Vad är nytt i Microsoft Defender för IoT?
Den här artikeln beskriver funktioner som är tillgängliga i Microsoft Defender för IoT, i både OT- och Enterprise IoT-nätverk, både lokalt och i Azure-portalen, och för versioner som släppts under de senaste nio månaderna.
Funktioner som släpptes tidigare än för nio månader sedan beskrivs i Det nya arkivet för Microsoft Defender för IoT för organisationer. Mer information om ot-övervakning av programvaruversioner finns i viktig information om OT-övervakning av programvara.
Kommentar
Angivna funktioner som anges nedan är i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller andra juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
April 2024
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | - Enkel inloggning för sensorkonsolen - Identifiering av sensortidsavvikelse - Säkerhetsuppdatering |
Enkel inloggning för sensorkonsolen
Du kan konfigurera enkel inloggning (SSO) för Defender for IoT-sensorkonsolen med hjälp av Microsoft Entra-ID. Enkel inloggning möjliggör enkel inloggning för organisationens användare, gör det möjligt för din organisation att uppfylla regelstandarder och ökar din säkerhetsstatus. Med enkel inloggning behöver användarna inte flera inloggningsuppgifter för olika sensorer och webbplatser.
Med Microsoft Entra ID förenklas registrering och avregistreringsprocesser, minskar administrativa kostnader och säkerställer konsekventa åtkomstkontroller i hela organisationen.
Mer information finns i Konfigurera enkel inloggning för sensorkonsolen.
Identifiering av sensortidsavvikelse
Den här versionen introducerar ett nytt felsökningstest i anslutningsverktygets funktion, särskilt utformad för att identifiera problem med tidsavvikelser.
En vanlig utmaning när du ansluter sensorer till Defender for IoT i Azure-portalen beror på avvikelser i sensorns UTC-tid, vilket kan leda till anslutningsproblem. För att lösa det här problemet rekommenderar vi att du konfigurerar en NTP-server (Network Time Protocol) i sensorinställningarna.
Säkerhetsuppdatering
Den här uppdateringen löser sex CVE:er, som visas i programvaruversion 23.1.3-funktionsdokumentationen.
Februari 2024
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Version 24.1.2: - Regler för aviseringsundertryckning från Azure-portalen (offentlig förhandsversion) - Fokuserade aviseringar i OT/IT-miljöer - Aviserings-ID är nu justerat på Azure-portalen och sensorkonsolen - Protokoll som stöds nyligen Molnfunktioner - Påminnelse om ny licensförnyelse i Azure-portalen - Ny maskinvaruprofil för OT-installation - Nya fält för SNMP MIB-OID:n |
Regler för aviseringsundertryckning från Azure-portalen (offentlig förhandsversion)
Nu kan du konfigurera regler för aviseringsundertryckning från Azure-portalen för att instruera dina OT-sensorer till angiven trafik i nätverket som annars skulle utlösa en avisering.
- Konfigurera vilka aviseringar som ska ignoreras genom att ange en aviseringsrubrik, IP/MAC-adress, värdnamn, undernät, sensor eller plats.
- Ange att varje undertryckningsregel alltid ska vara aktiv, eller endast under en fördefinierad period, till exempel för ett specifikt underhållsfönster.
Dricks
Om du för närvarande använder undantagsregler i den lokala hanteringskonsolen rekommenderar vi att du migrerar dem till undertryckningsregler på Azure-portalen. Mer information finns i Utelämna irrelevanta aviseringar.
Fokuserade aviseringar i OT/IT-miljöer
Organisationer där sensorer distribueras mellan OT- och IT-nätverk hanterar många aviseringar, relaterade till både OT- och IT-trafik. Antalet aviseringar, varav vissa är irrelevanta, kan orsaka varningströtthet och påverka övergripande prestanda.
För att hantera dessa utmaningar har vi uppdaterat Defender for IoT:s identifieringsprincip för att automatiskt utlösa aviseringar baserat på affärspåverkan och nätverkskontext och minska IT-relaterade aviseringar med lågt värde.
Mer information finns i Fokuserade aviseringar i OT/IT-miljöer.
Aviserings-ID är nu justerat på Azure-portalen och sensorkonsolen
Aviserings-ID:t i kolumnen ID på sidan Aviseringar i Azure-portalen visar nu samma aviserings-ID som sensorkonsolen. Läs mer om aviseringar på Azure-portalen.
Kommentar
Om aviseringen sammanfogades med andra aviseringar från sensorer som identifierade samma avisering visar Azure-portalen aviserings-ID:t för den första sensorn som genererade aviseringarna.
Protokoll som stöds nyligen
Vi stöder nu följande protokoll:
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Upptäck Rockwell AADvance
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
Se listan över uppdaterade protokoll.
L60-maskinvaruprofil stöds inte längre
L60-maskinvaruprofilen stöds inte längre och tas bort från supportdokumentationen. Maskinvaruprofiler kräver nu minst 100 GB (den minsta maskinvaruprofilen är nu L100).
Om du vill migrera från L60-profilen till en profil som stöds följer du proceduren Säkerhetskopiera och återställa OT-nätverkssensor.
Påminnelse om ny licensförnyelse i Azure-portalen
När licensen för en eller flera av dina OT-webbplatser snart upphör att gälla visas en anteckning överst i Defender för IoT i Azure-portalen som påminner dig om att förnya dina licenser. Om du vill fortsätta att hämta säkerhetsvärdet från Defender för IoT väljer du länken i anteckningen för att förnya relevanta licenser i Administrationscenter för Microsoft 365. Läs mer om Defender för IoT-fakturering.
Ny maskinvaruprofil för OT-installation
Dell XE4 SFF-apparaten stöds nu för OT-sensorer som övervakar produktionslinjer. Detta är en del av L500-maskinvaruprofilen, en produktionslinjemiljö med sex kärnor, 8 GB RAM-minne och 512 GB disklagring.
Mer information finns i DELL XE4 SFF.
Nya fält för SNMP MIB-OID:n
Ytterligare standard, generiska fält har lagts till i SNMP MiB OIDs. Den fullständiga listan över fält finns i OT-sensor-OID:er för manuella SNMP-konfigurationer.
Januari 2024
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Sensoruppdatering i Azure-portalen har nu stöd för att välja en specifik version |
Sensoruppdatering i Azure-portalen har nu stöd för att välja en specifik version
När du uppdaterar sensorn i Azure-portalen kan du nu välja att uppdatera till någon av de tidigare versioner som stöds (andra versioner än den senaste versionen). Tidigare uppdaterades sensorer som registrerats i Microsoft Defender för IoT på Azure-portalen automatiskt till den senaste versionen.
Du kanske vill uppdatera sensorn till en viss version av olika skäl, till exempel i testsyfte, eller för att justera alla sensorer till samma version.
Mer information finns i Uppdatera Defender för IoT OT-övervakningsprogram.
| OT-nätverk |version 24.1.0:
- Regler för aviseringsundertryckning från Azure-portalen (offentlig förhandsversion)|
December 2023
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Ny arkitektur för stöd för hybrider och luftgapade Version 23.2.0: - OT-nätverkssensorer körs nu på Debian 11 - Standardprivilegierad användare är nu administratör i stället för support Molnfunktioner: - Livestatusar för molnbaserade sensoruppdateringar - Effektiviserade aviseringsposter i tabellen SecurityAlert |
OT-nätverkssensorer körs nu på Debian 11
Sensorversion 23.2.0 körs på ett Debian 11-operativsystem i stället för Ubuntu. Debian är ett Linux-baserat operativsystem som används ofta för servrar och inbäddade enheter och är känt för att vara smalare än andra operativsystem, och dess stabilitet, säkerhet och omfattande maskinvarustöd.
Att använda Debian som bas för vår sensorprogramvara hjälper till att minska antalet paket som installeras på sensorerna, vilket ökar effektiviteten och säkerheten i dina system.
På grund av operativsystemets växel kan programuppdateringen från den äldre versionen till version 23.2.0 vara längre och tyngre än vanligt.
Mer information finns i Säkerhetskopiera och återställa OT-nätverkssensorer från sensorkonsolen och Uppdatera Defender för IoT OT-övervakningsprogram.
Standardprivilegierad användare är nu administratör i stället för support
Från och med version 23.2.0 är den standardprivilegierade användare som installeras med nya OT-sensorinstallationer administratörsanvändaren i stället för supportanvändaren.
Använd till exempel den privilegierade administratörsanvändaren i följande scenarier:
Logga in på en ny sensor för första gången efter installationen. Mer information finns i Konfigurera och aktivera din OT-sensor.
Använda Defender for IoT CLI. Mer information finns i Arbeta med Defender för IoT CLI-kommandon.
Åtkomst till sensorns supportsida .
Viktigt!
Om du uppdaterar sensorprogramvaran från en tidigare version till version 23.2.0 byter den privilegierade supportanvändaren automatiskt namn till administratör. Om du har sparat dina autentiseringsuppgifter för support , till exempel i CLI-skript, måste du uppdatera skripten för att använda den nya administratörsanvändaren i stället.
Den äldre supportanvändaren är tillgänglig och stöds endast i tidigare versioner än 23.2.0.
Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Ny arkitektur för stöd för hybrider och luftgapade
Hybrid- och luftgapade nätverk är vanliga i många branscher, till exempel myndigheter, finansiella tjänster eller industriell tillverkning. Luftgapade nätverk är fysiskt åtskilda från andra, osäkra externa nätverk som företagsnätverk eller Internet, och är mindre sårbara för cyberattacker. Luftspäckade nätverk är dock fortfarande inte helt säkra, kan fortfarande brytas och måste skyddas och övervakas noggrant.
Defender för IoT ger nu ny vägledning för att ansluta till och övervaka hybrid- och luftgapade nätverk. Den nya arkitekturvägledningen är utformad för att öka effektiviteten, säkerheten och tillförlitligheten i dina SOC-åtgärder, med färre komponenter att underhålla och felsöka. Sensortekniken som används i den nya arkitekturen möjliggör lokal bearbetning som håller data i ditt eget nätverk, vilket minskar behovet av molnresurser och förbättrar prestandan.
Följande bild visar ett exempel på en arkitektur på hög nivå med våra rekommendationer för övervakning och underhåll av Defender för IoT-system, där varje OT-sensor ansluter till flera säkerhetshanteringssystem i molnet eller lokalt.
I den här exempelbilden visas kommunikation för aviseringar, syslog-meddelanden och API:er i en helsvart linje. Lokal hanteringskommunikation visas i en helt lila linje och kommunikationen mellan moln- och hybridhantering visas i en streckad svart linje.
Vi rekommenderar att befintliga kunder som för närvarande använder en lokal hanteringskonsol för att hantera ot-sensorer övergår till den uppdaterade arkitekturvägledningen.
Mer information finns i Distribuera hybrid- eller luftgapade OT-sensorhantering.
Den lokala hanteringskonsolen dras tillbaka
Den äldre lokala hanteringskonsolen är inte tillgänglig för nedladdning efter den 1 januari 2025. Vi rekommenderar att du övergår till den nya arkitekturen med hela spektrumet av lokala API:er och moln-API:er före detta datum.
Sensorversioner som släpptes efter den 1 januari 2025 kommer inte att kunna hanteras av en lokal hanteringskonsol.
Sensorprogramversioner som släpptes mellan 1 januari 2024 och 1 januari 2025 kommer att fortsätta att stödja en lokal hanteringskonsolversion.
Luftgapade sensorer som inte kan ansluta till molnet kan hanteras direkt via sensorkonsolen eller med hjälp av REST-API:er.
Mer information finns i:
- Övergång från en äldre lokal hanteringskonsol.
- Versionshantering och stöd för lokala programvaruversioner
Livestatusar för molnbaserade sensoruppdateringar
När du kör en sensoruppdatering från Azure-portalen visas ett nytt förloppsfält i kolumnen Sensorversion under uppdateringsprocessen. När uppdateringen fortskrider visar fältet procentandelen av uppdateringen som slutförts, vilket visar att processen pågår, inte har fastnat eller har misslyckats. Till exempel:
Mer information finns i Uppdatera Defender för IoT OT-övervakningsprogram.
Effektiviserade aviseringsposter i tabellen SecurityAlert
När du integrerar med Microsoft Sentinel uppdateras tabellen Microsoft Sentinel SecurityAlert nu omedelbart endast för ändringar i aviseringsstatus och allvarlighetsgrad. Andra ändringar i aviseringar, till exempel senaste identifiering av en befintlig avisering, aggregeras under flera timmar och visar endast den senaste ändringen som gjorts.
Mer information finns i Förstå flera poster per avisering.
November 2023
| Serviceområde | Uppdateringar |
|---|---|
| Företags-IoT-nätverk | Enterprise IoT-skydd ingår nu i Microsoft 365 E5- och E5 Security-licenser |
| OT-nätverk | Uppdaterad vägledning för integrering av säkerhetsstackar |
Enterprise IoT-skydd ingår nu i Microsoft 365 E5- och E5 Security-licenser
Enterprise IoT-säkerhet (EIoT) med Defender for IoT identifierar ohanterade IoT-enheter och ger även ett extra säkerhetsvärde, inklusive kontinuerlig övervakning, sårbarhetsbedömningar och skräddarsydda rekommendationer som är särskilt utformade för Enterprise IoT-enheter. Sömlöst integrerat med Microsoft Defender XDR, Microsoft Defender – hantering av säkerhetsrisker och Microsoft Defender för Endpoint på Microsoft Defender-portalen säkerställer det en holistisk metod för att skydda en organisations nätverk.
Defender for IoT EIoT-övervakning stöds nu automatiskt som en del av Microsoft 365 E5-abonnemangen (ME5) och E5 Security,som täcker upp till fem enheter per användarlicens. Om din organisation till exempel har 500 ME5-licenser kan du använda Defender för IoT för att övervaka upp till 2 500 EIoT-enheter. Den här integreringen utgör ett stort steg mot att stärka ditt IoT-ekosystem i Microsoft 365-miljön.
Kunder som har ME5- eller E5-säkerhetsplaner men ännu inte använder Defender för IoT för sina EIoT-enheter måste växla på supporten i Microsoft Defender-portalen.
Nya kunder utan en ME5- eller E5-säkerhetsplan kan köpa en fristående tilläggslicens för Microsoft Defender för IoT – EIoT-enhetslicens – som ett tillägg till Microsoft Defender för Endpoint P2. Köp fristående licenser från Microsofts administrationscenter.
Befintliga kunder med både äldre Enterprise IoT-planer och ME5/E5-säkerhetsplaner växlas automatiskt till den nya licensieringsmetoden. Enterprise IoT-övervakning paketeras nu i din licens, utan extra kostnad och utan åtgärdsobjekt som krävs från dig.
Kunder med äldre Enterprise IoT-planer och inga ME5/E5-säkerhetsplaner kan fortsätta att använda sina befintliga planer tills planerna upphör att gälla.
Utvärderingslicenser är tillgängliga för Defender för Endpoint P2-kunder som fristående licenser. Utvärderingslicenser stöder 100 antal enheter i 90 dagar.
Mer information finns i:
- Skydda IoT-enheter i företaget
- Aktivera Enterprise IoT-säkerhet med Defender för Endpoint
- Fakturering för Defender för IoT-prenumeration
- Microsoft Defender för IoT-planer och priser
- Blogg: Enterprise IoT-säkerhet med Defender för IoT ingår nu i Microsoft 365 E5- och E5-säkerhetsplaner
Uppdaterad vägledning för integrering av säkerhetsstackar
Defender for IoT uppdaterar sina integreringar av säkerhetsstackar för att förbättra den övergripande robustheten, skalbarheten och enkel underhåll av olika säkerhetslösningar.
Om du integrerar din säkerhetslösning med molnbaserade system rekommenderar vi att du använder dataanslutningar via Microsoft Sentinel. För lokala integreringar rekommenderar vi att du antingen konfigurerar ot-sensorn för att vidarebefordra syslog-händelser) eller använder Defender för IoT-API:er.
De äldre Aruba ClearPass-, Palo Alto Panorama- och Splunk-integreringarna stöds till och med oktober 2024 med sensorversion 23.1.3 och stöds inte i kommande större programvaruversioner.
För kunder som använder äldre integreringsmetoder rekommenderar vi att du flyttar dina integreringar till nyligen rekommenderade metoder. Mer information finns i:
- Integrera ClearPass med Microsoft Defender för IoT
- Integrera Palo Alto med Microsoft Defender för IoT
- Integrera Splunk med Microsoft Defender för IoT
- Integreringar med Microsoft och partnertjänster
September 2023
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Version 23.1.3: - Felsöka OT-sensoranslutning - Åtkomst till händelsetidslinje för ot-sensorn skrivskyddade användare |
Felsöka OT-sensoranslutning
Från och med version 23.1.3 hjälper OT-sensorer automatiskt dig att felsöka anslutningsproblem med Azure-portalen. Om en molnhanterad sensor inte är ansluten visas ett fel i Azure-portalen på sidan Platser och sensorer och på sensorns översiktssida.
Till exempel:
Från sensorn gör du något av följande för att öppna felsökningsfönstret för molnanslutningar, som innehåller information om anslutningsproblem och åtgärdssteg:
- På sidan Översikt väljer du länken Felsök överst på sidan
- Välj Systeminställningar > Sensorhantering > Hälsa och felsökning av felsökning av > molnanslutningar
Mer information finns i Kontrollera problem med sensor – molnanslutning.
Åtkomst till händelsetidslinje för ot-sensorn skrivskyddade användare
Från och med version 23.1.3 kan skrivskyddade användare på OT-sensorn visa sidan Händelsetidslinje . Till exempel:
Mer information finns i:
- Spåra nätverks- och sensoraktivitet med händelsetidslinjen
- Lokala användare och roller för OT-övervakning med Defender för IoT
Augusti 2023
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Defender för IoT:s CVE:er överensstämmer med CVSS v3 |
Defender för IoT:s CVE:er överensstämmer med CVSS v3
CVE-poäng som visas i OT-sensorn och på Azure-portalen är anpassade till Den nationella sårbarhetsdatabasen (NVD) och från och med Defender för IoT:s uppdatering av hotinformation i augusti visas CVSS v3-poäng om de är relevanta. Om det inte finns någon RELEVANT CVSS v3-poäng visas CVSS v2-poängen i stället.
Visa CVE-data från Azure-portalen, antingen på fliken Säkerhetsrisker i Defender för IoT-enheten, med resurser som är tillgängliga med Microsoft Sentinel-lösningen eller i en datautvinningsfråga på din OT-sensor. Mer information finns i:
- Underhålla hotinformationspaket på OT-nätverkssensorer
- Visa fullständig enhetsinformation
- Självstudie: Undersöka och identifiera hot för IoT-enheter med Microsoft Sentinel
- Skapa datautvinningsfrågor
juli 2023
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Version 23.1.2: - Förbättringar av installation och installation av OT-sensor - Analysera och finjustera distributionen - Konfigurera övervakade gränssnitt via sensorns GUI - Förenklade privilegierade användare Migrera till platsbaserade licenser |
Förbättringar av installation och installation av OT-sensor
I version 23.1.2 har vi uppdaterat installations- och installationsguiderna för OT-sensorn så att de blir snabbare och mer användarvänliga. Uppdateringar inkluderar:
Installationsguide: Om du installerar programvara på dina egna fysiska eller virtuella datorer går Installationsguiden för Linux nu direkt genom installationsprocessen utan att du behöver några indata eller information från dig.
Du kan se hur installationen körs från en distributionsarbetsstation, men du kan också välja att installera programvaran utan tangentbord eller skärm och låta installationen köras automatiskt. När det är klart får du åtkomst till sensorn från webbläsaren med hjälp av standard-IP-adressen.
Installationen använder standardvärden för dina nätverksinställningar. Finjustera inställningarna efteråt, antingen i CLI som tidigare eller i en ny webbläsarbaserad guide.
Alla sensorer installeras med en standardsupportanvändare och ett lösenord. Ändra standardlösenordet omedelbart med den första inloggningen.
Konfigurera den första installationen i webbläsaren: När du har installerat programvara och konfigurerat dina inledande nätverksinställningar fortsätter du med samma webbläsarbaserade guide för att aktivera sensorn och definiera SSL-/TLS-certifikatinställningar.
Mer information finns i Installera och konfigurera din OT-sensor och Konfigurera och aktivera OT-sensorn.
Analysera och finjustera distributionen
När du har slutfört installationen och den inledande installationen analyserar du den trafik som sensorn identifierar som standard från sensorinställningarna. På sensorn väljer du Sensorinställningar>Grundläggande>distribution för att analysera de aktuella identifieringarna. Till exempel:
Du kanske upptäcker att du behöver finjustera distributionen, till exempel ändra sensorns plats i nätverket eller kontrollera att dina övervakningsgränssnitt är korrekt anslutna. Välj Analysera igen när du har gjort några ändringar för att se det uppdaterade övervakningstillståndet.
Mer information finns i Analysera din distribution.
Konfigurera övervakade gränssnitt via sensorns GUI
Om du vill ändra de gränssnitt som används för att övervaka trafiken efter den första sensorkonfigurationen kan du nu använda den nya sidan För konfiguration av sensorinställningar>Gränssnitt för att uppdatera inställningarna i stället för Linux-guiden som används av CLI. Till exempel:
Sidan Gränssnittskonfigurationer visar samma alternativ som fliken Gränssnittskonfigurationer i den första installationsguiden.
Mer information finns i Uppdatera en sensors övervakningsgränssnitt (konfigurera ERSPAN).
Förenklade privilegierade användare
I nya sensorinstallationer av version 23.1.2 är endast den privilegierade supportanvändaren tillgänglig som standard. Cyberx- och cyberx_host-användare är tillgängliga, men inaktiveras som standard. Om du behöver använda dessa användare, till exempel för Defender för IoT CLI-åtkomst , ändrar du användarlösenordet.
I sensorer som har uppdaterats från tidigare versioner till 23.1.2 förblir cyberx- och cyberx_host-användarna aktiverade som tidigare.
Dricks
Om du vill köra CLI-kommandon som endast är tillgängliga för cyberx - eller cyberx_host-användare när de är inloggade som supportanvändare måste du först komma åt värddatorns systemrot. Mer information finns i Åtkomst till systemroten som administratörsanvändare.
Migrera till platsbaserade licenser
Befintliga kunder kan nu migrera sina äldre Defender for IoT-köpplaner till ett Microsoft 365-abonnemang baserat på webbplatsbaserade Microsoft 365-licenser.
På sidan Planer och priser redigerar du din plan och väljer Microsoft 365-planen i stället för din aktuella månatliga eller årliga plan. Till exempel:
Se till att redigera relevanta webbplatser så att de matchar dina nyligen licensierade webbplatsstorlekar. Till exempel:
Mer information finns i Migrera från en äldre OT-plan och Defender för IoT-prenumerationsfakturering.
Juni 2023
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | OT-planer faktureras av platsbaserade licenser Säkerhetsrekommendationer för OT-nätverk för osäkra lösenord och kritiska CVE:er |
OT-planer faktureras av platsbaserade licenser
Från och med den 1 juni 2023 är Microsoft Defender för IoT-licenser för OT-övervakning endast tillgängliga för inköp i Administrationscenter för Microsoft 365.
Licenser är tillgängliga för enskilda webbplatser, baserat på storleken på dessa respektive webbplatser. Det finns också en utvärderingslicens som täcker en stor webbplatsstorlek i 60 dagar.
Alla köp av extra licenser uppdateras automatiskt i din OT-plan i Azure-portalen.
När du registrerar en ny sensor uppmanas du nu att tilldela sensorn till en plats som baseras på dina licensierade webbplatsstorlekar.
Befintliga kunder kan fortsätta att använda en äldre OT-plan som redan har registrerats för en Azure-prenumeration, utan ändringar i funktionaliteten. Du kan dock inte lägga till en ny plan i en ny prenumeration utan motsvarande licens från Administrationscenter för Microsoft 365.
Dricks
En Defender for IoT-plats är en fysisk plats, till exempel en anläggning, ett campus, en kontorsbyggnad, ett sjukhus, en rigg och så vidare. Varje plats kan innehålla valfritt antal nätverkssensorer som identifierar enheter över identifierad nätverkstrafik.
Mer information finns i:
- Fakturering för Defender för IoT-prenumeration
- Starta en utvärderingsversion av Microsoft Defender för IoT
- Hantera OT-planer för Azure-prenumerationer
- Registrera OT-sensorer till Defender for IoT
Säkerhetsrekommendationer för OT-nätverk för osäkra lösenord och kritiska CVE:er
Defender för IoT tillhandahåller nu säkerhetsrekommendationer för osäkra lösenord och viktiga CVE:er som hjälper kunderna att hantera sin ot/IoT-nätverkssäkerhetsstatus.
Du kan se följande nya säkerhetsrekommendationer från Azure-portalen för identifierade enheter i dina nätverk:
Skydda dina sårbara enheter: Enheter med den här rekommendationen hittas med en eller flera säkerhetsrisker med kritisk allvarlighetsgrad. Vi rekommenderar att du följer stegen som anges av enhetsleverantören eller CISA (Cybersecurity & Infrastructure Agency).
Ange ett säkert lösenord för enheter med autentisering som saknas: Enheter med den här rekommendationen hittas utan autentisering baserat på lyckade inloggningar. Vi rekommenderar att du aktiverar autentisering och att du anger ett starkare lösenord med minsta längd och komplexitet.
Ange ett starkare lösenord med minsta längd och komplexitet: Enheter med den här rekommendationen hittas med svaga lösenord baserat på lyckade inloggningar. Vi rekommenderar att du ändrar enhetslösenordet till ett starkare lösenord med minsta längd och komplexitet.
Mer information finns i Säkerhetsrekommendationer som stöds.
maj 2023
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Sensorversion 22.3.9: - Förbättrad övervakning och stöd för OT-sensorloggar Sensorversioner 22.3.x och senare: - Konfigurera Active Directory- och NTP-inställningar i Azure-portalen |
Förbättrad övervakning och stöd för OT-sensorloggar
I version 22.3.9 har vi lagt till en ny funktion för att samla in loggar från OT-sensorn via en ny slutpunkt. De extra data hjälper oss att felsöka kundproblem, vilket ger snabbare svarstider och mer riktade lösningar och rekommendationer. Den nya slutpunkten har lagts till i vår lista över nödvändiga slutpunkter som ansluter dina OT-sensorer till Azure.
När du har uppdaterat dina OT-sensorer laddar du ned den senaste listan med slutpunkter och ser till att dina sensorer kan komma åt alla slutpunkter som visas.
Mer information finns i:
Konfigurera Active Directory- och NTP-inställningar i Azure-portalen
Nu kan du konfigurera Active Directory- och NTP-inställningar för dina OT-sensorer via fjärranslutning från sidan Platser och sensorer i Azure-portalen. De här inställningarna är tillgängliga för OT-sensorversionerna 22.3.x och senare.
Mer information finns i Referens för sensorinställning.
April 2023
| Serviceområde | Uppdateringar |
|---|---|
| Dokumentation | Distributionsguider från slutpunkt till slutpunkt |
| OT-nätverk | Sensorversion 22.3.8: - Proxystöd för klient-SSL/TLS-certifikat - Utöka Windows-arbetsstation och serverdata med ett lokalt skript (offentlig förhandsversion) - Operativsystemets aviseringar löstes automatiskt - Förbättringar av användargränssnittet vid uppladdning av SSL/TLS-certifikat |
Distributionsguider från slutpunkt till slutpunkt
Defender for IoT-dokumentationen innehåller nu ett nytt distributionsavsnitt med en fullständig uppsättning distributionsguider för följande scenarier:
- Standarddistribution för OT-övervakning
- Air-gapped distribution för OT-övervakning med en lokal sensorhantering
- Enterprise IoT-distribution
Den rekommenderade distributionen för OT-övervakning innehåller till exempel följande steg, som alla beskrivs i våra nya artiklar:
De stegvisa instruktionerna i varje avsnitt är avsedda att hjälpa kunder att optimera för framgång och distribuera för Nolltillit. Navigeringselement på varje sida, inklusive flödesdiagram överst och Nästa steg länkar längst ned, anger var du befinner dig i processen, vad du har slutfört och vad nästa steg ska vara. Till exempel:
Mer information finns i Distribuera Defender för IoT för OT-övervakning.
Proxystöd för klient-SSL/TLS-certifikat
Ett klient-SSL/TLS-certifikat krävs för proxyservrar som inspekterar SSL/TLS-trafik, till exempel när du använder tjänster som Zscaler och Palo Alto Prisma. Från och med version 22.3.8 kan du ladda upp ett klientcertifikat via OT-sensorkonsolen.
Mer information finns i Konfigurera en proxy.
Utöka Windows-arbetsstation och serverdata med ett lokalt skript (offentlig förhandsversion)
Använd ett lokalt skript som är tillgängligt från användargränssnittet för OT-sensorn för att utöka Microsoft Windows-arbetsstation och serverdata på din OT-sensor. Skriptet körs som ett verktyg för att identifiera enheter och berika data och kan köras manuellt eller med hjälp av standardverktyg för automatisering.
Mer information finns i Berika Windows-arbetsstation och serverdata med ett lokalt skript.
Operativsystemets aviseringar löstes automatiskt
När du har uppdaterat ot-sensorn till version 22.3.8 genereras inga nya enhetsmeddelanden för ändringar i operativsystemet. Meddelanden om ändringar i operativsystemet löses automatiskt om de inte avvisas eller hanteras på annat sätt inom 14 dagar.
Mer information finns i Svar på enhetsmeddelanden
Förbättringar av användargränssnittet vid uppladdning av SSL/TLS-certifikat
OT-sensorn version 22.3.8 har en förbättrad konfigurationssida för SSL/TLS-certifikat för att definiera dina SSL/TLS-certifikatinställningar och distribuera ett CA-signerat certifikat.
Mer information finns i Hantera SSL/TLS-certifikat.
Mars 2023
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Sensorversion 22.3.6/22.3.7: - Stöd för tillfälliga enheter - Lär dig DNS-trafik genom att konfigurera tillåtna listor - Uppdateringar av kvarhållning av enhetsdata - Förbättringar av användargränssnittet vid uppladdning av SSL/TLS-certifikat - Uppdateringar av förfallodatum för aktiveringsfiler - Förbättringar av användargränssnittet för att hantera enhetsinventeringen - Allvarlighetsgrad för alla aviseringar om misstänkt skadlig aktivitet har uppdaterats - Enhetsmeddelanden har lösts automatiskt Version 22.3.7 innehåller samma funktioner som 22.3.6. Om du har version 22.3.6 installerad rekommenderar vi starkt att du uppdaterar till version 22.3.7, som även innehåller viktiga felkorrigeringar. Molnfunktioner: - Ny Microsoft Sentinel-incidentupplevelse för Defender för IoT |
Stöd för tillfälliga enheter
Defender för IoT identifierar nu tillfälliga enheter som en unik enhetstyp som representerar enheter som har identifierats under en kort tid. Vi rekommenderar att du undersöker dessa enheter noggrant för att förstå deras inverkan på nätverket.
Mer information finns i Defender for IoT-enhetsinventering och Hantera din enhetsinventering från Azure-portalen.
Lär dig DNS-trafik genom att konfigurera tillåtna listor
Supportanvändaren kan nu minska antalet obehöriga Internetaviseringar genom att skapa en lista över tillåtna domännamn på din OT-sensor.
När en DNS-lista har konfigurerats kontrollerar sensorn varje otillåtet internetanslutningsförsök mot listan innan en avisering utlöses. Om domänens fullständiga domännamn ingår i listan över tillåtna utlöser sensorn inte aviseringen och tillåter trafiken automatiskt.
Alla OT-sensoranvändare kan visa listan över tillåtna DNS-domäner och deras lösta IP-adresser i datautvinningsrapporter.
Till exempel:
Mer information finns i Tillåt Internetanslutningar i ett OT-nätverk och Skapa datautvinningsfrågor.
Uppdateringar av kvarhållning av enhetsdata
Kvarhållningsperioden för enhetsdata på OT-sensorn och den lokala hanteringskonsolen har uppdaterats till 90 dagar från datumet för värdet Senaste aktivitet .
Mer information finns i Kvarhållningsperioder för enhetsdata.
Förbättringar av användargränssnittet vid uppladdning av SSL/TLS-certifikat
OT-sensorn version 22.3.6 har en förbättrad konfigurationssida för SSL/TLS-certifikat för att definiera dina SSL/TLS-certifikatinställningar och distribuera ett CA-signerat certifikat.
Mer information finns i Hantera SSL/TLS-certifikat.
Uppdateringar av förfallodatum för aktiveringsfiler
Aktiveringsfiler på lokalt hanterade OT-sensorer förblir nu aktiverade så länge din Defender for IoT-plan är aktiv i din Azure-prenumeration, precis som aktiveringsfiler på molnanslutna OT-sensorer.
Du behöver bara uppdatera aktiveringsfilen om du uppdaterar en OT-sensor från en ny version eller växlar sensorhanteringsläget, till exempel om du flyttar från lokalt hanterad till molnansluten.
Mer information finns i Hantera enskilda sensorer.
Förbättringar av användargränssnittet för att hantera enhetsinventeringen
Följande förbättringar har lagts till i OT-sensorns enhetsinventering i version 22.3.6:
- En smidigare process för att redigera enhetsinformation på OT-sensorn. Redigera enhetsinformation direkt från sidan för enhetsinventering i OT-sensorkonsolen med den nya knappen Redigera i verktygsfältet överst på sidan.
- OT-sensorn stöder nu borttagning av flera enheter samtidigt.
- Procedurerna för sammanslagning och borttagning av enheter innehåller nu bekräftelsemeddelanden som visas när åtgärden har slutförts.
Mer information finns i Hantera ditt OT-enhetsinventering från en sensorkonsol.
Allvarlighetsgrad för alla aviseringar om misstänkt skadlig aktivitet har uppdaterats
Alla aviseringar med kategorin Misstänkt skadlig aktivitet har nu allvarlighetsgraden Kritisk.
Mer information finns i Aviseringar om skadlig kodmotor.
Enhetsmeddelanden har lösts automatiskt
Från och med version 22.3.6 löses nu markerade meddelanden på ot-sensorns enhetskarta sida automatiskt om de inte avvisas eller hanteras på annat sätt inom 14 dagar.
När du har uppdaterat sensorversionen visas inte längre aviseringarna Inaktiva enheter och Nya OT-enheter . Även om alla meddelanden om inaktiva enheter som lämnas över innan uppdateringen stängs automatiskt, kan du fortfarande ha äldre meddelanden om nya OT-enheter att hantera. Hantera dessa meddelanden efter behov för att ta bort dem från sensorn.
Mer information finns i Hantera enhetsaviseringar.
Ny Microsoft Sentinel-incidentupplevelse för Defender för IoT
Microsoft Sentinels nya incidentupplevelse innehåller specifika funktioner för Defender för IoT-kunder. SOC-analytiker som undersöker OT/IoT-relaterade kan nu använda följande förbättringar på sidor med incidentinformation:
Visa relaterade webbplatser, zoner, sensorer och enhetens betydelse för att bättre förstå en incident inverkan på verksamheten och den fysiska platsen.
Granska en aggregerad tidslinje med berörda enheter och relaterad enhetsinformation, i stället för att undersöka på separata entitetsinformationssidor för de relaterade enheterna
Granska åtgärdsstegen för OT-avisering direkt på sidan med incidentinformation
Mer information finns i Självstudie: Undersöka och identifiera hot för IoT-enheter och Navigera och undersöka incidenter i Microsoft Sentinel.
2023 februari
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Molnfunktioner: - Microsoft Sentinel: Microsoft Defender för IoT-lösning version 2.0.2 - Ladda ned uppdateringar från sidan Webbplatser och sensorer (offentlig förhandsversion) - Ga för aviseringssidan i Azure-portalen - Allmän tillgänglighet för enhetsinventering i Azure-portalen - Förbättringar av enhetsinventeringsgruppering (offentlig förhandsversion) - Fokuserat lager i Azure-enhetsinventeringen (offentlig förhandsversion) Sensorversion 22.2.3: Konfigurera OT-sensorinställningar från Azure-portalen (offentlig förhandsversion) |
| Företags-IoT-nätverk | Molnfunktioner: Ga för aviseringssidan i Azure-portalen |
Microsoft Sentinel: Microsoft Defender för IoT-lösning version 2.0.2
Version 2.0.2 av Microsoft Defender för IoT-lösningen är nu tillgänglig i Microsoft Sentinel-innehållshubben, med förbättringar i analysregler för att skapa incidenter, en förbättrad sida med incidentinformation och prestandaförbättringar för analysregelfrågor.
Mer information finns i:
- Självstudie: Undersöka och identifiera hot för IoT-enheter
- Microsoft Defender för IoT-lösningsversioner i Microsoft Sentinel
Ladda ned uppdateringar från sidan Webbplatser och sensorer (offentlig förhandsversion)
Om du kör en lokal programuppdatering på din OT-sensor eller lokala hanteringskonsol, innehåller sidan Platser och sensorer nu en ny guide för att ladda ned dina uppdateringspaket, som nås via menyn Sensoruppdatering (förhandsversion).
Till exempel:
Uppdateringar av hotinformation är nu också endast tillgängliga från sidan Platser och sensorer Hotinformationsuppdatering >(förhandsversion).
Uppdateringspaket för den lokala hanteringskonsolen är också tillgängliga från fliken Komma igång>med den lokala hanteringskonsolen.
Mer information finns i:
- Uppdatera Defender för IoT OT-övervakningsprogram
- Uppdatera hotinformationspaket
- OT-övervakning av programvaruversioner
Allmän tillgänglighet för enhetsinventering i Azure-portalen
Sidan Enhetsinventering i Azure-portalen är nu allmänt tillgänglig (GA), vilket ger en central vy över alla dina identifierade enheter i stor skala.
Defender for IoT:s enhetsinventering hjälper dig att identifiera information om specifika enheter, till exempel tillverkare, typ, serienummer, inbyggd programvara med mera. Genom att samla in information om dina enheter kan dina team proaktivt undersöka sårbarheter som kan äventyra dina mest kritiska tillgångar.
Hantera alla dina IoT/OT-enheter genom att skapa uppdaterad inventering som innehåller alla dina hanterade och ohanterade enheter
Skydda enheter med riskbaserad metod för att identifiera risker som saknade korrigeringar, sårbarheter och prioriteringskorrigeringar baserat på riskbedömning och automatiserad hotmodellering
Uppdatera ditt lager genom att ta bort irrelevanta enheter och lägga till organisationsspecifik information för att framhäva organisationens inställningar
Enhetsinventerings-GA innehåller följande förbättringar av användargränssnittet:
| Förbättring | beskrivning |
|---|---|
| Förbättringar på rutnätsnivå | - Exportera hela enhetsinventeringen för att granska offline och jämföra anteckningar med dina team - Ta bort irrelevanta enheter som inte längre finns eller inte längre fungerar - Sammanfoga enheter för att finjustera enhetslistan om sensorn har identifierat separata nätverksentiteter som är associerade med en enda unik enhet. Till exempel en PLC med fyra nätverkskort, en bärbar dator med både WiFi och ett fysiskt nätverkskort eller en enda arbetsstation med flera nätverkskort. - Redigera tabellvyerna så att de endast återspeglar de data som du är intresserad av att visa |
| Förbättringar på enhetsnivå | - Redigera enhetsinformation genom att kommentera organisationsspecifik kontextinformation, till exempel relativ betydelse, beskrivande taggar och information om affärsfunktioner |
| Filter- och sökförbättringar | - Kör djupa sökningar på valfritt enhetsinventeringsfält för att snabbt hitta de enheter som är viktigast - Filtrera enhetsinventeringen efter valfritt fält. Filtrera till exempel efter typ för att identifiera industriella enheter eller tidsfält för att fastställa aktiva och inaktiva enheter. |
Omfattande säkerhets-, styrnings- och administratörskontroller ger också möjlighet att tilldela administratörer, begränsa vem som kan slå samman, ta bort och redigera enheter för en ägares räkning.
Förbättringar av enhetsinventeringsgruppering (offentlig förhandsversion)
Sidan Enhetsinventering på Azure-portalen stöder nya grupperingskategorier. Nu kan du gruppera din enhetsinventering efter klass, datakälla, plats, Purdue-nivå, plats, typ, leverantör och zon. Mer information finns i Visa fullständig enhetsinformation.
Fokuserat lager i Azure-enhetsinventeringen (offentlig förhandsversion)
Sidan Enhetsinventering på Azure-portalen innehåller nu en nätverksplatsindikering för dina enheter för att fokusera enhetsinventeringen på enheterna inom ditt IoT/OT-omfång.
Se och filtrera vilka enheter som definieras som lokala eller dirigerade enligt dina konfigurerade undernät. Filtret Nätverksplats är aktiverat som standard. Lägg till kolumnen Nätverksplats genom att redigera kolumnerna i enhetsinventeringen. Konfigurera dina undernät antingen på Azure-portalen eller på ot-sensorn. Mer information finns i:
- Hantera din enhetsinventering från Azure-portalen
- Konfigurera INSTÄLLNINGAR för OT-sensor från Azure-portalen
- Finjustera undernätslistan
Konfigurera INSTÄLLNINGAR för OT-sensor från Azure-portalen (offentlig förhandsversion)
För sensorversionerna 22.2.3 och senare kan du nu konfigurera valda inställningar för molnanslutna sensorer med hjälp av den nya sidan Sensorinställningar (förhandsversion) som nås via Sidan Webbplatser och sensorer i Azure-portalen. Till exempel:
Mer information finns i Definiera och visa INSTÄLLNINGAR för OT-sensor från Azure-portalen (offentlig förhandsversion).
Ga-aviseringar i Azure-portalen
Sidan Aviseringar i Azure-portalen är nu ute för allmän tillgänglighet. Microsoft Defender för IoT-aviseringar förbättrar nätverkets säkerhet och åtgärder med realtidsinformation om händelser som identifierats i nätverket. Aviseringar utlöses när OT- eller Enterprise IoT-nätverkssensorer, eller Defender for IoT-mikroagenten, identifierar ändringar eller misstänkt aktivitet i nätverkstrafik som behöver din uppmärksamhet.
Specifika aviseringar som utlöses av Enterprise IoT-sensorn förblir för närvarande i offentlig förhandsversion.
Mer information finns i:
- Visa och hantera aviseringar från Azure-portalen
- Undersöka och svara på en OT-nätverksavisering
- Aviseringstyper och beskrivningar för OT-övervakning
Januari 2023
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Sensorversion 22.3.4: Azure-anslutningsstatus visas på OT-sensorer Sensorversion 22.2.3: Uppdatera sensorprogramvaran från Azure-portalen |
Uppdatera sensorprogramvaran från Azure-portalen (offentlig förhandsversion)
För molnanslutna sensorversioner 22.2.3 och senare kan du nu uppdatera sensorprogramvaran direkt från den nya sidan Platser och sensorer på Azure-portalen.
Mer information finns i Uppdatera dina sensorer från Azure-portalen.
Azure-anslutningsstatus som visas på OT-sensorer
Information om Azure-anslutningsstatus visas nu på sidan Översikt i OT-nätverkssensorer, och fel visas om sensorns anslutning till Azure går förlorad.
Till exempel:
Mer information finns i Hantera enskilda sensorer och Registrera OT-sensorer till Defender för IoT.
December 2022
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Ny köpupplevelse för OT-planer |
| Företags-IoT-nätverk | Enterprise IoT-sensoraviseringar och rekommendationer (offentlig förhandsversion) |
Enterprise IoT-sensoraviseringar och rekommendationer (offentlig förhandsversion)
Azure-portalen innehåller nu följande extra säkerhetsdata för trafik som identifieras av Enterprise IoT-nätverkssensorer:
| Datatyp | beskrivning |
|---|---|
| Aviseringar | Företags-IoT-nätverkssensorn utlöser nu följande aviseringar: - Anslut ionsförsök till känd skadlig IP-adress - Begäran om skadligt domännamn |
| Rekommendationer | Företags-IoT-nätverkssensorn utlöser nu följande rekommendation för identifierade enheter, beroende på vad som är relevant: Inaktivera osäkert administrationsprotokoll |
Mer information finns i:
- Aviseringar om skadlig kodmotor
- Visa och hantera aviseringar från Azure-portalen
- Förbättra säkerhetsstatusen med säkerhetsrekommendationer
- Identifiera Enterprise IoT-enheter med en Enterprise IoT-nätverkssensor (offentlig förhandsversion)
Ny köpupplevelse för OT-planer
Sidan Planer och priser i Azure-portalen innehåller nu en ny förbättrad köpupplevelse för Defender för IoT-planer för OT-nätverk. Redigera din OT-plan i Azure-portalen, till exempel för att ändra din plan från en utvärderingsversion till ett månatligt eller årligt åtagande eller uppdatera antalet enheter eller webbplatser.
Mer information finns i Hantera OT-planer för Azure-prenumerationer.
November 2022
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | - Sensorversioner 22.x och senare: Platsbaserad åtkomstkontroll på Azure-portalen (offentlig förhandsversion) - Alla OT-sensorversioner: Viktig information om den nya ot-övervakningsprogramvaran |
Platsbaserad åtkomstkontroll på Azure-portalen (offentlig förhandsversion)
För sensorprogramversionerna 22.x har Defender for IoT nu stöd för platsbaserad åtkomstkontroll, vilket gör att kunderna kan styra användaråtkomsten till Defender for IoT-funktioner på Azure-portalen på platsnivå .
Använd till exempel rollerna Säkerhetsläsare, Säkerhetsadministratör, Deltagare eller Ägare för att fastställa användarens åtkomst till Azure-resurser, till exempel sidorna Aviseringar, Enhetsinventering eller Arbetsböcker .
Om du vill hantera platsbaserad åtkomstkontroll väljer du platsen på sidan Platser och sensorer och väljer sedan länken Hantera platsåtkomstkontroll (förhandsversion). Till exempel:
Mer information finns i Hantera OT-övervakningsanvändare på Azure-portalen och Azure-användarroller för OT- och Enterprise IoT-övervakning.
Kommentar
Webbplatser, och därmed platsbaserad åtkomstkontroll, är endast relevanta för ot-nätverksövervakning.
Nya viktig information om OT-övervakningsprogramvara
Defender for IoT-dokumentationen har nu en ny sida med viktig information som är dedikerad till OT-övervakningsprogramvara, med information om våra versionssupportmodeller och uppdateringsrekommendationer.
Vi fortsätter att uppdatera den här artikeln, vår huvudsakliga Nyheter-sida , med nya funktioner och förbättringar för både OT- och Enterprise IoT-nätverk. Nya objekt som listas innehåller både lokala funktioner och molnfunktioner och listas per månad.
I den nya viktig information om OT-övervakningsprogramvaran visas däremot endast uppdateringar av OT-nätverksövervakning som kräver att du uppdaterar din lokala programvara. Objekt visas per huvudversion och korrigeringsversioner, med en aggregerad tabell med versioner, datum och omfång.
Mer information finns i viktig information om OT-övervakning av programvara.
Oktober 2022
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Förbättrad aviseringsreferens för OT-övervakning |
Förbättrad aviseringsreferens för OT-övervakning
Vår aviseringsreferensartikel innehåller nu följande information för varje avisering:
Aviseringskategori, användbar när du vill undersöka aviseringar som aggregeras av en viss aktivitet eller konfigurera SIEM-regler för att generera incidenter baserat på specifika aktiviteter
Aviseringströskelvärde för relevanta aviseringar. Tröskelvärden anger den specifika punkt där en avisering utlöses. Cyberx-användaren kan ändra tröskelvärden för aviseringar efter behov från sensorns supportsida.
Mer information finns i Aviseringstyper och beskrivningar för OT-övervakning och aviseringskategorier som stöds.
September 2022
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Alla ot-sensorprogramversioner som stöds: - Enhetssårbarheter från Azure-portalen - Säkerhetsrekommendationer för OT-nätverk Alla OT-sensorprogramversioner 22.x: Uppdateringar för brandväggsregler för Azure-molnanslutning Sensorprogramvara version 22.2.7: – Felkorrigeringar och stabilitetsförbättringar Sensorprogramvara version 22.2.6: – Felkorrigeringar och stabilitetsförbättringar – Förbättringar av algoritmen för enhetstypklassificering Microsoft Sentinel-integrering: - Undersökningsförbättringar med IoT-enhetsentiteter - Uppdateringar till Microsoft Defender for IoT-lösningen |
Säkerhetsrekommendationer för OT-nätverk (offentlig förhandsversion)
Defender för IoT tillhandahåller nu säkerhetsrekommendationer som hjälper kunderna att hantera sin ot/IoT-nätverkssäkerhetsstatus. Defender for IoT-rekommendationer hjälper användare att skapa åtgärdsinriktade åtgärdsplaner som hanterar de unika utmaningarna i OT/IoT-nätverk. Använd rekommendationer för att sänka nätverkets risk- och attackyta.
Du kan se följande säkerhetsrekommendationer från Azure-portalen för identifierade enheter i dina nätverk:
Granska PLC-driftläget. Enheter med den här rekommendationen hittas med PLC:er inställda på oskyddade driftlägestillstånd. Vi rekommenderar att du ställer in PLC-driftlägen till tillståndet Säker körning om åtkomst inte längre krävs till PLC för att minska hotet från skadlig PLC-programmering.
Granska obehöriga enheter. Enheter med den här rekommendationen måste identifieras och auktoriseras som en del av nätverksbaslinjen. Vi rekommenderar att du vidtar åtgärder för att identifiera alla angivna enheter. Koppla från alla enheter från nätverket som fortfarande är okända även efter undersökningen för att minska hotet från oseriösa eller potentiellt skadliga enheter.
Få åtkomst till säkerhetsrekommendationer från någon av följande platser:
Sidan Rekommendationer, som visar alla aktuella rekommendationer för alla identifierade OT-enheter.
Fliken Rekommendationer på en enhetsinformationssida som visar alla aktuella rekommendationer för den valda enheten.
Från båda platserna väljer du en rekommendation för att öka detaljnivån ytterligare och visa listor över alla identifierade OT-enheter som för närvarande är i felfritt tillstånd, enligt den valda rekommendationen. På fliken Ej felfria enheter eller Felfria enheter väljer du en enhetslänk för att gå till den valda enhetens informationssida. Till exempel:
Mer information finns i Visa enhetsinventering och Förbättra säkerhetsstatus med säkerhetsrekommendationer.
Enhetssårbarheter från Azure-portalen (offentlig förhandsversion)
Defender för IoT tillhandahåller nu sårbarhetsdata i Azure-portalen för identifierade OT-nätverksenheter. Sårbarhetsdata baseras på lagringsplatsen med standardbaserade sårbarhetsdata som dokumenterats i den amerikanska regeringens nationella sårbarhetsdatabas (NVD).
Få åtkomst till sårbarhetsdata i Azure-portalen från följande platser:
På en enhetsinformationssida väljer du fliken Sårbarheter för att visa aktuella sårbarheter på den valda enheten. På sidan Enhetsinventering väljer du till exempel en specifik enhet och sedan Sårbarheter.
Mer information finns i Visa enhetsinventeringen.
En ny arbetsbok för sårbarheter visar sårbarhetsdata för alla övervakade OT-enheter. Använd arbetsboken Sårbarheter för att visa data som CVE efter allvarlighetsgrad eller leverantör och fullständiga listor över identifierade sårbarheter och sårbara enheter och komponenter.
Välj ett objekt i tabellerna Enhetssårbarheter, Sårbara enheter eller Sårbara komponenter för att visa relaterad information i tabellerna till höger.
Till exempel:
Mer information finns i Använda Azure Monitor-arbetsböcker i Microsoft Defender för IoT.
Uppdateringar för brandväggsregler för Azure-molnanslutning (offentlig förhandsversion)
OT-nätverkssensorer ansluter till Azure för att tillhandahålla aviserings- och enhetsdata och sensorhälsomeddelanden, komma åt hotinformationspaket med mera. Anslut Azure-tjänster omfattar IoT Hub, Blob Storage, Event Hubs och Microsoft Download Center.
För OT-sensorer med programvaruversionerna 22.x och senare har Defender för IoT nu stöd för ökad säkerhet när utgående tillåtna regler för anslutningar till Azure läggs till. Nu kan du definiera dina utgående tillåtna regler för att ansluta till Azure utan att använda jokertecken.
När du definierar regler för utgående tillåtna regler för att ansluta till Azure måste du aktivera HTTPS-trafik till var och en av de nödvändiga slutpunkterna på port 443. Regler för utgående tillåtna definieras en gång för alla OT-sensorer som registrerats i samma prenumeration.
För sensorversioner som stöds laddar du ned den fullständiga listan över nödvändiga säkra slutpunkter från följande platser i Azure-portalen:
En lyckad sensorregistreringssida: När du har registrerat en ny OT-sensor med version 22.x innehåller den lyckade registreringssidan nu instruktioner för nästa steg, inklusive en länk till slutpunkterna som du måste lägga till som säkra regler för utgående trafik i nätverket. Välj länken Ladda ned slutpunktsinformation för att ladda ned JSON-filen.
Till exempel:
Sidan Platser och sensorer: Välj en OT-sensor med programvaruversion 22.x eller senare, eller en plats med en eller flera sensorversioner som stöds. Välj sedan Fler åtgärder>Ladda ned slutpunktsinformation för att ladda ned JSON-filen. Till exempel:
Mer information finns i:
- Självstudie: Kom igång med Microsoft Defender för IoT för OT-säkerhet
- Hantera sensorer med Defender för IoT i Azure-portalen
- Nätverkskrav
Undersökningsförbättringar med IoT-enhetsentiteter i Microsoft Sentinel
Defender for IoT:s integrering med Microsoft Sentinel har nu stöd för en IoT-enhetsentitetssida. När du undersöker incidenter och övervakar IoT-säkerhet i Microsoft Sentinel kan du nu identifiera dina mest känsliga enheter och gå direkt till mer information på varje enhetsentitetssida.
På sidan entitet för IoT-enheter finns sammanhangsinformation om en IoT-enhet med grundläggande enhetsinformation och kontaktuppgifter till enhetsägare. Enhetsägare definieras av webbplatsen på sidan Webbplatser och sensorer i Defender för IoT.
Entitetssidan för IoT-enheter kan hjälpa till att prioritera reparation baserat på enhetens betydelse och påverkan på verksamheten, enligt varje aviserings plats, zon och sensor. Till exempel:
Nu kan du även söka efter sårbara enheter på beteendesidan för Microsoft Sentinel-entitet. Du kan till exempel visa de fem främsta IoT-enheterna med det högsta antalet aviseringar eller söka efter en enhet efter IP-adress eller enhetsnamn:
Mer information finns i Undersöka ytterligare med IoT-enhetsentiteter och alternativ för webbplatshantering från Azure-portalen.
Uppdateringar till Microsoft Defender for IoT-lösningen i Microsoft Sentinels innehållshubb
Den här månaden har vi släppt version 2.0 av Microsoft Defender for IoT-lösningen i Microsoft Sentinels innehållshubb, tidigare känd som IoT/OT Threat Monitoring med Defender for IoT-lösningen .
Uppdateringar i den här versionen av lösningen är:
En namnändring. Om du tidigare har installerat IoT/OT Threat Monitoring med Defender for IoT-lösningen på din Microsoft Sentinel-arbetsyta byter lösningen automatiskt namn till Microsoft Defender för IoT, även om du inte uppdaterar lösningen.
Förbättringar av arbetsboken: Defender för IoT-arbetsboken innehåller nu:
En ny översiktsinstrumentpanel med nyckelmått för enhetsinventering, hotidentifiering och säkerhetsstatus. Till exempel:
En ny instrumentpanel för sårbarheter med information om CVE:er som visas i nätverket och deras relaterade sårbara enheter. Till exempel:
Förbättringar på instrumentpanelen för enhetsinventering , inklusive åtkomst till enhetsrekommendationer, sårbarheter och direkta länkar till sidorna med information om Defender för IoT-enheter. Instrumentpanelen för enhetsinventering i IoT/OT Threat Monitoring med Defender for IoT-arbetsboken är helt i linje med defender för IoT-enhetsinventeringsdata.
Spelboksuppdateringar: Microsoft Defender för IoT-lösningen stöder nu följande SOC-automatiseringsfunktioner med nya spelböcker:
Automatisering med CVE-information: Använd spelboken AD4IoT-CVEAutoWorkflow för att utöka incidentkommentarer med CVE:er för relaterade enheter baserat på Defender för IoT-data. Incidenterna sorteras, och om CVE är kritiskt meddelas tillgångsägaren om incidenten via e-post.
Automatisering för e-postaviseringar till enhetsägare. Använd spelboken AD4IoT-SendEmailtoIoTOwner för att få ett e-postmeddelande automatiskt skickat till en enhets ägare om nya incidenter. Enhetsägare kan sedan svara på e-postmeddelandet för att uppdatera incidenten efter behov. Enhetsägare definieras på platsnivå i Defender för IoT.
Automatisering för incidenter med känsliga enheter: Använd spelboken AD4IoT-AutoTriageIncident för att automatiskt uppdatera en incidents allvarlighetsgrad baserat på de enheter som är inblandade i incidenten och deras känslighetsnivå eller betydelse för din organisation. Till exempel kan alla incidenter som rör en känslig enhet automatiskt eskaleras till en högre allvarlighetsgrad.
Mer information finns i Undersöka Microsoft Defender för IoT-incidenter med Microsoft Sentinel.
Augusti 2022
| Serviceområde | Uppdateringar |
|---|---|
| OT-nätverk | Sensorprogramvara version 22.2.5: Delversion med stabilitetsförbättringar Sensorprogramvara version 22.2.4: Nya aviseringskolumner med tidsstämpeldata Sensorprogramvara version 22.1.3: Sensorhälsa från Azure-portalen (offentlig förhandsversion) |
Nya aviseringskolumner med tidsstämpeldata
Från och med OT-sensor version 22.2.4 visar Defender for IoT-aviseringar i Azure-portalen och sensorkonsolen nu följande kolumner och data:
Senaste identifiering. Definierar den senaste gången aviseringen identifierades i nätverket och ersätter kolumnen Identifieringstid .
Första identifieringen. Definierar första gången aviseringen identifierades i nätverket.
Senaste aktivitet. Definierar den senaste gången aviseringen ändrades, inklusive manuella uppdateringar för allvarlighetsgrad eller status, eller automatiska ändringar för enhetsuppdateringar eller enhets-/aviseringsdeduplicering.
Kolumnerna Första identifiering och Senaste aktivitet visas inte som standard. Lägg till dem på sidan Aviseringar efter behov.
Dricks
Om du också är en Microsoft Sentinel-användare kommer du att känna till liknande data från dina Log Analytics-frågor. De nya aviseringskolumnerna i Defender för IoT mappas på följande sätt:
- Defender för IoT Senaste identifieringstid liknar Log Analytics EndTime
- Den första identifieringstiden för Defender för IoT liknar Log Analytics StartTime
- Den senaste aktivitetstiden för Defender för IoT liknar Log Analytics TimeGenerated Mer information finns i:
- Visa aviseringar på Defender för IoT-portalen
- Visa aviseringar på sensorn
- Övervakning av OT-hot i företags-SOC:er
Sensorhälsa från Azure-portalen (offentlig förhandsversion)
För OT-sensorversionerna 22.1.3 och senare kan du använda de nya sensorhälsowidgetarna och tabellkolumndata för att övervaka sensorhälsan direkt från sidan Platser och sensorer på Azure-portalen.
Vi har också lagt till en sensorinformationssida där du ökar detaljnivån till en specifik sensor från Azure-portalen. På sidan Platser och sensorer väljer du ett specifikt sensornamn. På sidan med sensorinformation visas grundläggande sensordata, sensorhälsa och alla sensorinställningar som tillämpas.
Mer information finns i Förstå meddelandereferensen för sensorhälsa och sensorhälsa.
juli 2022
| Serviceområde | Uppdateringar |
|---|---|
| Företags-IoT-nätverk | - Enterprise IoT och Defender för Endpoint-integrering i GA |
| OT-nätverk | Sensorprogramvara version 22.2.4: - Förbättringar av enhetsinventering - Förbättringar för ServiceNow-integrerings-API:et Sensorprogramvara version 22.2.3: - Uppdateringar av nätverksinstallationens maskinvaruprofil - PCAP-åtkomst från Azure-portalen - Dubbelriktad aviseringssynkronisering mellan sensorer och Azure-portalen - Sensoranslutningar återställda efter certifikatrotation - Stöd för förbättringar av diagnostikloggar - Sensornamn som visas på webbläsarflikar Sensorprogramvara version 22.1.7: - Samma lösenord för cyberx_host och cyberx-användare |
| Funktioner som endast är molnbaserade | - Microsoft Sentinel-incidentsynkronisering med Defender för IoT-aviseringar |
Enterprise IoT och Defender för Endpoint-integrering i GA
Enterprise IoT-integreringen med Microsoft Defender för Endpoint finns nu i Allmän tillgänglighet (GA). Med den här uppdateringen har vi gjort följande uppdateringar och förbättringar:
Registrera en Enterprise IoT-plan direkt i Defender för Endpoint. Mer information finns i Hantera dina prenumerationer och dokumentationen om Defender för Endpoint.
Sömlös integrering med Microsoft Defender för Endpoint för att visa identifierade Enterprise IoT-enheter och deras relaterade aviseringar, sårbarheter och rekommendationer i Microsoft 365-säkerhetsportalen. Mer information finns i självstudien om Enterprise IoT och dokumentationen om Defender för Endpoint. Du kan fortsätta att visa identifierade Enterprise IoT-enheter på sidan Defender för IoT-enhetsinventering i Azure-portalen.
Alla Enterprise IoT-sensorer läggs nu automatiskt till på samma plats i Defender för IoT, med namnet Enterprise-nätverk. När du registrerar en ny Enterprise IoT-enhet behöver du bara definiera ett sensornamn och välja din prenumeration, utan att definiera en plats eller zon.
Kommentar
Enterprise IoT-nätverkssensorn och alla identifieringar finns kvar i offentlig förhandsversion.
Samma lösenord för cyberx_host- och cyberx-användare
Under OT-övervakning av programinstallationer och uppdateringar tilldelas cyberx-användaren ett slumpmässigt lösenord. När du uppdaterar från version 10.x.x till version 22.1.7 tilldelas cyberx_host lösenord med ett identiskt lösenord till cyberx-användaren .
Mer information finns i Installera ot-agentlös övervakningsprogramvara och Uppdatera Defender för IoT OT-övervakningsprogram.
Förbättringar av enhetsinventering
Från och med OT-sensorversionerna 22.2.4 kan du nu vidta följande åtgärder från sensorkonsolens enhetsinventeringssida:
Sammanfoga duplicerade enheter. Du kan behöva slå samman enheter om sensorn har identifierat separata nätverksentiteter som är associerade med en enda unik enhet. Exempel på det här scenariot kan vara en PLC med fyra nätverkskort, en bärbar dator med både WiFi och ett fysiskt nätverkskort eller en enda arbetsstation med flera nätverkskort.
Ta bort enskilda enheter. Nu kan du ta bort en enda enhet som inte har kommunicerat på minst 10 minuter.
Ta bort inaktiva enheter av administratörsanvändare. Nu kan alla administratörsanvändare, förutom cyberx-användaren , ta bort inaktiva enheter.
Från och med version 22.2.4, på sensorkonsolens enhetsinventeringssida, ersätts värdet Senast sett i fönstret enhetsinformation av Senaste aktivitet. Till exempel:
Mer information finns i Hantera ditt OT-enhetsinventering från en sensorkonsol.
Förbättringar för ServiceNow-integrerings-API:et
OT-sensor version 22.2.4 ger förbättringar för API:et devicecves , som hämtar information om de CVE:er som hittats för en viss enhet.
Nu kan du lägga till någon av följande parametrar i frågan för att finjustera resultatet:
- "sensorId" – Visar resultat från en specifik sensor, enligt definitionen i det angivna sensor-ID:t.
- "score" – Anger en minsta CVE-poäng som ska hämtas. Alla resultat har en CVE-poäng som är lika med eller högre än det angivna värdet. Standard = 0.
- "deviceIds" – en kommaavgränsad lista över enhets-ID:n som du vill visa resultat från. Till exempel: 1232,34,2,456
Mer information finns i Referens för integrations-API för lokala hanteringskonsoler (offentlig förhandsversion).
Uppdateringar av nätverksinstallationens maskinvaruprofil
Vi har uppdaterat namngivningskonventionerna för våra maskinvaruprofiler för ot-installationer för större transparens och tydlighet.
De nya namnen återspeglar både typen av profil, inklusive raden Företag, Företag och Produktion, och även den relaterade disklagringsstorleken.
Använd följande tabell för att förstå mappningen mellan äldre maskinvaruprofilnamn och de aktuella namnen som används i den uppdaterade programvaruinstallationen:
| Äldre namn | Nytt namn | beskrivning |
|---|---|---|
| Företags | C5600 | En företagsmiljö med: 16 kärnor 32 GB RAM-minne 5,6 TB disklagring |
| Enterprise | E1800 | En Företagsmiljö med: Åtta kärnor 32 GB RAM-minne 1,8 TB disklagring |
| SMB | L500 | En produktionslinjemiljö med: Fyra kärnor 8 GB RAM-minne 500 GB disklagring |
| Office | L100 | En produktionslinjemiljö med: Fyra kärnor 8 GB RAM-minne 100 GB disklagring |
| Robust | L64 | En produktionslinjemiljö med: Fyra kärnor 8 GB RAM-minne 64 GB disklagring |
Nu har vi även stöd för nya företagsmaskinvaruprofiler för sensorer som stöder både 500 GB och 1 TB diskstorlekar.
Mer information finns i Vilka enheter behöver jag?
PCAP-åtkomst från Azure-portalen (offentlig förhandsversion)
Nu kan du komma åt de råa trafikfilerna, så kallade paketinsamlingsfiler eller PCAP-filer, direkt från Azure-portalen. Den här funktionen stöder SOC- eller OT-säkerhetstekniker som vill undersöka aviseringar från Defender för IoT eller Microsoft Sentinel, utan att behöva komma åt varje sensor separat.
PCAP-filer laddas ned till azure-lagringen.
Mer information finns i Visa och hantera aviseringar från Azure-portalen.
Dubbelriktad aviseringssynkronisering mellan sensorer och Azure-portalen (offentlig förhandsversion)
För sensorer som uppdaterats till version 22.2.1 synkroniseras nu aviseringsstatusar och learn-statusar helt mellan sensorkonsolen och Azure-portalen. Det innebär till exempel att du kan stänga en avisering på Azure-portalen eller sensorkonsolen och att aviseringsstatusen uppdateras på båda platserna.
Lär dig en avisering från antingen Azure-portalen eller sensorkonsolen för att säkerställa att den inte utlöses igen nästa gång samma nätverkstrafik identifieras.
Sensorkonsolen synkroniseras också med en lokal hanteringskonsol, så att aviseringsstatusar och learn-statusar förblir uppdaterade i dina hanteringsgränssnitt.
Mer information finns i:
- Visa och hantera aviseringar från Azure-portalen
- Visa och hantera aviseringar på sensorn
- Arbeta med aviseringar i den lokala hanteringskonsolen
Sensoranslutningar återställda efter certifikatrotation
Från och med version 22.2.3, när du har roterat dina certifikat, återställs sensoranslutningarna automatiskt till den lokala hanteringskonsolen och du behöver inte återansluta dem manuellt.
Mer information finns i Skapa SSL/TLS-certifikat för OT-enheter och Hantera SSL/TLS-certifikat.
Stöd för förbättringar av diagnostikloggar (offentlig förhandsversion)
Från och med sensorversion 22.1.1 har du kunnat ladda ned en diagnostiklogg från sensorkonsolen för att skicka till support när du öppnar ett ärende.
För lokalt hanterade sensorer kan du nu ladda upp diagnostikloggen direkt på Azure-portalen.
Dricks
För molnanslutna sensorer, från och med sensorversion 22.1.3, är diagnostikloggen automatiskt tillgänglig för support när du öppnar biljetten.
Mer information finns i:
Sensornamn som visas på webbläsarflikar
Från och med sensorversion 22.2.3 visas sensorns namn på webbläsarfliken, vilket gör det enklare för dig att identifiera de sensorer som du arbetar med.
Till exempel:
Mer information finns i Hantera enskilda sensorer.
Microsoft Sentinel-incidentsynkronisering med Defender för IoT-aviseringar
IoT OT Threat Monitoring med Defender for IoT-lösningen säkerställer nu att aviseringar i Defender för IoT uppdateras med eventuella relaterade incidentstatusändringar från Microsoft Sentinel.
Den här synkroniseringen åsidosätter alla statusar som definierats i Defender för IoT, i Azure-portalen eller sensorkonsolen, så att aviseringsstatusarna matchar den relaterade incidentens status.
Uppdatera din IoT OT Threat Monitoring med Defender for IoT-lösningen för att använda det senaste synkroniseringsstödet, inklusive den nya SPELBOKEN AD4IoT-AutoAlertStatusSync . När du har uppdaterat lösningen kontrollerar du att du även vidtar nödvändiga åtgärder för att se till att den nya spelboken fungerar som förväntat.
Mer information finns i:
- Självstudie: Integrera Defender för IoT och Sentinel
- Visa och hantera aviseringar på Defender för IoT-portalen (förhandsversion)
- Visa aviseringar på sensorn
Juni 2022
Sensorprogramvara version 22.1.6: Delversion med underhållsuppdateringar för interna sensorkomponenter
Sensorprogramvara version 22.1.5: Delversion för att förbättra TI-installationspaket och programuppdateringar
Vi har också nyligen optimerat och förbättrat vår dokumentation på följande sätt:
- Katalog för uppdaterade installationer för OT-miljöer
- Omorganisering av dokumentation för slutanvändarorganisationer
Katalog för uppdaterade installationer för OT-miljöer
Vi har uppdaterat och uppdaterat katalogen med enheter som stöds för övervakning av OT-miljöer. Dessa apparater stöder flexibla distributionsalternativ för miljöer av alla storlekar och kan användas som värd för både OT-övervakningssensorn och lokala hanteringskonsoler.
Använd de nya sidorna på följande sätt:
Förstå vilken maskinvarumodell som bäst passar din organisations behov. Mer information finns i Vilka enheter behöver jag?
Lär dig mer om de förkonfigurerade maskinvaruinstallationer som är tillgängliga att köpa eller systemkrav för virtuella datorer. Mer information finns i Förkonfigurerade fysiska enheter för OT-övervakning och OT-övervakning med virtuella enheter.
Om du vill ha mer information om varje typ av installation använder du den länkade referenssidan eller bläddrar igenom vårt nya avsnitt referens-OT-övervakningsenheter>.
Referensartiklar för varje typ av installation, inklusive virtuella enheter, innehåller specifika steg för att konfigurera installationen för OT-övervakning med Defender för IoT. Allmänna procedurer för installation och felsökning av programvara dokumenteras fortfarande i Defender för IoT-programvaruinstallation.
Omorganisering av dokumentation för slutanvändarorganisationer
Vi har nyligen omorganiserat vår Defender for IoT-dokumentation för slutanvändarorganisationer och markerat en tydligare väg för registrering och komma igång.
Kolla in vår nya struktur för att följa upp hur du visar enheter och tillgångar, hanterar aviseringar, sårbarheter och hot, integrerar med andra tjänster och distribuerar och underhåller ditt Defender for IoT-system.
Nya och uppdaterade artiklar omfattar:
- Välkommen till Microsoft Defender för IoT för organisationer
- Microsoft Defender för IoT-arkitektur
- Snabbstart: Kom igång med Defender för IoT
- Självstudie: Utvärderingskonfiguration av Microsoft Defender för IoT
- Självstudie: Kom igång med Enterprise IoT
Kommentar
Om du vill skicka feedback om dokument via GitHub bläddrar du längst ned på sidan och väljer alternativet Feedback för Den här sidan. Vi skulle vara glada att höra från dig!
April 2022
Utökade enhetsegenskapsdata i enhetsinventeringen
Sensorprogramversion: 22.1.4
Från och med sensorer som har uppdaterats till version 22.1.4 visar sidan Enhetsinventering på Azure-portalen utökade data för följande fält:
- Beskrivning
- Taggar
- Protokoll
- Scanner
- Senaste aktivitet
Mer information finns i Hantera din enhetsinventering från Azure-portalen.
Mars 2022
Sensorversion: 22.1.3
- Använda Azure Monitor-arbetsböcker med Microsoft Defender för IoT
- IoT OT Threat Monitoring med Defender for IoT-lösningen GA
- Redigera och ta bort enheter från Azure-portalen
- Aviseringsuppdateringar för nyckeltillstånd
- Logga ut från en CLI-session
Använda Azure Monitor-arbetsböcker med Microsoft Defender för IoT (offentlig förhandsversion)
Azure Monitor-arbetsböcker tillhandahåller diagram och instrumentpaneler som visuellt återspeglar dina data och som nu är tillgängliga direkt i Microsoft Defender för IoT med data från Azure Resource Graph.
I Azure-portalen använder du den nya sidan Defender för IoT-arbetsböcker för att visa arbetsböcker som skapats av Microsoft och tillhandahålls direkt eller skapa egna anpassade arbetsböcker.
Mer information finns i Använda Azure Monitor-arbetsböcker i Microsoft Defender för IoT.
IoT OT Threat Monitoring med Defender for IoT-lösningen GA
IoT OT Threat Monitoring med Defender for IoT-lösningen i Microsoft Sentinel är nu allmänt tillgänglig. I Azure-portalen använder du den här lösningen för att skydda hela ot-miljön, oavsett om du behöver skydda befintliga OT-enheter eller skapa säkerhet i nya OT-innovationer.
Mer information finns i Övervakning av OT-hot i företags-SOC:er och självstudier: Integrera Defender för IoT och Sentinel.
Redigera och ta bort enheter från Azure-portalen (offentlig förhandsversion)
Sidan Enhetsinventering i Azure-portalen stöder nu möjligheten att redigera enhetsinformation, till exempel säkerhet, klassificering, plats med mera:
Mer information finns i Redigera enhetsinformation.
Du kan bara ta bort enheter från Defender för IoT om de har varit inaktiva i mer än 14 dagar. Mer information finns i Ta bort en enhet.
Uppdateringar av nyckeltillståndsaviseringar (offentlig förhandsversion)
Defender för IoT har nu stöd för Rockwell-protokollet för IDENTIFIERING av PLC-driftsläge.
För Rockwell-protokollet anger enhetsinventeringssidorna i både Azure-portalen och sensorkonsolen nu plc-driftlägesnyckeln och körningstillståndet och om enheten för närvarande är i ett säkert läge.
Om enhetens PLC-driftläge någonsin växlas till ett oskyddat läge, till exempel Program eller Fjärr, genereras en plc-avisering om ändrat driftläge.
Mer information finns i Hantera dina IoT-enheter med enhetsinventeringen för organisationer.
Logga ut från en CLI-session
Från och med den här versionen loggas CLI-användare ut automatiskt från sin session efter 300 inaktiva sekunder. Om du vill logga ut manuellt använder du det nya logout CLI-kommandot.
Mer information finns i Arbeta med Defender för IoT CLI-kommandon.
Februari 2022
Sensorprogramversion: 22.1.1
- Guiden För ny sensorinstallation
- Sensoromdesign och enhetlig Microsoft-produktupplevelse
- Översiktssida för utökad sensor
- Ny supportdiagnostiklogg
- Aviseringsuppdateringar
- Anpassade aviseringsuppdateringar
- CLI-kommandouppdateringar
- Uppdatera till version 22.1.x
- Ny anslutningsmodell och brandväggskrav
- Protokollförbättringar
- Ändrade, ersatta eller borttagna alternativ och konfigurationer
Guiden För ny sensorinstallation
Tidigare behövde du använda separata dialogrutor för att ladda upp en sensoraktiveringsfil, verifiera sensornätverkskonfigurationen och konfigurera dina SSL/TLS-certifikat.
När du installerar en ny sensor eller en ny sensorversion tillhandahåller installationsguiden nu ett effektivt gränssnitt för att utföra alla dessa uppgifter från en enda plats.
Mer information finns i Defender för IoT-installation.
Sensoromdesign och enhetlig Microsoft-produktupplevelse
Defender för IoT-sensorkonsolen har gjorts om för att skapa en enhetlig Microsoft Azure-upplevelse och förbättra och förenkla arbetsflöden.
Dessa funktioner är nu allmänt tillgängliga (GA). Uppdateringar inkludera det allmänna utseendet, fönster med ökad detaljnivå, sök- och åtgärdsalternativ med mera. Till exempel:
Förenklade arbetsflöden omfattar:
Sidan Enhetsinventering innehåller nu detaljerade enhetssidor. Välj en enhet i tabellen och välj sedan Visa fullständig information till höger.
Egenskaper som uppdateras från sensorns inventering uppdateras nu automatiskt i molnenhetsinventeringen.
Enhetsinformationssidorna, som nås antingen från enhetskartan eller enhetsinventeringssidorna, visas som skrivskyddade. Om du vill ändra enhetsegenskaper väljer du Redigera egenskaper längst ned till vänster.
Sidan Datautvinning innehåller nu rapporteringsfunktioner. När sidan Rapporter har tagits bort kan användare med skrivskyddad åtkomst visa uppdateringar på sidan Datautvinning utan möjlighet att ändra rapporter eller inställningar.
För administratörsanvändare som skapar nya rapporter kan du nu växla till alternativet Skicka till CM för att även skicka rapporten till en central hanteringskonsol. Mer information finns i Skapa en rapport
Området Systeminställningar har omorganiserats i avsnitt för Grundläggande inställningar, inställningar för nätverksövervakning, sensorhantering, integreringar och importinställningar.
Onlinehjälpen för sensorn länkar nu till viktiga artiklar i Microsoft Defender för IoT-dokumentationen.
Defender för IoT-kartor innehåller nu:
En ny kartvy visas nu för aviseringar och på enhetsinformationssidorna, som visar var i din miljö aviseringen eller enheten hittas.
Högerklicka på en enhet på kartan för att visa sammanhangsberoende information om enheten, inklusive relaterade aviseringar, händelsetidsdata och anslutna enheter.
Välj Inaktivera Visa IT-nätverksgrupper för att förhindra möjligheten att dölja IT-nätverk på kartan. Det här alternativet inaktiveras som standard.
Alternativet Förenklad kartvy har tagits bort.
Vi har också implementerat globala beredskaps- och hjälpmedelsfunktioner för att uppfylla Microsofts standarder. I den lokala sensorkonsolen innehåller dessa uppdateringar både högkontrast och vanliga skärmvisningsteman och lokalisering för över 15 språk.
Till exempel:
Få åtkomst till globala beredskaps- och hjälpmedelsalternativ från ikonen Inställningar längst upp till höger på skärmen:
Översiktssida för utökad sensor
Sidan Instrumentpanel för Defender för IoT-sensorportalen har bytt namn till Översikt och innehåller nu data som bättre visar information om systemdistribution, kritisk nätverksövervakningshälsa, toppaviseringar och viktiga trender och statistik.
Sidan Översikt fungerar nu också som en svart ruta för att visa din övergripande sensorstatus om dina utgående anslutningar, till exempel till Azure-portalen, skulle gå ned.
Skapa fler instrumentpaneler med hjälp av sidan Trender och statistik , som finns under menyn Analysera till vänster.
Ny supportdiagnostiklogg
Nu kan du få en sammanfattning av logg- och systeminformationen som läggs till i dina supportärenden. I dialogrutan Säkerhetskopiering och återställning väljer du Supportbiljettdiagnostik.
Mer information finns i Ladda ned en diagnostiklogg för support
Aviseringsuppdateringar
I Azure-portalen:
Aviseringar är nu tillgängliga i Defender för IoT i Azure-portalen. Arbeta med aviseringar för att förbättra säkerheten och driften av ditt IoT/OT-nätverk.
Den nya sidan Aviseringar finns för närvarande i offentlig förhandsversion och innehåller:
- En aggregerad realtidsvy över hot som identifierats av nätverkssensorer.
- Reparationssteg för enheter och nätverksprocesser.
- Strömma aviseringar till Microsoft Sentinel och ge ditt SOC-team möjlighet.
- Aviseringslagring i 90 dagar från det att de först identifieras.
- Verktyg för att undersöka käll- och målaktivitet, allvarlighetsgrad och status för aviseringar, MITRE ATT&CK-information och kontextuell information om aviseringen.
Till exempel:
På sensorkonsolen:
På sensorkonsolen visar sidan Aviseringar nu information om aviseringar som identifierats av sensorer som har konfigurerats med en molnanslutning till Defender för IoT i Azure. Användare som arbetar med aviseringar i både Azure och lokalt bör förstå hur aviseringar hanteras mellan Azure-portalen och de lokala komponenterna.
Andra aviseringsuppdateringar är:
Få åtkomst till kontextuella data för varje avisering, till exempel händelser som inträffade ungefär samtidigt, eller en karta över anslutna enheter. Kartor anslutna enheter är endast tillgängliga för sensorkonsolaviseringar.
Aviseringsstatusar uppdateras och inkluderar till exempel nu statusen Stängd i stället för Bekräftad.
Aviseringslagring i 90 dagar från det att de först identifieras.
Aviseringen Säkerhetskopieringsaktivitet med antivirussignaturer. Den här nya aviseringsvarningen utlöses för trafik som identifieras mellan en källenhet och målservern för säkerhetskopiering, vilket ofta är en legitim säkerhetskopieringsaktivitet. Kritiska eller större aviseringar om skadlig kod utlöses inte längre för sådan aktivitet.
Under uppgraderingar tas sensorkonsolaviseringar som för närvarande arkiveras bort. Fästa aviseringar stöds inte längre, så pins tas bort för sensorkonsolaviseringar som relevanta.
Mer information finns i Visa aviseringar på sensorn.
Anpassade aviseringsuppdateringar
Sensorkonsolens sida anpassade aviseringsregler innehåller nu:
Hit count information in the Custom alert rules table, with at-a-glance details about the number of alerts triggered in the last week for each rule you've created.
Möjligheten att schemalägga anpassade aviseringsregler så att de körs utanför normal arbetstid.
Möjligheten att avisera på alla fält som kan extraheras från ett protokoll med hjälp av DPI-motorn.
Fullständigt protokollstöd när du skapar anpassade regler och stöd för ett stort antal relaterade protokollvariabler.
Mer information finns i Skapa anpassade aviseringsregler på en OT-sensor.
CLI-kommandouppdateringar
Programvaruinstallationen för Defender for IoT-sensorn är nu containerbaserad. Med den nu containerbaserade sensorn kan du använda cyberx_host-användaren för att undersöka problem med andra containrar eller operativsystemet eller för att skicka filer via FTP.
Den här cyberx_host användaren är tillgänglig som standard och ansluter till värddatorn. Om du behöver kan du återställa lösenordet för den cyberx_host användaren från sidan Webbplatser och sensorer i Defender för IoT.
Som en del av den containerbaserade sensorn har följande CLI-kommandon ändrats:
| Äldre namn | Ersättning |
|---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
CLI-kommandot sudo cyberx-xsense-limit-interface-I eth0 -l value har tagits bort. Det här kommandot användes för att begränsa den gränssnittsbandbredd som sensorn använder för dagliga procedurer och stöds inte längre.
Mer information finns i Defender för IoT-installation, Arbeta med Defender för IoT CLI-kommandon och CLI-kommandoreferens från OT-nätverkssensorer.
Uppdatera till version 22.1.x
Om du vill använda alla de senaste funktionerna i Defender för IoT måste du uppdatera dina sensorprogramversioner till 22.1.x.
Om du har en äldre version kan du behöva köra en serie uppdateringar för att komma till den senaste versionen. Du måste också uppdatera brandväggsreglerna och återaktivera sensorn med en ny aktiveringsfil.
När du har uppgraderat till version 22.1.x finns den nya uppgraderingsloggen på följande sökväg, som nås via SSH och den cyberx_host användaren: /opt/sensor/logs/legacy-upgrade.log.
Mer information finns i Uppdatera OT-systemprogramvara.
Kommentar
Uppgradering till version 22.1.x är en stor uppdatering och du bör förvänta dig att uppdateringsprocessen kräver mer tid än tidigare uppdateringar.
Ny anslutningsmodell och brandväggskrav
Defender för IoT version 22.1.x stöder en ny uppsättning sensoranslutningsmetoder som ger förenklad distribution, förbättrad säkerhet, skalbarhet och flexibel anslutning.
Förutom migreringsstegen kräver den här nya anslutningsmodellen att du öppnar en ny brandväggsregel. Mer information finns i:
- Nya brandväggskrav: Sensoråtkomst till Azure-portalen.
- Arkitektur: Sensoranslutningsmetoder
- Anslut ionsprocedurer: Anslut dina sensorer till Microsoft Defender för IoT
Protokollförbättringar
Den här versionen av Defender för IoT ger förbättrat stöd för:
- Profinet DCP
- Honeywell
- Windows-slutpunktsidentifiering
Mer information finns i Microsoft Defender för IoT – IoT-, OT-, ICS- och SCADA-protokoll som stöds.
Ändrade, ersatta eller borttagna alternativ och konfigurationer
Följande Defender för IoT-alternativ och konfigurationer har flyttats, tagits bort och/eller ersatts:
Rapporter som tidigare hittats på sidan Rapporter visas nu på sidan Datautvinning i stället. Du kan också fortsätta att visa information om datautvinning direkt från den lokala hanteringskonsolen.
Det går nu bara att ändra ett lokalt hanterat sensornamn genom att registrera sensorn på Azure-portalen igen med det nya namnet. Sensornamn kan inte längre ändras direkt från sensorn. Mer information finns i Ladda upp en ny aktiveringsfil.