Поделиться через


Повышение уровня безопасности с помощью рекомендаций по безопасности

Используйте рекомендации по безопасности Microsoft Defender для Интернета вещей, чтобы повысить уровень безопасности сети на неработоспособных устройствах в сети. Уменьшите область атаки, создав практические, приоритетные планы устранения рисков, которые устраняют уникальные проблемы в сетях OT/IoT.

Важно!

Страница Рекомендации в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Просмотр рекомендаций по безопасности

Просмотрите все текущие рекомендации для вашей организации на странице Defender для Интернета вещей Рекомендации на портал Azure. Например:

Screenshot of the Recommendations page on the Azure portal.

Мини-приложение "Активные рекомендации" указывает количество рекомендаций, представляющих действия, которые в настоящее время можно предпринять на неработоспособных устройствах. Рекомендуется регулярно просматривать неработоспособные устройства, принимать рекомендуемые действия и поддерживать максимально низкое количество активных рекомендаций.

Примечание.

В сетке отображаются только рекомендации, относящиеся к вашей среде, с по крайней мере одним работоспособным или неработоспособным устройством. Вы не увидите рекомендации, которые не связаны с устройствами в сети.

Рекомендации отображаются в сетке со сведениями в следующих столбцах:

Имя столбца Description
Уровень серьезности Указывает срочность предлагаемого шага по устранению рисков.
Имя Имя рекомендации, указывающее сводку предлагаемого шага по устранению рисков.
Неработоспособные устройства Количество обнаруженных устройств, где необходимо выполнить рекомендуемый шаг.
Работоспособные устройства Количество обнаруженных устройств, в которых рассматривается рекомендуемый шаг, и никаких действий не требуется.
Время последнего обновления При последнем запуске рекомендации на обнаруженном устройстве.

Выполните одно из следующих действий, чтобы изменить перечисленные данные рекомендаций:

  • Выберите "Изменить столбцы", чтобы добавить или удалить столбцы из сетки.
  • Отфильтруйте список, введя ключевое слово из имени рекомендации в поле поиска или выберите "Добавить фильтр", чтобы отфильтровать сетку по любым столбцам рекомендаций.

Чтобы экспортировать CSV-файл всех рекомендаций для вашей сети, выберите "Экспорт".

Просмотр сведений о рекомендации

Выберите конкретную рекомендацию в сетке для детализации для получения дополнительных сведений. Имя рекомендации отображается как заголовок страницы. Сведения о серьезности рекомендации, количестве обнаруженных неработоспособных устройств и дате последнего обновления в мини-приложениях слева.

На левой панели также показаны следующие сведения:

  • Описание. Дополнительные контексты для рекомендуемого шага по устранению рисков
  • Действия по исправлению. Полный список шагов по устранению рисков, рекомендуемых для неработоспособных устройств

Переключитесь между неработоспособными устройствами и вкладками "Работоспособные устройства", чтобы просмотреть состояние обнаруженных устройств в сети для выбранной рекомендации.

Например:

Screenshot of the Review PLC operating mode recommendation page.

Просмотр сведений о рекомендации по устройству

Вам может потребоваться просмотреть все рекомендации для конкретного устройства, чтобы обработать их вместе.

Рекомендации также перечислены в списке Страница сведений об устройстве для каждого обнаруженного устройства, доступ к которой получен на странице инвентаризации устройств или из списка работоспособных или неработоспособных устройств на странице сведений о рекомендации.

На странице сведений об устройстве выберите вкладку Рекомендации, чтобы просмотреть список рекомендаций по безопасности, характерных для выбранного устройства.

Например:

Screenshot of the Recommendations tab on a device details page.

Поддерживаемые рекомендации по безопасности

Следующие рекомендации отображаются для устройств OT в портал Azure:

Имя Описание
Сетевые датчики OT
Проверка режима работы PLC Устройства с этой рекомендацией находятся в небезопасных состояниях операционного режима.

Рекомендуется установить режимы работы PLC в состояние безопасного запуска , если доступ больше не требуется для PLC, чтобы снизить угрозу вредоносного программирования PLC.
Проверка несанкционированных устройств Устройства с этой рекомендацией должны быть определены и авторизованы в рамках базовой конфигурации сети.

Рекомендуется принять меры для идентификации всех указанных устройств. Отключите все устройства из сети, которые остаются неизвестными даже после расследования, чтобы уменьшить угрозу изгоев или потенциально вредоносных устройств.
Защита уязвимых <устройств поставщика> Устройства с этой рекомендацией найдены с одной или несколькими уязвимостями с критической серьезностью и организованы поставщиком.

Рекомендуется выполнить действия, перечисленные поставщиком устройств или CISA (Агентство по кибербезопасности и инфраструктуре).

Чтобы просмотреть необходимые действия по исправлению:

1. Выберите устройство из списка неработоспособных устройств, чтобы просмотреть полный список уязвимостей.
2. На вкладке "Уязвимости" выберите ссылку в столбце "Имя" для критической уязвимости, которую вы смягчаете. Полные сведения открываются в NVD (национальная база данных уязвимостей).
3. Прокрутите список ссылок на NVD в разделе "Помощники", "Решения" и "Сервис " и выберите любую из перечисленных ссылок для получения дополнительных сведений. Откроется страница рекомендаций либо от поставщика, либо из CISA.
4. Найдите и выполните действия по исправлению, перечисленные в вашем сценарии. Некоторые уязвимости не могут быть исправлены с помощью исправления.
Настройка безопасного пароля для устройств с отсутствием проверки подлинности Устройства с этой рекомендацией найдены без проверки подлинности на основе успешных входов.

Рекомендуется включить проверку подлинности и задать более надежный пароль с минимальной длиной и сложностью.
Настройка более надежного пароля с минимальной длиной и сложностью Устройства с этой рекомендацией найдены с слабыми паролями на основе успешных входов.

Рекомендуется изменить пароль устройства на пароль с восемью или более символами, содержащими символы из 3 из следующих категорий:

— прописные буквы
- Строчные буквы
- Специальные символы
- Числа (0-9)
Отключение небезопасного протокола администрирования Устройства с этой рекомендацией подвергаются вредоносным угрозам, так как они используют Telnet, который не является защищенным и зашифрованным протоколом связи.

Рекомендуется переключиться на более безопасный протокол, например SSH, отключить сервер полностью или применить ограничения доступа к сети.

Другие рекомендации, которые можно увидеть на странице Рекомендации, относятся к микроагенту Defender для Интернета вещей.

Следующие рекомендации Defender для конечных точек актуальны для клиентов Enterprise IoT и доступны только в Microsoft 365 Defender:

  • Требовать проверку подлинности для интерфейса управления VNC
  • Отключение небезопасного протокола администрирования — Telnet
  • Удаление небезопасных протоколов администрирования SNMP V1 и SNMP V2
  • Требовать проверку подлинности для интерфейса управления VNC

Дополнительные сведения см. в рекомендациях по безопасности.

Следующие шаги