalhes do ponto de extremidade para baixar o arquivo JSON. Por exemplo:
Para obter mais informações, consulte:
- Tutorial: Introdução ao Microsoft Defender para IoT para segurança de OT
- Gerenciar sensores com o Defender para IoT no portal do Azure
- Requisitos de rede
Aprimoramentos de investigação com entidades de dispositivo IoT no Microsoft Sentinel
A integração do Defender para IoT com o Microsoft Sentinel agora dá suporte a uma página de entidade de dispositivo IoT. Ao investigar incidentes e monitorar a segurança de IoT no Microsoft Sentinel, agora você pode identificar seus dispositivos mais confidenciais e ir diretamente para mais detalhes em cada página da entidade do dispositivo.
A página de entidade do dispositivo IoT fornece informações contextuais sobre um dispositivo IoT, com detalhes básicos do dispositivo e informações de contato do proprietário do dispositivo. Os proprietários de dispositivos são definidos por site na página Sites e sensores no Defender para IoT.
A página da entidade do dispositivo IoT pode ajudar a priorizar a correção com base na importância do dispositivo e no impacto nos negócios, de acordo com o site, a zona e o sensor de cada alerta. Por exemplo:
Agora, você também pode buscar dispositivos vulneráveis na página de Comportamento da entidade do Microsoft Sentinel. Por exemplo, veja os cinco principais dispositivos de IoT com o maior número de alertas ou pesquise um dispositivo por endereço IP ou nome do dispositivo:
Para obter mais informações, consulte Investigar mais com entidades de dispositivo de IoT e Opções de gerenciamento de site do portal do Azure.
Atualizações da solução Microsoft Defender para IoT no hub de conteúdo do Microsoft Sentinel
Neste mês, lançamos a versão 2.0 da solução Microsoft Defender para IoT no hub de conteúdo do Microsoft Sentinel, anteriormente conhecido como a solução de Monitoramento de Ameaças de IoT/OT com o Defender para IoT.
Atualizações nesta versão da solução incluem:
Uma alteração de nome. Se você tiver instalado a solução de Monitoramento de Ameaças de IoT/OT com o Defender para IoT no workspace do Microsoft Sentinel, a solução será renomeada automaticamente como Microsoft Defender para IoT, mesmo que você não a atualize.
Melhorias na pasta de trabalho: a pasta de trabalho do Defender para IoT agora inclui:
Um novo painel de Visão geral com as principais métricas no inventário de dispositivos, detecção de ameaças e postura de segurança. Por exemplo:
Um novo painel Vulnerabilidades com detalhes sobre CVEs mostrados em sua rede e nos dispositivos vulneráveis relacionados. Por exemplo:
Melhorias no painel Inventário de dispositivos, incluindo acesso a recomendações de dispositivo, vulnerabilidades e links diretos para as páginas de detalhes do dispositivo Defender para IoT. O painel Inventário de dispositivos na pasta de trabalho Monitoramento de Ameaças de IoT/OT com o Defender para IoT está totalmente alinhado aos dados de inventário de dispositivos do Defender para IoT.
Atualizações do guia estratégico: a solução Microsoft Defender para IoT agora dá suporte à seguinte funcionalidade de automação de SOC com novos guias estratégicos:
Automação com detalhes de CVE: use o guia estratégico AD4IoT-CVEAutoWorkflow para enriquecer comentários de incidentes com CVEs de dispositivos relacionados com base nos dados do Defender para IoT. Os incidentes passam por triagem e, se o CVE for crítico, o proprietário do ativo será notificado sobre o incidente por email.
Automação de notificações por email para proprietários de dispositivos. Use o guia estratégico AD4IoT-SendEmailtoIoTOwner para que um email de notificação seja enviado automaticamente ao proprietário do dispositivo sobre novos incidentes. Os proprietários de dispositivos podem responder ao email para atualizar o incidente conforme necessário. Os proprietários de dispositivos são definidos no nível do site no Defender para IoT.
Automação para incidentes com dispositivos confidenciais: use o guia estratégico AD4IoT-AutoTriageIncident para atualizar automaticamente a gravidade de um incidente com base nos dispositivos envolvidos nele e em seu nível de confidencialidade ou importância para a organização. Por exemplo, qualquer incidente envolvendo um dispositivo confidencial pode ser escalado automaticamente para um nível de gravidade mais alto.
Para obter mais informações, consulte Investigar incidentes do Microsoft Defender para IoT com o Microsoft Sentinel.
Agosto de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Sensor software versão 22.2.5: versão secundária com melhorias de estabilidade Software do sensor versão 22.2.4: novas colunas de alerta com dados de carimbo de data/hora Software do sensor versão 22.1.3: integridade do sensor do portal do Azure (versão prévia pública) |
Novas colunas de alerta com dados de carimbo de data/hora
A partir da versão 22.2.4 do sensor OT, os alertas do Defender for IoT no portal do Azure e no console do sensor agora mostram as seguintes colunas e dados:
Última detecção. Define a última vez que o alerta foi detectado na rede e substitui a coluna tempo de detecção.
Primeira detecção. Define a primeira vez que o alerta foi detectado na rede.
Última atividade. Define a última vez que o alerta foi alterado, incluindo atualizações manuais para gravidade ou status, ou alterações automatizadas para atualizações de dispositivo ou eliminação de duplicação de dispositivo/alerta.
As colunas Primeira detecção e Última atividade não são exibidas por padrão. Adicione-os à sua página Alertas conforme necessário.
Dica
Se você também for usuário do Microsoft Sentinel, estará familiarizado com dados semelhantes de suas consultas do Log Analytics. As novas colunas de alerta no Defender for IoT são mapeadas da seguinte forma:
- A hora da última detecção do Defender for IoT é semelhante ao Log Analytics EndTime
- A hora da Primeira detecção do Defender for IoT é semelhante ao Log Analytics StartTime
- A hora da Última atividade do Defender para IoT é semelhante ao TimeGenerated do Log Analytics. Para obter mais informações, consulte:
- Exibir alertas no portal Defender for IoT
- Exibir alertas no sensor
- Monitoramento de ameaças de OT nos SOCs empresarias
Integridade do sensor do portal do Azure (visualização pública)
Para o sensor OT versões 22.1.3 e superior, você pode usar os novos widgets de integridade do sensor e dados da coluna da tabela para monitorar a integridade do sensor diretamente da página Sites e sensores no portal do Azure.
Também adicionamos uma página de detalhes do sensor, na qual você detalha um sensor específico do portal do Azure. Na página Sites e sensores, selecione um nome de sensor específico. A página de detalhes do sensor lista os dados básicos do sensor, a integridade do sensor e todas as configurações do sensor aplicadas.
Para saber mais, confira Entender a integridade do sensor e Referência da mensagem de integridade do sensor.
Julho de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes do Enterprise IoT | - Integração do Enterprise IoT e do Defender para Ponto de Extremidade em GA |
| Redes OT | Versão do software do sensor 22.2.4: - Aprimoramentos de inventário de dispositivos - Aprimoramentos para a API de integração do ServiceNow Versão do software do sensor 22.2.3: - Atualizações de perfil de hardware do dispositivo OT - Acesso PCAP pelo portal do Azure - Sincronização de alerta bidirecional entre sensores e o portal do Azure - Conexões de sensor restauradas após a rotação do certificado - Aprimoramentos do log de diagnóstico de suporte - Segurança aprimorada para carregar plug-ins de protocolo - Nomes de sensor mostrados nas guias do navegador Versão do software do sensor 22.1.7: - Mesmas senhas para usuários cyberx_host e cyberx |
| Recursos somente na nuvem | - Sincronização de incidentes do Microsoft Sentinel com alertas do Defender para IoT |
Integração do Enterprise IoT e do Defender para Ponto de Extremidade em GA
A integração do Enterprise IoT ao Microsoft Defender para Ponto de Extremidade agora está em GA (Disponibilidade Geral). Com essa atualização, fizemos as seguintes atualizações e melhorias:
Integrar um plano do Enterprise IoT diretamente no Defender para Ponto de Extremidade. Para obter mais informações, confira Gerenciar suas assinaturas e a documentação do Defender para Ponto de Extremidade.
Integração perfeita com o Microsoft Defender para Ponto de Extremidade para exibir dispositivos do Enterprise IoT detectados e seus alertas, vulnerabilidades e recomendações relacionados no portal de Segurança do Microsoft 365. Para obter mais informações, confira Tutorial do Enterprise IoT e a documentação do Defender para Ponto de Extremidade. Você pode continuar a exibir dispositivos do Enterprise IoT detectados na página de inventário do dispositivo do Defender para IoT no portal do Azure.
Todos os sensores do Enterprise IoT agora são adicionados automaticamente ao mesmo site no Defender para IoT, chamado rede Enterprise. Ao integrar um novo dispositivo Enterprise IoT, você só precisa definir um nome de sensor e selecionar sua assinatura, sem definir um site ou zona.
Observação
O sensor de rede do Enterprise IoT e todas as detecções permanecem na Versão Prévia Pública.
Mesmas senhas para usuários cyberx_host e cyberx
Durante as instalações e atualizações de software de monitoramento de OT, o usuário cyberx recebe uma senha aleatória. Ao atualizar da versão 10.x.x para a versão 22.1.7, a senha cyberx_host é atribuída com uma senha idêntica ao usuário cyberx.
Para saber mais, confira Instalar software de monitoramento sem agente de OT e Atualizar o software de monitoramento do Defender para IoT OT.
Aprimoramentos de inventário de dispositivo
Começando com a versão 22.2.4 do sensor OT, agora você pode executar as seguintes ações na página de inventário de dispositivos do console do sensor:
Mesclar dispositivos duplicados. Talvez seja necessário mesclar dispositivos se o sensor tiver descoberto entidades de rede separadas associadas a um único dispositivo exclusivo. Os exemplos desse cenário podem incluir um PLC com quatro cartões de rede, um laptop com WiFi e um cartão de rede físico ou uma única estação de trabalho com vários cartões de rede.
Excluir dispositivos únicos. Agora, você pode excluir um único dispositivo que não se comunica há pelo menos 10 minutos.
Exclua dispositivos inativos por usuários administradores. Agora, todos os usuários administradores, além do usuário cyberx, podem excluir dispositivos inativos.
Também começando na versão 22.2.4, na página de inventário de dispositivos do console do sensor, o valor Visto pela última vez no painel de detalhes do dispositivo é substituído por Última atividade. Por exemplo:
Para obter mais informações, confira Gerenciar o inventário de dispositivos OT em um console de sensor.
Aprimoramentos para a API de integração do ServiceNow
O sensor OT versão 22.2.4 fornece aprimoramentos para a API devicecves, que obtém detalhes sobre os CVEs encontrados para um determinado dispositivo.
Agora você pode adicionar qualquer um dos seguintes parâmetros à sua consulta para ajustar seus resultados:
- "sensorId": mostra os resultados de um sensor específico, conforme definido pela ID do sensor fornecida.
- "score" – determina uma pontuação CVE mínima a ser recuperada. Todos os resultados terão uma pontuação CVE igual ou superior ao valor fornecido. Padrão = 0.
- "deviceIds" – uma lista separada por vírgulas de IDs de dispositivo das quais você deseja mostrar resultados. Por exemplo: 1232,34,2,456
Para obter mais informações, confira Referência da API de Integração para consoles de gerenciamento locais (versão prévia pública).
Atualizações de perfil de hardware do dispositivo OT
Atualizamos as convenções de nomenclatura para nossos perfis de hardware do dispositivo OT para maior transparência e clareza.
Os novos nomes refletem o tipo de perfil, incluindo as linhas Corporativa, Empresarial e de Produção e também o tamanho do armazenamento em disco relacionado.
Use a seguinte tabela para entender o mapeamento entre os nomes de perfil de hardware herdados e os nomes atuais usados na instalação de software atualizada:
| Nome herdado | Novo nome | Descrição |
|---|---|---|
| Corporativo | C5600 | Um ambiente corporativo com: 16 núcleos 32 GB RAM Armazenamento em disco de 5.6 TB |
| Empresa | E1800 | Um ambiente empresarial com: 8 núcleos 32 GB RAM Armazenamento em disco de 1.8 TB |
| SMB | L500 | Um ambiente de linha de produção com: 4 núcleos 8 GB RAM Armazenamento em disco de 500 GB |
| Office | L100 | Um ambiente de linha de produção com: 4 núcleos 8 GB RAM Armazenamento em disco de 100 GB |
| Robusto | L64 | Um ambiente de linha de produção com: 4 núcleos 8 GB RAM Armazenamento em disco de 64 GB |
Agora também damos suporte a novos perfis de hardware corporativo, para sensores que dão suporte a tamanhos de disco de 500 GB e 1 TB.
Para obter mais informações, consulte Quais dispositivos eu preciso?
Acesso PCAP do portal do Azure (versão prévia pública)
Agora você pode acessar os arquivos de tráfego bruto, conhecidos como arquivos de captura de pacotes ou arquivos PCAP, diretamente do portal do Azure. Esse recurso dá suporte a engenheiros de segurança SOC ou OT que desejam investigar alertas do Defender para IoT ou do Microsoft Sentinel, sem precisar acessar cada sensor separadamente.
Os arquivos PCAP são baixados no armazenamento do Azure.
Para obter mais informações, confira Exibir e gerenciar alertas do portal do Azure.
Sincronização de alerta bidirecional entre sensores e o portal do Azure (Versão prévia pública)
Para sensores atualizados para a versão 22.2.1, os status de alerta e de aprendizado agora são totalmente sincronizados entre o console do sensor e o portal do Azure. Por exemplo, isso significa que você pode fechar um alerta no portal do Azure ou no console do sensor, e o status do alerta é atualizado em ambos os locais.
Saiba mais sobre um alerta do portal do Azure ou no console do sensor para garantir que ele não seja disparado novamente na próxima vez que o mesmo tráfego de rede for detectado.
O console do sensor também é sincronizado com um console de gerenciamento local, para que os status de alerta e de aprendizado permaneçam atualizados em suas interfaces de gerenciamento.
Para obter mais informações, consulte:
- Exibir e gerenciar alertas no portal do Azure
- Exibir e gerenciar alertas no seu sensor
- Trabalhar com alertas no console de gerenciamento local
Conexões de sensor restauradas após o giro do certificado
Começando na versão 22.2.3, depois de girar seus certificados, as conexões do sensor serão restauradas automaticamente para o gerenciador central e você não precisará reconectá-los manualmente.
Para obter mais informações, confira Sobre certificados.
Aprimoramentos de log de diagnóstico de suporte (Versão prévia pública)
Começando na versão 22.1.1 do sensor, é possível baixar um log de diagnóstico do console do sensor para enviar suporte ao abrir um tíquete.
Agora, para sensores gerenciados localmente, você pode carregar esse log de diagnóstico diretamente no portal do Azure.
Dica
Para sensores conectados à nuvem, começando na versão 22.1.3 do sensor, o log de diagnóstico fica automaticamente disponível para suporte quando você abre o tíquete.
Para obter mais informações, consulte:
Segurança aprimorada para carregar plug-ins de protocolo
Esta versão do sensor fornece uma segurança aprimorada para carregar plug-ins proprietários que você criou usando o SDK do Horizon.
Para obter mais informações, confira Gerenciar protocolos proprietários com plug-ins do Horizon.
Nomes de sensor mostrados nas guias do navegador
Começando na versão 22.2.3 do sensor, o nome do sensor é exibido na guia do navegador, facilitando a identificação dos sensores com os quais você está trabalhando.
Por exemplo:
Para obter mais informações, confira Gerenciar sensores individuais.
Sincronização de incidentes do Microsoft Sentinel com alertas do Defender para IoT
A solução Monitoramento de Ameaças de IoT/OT com o Defender para IoT agora garante que os alertas no Defender para IoT sejam atualizados com alterações de status de incidente relacionadas do Microsoft Sentinel.
Essa sincronização substitui os status definidos no Defender para IoT, no portal do Azure ou no console do sensor, para que os status do alerta correspondam ao do incidente relacionado.
Atualize sua solução Monitoramento de Ameaças de IoT/OT com Defender para IoT para usar o suporte de sincronização mais recente, incluindo o novo guia estratégico AD4IoT-AutoAlertStatusSync. Depois de atualizar a solução, certifique-se de que você também execute as etapas necessárias para garantir que o novo guia estratégico funcione conforme o esperado.
Para obter mais informações, consulte:
- Tutorial: Integrar o Defender para IoT e o Sentinel
- Exibir e gerenciar alertas no portal Defender para IoT (Versão Prévia)
- Exibir alertas no sensor
Junho de 2022
Software do sensor versão 22.1.6: versão secundária com atualizações de manutenção para componentes internos do sensor
Software do sensor versão 22.1.5: versão secundária para aprimorar pacotes de instalação de TI e atualizações de software
Recentemente, otimizamos e aprimoramos nossa documentação da seguinte maneira:
- Catálogo de dispositivos atualizado para ambientes OT
- Reorganização de documentação para organizações de usuário final
Catálogo de dispositivos atualizado para ambientes OT
Atualizamos e renovamos o catálogo de dispositivos com suporte para monitorar ambientes OT. Esses dispositivos dão suporte a opções de implantação flexíveis para ambientes de todos os tamanhos e podem ser usados para hospedar o sensor de monitoramento OT e consoles de gerenciamento locais.
Use as novas páginas da seguinte maneira:
Entenda qual modelo de hardware melhor atende às necessidades da sua organização. Para obter mais informações, consulte Quais dispositivos eu preciso?
Saiba mais sobre os dispositivos de hardware pré-configurados que estão disponíveis para compra ou os requisitos do sistema para máquinas virtuais. Para obter mais informações, confira Dispositivos físicos pré-configurados para monitoramento de OT e Monitoramento de OT com dispositivos virtuais.
Para obter mais informações sobre cada tipo de dispositivo, use a página de referência vinculada ou navegue por nossa nova seção Consultar dispositivos de monitoramento OT >.
Os artigos de referência para cada tipo de dispositivo, incluindo dispositivos virtuais, incluem etapas específicas para configurar o dispositivo para monitoramento de OT com o Defender para IoT. Os procedimentos genéricos de instalação e solução de problemas de software ainda estão documentados na Instalação de software do Defender para IoT.
Reorganização de documentação para organizações de usuário final
Recentemente, reorganizamos nossa documentação do Defender para IoT para organizações de usuário final, destacando um caminho mais claro para integração e introdução.
Confira nossa nova estrutura para acompanhar a exibição de dispositivos e ativos, gerenciamento de alertas, vulnerabilidades e ameaças, integração com outros serviços e implantação e manutenção do sistema Defender para IoT.
Artigos novos e atualizados incluem:
- Bem-vindo(a) ao Microsoft Defender para IoT para organizações
- Arquitetura do Microsoft Defender para IoT
- Guia de início rápido: Introdução ao Azure Defender para IoT
- Tutorial: Configuração da avaliação do Microsoft Defender para IoT
- Tutorial: Introdução ao Enterprise IoT
- Planejar suas conexões de sensor para monitoramento de OT
- Sobre a configuração de rede do Microsoft Defender para IoT
Observação
Para enviar comentários sobre documentos por meio de GitHub, role até a parte inferior da página e selecione a opção Comentários para Esta página. Ficamos felizes em ouvir de você.
Abril de 2022
Dados de propriedade do dispositivo estendido no Inventário de dispositivos
Versão do software do sensor: 22.1.4
Começando com sensores atualizados para a versão 22.1.4, a página Inventário de dispositivos no portal do Azure mostra dados estendidos para os seguintes campos:
- Descrição
- Marcas
- Protocolos
- Scanner
- Última atividade
Para obter mais informações, confira Gerenciar o inventário de dispositivos no portal do Azure.
Março de 2022
Versão do sensor: 22.1.3
- Usar pastas de trabalho do Azure Monitor com o Microsoft Defender para IoT
- GA da solução Monitoramento de Ameaças de OT de IoT com o Defender para IoT
- Editar e excluir dispositivos no portal do Azure
- Atualizações de alerta de estado da chave
- Sair de uma sessão da CLI
Usar pastas de trabalho do Azure Monitor com o Microsoft Defender para IoT (visualização pública)
As pastas de trabalho do Azure Monitor fornecem grafos e painéis que refletem visualmente os dados e agora estão disponíveis diretamente no Microsoft Defender para IoT com os dados do Azure Resource Graph.
No portal do Azure, use a nova página Pastas de Trabalho do Defender para IoT para exibir as pastas de trabalho criadas pela Microsoft e fornecidas prontas para o uso criar suas próprias pastas de trabalho personalizadas.
Para obter mais informações, confira Usar as pastas de trabalho do Azure Monitor no Microsoft Defender para IoT.
GA da solução Monitoramento de Ameaças de OT de IoT com o Defender para IoT
A solução Monitoramento de Ameaças de OT de IoT com Defender para IoT no Microsoft Sentinel agora tem GA. No portal do Azure, use essa solução para ajudar a proteger todo o ambiente de OT, seja para proteger os dispositivos de OT existentes ou incorporar a segurança nas inovações de OT.
Para obter mais informações, confira Monitoramento de ameaças OT em SOCs empresariais e Tutorial: integrar o Defender para IoT e o Sentinel.
Editar e excluir dispositivos no portal do Azure (visualização pública)
A página Inventário de dispositivos no portal do Azure agora dá suporte à capacidade de editar detalhes do dispositivo como segurança, classificação, localização e muito mais:
Para obter mais informações, confira Editar detalhes do dispositivo.
Você só poderá excluir dispositivos do Defender para IoT, se eles estiverem inativos há mais de 14 dias. Para obter informações, confira Excluir um dispositivo.
Atualizações de alerta de estado da chave (visualização pública)
O Defender para IoT agora dá suporte ao protocolo Rockwell para detecções de modo de operação PLC.
Para o protocolo Rockwell, as páginas Inventário de dispositivos no portal do Azure e no console do sensor agora indicam a chave de modo de operação e o estado de execução do PLC e se o dispositivo está em um modo seguro no momento.
Se o modo de operação do PLC do dispositivo for alternado para um modo não seguro, como Programa ou Remoto, um alerta de Modo de operação do PLC alterado será gerado.
Para obter mais informações, confira Gerenciar os dispositivos IoT com o inventário de dispositivos para organizações.
Sair de uma sessão da CLI
A partir desta versão, os usuários da CLI são automaticamente desconectados da sessão após 300 segundos inativos. Para sair manualmente, use o novo comando da CLI logout.
Para obter mais informações, confira Trabalhar com os comandos da CLI do Defender para IoT.
Fevereiro de 2022
Versão do software do sensor: 22.1.1
- Assistente de instalação de novo sensor
- Reestruturação do sensor e experiência de produto unificada da Microsoft
- Página Visão geral do sensor avançado
- Novo log de diagnóstico de suporte
- Atualizações de alerta
- Atualizações de alerta personalizadas
- Atualizações de comando da CLI
- Atualizar para a versão 22.1.x
- Novo modelo de conectividade e requisitos de firewall
- Aprimoramentos de protocolo
- Opções e configurações modificadas, substituídas ou removidas
Assistente de instalação de novo sensor
Anteriormente, você precisava usar caixas de diálogo separadas para carregar um arquivo de ativação do sensor, verificar a configuração de rede do sensor e configurar seus certificados SSL/TLS.
Agora, ao instalar um novo sensor ou uma nova versão do sensor, nosso assistente de instalação fornece uma interface simplificada para realizar todas essas tarefas em um único local.
Para obter mais informações, confira Instalação do Defender para IoT.
Reestruturação do sensor e experiência de produto unificada da Microsoft
O console do sensor do Defender para IoT foi reestruturado para criar uma experiência unificada do Microsoft Azure e aprimorar e simplificar os fluxos de trabalho.
Esses recursos estão agora disponíveis para o público geral (GA). As atualizações incluem a aparência geral, os painéis de busca detalhada, as opções de pesquisa e ação e muito mais. Por exemplo:
Os fluxos de trabalho simplificados incluem:
A página do Inventário de dispositivos agora inclui páginas de dispositivo detalhadas. Selecione um dispositivo na tabela e, em seguida, selecione Exibir detalhes completos à direita.
As propriedades atualizadas do inventário do sensor agora são atualizadas automaticamente no inventário do dispositivo de nuvem.
As páginas de detalhes do dispositivo, acessadas no Mapa do dispositivo ou nas páginas do Inventário de dispositivos, são mostradas como somente leitura. Para modificar as propriedades do dispositivo, selecione Editar propriedades no canto inferior esquerdo.
A página de Mineração de dados agora inclui a funcionalidade de relatórios. Como a página de Relatórios foi removida, os usuários com acesso somente leitura podem exibir atualizações na página de Mineração de dados sem a capacidade de modificar relatórios ou configurações.
Para usuários administradores que criam novos relatórios, agora você pode alternar uma opção Enviar para CM para também enviar o relatório a um console de gerenciamento central. Para obter mais informações, confira Criar um relatório
A área de Configurações do sistema foi reorganizada em seções para configurações Básicas, configurações para Monitoramento de rede, Gerenciamento de sensores, Integrações e Configurações de importação.
A ajuda online do sensor agora é vinculada aos principais artigos da documentação do Microsoft defender para IoT.
Agora, os mapas do Defender para IoT incluem:
Uma nova exibição de mapa agora é mostrada para alertas e nas páginas de detalhes do dispositivo, mostrando onde o alerta ou dispositivo é encontrado no seu ambiente.
Clique com o botão direito do mouse em um dispositivo no mapa para exibir informações contextuais sobre o dispositivo, incluindo alertas relacionados, dados de linha do tempo de eventos e dispositivos conectados.
Selecione Desabilitar Exibir Grupos de Redes de TI para evitar a capacidade de recolher redes de TI no mapa. Por padrão, essa opção é ativada.
A opção Exibição de mapa simplificada foi removida.
Também implementamos recursos globais de preparação e acessibilidade para obedecer aos padrões da Microsoft. No console do sensor local, essas atualizações incluem temas de exibição de tela comum e alto contraste e localização para mais de 15 idiomas.
Por exemplo:
Acesse as opções globais de preparação e acessibilidade do ícone de Configurações no canto superior direito da tela:
Página Visão geral do sensor avançado
A página do Painel do portal do sensor do Defender para IoT foi renomeada como Visão geral e, agora, inclui dados que destacam melhor os detalhes de implantação do sistema, a integridade do monitoramento de rede crítica, principais alertas e tendências e estatísticas importantes.
Agora, a página de Visão geral também serve como uma caixa preta para exibir o status geral do sensor caso suas conexões de saída, como para o portal do Azure, fiquem inativas.
Crie mais painéis usando a página Tendências e Estatística, localizada no menu Analisar à esquerda.
Novo log de diagnóstico de suporte
Agora, você pode obter um resumo das informações de log e do sistema que são adicionadas aos tíquetes de suporte. Na caixa de diálogo Backup e restauração, selecione Diagnóstico de tíquete de suporte.
Para ver mais informações, consulte Baixar um log de diagnóstico para receber suporte
Atualizações de alerta
No portal do Azure:
Agora, os alertas estão disponíveis no Defender para IoT no portal do Azure. Trabalhe com alertas para aprimorar a segurança e a operação da sua rede IoT/OT.
A nova página de Alertas está atualmente em Visualização Pública e fornece:
- Uma exibição agregada e em tempo real de ameaças detectadas por sensores de rede.
- Etapas de correção para dispositivos e processos de rede.
- Alertas de streaming para o Microsoft Sentinel e capacite sua equipe do SOC.
- Armazenamento de alertas por 90 dias a partir da hora em que eles foram detectados pela primeira vez.
- Ferramentas para investigar a atividade de origem e de destino, severidade e status do alerta, informações de MITRE ATT&CK e informações contextuais sobre o alerta.
Por exemplo:
No console do sensor:
No console do sensor, a de página Alertas agora mostra detalhes de alertas detectados por sensores que são configurados com uma conexão de nuvem com o Defender para IoT no Azure. Os usuários que trabalham com alertas tanto no Azure e como no local devem entender como os alertas são gerenciados entre o portal do Azure e os componentes locais.
Outras atualizações de alerta incluem:
Acesse dados contextuais para cada alerta, como eventos que ocorreram ao mesmo tempo ou um mapa de dispositivos conectados. Mapas de dispositivos conectados estão disponíveis somente para alertas do console do sensor.
Os Status dos alertas são atualizados e, agora, por exemplo, incluem um status Fechado em vez de Confirmado.
Armazenamento de alertas por 90 dias a partir da hora em que eles foram detectados pela primeira vez.
O Alerta de atividade de backup com assinaturas de antivírus. Esse novo aviso de alerta é disparado para o tráfego detectado entre um dispositivo de origem e o servidor de backup de destino, que geralmente é uma atividade de backup legítima. Os alertas de malware críticos ou importantes não são mais disparados para tal atividade.
Durante as atualizações, os alertas do console do sensor que estão arquivados atualmente são excluídos. Os alertas fixados não têm mais suporte, portanto, os pins são removidos para alertas do console do sensor, conforme seja relevante.
Para obter mais informações, consulte Exibir alertas no sensor.
Atualizações de alerta personalizadas
A página de Regras de alerta personalizadas do console do sensor agora fornece:
Informações de contagem de ocorrências na tabela Regras de alerta personalizadas, com detalhes de visão rápida sobre o número de alertas disparados na última semana para cada regra que você criou.
A capacidade de agendar regras de alerta personalizadas para serem executadas fora do horário normal de trabalho.
A capacidade de alertar em qualquer campo que possa ser extraído de um protocolo usando o mecanismo de DPI.
Suporte completo de protocolo ao criar regras personalizadas e suporte para uma ampla gama de variáveis de protocolos relacionadas.
Para obter mais informações, consulte Criar regras de alerta personalizadas em um sensor de OT.
Atualizações de comando da CLI
A instalação do software do sensor do Defender para IoT agora está em contêiner. Com o sensor agora em contêineres, você pode usar o usuário cyberx_host para investigar problemas com outros contêineres ou o sistema operacional, ou para enviar arquivos via FTP.
Esse usuário cyberx_host está disponível por padrão e se conecta ao computador host. Se precisar, recupere a senha para o usuário cyberx_host da página Sites e sensores no Defender para IoT.
Como parte do sensor em contêineres, os seguintes comandos da CLI foram modificados:
| Nome herdado | Substituição |
|---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
O comando da CLI sudo cyberx-xsense-limit-interface-I eth0 -l value foi removido. Esse comando foi usado para limitar a largura de banda da interface que o sensor usa para procedimentos diários e não tem mais suporte.
Para obter mais informações, confira Instalação do Defender para IoT, Comandos da CLI do Defender para IoT e Referência de comando da CLI de sensores de rede OT.
Atualizar para a versão 22.1.x
Para usar todos os recursos mais recentes do Defender para IoT, atualize as versões de software do sensor para 22.1.x.
Se você estiver em uma versão herdada, talvez seja necessário executar uma série de atualizações para obter a versão mais recente. Você também precisará atualizar as regras de firewall e reativar o sensor com um novo arquivo de ativação.
Depois de ter atualizado para a versão 22.1.x, o novo log de atualização pode ser encontrado no caminho a seguir, acessado via SSH e o usuário cyberx_host: /opt/sensor/logs/legacy-upgrade.log.
Para obter mais informações, confira Atualizar software do sistema OT.
Observação
A atualização para a versão 22.1.x é uma atualização grande e exige mais tempo do que as atualizações anteriores.
Novo modelo de conectividade e requisitos de firewall
O Defender para IoT versão 22.1.x dá suporte a um novo conjunto de métodos de conexão de sensor que fornecem implantação simplificada, segurança aprimorada, escalabilidade e conectividade flexível.
Além das etapas de migração, esse novo modelo de conectividade exige que você abra uma nova regra de firewall. Para obter mais informações, consulte:
- Novos requisitos de firewall: acesso ao sensor no portal do Azure.
- Arquitetura: métodos de conexão de sensor
- Procedimentos de conexão: conectar os sensores ao Microsoft defender para IoT
Aprimoramentos de protocolo
Esta versão do Defender para IoT fornece suporte aprimorado para:
- Profinet DCP
- Honeywell
- Detecção de ponto de extremidade do Windows
Para obter mais informações, consulte Microsoft defender para IoT-protocolos IoT, OT, ICS e SCADA com suporte.
Opções e configurações modificadas, substituídas ou removidas
As seguintes opções e configurações do Defender pra IoT foram movidas, removidas e/ou substituídas:
Os relatórios encontrados anteriormente na página de Relatórios agora são mostrados na página de Mineração de dados. Você também pode continuar a exibir informações de mineração de dados diretamente do console de gerenciamento local.
A alteração de um nome de sensor gerenciado localmente agora tem suporte apenas pela integração do sensor ao portal do Azure novamente com o novo nome. Os nomes de sensor não podem mais ser alterados diretamente a partir do sensor. Para obter mais informações, consulte Alterar o nome de um sensor.