Архив объявлений о новых возможностях в Microsoft Defender для Интернета вещей для организаций
Примечание.
Azure Defender для Интернета вещей переименован в Microsoft Defender для Интернета вещей.
Эта статья содержит архив объявлений о функциях и усовершенствованиях, выпущенных для Microsoft Defender для Интернета вещей в организациях более девяти месяцев назад.
Сведения о последних обновлениях см. в разделе Новые возможности Microsoft Defender для Интернета вещей.
Приведенные ниже функции предоставляются в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
Декабрь 2021 г.
Версия программного обеспечения датчика: 10.5.4
- Расширенная интеграция с Microsoft Sentinel (предварительная версия)
- Уязвимость в Apache Log4j
- Оповещение
Расширенная интеграция с Microsoft Sentinel (предварительная версия)
Доступно новое средство мониторинга угроз в среде Интернета вещей на уровне OT с Defender для Интернета вещей. Оно предлагает расширенные возможности для интеграции Microsoft Defender для Интернета вещей в Microsoft Sentinel. Решение Мониторинг угроз в среде Интернета вещей на уровне OT с Defender для Интернета вещей — это пакет, включающий в себя правила аналитики, книги и сборники схем, настроенные специально для данных Defender для Интернета вещей. В настоящее время это решение поддерживает только рабочие сети (т. е. ОТ/ICS).
Сведения об интеграции с Microsoft Sentinel см. в руководстве по интеграции Defender для Интернета вещей и Sentinel
Уязвимость в Apache Log4j
Версия 10.5.4 Microsoft Defender для Интернета вещей снижает уязвимость Apache log4j. Дополнительные сведения см. в обновлении советов по безопасности.
Оповещение
Версия 10.5.4 Microsoft Defender для Интернета вещей содержит важные улучшения оповещений:
- Теперь оповещения для незначительных событий или пограничных случаев отключены.
- В некоторых случаях одинаковые оповещения сворачиваются в одно оповещение.
Эти изменения сокращают количество оповещений и позволяют более эффективно ориентироваться и анализировать безопасность и операционные события.
Дополнительные сведения см. в разделе "Типы оповещений и описания оповещений о мониторинге OT".
Оповещения, отключенные окончательно
Перечисленные ниже оповещения в версии 10.5.4 отключены окончательно. Но поддержка обнаружения и мониторинга трафика, связанного с оповещениями, осталась.
Оповещения обработчика политик
- Вызовы процедур RPC
- Неавторизованное действие HTTP
- Неправильное использование MAC-адресов
Оповещения, отключенные по умолчанию
Перечисленные ниже оповещения в версии 10.5.4 отключены по умолчанию. При необходимости оповещения можно включить на странице "Поддержка" в консоли датчика.
Оповещения подсистемы обнаружения аномалий
- Чрезмерное количество параметров в заголовке HTTP
- Аномальная длина заголовка HTTP
- Недопустимое содержимое заголовка HTTP
Оповещения операционного модуля
- Ошибки клиента HTTP
- Сбой операции RPC
Оповещения обработчика политик
Отключение этих оповещений также отключает мониторинг связанного трафика. В частности, этот трафик не будет отображаться в отчетах интеллектуального анализа данных.
- Оповещение о недопустимой связи HTTP и трафик интеллектуального анализа данных связи HTTP
- Оповещение о неавторизованном агенте пользователя HTTP и трафик интеллектуального анализа данных агента пользователя HTTP
- Оповещение о неавторизованном действии HTTP SOAP и трафик интеллектуального анализа данных неавторизованного действия HTTP SOAP
Обновленная функция оповещений
Оповещение о неавторизованном входе в базу данных. Ранее это оповещение включало оповещение DDL и DML и отчеты интеллектуального анализа данных. Нво:
- трафик DDL: поддерживаются оповещения и мониторинг;
- трафик DML: поддерживаются мониторинг. Оповещение не поддерживается.
Оповещение об обнаружении нового ресурса. Это оповещение отключено для новых устройств, обнаруженных в подсетях ИТ. Оповещение об обнаружении нового ресурса, по-прежнему активируется для новых устройств, обнаруженных в подсетях OT. Подсети OT обнаруживаются автоматически, и их могут обновлять пользователи при необходимости.
Сокращение количества оповещений
Срабатывания оповещений в определенных сценариях были сокращены до минимума. Благодаря этому удалось сократить количество оповещений и упростить анализ предупреждений. В таких сценариях, если устройство выполняет повторяющееся действие на целевых объектах, оповещение активируется один раз. Раньше, каждый раз, когда выполнялось одно и то же действие, активировалось новое оповещение.
Новая функциональность доступна в следующих оповещениях:
- Оповещения об обнаружении сканирования порта на основе активности исходного устройства (создано подсистемой обнаружения аномалий)
- Оповещения вредоносных программ на основе действий исходного устройства. (создается подсистемой вредоносных программ).
- Оповещения о подозрении на атаку типа "отказ в обслуживании" на основе активности устройства назначения (создано подсистемой обнаружения вредоносных программ)
Ноябрь 2021 г.
Версия программного обеспечения датчика: 10.5.3
Приведенные ниже усовершенствования функций доступны в версии 10.5.3 Microsoft Defender для Интернета вещей.
В локальной консоль управления есть новый API для поддержки интеграции ServiceNow. Дополнительные сведения см. в справочнике по API интеграции для локальных консоль управления (общедоступная предварительная версия).
Анализ трафика был усовершенствован путем внедрения нескольких анализаторов OT и протокола ICS.
В рамках автоматизированного обслуживания архивные оповещения сроком более 90 дней будут удаляться автоматически.
В процесс экспорта метаданных оповещений на основе отзывов пользователей было внесено много улучшений.
2021 октября
Версия программного обеспечения датчика: 10.5.2
Приведенные ниже усовершенствования функций доступны в версии 10.5.2 Microsoft Defender для Интернета вещей.
Обнаружение режима работы PLC (общедоступная предварительная версия).
Теперь пользователи могут просматривать состояния, изменения и риски в режиме работы PLC. Режим работы PLC состоит из состояния логического выполнения PLC и состояния физического ключа, если в PLC есть переключатель физического ключа.
Эта новая возможность помогает повысить безопасность, выявляя небезопасные PLC, и в результате предотвращает вредоносные атаки, такие как загрузки программ PLC. Атака Triton на нефтехимический завод в 2017 году иллюстрирует влияние таких рисков. Эта информация также позволяет операционным инженерам получить критически важные данные (видимость) о режиме работы PLC предприятия.
Что такое небезопасный режим?
Если состояние ключа определено как "Программа" или состояние выполнения определено как "Удаленное" или "Программа", PLC определяется в Azure Defender для Интернета вещей как небезопасный.
Оценка видимости и рисков
Используйте инвентаризацию устройств для просмотра состояния PLC организации и контекстной информации об устройстве. Используйте диалоговое окно параметров "Инвентаризация устройств", чтобы добавить указанный столбец в инвентаризацию.
В разделе "Атрибуты" на экране "Свойства устройства" просмотрите состояние безопасных PLC и информацию о последних изменениях для каждого PLC. Если состояние ключа определено как "Программа" или состояние выполнения определено как "Удаленное" или "Программа", PLC определяется в Azure Defender для Интернета вещей как небезопасный. Параметр устройства Properties PLC Secured (PLC свойств защищен) будет иметь значение false.
Просмотрите все состояния ключа и выполнения PLC сети, выполнив интеллектуальный анализ данных о режимах работы PLC.
Используйте Risk Assessment Report (Отчет по оценке рисков) для проверки количества PLC сети в незащищенном режиме, а также для просмотра дополнительных сведений, которые можно использовать для устранения рисков с небезопасными PLC.
PCAP API.
Новый PCAP API позволяет пользователю получать файлы PCAP из датчика через локальную консоль управления с прямым доступом к самому датчику или без него.
Аудит локальной консоли управления
Журналы аудита для локальной консоли управления теперь можно экспортировать, чтобы облегчить изучение того, какие изменения были внесены и кем.
Расширенный веб-перехватчик
Расширенный веб-перехватчик можно использовать для отправки дополнительных данных в конечную точку. Расширенная версия включает все сведения в оповещении веб-перехватчика и добавляет в отчет следующие сведения:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled
- additionalInformation
Поддержка Юникода для парольных фраз сертификатов
Теперь символы Юникода поддерживаются при работе с парольными фразами сертификата датчика. Дополнительные сведения см. в разделе "Подготовка подписанных ЦС сертификатов".
Апрель 2021 г.
Работа с автоматическими обновлениями аналитики угроз (общедоступная предварительная версия)
Новые пакеты аналитики угроз теперь могут автоматически отправляться на подключенные к облаку датчики по мере их выпуска Microsoft Defender для Интернета вещей. Это идет дополнением к загрузке пакетов аналитики угроз и их последующей загрузке на датчики.
Работа с автоматическими обновлениями помогает снизить операционные затраты и обеспечить большую безопасность. Включите автоматическое обновление, активировав подключенный к облаку датчик на портале Defender for IoT с включенным переключателем Автоматические обновления аналитики угроз.
Если вы хотите использовать более консервативный подход к обновлению данных аналитики угроз, вы можете вручную отправлять пакеты из портала Microsoft Defender для Интернета вещей на датчики, подключенные к облаку, исключительно в тех случаях, когда вы считаете это необходимым. Это дает вам возможность контролировать, когда пакет установлен, без необходимости загружать, после чего загружать его на свои датчики. Ручная отправка обновлений на датчики со страницы Защитника для сайтов Интернета вещей Сайты и датчики.
Вы также можете просмотреть следующую информацию о пакетах аналитики угроз:
- Установленная версия пакета
- Режим обновления службы аналитики угроз
- Статус обновления аналитики угроз
Просмотр информации о подключенном к облаку датчике (общедоступная предварительная версия)
Просматривайте важную оперативную информацию о датчиках, подключенных к облаку, на странице Сайты и датчики.
- Установленная версия датчика
- Состояние подключения датчика к облаку.
- Последний раз датчик обнаруживал подключение к облаку.
Улучшения API оповещений
Для пользователей, работающих с API предупреждений, доступны новые поля.
Локальная консоль управления
- Исходный и конечный адрес
- Действия по исправлению
- Имя датчика, определяемое пользователем
- Наименование зоны, связанной с датчиком
- Наименование сайта, связанного с датчиком
Датчик
- Исходный и конечный адрес
- Действия по исправлению
При работе с новыми полями требуется API версии 2.
Функции, поставляемые в общедоступной версии (GA)
Нижеприведенные функции были ранее доступны для общедоступной предварительной версии, а теперь являются общедоступными (GA):
- Датчик - расширенные настраиваемые правила предупреждений
- Локальная консоль управления - экспорт оповещений
- Добавление второго сетевого интерфейса в локальную консоль управления (общедоступная предварительная версия)
- Построитель устройств - новый микроагент
Март 2021 г.
Датчик - расширенные правила настраиваемых оповещений (общедоступная предварительная версия)
Теперь можно создавать настраиваемые правила генерации оповещений на основе дня, группы дней и активности сети по времени. Работа с условиями правил дня и времени полезна, например в случаях, когда серьезность предупреждения является производной от времени, когда происходит событие предупреждения. Например, создайте настраиваемое правило, которое запускает оповещение с высоким уровнем серьезности при обнаружении сетевого действия в выходных или вечером.
Эта функция доступна на датчике с выпуском версии 10,2.
Локальная консоль управления - экспорт предупреждений (общедоступная предварительная версия)
Теперь сведения о предупреждении можно экспортировать в CSV-файл из локальной консоли управления. Вы можете экспортировать сведения обо всех обнаруженных предупреждениях или экспортировать информацию на основе отфильтрованного представления.
Эта функция доступна в локальной консоли управления с выпуском версии 10,2.
Добавление второго сетевого интерфейса в локальную консоль управления (общедоступная предварительная версия)
Теперь можно повысить безопасность развертывания, добавив второй сетевой интерфейс в локальную консоль управления. Эта функция позволяет локальному управлению иметь подключенные датчики в одной защищенной сети, предоставляя пользователям доступ к локальной консоли управления через второй отдельный сетевой интерфейс.
Эта функция доступна в локальной консоли управления с выпуском версии 10,2.
2021 января
Безопасность
В этом выпуске введены улучшения для сертификатов и процесса восстановления пароля.
Сертификаты
В этом выпуске:
- Передайте сертификаты TLS/SSL непосредственно в датчики и локальные консоль управления.
- Выполнение проверки между локальной консолью управления и подключенными датчиками, а также между консолью управления и консолью управления высокой доступности. Выполнение проверки на основе дат окончания срока действия, подлинности центра сертификации корневого сертификата и списка отзыва сертификатов. Если проверка не будет пройдена, сеанс будет прекращен.
Для обновлений.
- Во время обновления не изменяются функции TLS/SSL-сертификата или проверки.
- После обновления датчиков и локальных консоль управления администраторы могут заменить TLS/SSL-сертификаты или активировать проверку SSL-сертификата TLS/SSL из окна системного Параметры, TLS/SSL-сертификата.
Для новых установок:
- Во время первого входа пользователи должны использовать TLS/SSL-сертификат (рекомендуется) или локально созданный самозаверяющий сертификат (не рекомендуется).
- Проверка сертификата включается по умолчанию для новых установок.
Восстановление пароля
Пользователи с правами администратора и локальной консоли управления теперь могут восстанавливать пароли из портала Microsoft Defender для Интернета вещей. Ранее требовалось вмешательство службы поддержки к восстановлению пароля.
Переход
Локальная консоль управления — зафиксированные устройства
После первоначального входа в локальную консоль управления пользователям теперь необходимо отправить файл активации. Файл содержит совокупное количество устройств, которые будут отслеживаться в сети организации. Это число называется числом зафиксированных устройств. Зафиксированные устройства определяются во время процесса адаптации на портале Microsoft Defender для Интернета вещей, где создается файл активации. Для загрузки файла активации требуется обновление пользователей и пользователей в первый раз. После первоначальной активации число обнаруженных в сети устройств может превысить количество зафиксированных устройств. Это событие может произойти, например, при подключении дополнительных датчиков к консоли управления. В случае несоответствия между числом обнаруженных устройств и числом зафиксированных устройств в консоли управления появится предупреждение. При возникновении этого события следует передать новый файл активации.
Параметры страницы цен
Страница цен позволяет подключать новые подписки к Microsoft Defender для Интернета вещей и определять зафиксированные устройства в сети.
Кроме того, страница цен теперь позволяет управлять существующими подписками, связанными с датчиком, и обновлять обязательства.
Просмотр подключенных датчиков и управление ими
На новой странице портала сайта и датчиков можно:
- Описательные сведения об этой задаче. Например, зона, связанная с датчиком, или произвольные текстовые теги.
- Просмотр и фильтрация сведений о ресурсах Например, просмотрите сведения о датчиках, которые подключены к облаку или локально управляются, или просмотрите сведения о датчиках в определенной зоне.
Удобство использования
Страница нового соединителя Azure Sentinel
Обновлена страница "Microsoft Defender для Интернета вещей" в Azure Sentinel. Соединитель данных теперь основан на подписках, а не на центрах Интернета вещей; позволяет клиентам лучше управлять подключением конфигурации к Sentinel Azure.
Обновления разрешений портал Azure
Добавлена поддержка средства чтения безопасности и администратора безопасности.
Другие обновления
Доступ к группам — разрешения зоны
Правила группы доступа локальной консоли управления не включают возможность предоставления доступа к определенной зоне. Изменений в определении правил, использующих сайты, регионы и подразделения, нет. После обновления группы доступа, содержащие правила, разрешающие доступ к конкретным зонам, будут изменены для разрешения доступа к своему родительскому сайту, включая все его зоны.
Изменения в терминологии
Термин ресурс был переименован в датчик и локальную консоль управления, отчеты и другие интерфейсы решения. В оповещениях консоли управления датчиков и локальной среде термин "Управление этим событием" переименован в "Действия по исправлению".