你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for IoT 有哪些新功能?
本文介绍 Microsoft Defender for IoT 中提供的功能,这些功能跨 OT 和企业 IoT 网络,并且跨本地和 Azure 门户,适用于过去九个月发布的版本。
面向组织的 Microsoft Defender for IoT 的新增存档功能中介绍了九个月之前发布的功能。 有关 OT 监视软件版本的详细信息,请参阅 OT 监视软件发行说明。
注意
下列标记功能为预览版。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
2024 年 4 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | - 传感器控制台的单一登录 - 传感器时间偏移检测 - 安全更新 |
传感器控制台的单一登录
可以使用 Microsoft Entra ID 为 Defender for IoT 传感器控制台设置单一登录 (SSO)。 SSO 可以方便组织用户完成登录,使组织能够满足法规标准,并改善安全状况。 通过 SSO,用户不需要提供跨不同传感器和站点的多个登录凭据。
使用 Microsoft Entra ID 可以简化入职和离职流程,减少管理开销,并确保整个组织的访问控制保持一致。
有关详细信息,请参阅为传感器控制台设置单一登录。
传感器时间偏移检测
此版本在连接工具功能中引入了新的故障排除测试,专门用于识别时间偏移问题。
在 Azure 门户中将传感器连接到 Defender for IoT 时,一个常见的难题是传感器的 UTC 时间存在差异,这可能会导致连接问题。 若要解决此问题,我们建议在传感器设置中配置网络时间协议 (NTP) 服务器。
安全更新
此更新解决了软件版本 23.1.3 功能文档中列出的六个 CVE。
2024 年 2 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 版本 24.1.2: - Azure 门户的警报抑制规则(公共预览版) - OT/IT 环境中的重点警报 - 警报 ID 现在 Azure 门户和传感器控制台中对齐 - 新支持的协议 云功能 - Azure 门户中的新许可证续订提醒 - 新的 OT 设备硬件配置文件 - SNMP MIB OID 的新字段 |
Azure 门户的警报抑制规则(公共预览版)
现在,可以从 Azure 门户配置警报抑制规则,指示 OT 传感器注意网络上可能触发警报的指定流量。
- 通过指定警报标题、IP/MAC 地址、主机名、子网、传感器或站点来配置要抑制的警报。
- 将每个抑制规则设置为始终处于活动状态,或者仅在预定义的时段(例如在特定维护时段)处于活动状态。
提示
如果当前在本地管理控制台上使用排除规则,建议将它们迁移到 Azure 门户上的抑制规则。 有关详细信息,请参阅抑制不相关的警报。
OT/IT 环境中的重点警报
在 OT 和 IT 网络之间部署了传感器的组织需要处理许多与 OT 和 IT 流量相关的警报。 警报(其中一些是无关的)数量可能会导致警报疲劳并影响整体性能。
为了应对这些挑战,我们更新了 Defender for IoT 的检测策略,来基于业务影响和网络上下文自动触发警报并减少与 IT 相关的低价值警报。
有关详细信息,请参阅 OT/IT 环境中的重点警报。
警报 ID 现在 Azure 门户和传感器控制台中对齐
Azure 门户的“警报”页面上“Id”列中的警报 ID 现在显示与传感器控制台相同的警报 ID。 详细了解 Azure 门户上的警报。
注意
如果警报与检测到相同警报的传感器中的其他警报合并,Azure 门户将显示生成警报的第一个传感器的警报 ID。
新支持的协议
我们现在支持以下协议:
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Rockwell AADvance Discover
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
不再支持 L60 硬件配置文件
不再支持 L60 硬件配置文件,并且已从支持文档中删除它。 硬件配置文件现在至少需要 100 GB(最低硬件配置文件现在是 L100)。
若要从 L60 配置文件迁移到受支持的配置文件,请按照备份和还原 OT 网络传感器过程进行操作。
Azure 门户中的新许可证续订提醒
当一个或多个 OT 站点的许可证即将过期时,Azure 门户中 Defender for IoT 顶部会显示提醒你续订许可证的说明。 要继续从 Defender for IoT 获取安全值,请选择说明中的链接以在 Microsoft 365 管理中心内续订相关许可证。 详细了解 Defender for IoT 计费。
新的 OT 设备硬件配置文件
DELL XE4 SFF 设备现在支持用于监视生产线的 OT 传感器。 这是 L500 硬件配置文件(一条生产线)的一部分,具备 6 个核心、8-GB RAM 和 512-GB 磁盘存储。
有关详细信息,请参阅 DELL XE4 SFF。
SNMP MIB OID 的新字段
其他标准、泛型字段已添加到 SNMP MiB OID。 有关字段的完整列表,请参阅 OT 传感器 OID,了解手动 SNMP 配置。
2024 年 1 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | Azure 门户中的传感器更新现在支持选择特定版本 |
Azure 门户中的传感器更新现在支持选择特定版本
在 Azure 门户中更新传感器时,现在可选择更新到任何受支持的早期版本(最新版本以外的版本)。 以前,Azure 门户中加入到 Microsoft Defender for IoT 的传感器会自动更新到最新版本。
出于各种原因,例如出于测试目的,或者将所有传感器对齐到同一版本,你可能需要将传感器更新到特定版本。
有关详细信息,请参阅更新 Defender for IoT OT 监视软件。
| “OT 网络” |“版本 24.1.0”:
- Azure 门户的警报抑制规则(公共预览版)|
2023 年 12 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 混合和气隙支持的新体系结构 版本 23.2.0: - OT 网络传感器现在基于 Debian 11 运行 - 默认特权用户现在是管理员,而不是支持人员 云功能: - 基于云的传感器更新的实时状态 - SecurityAlert 表中简化的警报记录 |
OT 网络传感器现在基于 Debian 11 运行
传感器版本 23.2.0 基于 Debian 11 操作系统而不是 Ubuntu 运行。 Debian 是一种基于 Linux 的操作系统,广泛用于服务器和嵌入式设备,比其他操作系统更精简,并以其稳定性、安全性和广泛的硬件支持而闻名。
使用 Debian 作为我们传感器软件的基础有助于减少传感器上安装的软件包数量,从而提高系统的效率和安全性。
由于操作系统切换,从旧版本到版本 23.2.0 的软件更新可能比平时耗时更长、工作量更大。
有关详细信息,请参阅从传感器控制台备份和还原 OT 网络传感器和更新 Defender for IoT OT 监视软件。
默认特权用户现在是管理员,而不是支持人员
从版本 23.2.0 开始,安装新 OT 传感器时安装的默认特权用户是管理员用户,而不是支持用户。
例如,在以下场景中使用特权管理员用户:
安装后首次登录到新传感器。 有关详细信息,请参阅配置和激活 OT 传感器。
使用 Defender for IoT CLI。 有关详细信息,请参阅使用 Defender for IoT CLI 命令。
访问传感器的支持页。
重要
如果要将传感器软件从以前的版本更新到版本 23.2.0,则特权的支持用户会自动重命名为管理员。如果已保存支持凭据(例如在 CLI 脚本中),则必须更新脚本以使用新的管理员用户。
旧版支持用户仅在低于 23.2.0 的版本上受支持。
有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
混合和气隙支持的新体系结构
混合网络和气隙网络在许多行业(如政府、金融服务或工业制造业)中很常见。 气隙网络与其他不安全的外部网络(如企业网络或 Internet)在物理上分离,并且不太容易受到网络攻击。 然而,气隙网络仍然不完全安全,仍可能被破坏,必须仔细保护和监视。
Defender for IoT 现在提供了连接和监控混合网络和气隙网络的新指南。 新的架构指南旨在提高 SOC 操作的效率、安全性和可靠性,同时需要维护和排除故障的组件更少。 新架构中使用的传感器技术允许进行本地处理,将数据保留在自己的网络中,从而减少对云资源的需求并提高性能。
下图显示了有关 Defender for IoT 系统监视和维护的建议的高级架构示例,其中每个 OT 传感器连接到云端或本地的多个安全管理系统。
在此示例图像中,警报、系统日志消息和 API 的通信以黑色实线显示。 本地管理通信以紫色实线显示,云/混合管理通信以黑色虚线显示。
我建议当前使用本地管理控制台来管理 OT 传感器的现有客户过渡到更新的架构指南。
有关详细信息,请参阅部署混合或气隙 OT 传感器管理。
本地管理控制台停用
旧版本地管理控制台在 2025 年 1 月 1 日之后将无法下载。 建议在此日期之前过渡到使用全套本地和云 API 的新架构。
2025 年 1 月 1 日之后发布的传感器版本将无法通过本地管理控制台进行管理。
2024 年 1 月 1 日至 2025 年 1 月 1 日期间发布的传感器软件版本将继续支持本地管理控制台版本。
无法连接到云的气隙传感器可以直接通过传感器控制台或使用 REST API 进行管理。
有关详细信息,请参阅:
基于云的传感器更新的实时状态
从 Azure 门户运行传感器更新时,更新过程中传感器版本列中会出现一个新的进度条。 随着更新的进行,进度条会显示更新完成的百分比,表明进程正在进行、未停滞或已失败。 例如:
有关详细信息,请参阅更新 Defender for IoT OT 监视软件。
SecurityAlert 表中简化的警报记录
与 Microsoft Sentinel 集成时,Microsoft Sentinel SecurityAlert 表现在仅在警报状态和严重性发生变化时立即更新。 警报中的其他更改(例如上次检测到的现有警报)会在几个小时内进行汇总,并仅显示最新的更改。
有关详细信息,请参阅了解每个警报的多个记录。
2023 年 11 月
| 服务领域 | 更新 |
|---|---|
| 企业 IoT 网络 | 企业 IoT 保护现已包含在 Microsoft 365 E5 和 E5 安全许可证中 |
| OT 网络 | 更新了安全堆栈集成指南 |
企业 IoT 保护现已包含在 Microsoft 365 E5 和 E5 安全许可证中
带有 Defender for IoT 的企业 IoT (EIoT) 安全可发现未托管的物联网设备,并提供附加安全价值,包括持续监视、漏洞评估和专为企业 IoT 设备设计的定制建议。 它与 Microsoft Defender 门户上的 Microsoft Defender XDR、Microsoft Defender 漏洞管理和 Microsoft Defender for Endpoint 无缝集成,确保采用整体方法来保护组织的网络。
Defender for IoT EIoT 监视现已作为 Microsoft 365 E5 (ME5) 和 E5 安全性计划的一部分自动获得支持,每个用户许可证最多可覆盖 5 台设备。 例如,如果你所在的组织拥有 500 个 ME5 许可证,则你可以使用 Defender for IoT 监视最多 2500 个 EIoT 设备。 此集成代表了在 Microsoft 365 环境中强化 IoT 生态系统的重大飞跃。
拥有 ME5 或 E5 安全性计划但尚未将 Defender for IoT 用于其 EIoT 设备的客户必须在 Microsoft Defender 门户中打开支持。
没有 ME5 或 E5 安全性计划的新客户可以购买独立的 Microsoft Defender for IoT - EIoT 设备许可证 - 附加产品许可证,作为 Microsoft Defender for Endpoint P2 的附加产品。 从 Microsoft 管理中心购买独立许可证。
拥有旧版企业 IoT 计划和 ME5/E5 安全性计划的现有客户将自动切换到新的许可方法。 企业 IoT 监视现已捆绑到许可证中,无需额外付费,也无需执行任何操作。
拥有旧版企业 IoT 计划且没有 ME5/E5 安全性计划的客户可以继续使用其现有计划,直到计划到期。
Defender for Endpoint P2 客户可以将试用许可证作为独立许可证使用。 试用许可证支持 100 台设备,试用期为 90 天。
有关详细信息,请参阅:
- 保护企业中的 IoT 设备
- 使用 Defender for Endpoint 启用企业 IoT 安全性
- Defender for IoT 订阅计费
- Microsoft Defender for IoT 计划和定价
- 博客:使用 Defender for IoT 实现企业 IoT 安全性现已包含在 Microsoft 365 E5 和 E5 安全性计划中
更新了安全堆栈集成指南
Defender for IoT 正在刷新其安全堆栈集成,以提高各种安全解决方案的整体可靠性、可伸缩性和易于维护性。
如果要将安全解决方案与基于云的系统集成,建议通过 Microsoft Sentinel 使用数据连接器。 对于本地集成,建议配置 OT 传感器以转发 syslog 事件,或使用 Defender for IoT API。
到 2024 年 10 月之前,使用传感器版本 23.1.3 可支持旧版 Aruba ClearPass、Palo Alto Panorama 和 Splunk 集成,但即将推出的主要软件版本将不再支持。
对于使用旧版集成方法的客户,建议将集成迁移到新推荐的方法。 有关详细信息,请参阅:
- 将 ClearPass 与 Microsoft Defender for IoT 集成
- 将 Palo-Alto 与 Microsoft Defender for IoT 集成
- 将 Splunk 与 Microsoft Defender for IoT 集成
- 与 Microsoft 和合作伙伴服务集成
2023 年 9 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 版本 23.1.3: - 排查 OT 传感器连接问题 - OT 传感器只读用户的事件时间线访问 |
排查 OT 传感器连接问题
从版本 23.1.3 开始,OT 传感器会自动帮助你排查 Azure 门户的连接问题。 如果未连接云管理的传感器,Azure 门户的“站点和传感器”页面以及传感器的“概述”页面上会指示错误。
例如:
从传感器中,执行以下操作之一以打开“云连接故障排除”窗格,其中提供了有关连接问题和缓解步骤的详细信息:
- 在“概述”页上,选择页面顶部的“故障排除”链接
- 选择“系统设置”>“传感器管理”>“运行状况和故障排除”>“云连接故障排除”
有关详细信息,请参阅检查传感器 - 云连接问题。
OT 传感器只读用户的事件时间线访问
从版本 23.1.3 开始,OT 传感器上的只读用户可以查看“事件时间线”页。 例如:
有关详细信息,请参阅:
2023 年 8 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | Defender for IoT 的 CVE 与 CVSS v3 保持一致 |
Defender for IoT 的 CVE 与 CVSS v3 保持一致
OT 传感器和Azure 门户中显示的 CVE 分数与国家漏洞数据库 (NVD) 保持一致,从 Defender for IoT 的 8 月威胁情报更新开始,如果相关,则会显示 CVSS v3 分数。 如果不存在相关的 CVSS v3 分数,则会改为显示 CVSS v2 分数。
在 Defender for IoT 设备详细信息的“漏洞”选项卡上查看Azure 门户中的 CVE 数据,其中包含 Microsoft Sentinel 解决方案提供的资源,或者在 OT 传感器上的数据挖掘查询中查看 CVE 数据。 有关详细信息,请参阅:
2023 年 7 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 版本 23.1.2: - OT 传感器安装和设置增强功能 - 分析和微调部署 - 通过传感器 GUI 配置受监视的接口 - 简化的特权用户 迁移到基于站点的许可证 |
OT 传感器安装和设置增强功能
在版本 23.1.2 中,我们更新了 OT 传感器安装和设置向导,以更快、更方便用户使用。 更新包括:
安装向导:如果要在自己的物理计算机或虚拟机上安装软件,Linux 安装向导现在将直接完成安装过程,而无需你提供任何输入或详细信息。
可以观看来自部署工作站的安装运行,但也可以选择在不使用键盘或屏幕的情况下安装软件,并让安装自动运行。 完成后,使用默认 IP 地址从浏览器访问传感器。
安装过程中使用网络设置的默认值。 之后,可以像以前一样在 CLI 中或在基于浏览器的新向导中微调这些设置。
所有传感器都安装有默认支持用户和密码。 首次登录时立即更改默认密码。
在浏览器中配置初始设置:安装软件并配置初始网络设置后,继续使用基于浏览器的同一向导来激活传感器并定义 SSL/TLS 证书设置。
有关详细信息,请参阅安装和设置 OT 传感器和配置和激活 OT 传感器。
分析和微调部署
完成安装和初始设置后,分析传感器默认从传感器设置中检测到的流量。 在传感器上,选择传感器设置>基本>部署以分析当前检测。 例如:
你可能会发现需要微调部署,例如更改传感器在网络中的位置,或验证监视接口是否已正确连接。 进行任何更改后,再次选择分析以查看更新后的监视状态。
有关详细信息,请参阅分析部署。
通过传感器 GUI 配置受监视的接口
如果要在初始传感器设置后修改用于监视流量的接口,现在可以使用新的传感器设置>接口配置页面来更新设置,而不是使用 CLI 访问的 Linux 向导。 例如:
接口配置页面显示与初始安装向中的接口配置选项卡相同的选项。
有关详细信息,请参阅更新传感器的监视接口(配置 ERSPAN)。
简化的特权用户
在版本 23.1.2 的新传感器安装中,默认情况下只有特权支持用户可用。 cyberx 和 cyberx_host 用户可用,但默认处于禁用状态。 如果需要使用这些用户(例如用于 Defender for IoT CLI 访问,请更改用户密码。
在已从早期版本更新到 23.1.2 的传感器中,cyberx 和 cyberx_host 用户仍像以前一样处于启用状态。
提示
若要在以支持用户身份登录时运行仅适用于 cyberx 或cyberx_host 用户的 CLI 命令,请确保首先访问主机的系统根。 有关详细信息,请参阅以管理员用户身份访问系统根。
迁移到基于站点的许可证
现有客户现在可以根据基于站点的 Microsoft 365 许可证将其旧版 Defender for IoT 购买计划迁移到 Microsoft 365 计划。
在“计划和定价”页上,编辑计划并选择 Microsoft 365 计划,而不是当前的月度或年度计划。 例如:
请确保编辑任何相关网站,以匹配新许可的网站大小。 例如:
有关详细信息,请参阅从旧版 OT 计划和 Defender for IoT 订阅计费进行迁移。
2023 年 6 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 按基于站点的许可证计费的 OT 计划 针对不安全的密码和严重 CVE 的 OT 网络安全建议 |
按基于站点的许可证计费的 OT 计划
从 2023 年 6 月 1 日开始,用于 OT 监视的 Microsoft Defender for IoT 许可证只能在 Microsoft 365 管理中心购买。
许可证适用于单个站点,具体取决于站点的大小。 还提供试用许可证,涵盖大型站点 60 天。
购买其他任何许可证后,都会在 Azure 门户的 OT 计划中自动更新。
加入新传感器时,系统会要求将传感器分配给基于许可站点大小的站点。
现有客户可以继续使用已载入到 Azure 订阅的任何旧 OT 计划,无需更改功能。 但是,如果没有来自 Microsoft 365 管理中心的相应许可证,则无法将新计划添加到新订阅。
提示
Defender for IoT 站点是一个物理位置,例如设施、校园、办公楼、医院、钻井平台等。 每个站点可以包含任意数量的网络传感器,用于识别跨越检测到的网络流量的设备。
有关详细信息,请参阅:
- Defender for IoT 订阅计费
- 开始试用 Microsoft Defender for IoT
- 管理 Azure 订阅上的 OT 计划
- 将 OT 传感器加入到 Defender for IoT
针对不安全的密码和严重 CVE 的 OT 网络安全建议
Defender for IoT 现提供针对不安全的密码和严重 CVE 的安全建议,帮助客户管理其 OT/IoT 网络安全状况。
针对网络中检测到的设备,可以从 Azure 门户查看以下新的安全建议:
保护易受攻击的设备:具有此建议的设备被发现存在一个或多个严重性漏洞。 建议按照设备供应商或 CISA(网络安全和基础结构机构)列出的步骤进行操作。
为缺少身份验证的设备设置安全密码:根据成功的登录,具有此建议的设备被发现不具备身份验证。建议启用身份验证,并设置长度和复杂性符合最低要求的、强度更高的密码。
设置长度和复杂性符合最低要求的、强度更高的密码:根据成功的登录,具有此建议的设备被发现具有较弱的密码。建议将设备密码更改为长度和复杂性符合最低要求的、强度更高的密码。
有关详细信息,请参阅支持的安全建议。
2023 年 5 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 传感器版本 22.3.9: - 改进了对 OT 传感器日志的监视和支持 传感器版本 22.3.x 及更高: - 在 Azure 门户中配置 Active Directory 和 NTP 设置 |
改进了对 OT 传感器日志的监视和支持
在版本 22.3.9 中,我们添加了一项新功能,用于通过新终结点从 OT 传感器收集日志。 附加数据可帮助我们排查客户问题,提供更快的响应速度以及更具针对性的解决方案和建议。 新终结点已添加到用于将 OT 传感器连接到 Azure 的必需终结点列表中。
更新 OT 传感器后,下载最新的终结点列表,并确保传感器可以访问列出的所有终结点。
有关详细信息,请参阅:
在 Azure 门户中配置 Active Directory 和 NTP 设置
现在,可以从 Azure 门户的“站点和传感器”页远程配置 OT 传感器的 Active Directory 和 NTP 设置。 这些设置适用于 OT 传感器 22.3.x 及更高版本。
有关详细信息,请参阅传感器设置参考。
2023 年 4 月
| 服务领域 | 更新 |
|---|---|
| 文档 | 端到端部署指南 |
| OT 网络 | 传感器版本 22.3.8: - 代理对客户端 SSL/TLS 证书的支持 - 使用本地脚本扩充 Windows 工作站和服务器数据(公共预览版) - 自动解析的 OS 通知 - 上传 SSL/TLS 证书时的 UI 增强功能 |
端到端部署指南
Defender for IoT 文档现在包含一个新的“部署”部分,其中包含适用于以下场景的完整部署指南:
例如,OT 监视的建议部署包括以下步骤,这些步骤在我们的新文章中都有详细介绍:
每个部分中的分步说明旨在帮助客户针对成功进行优化,并针对零信任进行部署。 每个页面上的导航元素(包括顶部的流程图和底部的后续步骤链接)指示你所处的流程、已完成的内容以及下一步应该执行的内容。 例如:
有关详细信息,请参阅部署用于 OT 监视的 Defender for IoT。
代理对客户端 SSL/TLS 证书的支持
检查 SSL/TLS 流量的代理服务器需要客户端 SSL/TLS 证书,例如,当使用 Zscaler 和 Palo Alto Prisma 等服务时。 从版本 22.3.8 开始,你可以通过 OT 传感器控制台上传客户端证书。
有关详细信息,请参阅配置代理。
使用本地脚本扩充 Windows 工作站和服务器数据(公共预览版)
使用 OT 传感器 UI 提供的本地脚本来扩充 OT 传感器上的 Microsoft Windows 工作站和服务器数据。 该脚本作为实用工具运行,用于检测设备和扩充数据,并且可以手动运行或使用标准自动化工具运行。
有关详细信息,请参阅使用本地脚本扩充 Windows 工作站和服务器数据。
自动解析的 OS 通知
将 OT 传感器更新到版本 22.3.8 后,不会生成操作系统更改的新设备通知。 如果未在 14 天内关闭或以其他方式处理现有操作系统更改通知,则这些通知将被自动解决。
有关详细信息,请参阅设备通知响应
上传 SSL/TLS 证书时的 UI 增强功能
OT 传感器版本 22.3.8 具有增强的 SSL/TLS 证书配置页,用于定义 SSL/TLS 证书设置和部署 CA 签名的证书。
有关详细信息,请参阅管理 SSL/TLS 通知。
2023 年 3 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 传感器版本 22.3.6/22.3.7: - 对瞬态设备的支持 - 通过配置允许列表了解 DNS 流量 - 设备数据保留更新 - 上传 SSL/TLS 证书时的 UI 增强功能 - 激活文件过期更新 - 用于管理设备清单的 UI 增强功能 - 更新了所有可疑恶意活动警报的严重性 - 自动解析的设备通知 版本 22.3.7 包含与 22.3.6 相同的功能。 如果已安装版本 22.3.6,我们强烈建议更新到版本 22.3.7,因为其中还包括重要的 bug 修复。 云功能: - Defender for IoT 的新 Microsoft Sentinel 事件体验 |
对瞬态设备的支持
Defender for IoT 现在将瞬态设备标识为唯一设备类型,表示仅在短时间内检测到的设备。 建议仔细调查这些设备,了解它们对网络的影响。
有关详细信息,请参阅 Defender for IoT 设备清单和从 Azure 门户管理设备清单。
通过配置允许列表了解 DNS 流量
支持用户现在可以通过在 OT 传感器上创建域名的允许列表来减少未经授权的 Internet 警报数。
配置 DNS 允许列表后,传感器在触发警报之前,会根据该列表检查每个未经授权的 Internet 连接尝试。 如果域的 FQDN 包含在允许列表中,则传感器不会触发警报,会自动允许流量。
所有 OT 传感器用户都可以在数据挖掘报告中查看允许的 DNS 域及其解析的 IP 地址的列表。
例如:
有关详细信息,请参阅允许 OT 网络上的 Internet 连接和创建数据挖掘查询。
设备数据保留更新
OT 传感器和本地管理控制台上的设备数据保留期已更新为自上次活动值日期起的 90 天。
有关详细信息,请参阅设备数据保留期。
上传 SSL/TLS 证书时的 UI 增强功能
OT 传感器版本 22.3.6 具有增强的 SSL/TLS 证书配置页,用于定义 SSL/TLS 证书设置和部署 CA 签名的证书。
有关详细信息,请参阅管理 SSL/TLS 通知。
激活文件过期更新
只要 Defender for IoT 计划在 Azure 订阅上处于活动状态,本地托管的 OT 传感器上的激活文件现在将保持激活状态,就像连接云的 OT 传感器上的激活文件一样。
仅当从最近版本更新 OT 传感器或切换传感器管理模式(例如从本地托管切换到云连接)时,才需要更新激活文件。
有关详细信息,请参阅管理单个传感器。
用于管理设备清单的 UI 增强功能
在版本 22.3.6 中,向 OT 传感器的设备清单添加了以下增强功能:
- 在 OT 传感器上编辑设备详细信息的过程更流畅。 使用页面顶部工具栏中的新“编辑”按钮,直接从 OT 传感器控制台的设备清单页面编辑设备详细信息。
- OT 传感器现在支持同时删除多个设备。
- 合并和删除设备的过程现在包括操作完成后显示的确认消息。
有关详细信息,请参阅从传感器控制台管理 OT 设备清单。
更新了所有可疑恶意活动警报的严重性
类别为“可疑的恶意活动”的所有警报现在的严重性都为“严重”。
有关详细信息,请参阅恶意软件引擎警报。
自动解析的设备通知
从版本 22.3.6 开始,如果 OT 传感器的“设备映射”页上的所选通知在 14 天内未消除或以其他方式处理,则这些通知现在会自动解析。
更新传感器版本后,“非活动设备”和“新 OT 设备”通知不再显示。 虽然在更新之前留下的任何“非活动设备”通知都会自动消除,但你可能仍有旧“新 OT 设备”通知需要处理。 根据需要处理这些通知以将其从传感器中删除。
有关详细信息,请参阅管理设备通知。
Defender for IoT 的新 Microsoft Sentinel 事件体验
Microsoft Sentinel 的新事件体验包括面向 Defender for IoT 客户的特定功能。 调查 OT/IoT 相关事件的 SOC 分析师现在可以在事件详细信息页面中使用以下增强功能:
查看相关站点、区域、传感器和设备重要性,以更好地了解事件的业务影响和物理位置。
查看受影响设备的汇总时间线和相关设备详细信息,而不是查看相关设备的独立实体详细信息页面
直接在事件详细信息页面上查看 OT 警报修正步骤
有关详细信息,请参阅教程:调查和检测 IoT 设备的威胁和在 Microsoft Sentinel 中导航和调查事件。
2023 年 2 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 云功能: - Microsoft Sentinel:Microsoft Defender for IoT 解决方案版本 2.0.2 - 从“网站和传感器”页下载更新(公共预览版) - Azure 门户中的“警报”页正式发布 - Azure 门户中的设备清单 GA - 设备清单分组增强功能(公共预览版) - Azure 设备清单中的重点清单 (公共预览版) 传感器版本 22.2.3:通过 Azure 门户配置 OT 传感器设置(公共预览版) |
| 企业 IoT 网络 | 云功能:Azure 门户中的“警报”页正式发布 |
Microsoft Sentinel:Microsoft Defender for IoT 解决方案版本 2.0.2
Microsoft Defender for IoT 解决方案版本 2.0.2现已在 Microsoft Sentinel 内容中心正式发布,其中改进了事件创建的分析规则、增强了事件详细信息页面,并提高了分析规则查询的性能。
有关详细信息,请参阅:
从“网站和传感器”页下载更新(公共预览版)
如果在 OT 传感器或本地管理控制台上运行本地软件更新,且通过传感器更新(预览)菜单进行访问,则“站点和传感器”页面现在会提供一个新向导,可用于下载更新包。
例如:
现在,威胁情报更新也只能通过“站点和传感器”页面 >“威胁情报更新(预览) 选项获取。
还可以通过“入门指南”>“本地管理控制台”选项卡获取本地管理控制台的更新包。
有关详细信息,请参阅:
Azure 门户中的设备清单 GA
Azure 门户中的“设备清单”页现已正式发布 (GA),可大规模地集中显示所有检测到的设备。
Defender for IoT 的设备清单可帮助你识别有关特定设备的详细信息,例如制造商、类型、序列号、固件等。 收集有关设备的详细信息可帮助你的团队主动调查可能危及最重要资产的漏洞。
通过生成包括所有托管设备和非托管设备的最新清单来管理所有 IoT/OT 设备
使用基于风险的方法保护设备,以根据风险评分和自动威胁建模识别缺少的修补程序、漏洞等风险,并确定修复的优先级
通过删除不相关的设备并添加特定于组织的信息以强调组织偏好,来更新清单
设备清单 GA 包括以下 UI 增强功能:
| 增强功能 | 说明 |
|---|---|
| 网格级增强功能 | - 导出整个设备清单以脱机查看并与团队比较注释 - 删除不再存在或不再正常运行的不相关设备 - 合并设备,以便在传感器发现与单个唯一设备关联的独立网络实体时微调设备列表。 例如,具有四张网卡的 PLC、具有 WiFi 和物理网卡的笔记本电脑或者具有多张网卡的单个工作站。 - 编辑表视图以便仅反映你想要查看的数据 |
| 设备级增强功能 | - 通过批注组织特定的上下文详细信息(例如相对重要性、描述性标记和业务功能信息)来编辑设备详细信息 |
| 筛选和搜索增强功能 | - 对任何设备清单字段运行深度搜索,以快速查找最重要的设备 - 按任一字段筛选设备清单。 例如,按类型筛选以识别工业设备,或按时间字段筛选以确定活动设备和非活动设备。 |
丰富的安全、治理和管理控件还提供了用于分配管理员以及限制谁可以代表所有者合并、删除和编辑设备的功能。
设备清单分组增强功能(公共预览版)
Azure 门户上的“设备清单”页支持新的分组类别。 现在,可以按类、数据源、位置、Purdue 级别、站点、类型、供应商和区域对设备清单进行分组。 有关详细信息,请参阅查看完整的设备详细信息。
Azure 设备清单中的重点清单 (公共预览版)
Azure 门户上的“设备清单”页现在包含设备的网络位置指示,以帮助将设备清单集中在 IoT/OT 范围内的设备上。
根据配置的子网,查看并筛选定义为本地或路由的设备。 网络位置筛选器默认处于启用状态。 通过编辑设备清单中的列添加“网络位置”列。 在 Azure 门户或 OT 传感器上配置子网。 有关详细信息,请参阅:
通过 Azure 门户配置 OT 传感器设置(公共预览版)
对于传感器版本 22.2.3 及更高版本,现可使用新的“传感器设置(预览版)”页(可通过 Azure 门户的“站点和传感器”页访问)为连接到云的传感器配置所选设置。 例如:
有关详细信息,请参阅通过 Azure 门户定义和查看 OT 传感器设置(公共预览版)。
Azure 门户中的“警报”页正式发布
Azure 门户中的“警报”页现已正式发布。 Microsoft Defender for IoT 警报通过有关网络中检测到的事件的实时详细信息来增强网络安全性和操作。 当 OT 或企业 IoT 网络传感器或 Defender for IoT 微代理检测到网络流量中需要注意的变化或可疑活动时,就会触发警报。
企业 IoT 传感器触发的特定警报目前仍为公共预览版。
有关详细信息,请参阅:
2023 年 1 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 传感器版本 22.3.4:OT 传感器上显示的 Azure 连接状态 传感器版本 22.2.3:通过 Azure 门户更新传感器软件 |
从 Azure 门户更新传感器软件(公共预览版)
对于云连接的传感器版本 22.2.3 及更高版本,你现在可以直接从 Azure 门户上新增的“站点和传感器”页面更新传感器软件。
有关详细信息,请参阅从 Azure 门户更新传感器。
OT 传感器上显示的 Azure 连接状态
有关 Azure 连接状态的详细信息现在显示在 OT 网络传感器的“概述”页面上,如果传感器与 Azure 的连接丢失,则会显示错误。
例如:
有关详细信息,请参阅管理单个传感器和将 OT 传感器加入 Defender for IoT。
2022 年 12 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | OT 计划的新购买体验 |
| 企业 IoT 网络 | 企业 IoT 传感器警报和建议(公共预览版) |
企业 IoT 传感器警报和建议(公共预览版)
Azure 门户现在为企业 IoT 网络传感器检测到的流量提供以下附加安全数据:
| 数据类型 | 说明 |
|---|---|
| 警报 | 企业 IoT 网络传感器现在触发以下警报: - 尝试连接到已知恶意 IP - 恶意域名请求 |
| 建议 | 企业 IoT 网络传感器现在会针对检测到的设备触发以下相关建议: 禁用不安全的管理协议 |
有关详细信息,请参阅:
OT 计划的新购买体验
Azure 门户中的“计划和定价”页现在包含针对 OT 网络的 Defender for IoT 计划的新增强购买体验。 在 Azure 门户中编辑 OT 计划,例如,将计划从试用更改为包月或包年套餐,或者更新设备或站点的数量。
有关详细信息,请参阅管理 Azure 订阅上的 OT 计划。
2022 年 11 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | - 传感器版本 22.x 及更高版本:Azure 门户上基于站点的访问控制(公共预览版) - 所有 OT 传感器版本:新的 OT 监视软件发行说明 |
Azure 门户上基于站点的访问控制(公共预览版)
对于传感器软件版本 22.x,Defender for IoT 现在支持基于站点的访问控制,这让客户可以在站点级别控制用户对 Azure 门户中 Defender for IoT 功能的访问权限。
例如,应用安全读取者、安全管理员、参与者或所有者角色来确定用户对 Azure 资源(如“警报”、“设备清单”或“工作簿”页面)的访问权限。
若要管理基于站点的访问控制,请在“站点和传感器”页中选择站点,然后选择“管理网站访问控制(预览版)”链接。 例如:
有关详细信息,请参阅在 Azure 门户中管理 OT 监视用户和用于 OT 和企业 IoT 监视的 Azure 用户角色。
注意
站点以及基于站点的访问控制仅与 OT 网络监视相关。
新 OT 监视软件发行说明
Defender for IoT 文档现在有一个专用于 OT 监视软件的新发行说明页,其中详细说明了我们的版本支持模型和更新建议。
我们会继续更新本文,即我们的主要“新增功能”页,其中包含 OT 和企业 IoT 网络的新功能和增强功能。 列出的新项包括本地功能和云功能,按月列出。
相比之下,新的 OT 监视软件发行说明仅列出了需要你更新本地软件的 OT 网络监视更新。 项按主要版本和补丁版本列出,以聚合表的形式显示了版本、日期和范围。
有关详细信息,请参阅 OT 监视软件发行说明。
2022 年 10 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 增强了 OT 监视警报参考 |
增强了 OT 监视警报参考
我们的警报参考文章现在对每条警报包含以下详细信息:
警报类别,在要调查由特定活动聚合的警报或配置 SIEM 规则以根据特定活动生成事件时很有用
相关警报的警报阈值。 阈值表示触发警报的特定点。 cyberx 用户可以根据需要从传感器的“支持”页修改警报阈值。
有关详细信息,请参阅 OT 监视警报类型和描述和支持的警报类别。
2022 年 9 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 所有受支持的 OT 传感器软件版本: - Azure 门户中的设备漏洞 - OT 网络的安全建议 所有 OT 传感器软件版本 22.x:更新 Azure 云连接防火墙规则 传感器软件版本 22.2.7: - Bug 修复和稳定性改进 传感器软件版本 22.2.6: - Bug 修复和稳定性改进 - 设备类型分类算法的增强功能 Microsoft Sentinel 集成: - IoT 设备实体的调查增强功能 - 更新 Microsoft Defender for IoT 解决方案 |
OT 网络的安全建议(公共预览版)
Defender for IoT 现提供安全建议,帮助客户管理其 OT/IoT 网络安全状况。 Defender for IoT 建议有助于用户制定可操作的优先级缓解计划,以应对 OT/IoT 网络的独特挑战。 使用建议来降低网络的风险和攻击面。
针对网络中检测到的设备,可以从 Azure 门户查看以下安全建议:
查看 PLC 操作模式。 发现具有此建议的设备,其中 PLC 设置为不安全的操作模式状态。 如果不再需要对 PLC 的访问,建议将 PLC 操作模式设置为“安全运行”状态以减少恶意 PLC 编程的威胁。
查看未授权的设备。 作为网络基准的一部分,必须对具有此建议的设备进行识别和授权。 建议采取措施来识别任何指示的设备。 断开所有即使在调查后也仍然处于未知状态的设备和网络,从而减少恶意或潜在恶意设备的威胁。
从以下位置之一访问安全建议:
“建议”页,其中显示所有检测到的 OT 设备的所有当前建议。
设备详细信息页上的“建议”选项卡,其中显示所选设备的所有当前建议。
可从上述任一未知选择建议,并根据所选建议进一步向下钻取并查看当前处于“正常”或“不正常”状态的所有检测到的 OT 设备的列表。 从“不正常设备”或“正常设备”选项卡中,选择设备链接以跳转到所选设备详细信息页。 例如:
有关详细信息,请参阅查看设备清单和使用安全建议增强安全状况。
Azure 门户中的设备漏洞(公共预览版)
Defender for IoT 现在为检测到的 OT 网络设备提供 Azure 门户中的漏洞数据。 漏洞数据基于美国政府国家漏洞数据库 (NVD) 记录的标准漏洞数据的存储库。
从以下位置访问 Azure 门户中的漏洞数据:
在设备详细信息页上,选择“漏洞”选项卡以查看所选设备上的当前漏洞。 例如,从“设备清单”页中选择特定设备,然后选择“漏洞””。
有关详细信息,请参阅查看设备清单。
新的“漏洞”工作簿显示所有受监视的 OT 设备的漏洞数据。 使用“漏洞”工作簿按严重性或供应商查看 CVE 等数据,以及检测到的漏洞和易受攻击设备和组件的完整列表。
选择“设备漏洞”、“易受攻击设备”或“易受攻击组件”表中的项,以在右侧表中查看相关信息。
例如:
有关详细信息,请参阅在 Microsoft Defender for IoT 中使用 Azure Monitor 工作簿。
更新 Azure 云连接防火墙规则(公共预览版)
OT 网络传感器连接到 Azure 以提供警报和设备数据和传感器运行状况消息、访问威胁情报包等。 连接的 Azure 服务包括 IoT 中心、Blob 存储、事件中心和 Microsoft 下载中心。
对于软件版本 22.x 及更高版本的 OT 传感器,Defender for IoT 现支持在为指向 Azure 的连接添加出站允许规则时提高安全性。 现无需使用通配符即可定义 Azure 连接的出站允许规则。
定义 Azure 连接的出站允许规则时,需要在端口 443 上启用到每个所需终结点的 HTTPS 流量。 一次性为加入同一订阅的所有 OT 传感器定义出站允许规则。
对于受支持的传感器版本,请从 Azure 门户中的以下位置下载所需安全终结点的完整列表:
传感器注册成功页:加入版本为 22.x 的新的 OT 传感器后,成功注册页现提供后续步骤的说明,包括需要添加为网络上的安全出站允许规则的终结点链接。 选择“下载终结点详细信息”链接,下载 JSON 文件。
例如:
“站点和传感器”页:选择软件版本为 22.x 或更高版本的 OT 传感器,或具有一个或多个受支持的传感器版本的站点。 然后选择“更多操作”>“下载终结点详细信息”以下载 JSON 文件。 例如:
有关详细信息,请参阅:
Microsoft Sentinel 中 IoT 设备实体的调查增强功能
Defender for IoT 与 Microsoft Sentinel 的集成现支持 IoT 设备实体页。 在 Microsoft Sentinel 中调查事件和监控 IoT 安全性时,现可以识别最敏感的设备,并直接跳转到每个设备实体页面上的更多详细信息。
IoT 设备实体页提供有关 IoT 设备的上下文设备信息,其中包括基本设备详细信息和设备所有者联系信息。 设备所有者由 Defender for IoT 中的“站点和传感器”页中的站点定义。
基于每个警报的站点、区域和传感器,IoT 设备实体页有助于根据设备重要性和业务影响确定修正的优先级。 例如:
现在还可以在 Microsoft Sentinel“实体行为”页上搜寻易受攻击的设备。 例如,查看警报数量最多的前五个 IoT 设备,或按 IP 地址或设备名称搜索设备:
有关详细信息,请参阅使用 IoT 设备实体深入调查和 Azure 门户中的站点管理选项。
更新 Microsoft Sentinel 内容中心中的 Microsoft Defender for IoT 解决方案
本月,我们在 Microsoft Sentinel 的内容中心发布了 Microsoft Defender for IoT 解决方案版本 2.0,以前称为采用 Defender for IoT 的 IoT/OT 威胁监视解决方案。
此解决方案版本中的更新包括:
名称更改。 如果先前在 Microsoft Sentinel 工作区中安装了使用 Defender for IoT 的 IoT/OT 威胁监视解决方案,那么即使没有更新解决方案,该解决方案也会自动重命名为 Microsoft Defender for IoT。
工作簿改进:Defender for IoT 工作簿现在包括:
新“概述”仪表板,其中包含设备清单、威胁检测和安全状况的关键指标。 例如:
新“漏洞”仪表板,其中包含有关网络中显示的 CVE 及其相关易受攻击设备的详细信息。 例如:
“设备清单”仪表板的改进,包括访问设备建议、漏洞以及指向 Defender for IoT 设备详细信息页的直接链接。 借助 Defender for IoT 工作簿的 IoT/OT 威胁监控中的“设备清单”仪表板与 Defender for IoT 设备清单数据完全一致。
Playbook 更新:Microsoft Defender for IoT 解决方案现支持以下具有新 playbook 的 SOC 自动化功能:
采用 CVE 详细信息进行自动化:使用 AD4IoT-CVEAutoWorkflow playbook,借助基于 Defender for IoT 数据相关设备的 CVE 扩充事件注释。 对事件进行会审,如果 CVE 严重级别较高,会就该事件向资产所有者发出电子邮件通知。
向设备所有者发送电子邮件通知的自动化。 采用 AD4IoT-SendEmailtoIoTOwner playbook,自动向设备所有者发送有关新事件的通知电子邮件。 然后,设备所有者可以根据需要回复电子邮件以更新事件。 设备所有者在 Defender for IoT 中的站点级别定义。
敏感设备事件的自动化:使用 AD4IoT-AutoTriageIncident playbook,根据事件所涉及的设备及其敏感度或对组织的重要性自动更新事件的严重性。 例如,涉及敏感设备的任何事件都可以自动升级到更高的严重级别。
有关详细信息,请参阅使用 Microsoft Sentinel 调查 Microsoft Defender for IoT 事件。
2022 年 8 月
| 服务领域 | 更新 |
|---|---|
| OT 网络 | 传感器软件版本 22.2.5:具有稳定性改进的次要版本 传感器软件版本 22.2.4:具有时间戳数据的新警报列 传感器软件版本 22.1.3:来自 Azure 门户的传感器运行状况(公共预览版) |
具有时间戳数据的新警报列
从 OT 传感器版本 22.2.4 开始,Azure 门户中的 Defender for IoT 警报和传感器控制台现在会显示以下列和数据:
上次检测。 定义上次在网络中检测到警报的时间,并替换“检测时间”列。
首次检测。 定义在网络中首次检测到警报的时间。
上次活动。 定义上次更改警报的时间,包括针对严重性或状态的手动更新,或针对设备更新或设备/警报重复数据删除的自动更改。
默认不显示“首次检测”和“上次活动”列。 根据需要将其添加到“警报”页。
提示
如果你也是 Microsoft Sentinel 用户,你将对 Log Analytics 查询中的类似数据感到熟悉。 Defender for IoT 中新警报列的对应关系如下:
- Defender for IoT 的“上次检测”时间类似于 Log Analytics 的 EndTime
- Defender for IoT 的“首次检测”时间类似于 Log Analytics 的 StartTime
- Defender for IoT 的“上次活动”时间类似于 Log Analytics 的 TimeGenerated。有关详细信息,请参阅:
来自 Azure 门户的传感器运行状况(公共预览版)
对于 OT 传感器版本 22.1.3 及更高版本,你可使用新的传感器运行状况小组件和表列数据,直接从 Azure 门户中的“站点和传感器”页监视传感器运行状况。
我们还添加了传感器详细信息页,你可在此处深入了解 Azure 门户中的特定传感器。 在“站点和传感器”页面上,选择特定传感器名称。 传感器详细信息页列出了基本传感器数据、传感器运行状况和应用的任何传感器设置。
有关详细信息,请参阅了解传感器运行状况和传感器运行状况消息参考。
2022 年 7 月
| 服务领域 | 更新 |
|---|---|
| 企业 IoT 网络 | - 企业 IoT 与 Defender for Endpoint 的集成正式发布 |
| OT 网络 | 传感器软件版本 22.2.4: - 设备清单增强功能 - ServiceNow 集成 API 的增强功能 传感器软件版本 22.2.3: - OT 设备硬件配置文件更新 - 从 Azure 门户访问 PCAP - 传感器与 Azure 门户之间的双向警报同步 - 证书轮换后恢复的传感器连接 - 支持诊断日志增强功能 - 浏览器选项卡中显示的传感器名称 传感器软件版本 22.1.7: - cyberx_host 和 cyberx 用户的密码相同 |
| 仅限云的功能 | - Microsoft Sentinel 事件与 Defender for IoT 警报同步 |
企业 IoT 与 Defender for Endpoint 的集成正式发布
企业 IoT 与 Microsoft Defender for Endpoint 的集成现已正式发布 (GA)。 通过此更新,我们进行了以下更新和改进:
直接在 Defender for Endpoint 中加入企业 IoT 计划。 有关详细信息,请参阅管理订阅和 Defender for Endpoint 文档。
与 Microsoft Defender for Endpoint 无缝集成,以在 Microsoft 365 安全门户中查看检测到的企业 IoT 设备及其相关警报、漏洞和建议。 有关详细信息,请参阅企业 IoT 教程和 Defender for Endpoint 文档。 你可以继续在 Azure 门户的 Defender for IoT“设备清单”页面上查看检测到的企业 IoT 设备。
现在,所有企业 IoT 传感器都会自动添加到 Defender for IoT 中名为“企业网络”的同一站点。 加入新的企业 IoT 设备时,只需定义传感器名称并选择订阅,而无需定义站点或区域。
注意
企业 IoT 网络传感器和所有检测仍处于公共预览状态。
cyberx_host 和 cyberx 用户的密码相同
在 OT 监视软件的安装和更新期间,系统会为 cyberx 用户分配一个随机密码。 从版本 10.x.x 更新到版本 22.1.7 时,系统会为 cyberx_host 用户分配一个与 cyberx 用户相同的密码。
有关详细信息,请参阅安装 OT 无代理监视软件和更新 Defender for IoT OT 监视软件。
设备清单增强功能
现在,从 OT 传感器版本 22.2.4 开始,可以从传感器控制台的“设备清单”页面执行以下操作:
合并重复设备。 如果传感器发现与单个唯一设备关联的单独网络实体,则可能需要合并设备。 此场景的示例可能包括具有四张网卡的 PLC、具有 WiFi 和物理网卡的笔记本电脑或者具有多张网卡的单个工作站。
删除单个设备。 现在,可以删除至少 10 分钟未通信的单个设备。
由管理员用户删除非活动设备。 现在,除 cyberx 用户之外,所有管理员用户都可以删除非活动设备。
此外,从版本 22.2.4 开始,在传感器控制台的“设备清单”页面中,设备详细信息窗格中的“上次出现时间”值将替换为“上次活动时间”。 例如:
有关详细信息,请参阅从传感器控制台管理 OT 设备清单。
ServiceNow 集成 API 的增强功能
OT 传感器版本 22.2.4 为 devicecves API 提供了增强功能,该 API 可获取有关为给定设备找到的 CVE 的详细信息。
现在,可以将以下任何参数添加到查询中,以微调结果:
- “sensorId”- 显示来自特定传感器的结果,由给定的传感器 ID 定义。
- “score” - 确定要检索的最低 CVE 分数。 所有结果的 CVE 分数等于或高于给定值。 默认值 = 0。
- “deviceIds” - 以逗号分隔的要从中显示结果的设备 ID 列表。 例如:1232,34,2,456
有关详细信息,请参阅本地管理控制台的集成 API 参考(公共预览版)。
OT 设备硬件配置文件更新
我们更新了 OT 设备硬件配置文件的命名约定,以增加透明度和清晰度。
新名称反映了配置文件的类型,包括公司、企业和生产线,以及相关的磁盘存储大小。
通过下表了解旧硬件配置文件名称与已更新的软件安装中使用的当前名称之间的映射:
| 旧名称 | 新名称 | 说明 |
|---|---|---|
| 企业 | C5600 | 公司环境,具有: 16 核 32 GB RAM 5.6 TB 磁盘存储 |
| 企业 | E1800 | 企业环境,具有: 八核 32 GB RAM 1.8 TB 磁盘存储 |
| SMB | L500 | 生产线环境,具有: 四核 8 GB RAM 500 GB 磁盘存储 |
| Office | L100 | 生产线环境,具有: 四核 8 GB RAM 100 GB 磁盘存储 |
| 加固型 | L64 | 生产线环境,具有: 四核 8 GB RAM 64 GB 磁盘存储 |
我们现在还支持新的企业硬件配置文件,用于支持 500 GB 和 1 TB 磁盘大小的传感器。
有关详细信息,请参阅我需要哪些设备?
从 Azure 门户访问 PCAP(公共预览版)
现在可以直接从 Azure 门户访问原始流量文件,即数据包捕获文件或 PCAP 文件。 此功能支持 SOC 或 OT 安全工程师调查 Defender for IoT 或 Microsoft Sentinel 发出的警报,而无需单独访问每个传感器。
PCAP 文件将下载到 Azure 存储。
有关详细信息,请参阅从 Azure 门户查看和管理警报。
传感器与 Azure 门户之间的双向警报同步(公共预览版)
对于更新到版本 22.2.1 的传感器,传感器控制台与 Azure 门户之间的警报状态和学习状态现在完全同步。 例如,这意味着可以在 Azure 门户或传感器控制台上关闭警报,警报状态在这两个位置都会更新。
学习 Azure 门户或传感器控制台中的警报,确保下次检测到相同的网络流量时不会再次触发它。
传感器控制台还与本地管理控制台同步,使警报状态和学习状态在管理界面中保持最新。
有关详细信息,请参阅:
证书轮换后恢复的传感器连接
从版本 22.2.3 开始,轮换证书后,传感器与本地管理控制台的连接会自动恢复,你无需手动重新连接。
有关详细信息,请参阅为 OT 设备创建 SSL/TLS 证书和管理 SSL/TLS 证书。
支持诊断日志增强功能(公共预览版)
从传感器版本 22.1.1 开始,可以从传感器控制台下载诊断日志,以便在开具票证时发送给支持人员。
现在,对于本地管理的传感器,可以直接在 Azure 门户上上传该诊断日志。
提示
对于连接云的传感器,从传感器版本 22.1.3 开始,当你开具票证时,系统会自动将诊断日志发送给支持人员。
有关详细信息,请参阅:
浏览器选项卡中显示的传感器名称
从传感器版本 22.2.3 开始,传感器名称显示在浏览器选项卡中,使你更容易识别正在使用的传感器。
例如:
有关详细信息,请参阅管理单个传感器。
Microsoft Sentinel 事件与 Defender for IoT 警报同步
“使用 Defender for IoT 进行 IoT/OT 威胁监视”解决方案现在可确保 Defender for IoT 中的警报随着 Microsoft Sentinel 中的任何相关事件状态的变化而更新。
这种同步会替代 Defender for IoT、Azure 门户或传感器控制台中定义的任何状态,使警报状态与相关事件的状态匹配。
更新“使用 Defender for IoT 进行 IoT/OT 威胁监视”解决方案以使用最新的同步支持,包括新的 AD4IoT-AutoAlertStatusSync playbook。 更新解决方案后,确保还执行了必需的步骤,以确保新的 playbook 按预期工作。
有关详细信息,请参阅:
2022 年 6 月
传感器软件版本 22.1.6:具有内部传感器组件维护更新的次要版本
传感器软件版本 22.1.5:用于改进 TI 安装包和软件更新的次要版本
我们最近还优化并增强了我们的文档,如下所示:
更新了 OT 环境的设备目录
我们刷新并修改了用于监视 OT 环境的受支持设备的目录。 这些设备支持所有大小的环境的灵活部署选项,可用于托管 OT 监视传感器和本地管理控制台。
按如下所示使用新页面:
了解哪些硬件模型最适合组织的需求。 有关详细信息,请参阅我需要哪些设备?
了解可供购买的预配置硬件设备或虚拟机的系统要求。 有关详细信息,请参阅预配置的用于 OT 监视的物理设备和使用虚拟设备进行 OT 监视。
有关每个设备类型的详细信息,请使用链接的参考页,或浏览新的“参考 > OT 监视设备”部分。
每个设备类型(包括虚拟设备)的参考文章都包括配置设备以使用 Defender for IoT 进行 OT 监视的特定步骤。 Defender for IoT 软件安装中仍记录了通用软件安装和故障排除过程。
最终用户组织的文档重组
我们最近为最终用户组织重新组织了 Defender for IoT 文档,重点介绍了加入和入门的更清晰的路径。
查看我们的新结构,了解如何查看设备和资产,管理警报、漏洞和威胁,与其他服务集成以及部署和维护 Defender for IoT 系统。
新项目和已更新的项目包括:
- 欢迎使用适用于组织的 Microsoft Defender for IoT
- Microsoft Defender for IoT 体系结构
- 快速入门:Defender for IoT 入门
- 教程:Microsoft Defender for IoT 试用版设置
- 教程:企业 IoT 入门
注意
若要通过 GitHub 发送有关文档的反馈,请滚动到页面底部,然后选择此页面的“反馈”选项。 我们非常乐意听到你的反馈!
