Mantenha pacotes de informações sobre ameaças em sensores de rede OT
As equipes de segurança da Microsoft executam continuamente informações proprietárias sobre ameaças ICS e pesquisas de vulnerabilidade. A pesquisa de segurança fornece deteção, análise e resposta de segurança à infraestrutura e serviços de nuvem da Microsoft, produtos e dispositivos tradicionais e recursos corporativos internos.
O Microsoft Defender para IoT fornece regularmente atualizações de pacotes de inteligência contra ameaças para sensores de rede OT, fornecendo maior proteção contra ameaças conhecidas e relevantes e informações que podem ajudar suas equipes a triar e priorizar alertas.
Os pacotes de inteligência contra ameaças contêm assinaturas, como assinaturas de malware, CVEs e outros conteúdos de segurança.
As pontuações CVE mostradas estão alinhadas com o National Vulnerability Database (NVD) e as pontuações CVSS v3 são mostradas se forem relevantes. Se não houver uma pontuação CVSS v3 relevante, a pontuação CVSS v2 é mostrada.
Gorjeta
Recomendamos garantir que seus sensores de rede OT sempre tenham o pacote de inteligência de ameaças mais recente instalado para que você sempre tenha o contexto completo de uma ameaça antes que um ambiente seja afetado e aumente a relevância, a precisão e as recomendações acionáveis.
Anúncios sobre novos pacotes estão disponíveis em nosso blog TechCommunity.
Permissões
Para executar os procedimentos neste artigo, certifique-se de que:
Um ou mais sensores OT integrados ao Azure.
Permissões relevantes no portal do Azure e em qualquer sensor de rede OT ou console de gerenciamento local que você queira atualizar.
Para baixar pacotes de inteligência contra ameaças do portal do Azure, você precisa acessar o portal do Azure como uma função de Leitor de Segurança, Administrador de Segurança, Colaborador ou Proprietário.
Para enviar atualizações de inteligência contra ameaças para sensores OT conectados à nuvem a partir do portal do Azure, você precisa acessar o portal do Azure como uma função de Administrador de Segurança, Colaborador ou Proprietário .
Para carregar manualmente pacotes de inteligência de ameaças para sensores OT ou consoles de gerenciamento locais, você precisa acessar o sensor OT ou o console de gerenciamento local como um usuário Admin .
Para obter mais informações, consulte Funções e permissões de usuário do Azure para Defender para IoT e Usuários locais e funções para monitoramento de OT com o Defender for IoT.
Veja o pacote de informações sobre ameaças mais recente
Para visualizar o pacote mais recente disponível no Defender for IoT:
No portal do Azure, selecione Sites e sensores>Atualização de inteligência de ameaças (Visualização)>Atualização local. Os detalhes sobre o pacote mais recente disponível são mostrados no painel de atualização do Sensor TI. Por exemplo:
Atualizar pacotes de informações sobre ameaças
Atualize os pacotes de inteligência contra ameaças em seus sensores OT usando qualquer um dos seguintes métodos:
- Tenha atualizações enviadas para sensores OT conectados à nuvem automaticamente à medida que são lançadas.
- Envie manualmente atualizações para sensores OT conectados à nuvem.
- Transfira um pacote de atualização e carregue-o manualmente para o seu sensor OT. Como alternativa, carregue o pacote em um console de gerenciamento local e envie as atualizações de lá para qualquer sensor OT conectado.
Envie automaticamente atualizações para sensores conectados à nuvem
Os pacotes de inteligência contra ameaças podem ser atualizados automaticamente para sensores conectados à nuvem à medida que são lançados pelo Defender for IoT.
Garanta a atualização automática de pacotes integrando seu sensor conectado à nuvem com a opção Atualizações Automáticas de Informações sobre Ameaças ativada. Para obter mais informações, consulte Sensores OT integrados ao Defender for IoT.
Para alterar o modo de atualização depois de integrar o sensor OT:
- No Defender for IoT no portal do Azure, selecione Sites e sensores e localize o sensor que você deseja alterar.
- Selecione o menu de opções (...) para o sensor >OT selecionado Editar.
- Ative ou desative a opção Atualizações Automáticas de Informações sobre Ameaças, conforme necessário.
Envie manualmente atualizações para sensores conectados à nuvem
Seus sensores conectados à nuvem podem ser atualizados automaticamente com pacotes de inteligência contra ameaças. No entanto, se você quiser adotar uma abordagem mais conservadora, pode enviar pacotes do Defender for IoT para sensores apenas quando achar necessário. Enviar atualizações manualmente dá-lhe a capacidade de controlar quando um pacote é instalado, sem a necessidade de fazer o download e, em seguida, carregá-lo para os seus sensores.
Para enviar manualmente as atualizações para um único sensor OT:
- No Defender for IoT no portal do Azure, selecione Sites e sensores e localize o sensor OT que você deseja atualizar.
- Selecione o menu de opções (...) para o sensor selecionado e, em seguida, selecione Atualização do Push Threat Intelligence.
O campo Status da atualização do Threat Intelligence exibe o progresso da atualização .
Para enviar manualmente atualizações para vários sensores OT:
- No Defender for IoT no portal do Azure, selecione Sites e sensores. Localize e selecione os sensores OT que deseja atualizar.
- Selecione Atualizações de inteligência de ameaças (Visualização)>Atualização remota.
O campo Status de atualização do Threat Intelligence exibe o progresso da atualização para cada sensor selecionado.
Atualizar manualmente sensores gerenciados localmente
Se você estiver trabalhando com sensores OT gerenciados localmente, precisará baixar os pacotes de inteligência de ameaças atualizados e carregá-los manualmente em seus sensores.
Se você também estiver trabalhando com um console de gerenciamento local, recomendamos que carregue o pacote de inteligência contra ameaças para o console de gerenciamento local e envie a atualização por push a partir daí.
Gorjeta
Essa opção também pode ser usada para sensores conectados à nuvem se você não quiser enviar as atualizações do portal do Azure.
Para baixar pacotes de inteligência contra ameaças:
No Defender for IoT no portal do Azure, selecione Sites e sensores>Atualização de inteligência de ameaças (Visualização)>Atualização local.
No painel de atualização do Sensor TI, selecione Download para baixar o arquivo de inteligência de ameaças mais recente.
Todos os arquivos baixados do portal do Azure são assinados pela raiz da confiança para que suas máquinas usem apenas ativos assinados.
Para atualizar um único sensor:
Inicie sessão no seu sensor OT e, em seguida, selecione Configurações do>sistema Inteligência de ameaças.
No painel Informações sobre ameaças, selecione Carregar arquivo. Por exemplo:
Procure e selecione o pacote que você baixou do portal do Azure e carregue-o para o sensor.
Para atualizar vários sensores simultaneamente:
Entre no console de gerenciamento local e selecione Configurações do sistema.
Na área Configuração do Sensor Engine, selecione os sensores que deseja receber os pacotes atualizados. Por exemplo:
Na seção Dados de inteligência de ameaças do sensor, selecione o sinal de adição (+).
Na caixa de diálogo Carregar arquivo, selecione PROCURAR ARQUIVO... para procurar e selecionar o pacote de atualização. Por exemplo:
Selecione FECHAR e, em seguida, SALVAR ALTERAÇÕES para enviar a atualização de inteligência de ameaças para todos os sensores selecionados.
Revisar os status de atualização de informações sobre ameaças
Em cada sensor OT, o status de atualização de inteligência de ameaças e as informações de versão são mostrados nas configurações do sistema de inteligência > de ameaças do sensor.
Para sensores OT conectados à nuvem, os dados de inteligência de ameaças também são mostrados na página Sites e sensores . Para exibir estátuas de inteligência de ameaças no portal do Azure:
No Defender for IoT no portal do Azure, selecione Site e sensores.
Localize os sensores OT onde você deseja verificar as estátuas de inteligência de ameaça.
Observe os valores das seguintes colunas para seus sensores OT:
Nome da coluna Description Versão do Threat Intelligence A nomenclatura da versão é baseada no dia em que o pacote foi criado pelo Defender for IoT. Modo de Inteligência de Ameaças Automático indica que os pacotes recém-disponíveis serão instalados automaticamente nos sensores à medida que forem lançados pelo Defender for IoT.
Manual indica que você pode empurrar os pacotes recém-disponíveis diretamente para os sensores, conforme necessário.Status de atualização do Threat Intelligence Mostra um dos seguintes status:
- Falhado
- Em Curso
- Atualização disponível
- Ok
Gorjeta
Se um sensor OT conectado à nuvem mostrar que uma atualização de inteligência de ameaças falhou, recomendamos que você verifique os detalhes da conexão do sensor. Na página Sites e sensores, verifique as colunas Status do sensor e Última conexão UTC.
Próximos passos
Para obter mais informações, consulte: