你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 OT 网络传感器上维护威胁情报包

  • 项目

Microsoft 安全团队持续开展专有 ICS 威胁情报和漏洞研究。 安全研究将对 Microsoft 的云基础结构和服务、传统产品和设备,以及内部公司资源提供安全检测、分析和响应。

Microsoft Defender for IoT 定期为 OT 网络传感器提供威胁情报包更新,从而增强对已知和相关威胁的防护,并提供见解来帮助你的团队对警报进行分类并确定其优先级。

威胁情报包包含签名(例如恶意软件签名)、CVE 和其他安全内容。

显示的 CVE 分数与 国家漏洞数据库(NVD)保持一致,如果相关,则显示 CVSS v3 分数。 如果不存在相关的 CVSS v3 分数,则会改为显示 CVSS v2 分数。

提示

我们建议确保 OT 网络传感器始终安装最新的威胁情报包,以便在环境受到影响之前你始终了解威胁的完整背景,并提高相关性、准确性和可操作性建议。

有关新包的公告,请参阅我们的 TechCommunity 博客

权限

若要执行本文中的过程,请确保:

  • 将一个或多个 OT 传感器载入到 Azure。

  • 对 Azure 门户以及要更新的任何 OT 网络传感器或本地管理控制台具有相关权限。

    • 若要从 Azure 门户下载威胁情报包,需要以安全读取者安全管理员参与者所有者角色的身份访问 Azure 门户。

    • 若要从 Azure 门户将威胁情报更新推送到连接到云的 OT 传感器,需要以安全管理员参与者所有者角色的身份访问 Azure 门户。

    • 若要手动将威胁情报包上传到 OT 传感器或本地管理控制台,需要以管理员用户身份访问 OT 传感器或本地管理控制台。

有关详细信息,请参阅 Defender for IoT 的 Azure 用户角色和权限使用 Defender for IoT 进行 OT 监视的本地用户和角色

查看最新的威胁情报包

若要查看 Defender for IoT 中提供的最新包,请执行以下操作:

在 Azure 门户中,选择“站点和传感器”>“威胁情报更新(预览版)”>“本地更新”。 “传感器 TI 更新”窗格中显示了有关最新可用包的详细信息。 例如:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

更新威胁情报包

使用以下任一方法更新 OT 传感器上的威胁情报包:

  • 在发布更新时自动将更新推送到云连接 OT 传感器。
  • 手动将更新推送到云连接 OT 传感器。
  • 下载更新包并手动将其上传到 OT 传感器。 或者,将包上传到本地管理控制台,并将更新从那里推送到任何连接的 OT 传感器。

自动将更新推送到连接到云的传感器

威胁情报包可自动更新到云连接传感器,因为它们由 Defender for IoT 发布。

确保自动执行包更新,方法是在启用“自动执行威胁情报更新”选项的情况下,载入云连接传感器。 有关详细信息,请参阅将 OT 传感器加入 Defender for IoT

若要在载入 OT 传感器后更改更新模式,请执行以下操作

  1. 在 Azure 门户上的 Defender for IoT 中,选择“站点和传感器”,然后找到要更改的传感器。
  2. 选择所选 OT 传感器的选项 (...) 菜单 >“编辑”。
  3. 根据需要打开或关闭“自动威胁情报更新”选项。

手动将更新推送到连接到云的传感器

云连接传感器可以通过威胁情报包自动进行更新。 但是,如果想要采取更保守的方法,可以仅在需要时才将包从 Defender for IoT 推送到传感器。 倘若手动推送更新,你就能控制何时安装包,而无需下载包并将其上传到传感器。

若要手动将更新推送到单个 OT 传感器,请执行以下操作

  1. 在 Azure 门户上的 Defender for IoT 中,选择“站点和传感器”,然后找到要更新的 OT 传感器。
  2. 选择所选传感器的选项 (...) 菜单,然后选择“推送威胁情报更新”。

“威胁情报更新状态”字段显示更新进度。

若要手动将更新推送到多个 OT 传感器,请执行以下操作

  1. 在 Azure 门户上的 Defender for IoT 中,选择“站点和传感器”。 找到并选择要更新的 OT 传感器。
  2. 选择“威胁情报更新(预览版)”>“远程更新”。

威胁情报更新状态”字段显示每个所选传感器的更新进度。

手动更新本地托管的传感器

如果使用的是本地托管的 OT 传感器,则需要下载更新的威胁情报包并手动将其上传到传感器。

如果还使用本地管理控制台,则建议你将威胁情报包上传到本地管理控制台,并从那里推送更新。

提示

如果不想从 Azure 门户推送更新,此选项也可用于连接到云的传感器。

若要下载威胁情报包,请执行以下操作

  1. 在 Azure 门户上的 Defender for IoT 中,选择“站点和传感器”>“威胁智能更新(预览版)”>“本地更新”。

  2. 在“传感器 TI 更新”窗格中,选择“下载”以下载最新的威胁情报文件。

从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。

若要更新单个传感器,请执行以下操作

  1. 登录到 OT 传感器,然后选择“系统设置”>“威胁情报”。

  2. 在“威胁情报”窗格中,选择“上传文件”。 例如:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. 浏览到并选择从 Azure 门户下载的包,并将其上传到传感器。

若要同时更新多个传感器,请执行以下操作:

  1. 登录到本地管理控制台,然后选择“系统设置”。

  2. 在“传感器引擎配置”区域中,选择要接收更新包的传感器。 例如:

    Screenshot of where you can select which sensors you want to make changes to.

  3. 在“传感器威胁情报数据”部分,选择加号图标 (+)。

  4. 在“上传文件”对话框中,选择“浏览文件...”以浏览到并选择更新包。 例如:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. 选择“关闭”,然后选择“保存更改”,以将威胁情报更新推送到所有选定的传感器。

    Screenshot of where you can save changes made to selected sensors on the management console.

查看威胁情报更新状态

在每个 OT 传感器上,威胁情报更新状态和版本信息显示在传感器的“系统设置”>“威胁情报”设置中。

对于连接到云的 OT 传感器,威胁情报数据也显示在“站点和传感器”页中。 若要从 Azure 门户查看威胁情报状态,请执行以下操作:

  1. 在 Azure 门户上的 Defender for IoT 中,选择“站点和传感器”。

  2. 找到要检查威胁情报状态的 OT 传感器。

  3. 请记下 OT 传感器的以下列的值:

    列名称 说明
    威胁智能版本 版本命名基于 Defender for IoT 构建包的日期。
    威胁智能模式 “自动”指示新的可用包将自动安装在传感器上,因为它们由 Defender for IoT 发布。

    “手动”指示你可以根据需要将新的可用包直接推送到传感器。
    威胁智能更新状态 显示以下状态之一:
    - 失败
    - 正在进行
    - 更新可用
    - 正常

提示

如果连接到云的 OT 传感器显示威胁情报更新失败,则建议检查传感器连接详细信息。 在“站点和传感器”页面上,检查“传感器状态”和“上次连接时间(UTC)”列。

后续步骤

有关详细信息,请参阅: