你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for IoT 中的新增功能
注意
Azure Defender for IoT 已重命名为 Microsoft Defender for IoT。
本文列出了适用于设备生成器的 Microsoft Defender for IoT 中的新增功能和增强功能。
标记的功能目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
有关详情,请参阅 更新 Microsoft Defender for IoT 微代理。
2024 年 8 月
Defender for IoT 计划在 2025 年 8 月 1 日停用微代理。
2024 年 3 月
Defender for IoT 固件分析更新:
Azure CLI 和 PowerShell 命令:使用固件分析 Azure CLI 或固件分析 PowerShell 命令自动执行分析固件映像的工作流。
资源组中的用户选择:选取你自己的资源组或创建新的资源组,以便在加入过程中使用 Defender for IoT 固件分析。
带有固件清单的新 UI 格式:用于组织入门、订阅管理和固件清单的子选项卡。
增强了文档:更新了教程:分析 IoT/OT 固件映像文档,该文档介绍了新的加入体验。
2024 年 1 月
自 2023 年 7 月的公开预览以来对 Defender for IoT 固件分析的更新:
PDF 报表生成器:在“概述”页面上添加了“以 PDF 格式下载”功能,用于生成并下载固件分析结果的 PDF 报表。
缩短了分析时间:分析时间已缩短 30-80%,具体取决于映像大小。
CODESYS 库检测:Defender for IoT 固件分析现在可以检测到 CODESYS 库的使用,Microsoft 最近已将这些库标识为存在高严重性漏洞。 这些漏洞可被利用进行远程代码执行 (RCE) 或拒绝服务 (DoS) 等攻击。 有关详细信息,请参阅 CODESYS V3 SDK 中的多个高严重性漏洞可能导致 RCE 或 DoS。
增强了文档:添加了涉及以下概念的文档:
- 适用于 Defender for IoT 固件分析的 Azure 基于角色的访问控制,其中说明了上传固件映像和共享分析结果所需的角色和权限,以及 FirmwareAnalysisRG 资源组的工作原理
- 常见问题解答
改进了每个报表的筛选:每个子选项卡报表现在都包含更精细的筛选功能。
固件元数据:添加了可折叠的选项卡,其中包含每个页面上提供的固件元数据。
改进了版本检测:改进了以下库的版本检测:
- pcre
- pcre2
- net-tools
- zebra
- dropbear
- bluetoothd
- WolfSSL
- sqlite3
添加了对文件系统的支持:Defender for IoT 固件分析现在支持提取以下文件系统。 有关详细信息,请参阅固件分析常见问题解答:
- ISO
- RomFS
- SquashFS 的 Zstandard 和非标准 LZMA 实现
2023 年 7 月
固件分析公共预览版公告
Microsoft Defender for IoT 固件分析现已推出公共预览版。 Microsoft Defender for IoT 可以分析设备固件中存在的常见弱点和漏洞,并提供对固件安全性的见解。 无论是在内部构建固件还是从供应商接收固件,此分析都很有用。
有关详细信息,请参阅面向设备制造商的固件分析。
2022 年 12 月
版本 4.6.2:
将微代理从版本 4.2.* 升级到 4.6.2 时,首先需要删除包,然后重新安装它。 有关详情,请参阅 更新 Microsoft Defender for IoT 微代理。
外设收集器:添加一个新的收集器来检测设备的物理插件。 有关详细信息,请参阅微代理事件收集 - 外设事件。
文件系统收集器:添加一个监视指定文件系统的新收集器。 有关详细信息,请参阅微代理事件收集 - 文件系统事件。
统计信息收集器:添加一个新的收集器,用于针对每个收集周期报告有关代理中的不同收集器的数据。 有关详细信息,请参阅微代理事件收集 - 统计信息事件。
系统信息收集器:系统信息收集器现在收集代理类型(边缘/独立)和版本。 有关详细信息,请参阅微代理事件收集 - 系统信息事件。
新警报:现在支持新的外设和文件系统警报。 有关详细信息,请参阅微代理安全警报。
DMI 解码替代方案:现在支持使用新的替代方案来报告设备信息,以防设备不支持 DMI 解码器。 有关详细信息,请参阅如何配置 DMI 解码器。
固件信息:现在支持通过 DMI 解码器或其替代方案收集的设备固件供应商和版本。 有关详细信息,请参阅如何配置 DMI 解码器。
设备预配服务支持:现在可以使用 DPS 大规模预配微代理和设备。 有关详细信息,请参阅如何使用 DPS 预配微代理。
基于 Web 套接字协议的 AMQP 协议支持:现在支持基于 Web 套接字协议的 AMQP,它可以在安装微代理后添加。 有关详细信息,请参阅添加基于 Web 套接字的 AMQP 协议支持。
SBoM 收集器 bug 修复:现在支持收集所有包而不是首先引入的 500 个包。 有关详细信息,请参阅微代理事件收集 - SBoM 事件。
Debian 10 ARM 64 buster 支持:现在支持 Debian 10 ARM 64 设备。 有关详细信息,请参阅代理项目组合概述和 OS 系统。
22.04 Ubuntu 支持:现在支持 Ubuntu 22.04 设备。 有关详细信息,请参阅代理项目组合概述和 OS 系统。
2022 年 9 月
微代理正式发布公告
Azure Defender for IoT 微代理现已正式发布。
2022 年 7 月
版本 4.2.4:
代理连接更新:现在可以通过代理将微代理连接到 IoT 中心。 有关详细信息,请参阅通过代理进行连接。
支持 TPM 支持的证书:现在可以使用由 TPM 支持的 OpenSSL 证书。 有关详细信息,请参阅使用证书进行身份验证。
AMQP 支持:现在,可以在安装微代理后添加 AMQP 支持。 有关详细信息,请参阅添加 AMQP 协议支持。
基线收集器更新:基线收集器现在除了失败的结果外,还会向云发送传递和跳过检查。 有关详细信息,请参阅基线(基于触发器的收集器)。
通过 UTMP 登录收集器:登录收集器现在支持 UTMP 来捕获 SSH 交互式事件、telnet 事件和终端登录,包括失败的登录事件。 有关详细信息,请参阅登录收集器(基于事件的收集器)。
SBoM 收集器已知问题:SBoM 收集器当前仅收集引入的前 500 个包。 有关详细信息,请参阅 SBoM(基于触发器的收集器)。
2022 年 2 月
版本 4.1.2:
“Edge 的微代理现已推出公共预览版”:该微代理支持 IoT Edge 设备,安装简单且标识预配过程,该过程使用自动预配的模块标识对 Edge 设备进行身份验证,而无需执行任何手动身份验证。
“新目录结构”:现在与标准版 Linux 安装目录结构保持一致。
由于此次更改,版本 4.1.2 的更新要求用户重新验证微代理,并将其连接字符串保存到新位置。 有关详情,请参阅 更新 Microsoft Defender for IoT 微代理。
“SBoM 收集器”:SBoM 收集器现在定期收集设备上的安装包。 有关详情,请参阅微代理事件收集(预览版)。
CIS 基准:微代理现在支持现在支持基于 CIS 独立发行版 Linux 基准版本 2.0.0 的建议,并支持使用孪生配置禁用特定 CIS 基准检查或组的能力。 有关详情,请参阅微代理配置(预览版)。
微代理支持的设备列表已扩展:微代理现在支持 Debian 11 AMD64 和 ARM32v7 设备、Ubuntu Server 18.04 ARM32 Linux 设备,以及 Ubuntu Server 20.04 ARM32 和 ARM64 Linux 设备。
有关详情,请参阅代理项目组概述和操作系统(预览版)。
“DNS 命中次数”:网络收集器现在包括可通过 Log Analytics 查看的 DNS 命中次数字段,该字段可帮助指示 DNS 请求是否属于自动查询的一部分。
有关详细信息,请参阅网络活动事件(基于事件的收集器)。
“登录收集器”:现在支持使用:SYSLOG 收集 SSH 登录事件,PAM 使用可插入身份验证模块堆栈收集 SSH、telnet 和本地登录事件。 有关详细信息,请参阅登录收集器(基于事件的收集器)。
2021 年 11 月
版本 3.13.1:
现在支持托管设备上的 DNS 网络活动。 Microsoft 威胁情报安全图现在可以根据 DNS 流量检测可疑活动。
叶设备代理:现在增强了与 IoT Edge 的集成。 此集成增强了代理和使用叶设备代理的云之间的连接。
2021 年 10 月
版本 3.12.2:
Debian 9 现在支持更多 CIS 基准检查:这些额外检查使你可以确保网络符合用于防范普遍网络威胁的 CIS 最佳做法。
孪生体配置:微代理的行为是通过一组模块孪生属性配置的。 你可以配置微代理以最好地满足你的需求。
2021 年 9 月
版本 3.11:
登录收集器 - 登录收集器收集用户登录、注销和失败的登录尝试。 例如 SSH 和 telnet。
系统信息收集器 - 系统信息收集器收集与设备的操作系统和硬件详细信息相关的信息。
事件聚合 - Defender for IoT 代理可聚合进程、登录、网络事件等事件,从而减少发送的消息数和成本,同时维护设备的安全。
孪生体配置 - 微代理的行为是通过一组模块孪生属性配置的。 (例如,事件发送频率和聚合模式)。 你可以配置微代理以最好地满足你的需求。
2021 年 3 月
设备生成器 - 新的微代理(公共预览版)
新的设备生成器模块可用。 通过此模块(称为微代理),可以:
“与 Azure IoT 中心和 Defender for IoT 的集成” - 通过将 IoT 设备与 Azure IoT 中心和 Defender for IoT 提供的监视选项集成,将更强大的终结点安全性构建到 IoT 设备。
灵活的部署选项,支持标准 IoT 操作系统 - 可部署为二进制文件包或可修改的源代码,并支持标准 IoT 操作系统,如 Linux 和 Eclipse ThreadX。
最小资源需求,无操作系统内核依赖项 - 低占用量、低 CPU 消耗且无操作系统内核依赖项。
安全状况管理 - 主动监视 IoT 设备的安全状况。
连续实时 IoT/OT 威胁检测 - 检测僵尸网络、暴力攻击尝试、加密货币挖矿者和可疑网络活动等威胁
已弃用的 Defender-IoT-micro-agent 文档将移动到 Agent-based solution for device builders>Legacy 文件夹。
此功能集适用于当前的公共预览版云版本。