2022 年 4 月
设备清单中已扩展的设备属性数据
传感器软件版本:22.1.4
从已更新到版本 22.1.4 的传感器开始,Azure 门户上的“设备清单”页会显示以下字段的扩展数据:
- 描述
- 标记
- 协议
- 扫描仪
- Last Activity
有关详细信息,请参阅在 Azure 门户中管理设备清单。
2022 年 3 月
传感器版本:22.1.3
- 将 Azure Monitor 工作簿与 Microsoft Defender for IoT 配合使用
- Defender for IoT 的 IoT OT 威胁监视解决方案正式发布
- 从 Azure 门户编辑和删除设备
- 关键状态警报更新
- 注销 CLI 会话
将 Azure Monitor 工作簿与 Microsoft Defender for IoT 配合使用(公共预览版)
Azure Monitor 工作簿提供可直观反映数据的图形和仪表板,这些工作簿现可在 Microsoft Defender for IoT 中直接使用,其中包含来自 Azure Resource Graph 的数据。
在 Azure 门户中,使用新的 Defender for IoT“工作簿”页查看由 Microsoft 创建并提供的现成工作簿,或创建自己的自定义工作簿。
有关详细信息,请参阅在 Microsoft Defender for IoT 中使用 Azure Monitor 工作簿。
Defender for IoT 的 IoT OT 威胁监视解决方案正式发布
Microsoft Sentinel 中 Defender for IoT 的 IoT OT 威胁监视解决方案现已正式发布。 在 Azure 门户中,使用此解决方案能够保护整个 OT 环境,无论你是需要保护现有的 OT 设备还是为新的 OT 创新构建安全性。
有关详细信息,请参阅企业 SOC 中的 OT 威胁监视和教程:将 Defender for IoT 与 Sentinel 集成。
从 Azure 门户编辑和删除设备(公共预览版)
现在,Azure 门户中的“设备清单”页支持编辑设备详细信息,例如安全性、分类、位置等:
有关详细信息,请参阅编辑设备详细信息。
仅能从 Defender for IoT 中删除处于非活动状态超过 14 天的设备。 有关详细信息,请参阅删除设备。
关键状态警报更新(公共预览版)
Defender for IoT 现支持使用 ROCKwell 协议进行 PLC 运行模式检测。
对于 Rockwell 协议,Azure 门户和传感器控制台中的“设备清单”页现均可指示 PLC 运行模式关键值和运行状态,以及设备当前是否处于安全模式。
如果设备的 PLC 运行模式曾切换为不安全的模式(例如“计划”或“远程”),则会生成一个“PLC 运行模式已更改”警报。
有关详细信息,请参阅使用组织的设备清单管理 IoT 设备。
注销 CLI 会话
从此版本开始,系统会在 300 秒非活动状态后自动注销 CLI 用户的会话。 若要手动注销,请使用新的 logout CLI 命令。
有关详细信息,请参阅使用 Defender for IoT CLI 命令。
2022 年 2 月
传感器软件版本:22.1.1
- 新的传感器安装向导
- 传感器重新设计和统一的 Microsoft 产品体验
- 增强型传感器“概述”页
- 新的支持诊断日志
- 警报更新
- 自定义警报更新
- CLI 命令更新
- 更新到版本 22.1.x
- 新的连接模型和防火墙要求
- 协议改进
- 修改、替换或删除的选项和配置
新的传感器安装向导
以前,你需要使用单独的对话框来上传传感器激活文件,验证传感器网络配置,并配置 SSL/TLS 证书。
现在,你可以在安装新传感器或新传感器版本时,通过安装向导提供的简化界面从一个位置执行所有这些任务。
有关详细信息,请参阅 Defender for IoT 安装。
传感器重新设计和统一的 Microsoft 产品体验
Defender for IoT 传感器控制台经过重新设计,可创建统一的 Microsoft Azure 体验,并增强和简化工作流。
现已正式发布 (GA) 这些功能。 更新包括常规外观、向下钻取窗格、搜索和操作选项等。 例如:
简化的工作流包括:
“设备清单”页现在包含详细的设备页。 在表中选择一个设备,然后选择右侧的“查看完整详细信息”。
从传感器的清单更新的属性现在会在云设备清单中自动更新。
从“设备映射”页或“设备清单”页访问的设备详细信息页显示为只读。 若要修改设备属性,请选择左下角的“编辑属性”。
“数据挖掘”页现在包括报表功能。 删除“报表”页时,具有只读访问权限的用户可以在“数据挖掘”页上查看更新,而不能修改报表或设置。
对于创建新报表的管理员用户,你现在可以通过切换打开“发送到 CM”选项,将报表也发送到中央管理控制台。 有关详细信息,请参阅创建报告
“系统设置”区域已重新组织成以下项的部分:“基本”设置、“网络监视”设置、“传感器管理”、“集成”和“导入设置”。
传感器联机帮助现在链接到 Microsoft Defender for IoT 文档中的关键文章。
Defender for IoT 映射现在包括:
现在会在设备详细信息页上为警报显示新的“映射视图”,并会显示在环境中找到警报或设备的位置。
右键单击映射上的设备以查看有关设备的上下文信息,包括相关警报、事件时间线数据和连接的设备。
选择“禁用‘显示 IT 网络组’”以防止在地图中折叠 IT 网络。 默认启用此选项。
“简化的映射视图”选项已删除。
我们还实现了全球就绪性和辅助功能,以符合 Microsoft 标准。 在本地传感器控制台中,这些更新包括高对比度和常规屏幕显示主题以及超过 15 种语言的本地化。
例如:
从屏幕右上角的“设置”图标访问全球就绪性和辅助功能选项:
增强型传感器“概述”页
Defender for IoT 传感器门户的“仪表板”页已重命名为“概述”,现在包含的数据可以更好地突出显示系统部署详细信息、关键网络监视运行状况、最重要警报,以及重要趋势和统计信息。
现在,“概述”页还充当黑盒,用于查看出站连接数(例如,到 Azure 门户的出站连接数)下降时的总体传感器状态。
使用左侧“分析”菜单下的“趋势和统计信息”页创建更多仪表板。
新的支持诊断日志
现在,你可以获取添加到支持票证的日志和系统信息的摘要。 在“备份和还原”对话框中,选择“支持票证诊断”。
有关详细信息,请参阅下载诊断日志以获得支持
警报更新
在 Azure 门户中:
警报现已在 Azure 门户的 Defender for IoT 中提供。 使用警报来增强 IoT/OT 网络的安全性和操作。
新的“警报”页目前为公共预览版,它提供以下内容:
- 网络传感器检测到的威胁的聚合实时视图。
- 设备和网络进程的修正步骤。
- 将警报流式传输到 Microsoft Sentinel,并授权 SOC 团队。
- 警报存储时间为 90 天(自首次检测到警报起算)。
- 用于调查源和目标活动、警报严重性和状态、MITRE ATT&CK 信息以及有关警报的上下文信息的工具。
例如:
在传感器控制台上:
在传感器控制台上,“警报”页现在会显示传感器检测到的警报的详细信息,这些传感器已配置了到 Azure 上的 Defender for IoT 的云连接。 在 Azure 和本地使用警报的用户应了解如何管理 Azure 门户和本地组件之间的警报。
其他警报更新包括:
访问每个警报的上下文数据,例如差不多同时发生的事件,或已连接设备的映射。 已连接设备的映射仅适用于传感器控制台警报。
“警报状态”已更新,例如,现在包括“已关闭”状态而不是“已确认”状态。
警报存储时间为 90 天(自首次检测到警报起算)。
带有防病毒签名的备份活动的警报。 对于在源设备和目标备份服务器之间检测到的流量(通常是合法备份活动),将触发此新警报警告。 对于此类活动,不再触发严重或主要恶意软件警报。
在升级过程中,将删除当前已存档的传感器控制台警报。 不再支持固定警报,因此会为相关的传感器控制台警报去除固定。
有关详细信息,请参阅查看传感器上的警报。
自定义警报更新
传感器控制台的“自定义警报规则”页现在提供:
“自定义警报规则”表中的命中次数信息,其中简要介绍了过去一周内针对你创建的每个规则触发的警报数。
将自定义警报规则计划为在正常工作时间之外运行的功能。
针对可以使用 DPI 引擎从协议中提取的任何字段发出警报的功能。
在创建自定义规则时所需的完整协议支持,以及对范围广泛的相关协议变量的支持。
有关详细信息,请参阅在 OT 传感器上创建自定义预警规则。
CLI 命令更新
Defender for IoT 传感器软件安装现在已容器化。 使用现在已容器化的传感器,你可以通过 cyberx_host 用户来调查其他容器或操作系统的问题,也可以通过 FTP 发送文件。
此 cyberx_host 用户默认可用,可以连接到主机。 可以根据需要通过 Defender for IoT 中的“站点和传感器”页面恢复 cyberx_host 用户的密码。
以下 CLI 命令是容器化传感器的一部分,已经进行了修改:
| 旧名称 | Replacement |
|---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
已删除 sudo cyberx-xsense-limit-interface-I eth0 -l value CLI 命令。 此命令用于对传感器用于日常过程的接口带宽进行限制,不再受支持。
有关详细信息,请参阅 Defender for IoT 安装、使用 Defender for IoT CLI 命令和 OT 网络传感器中的 CLI 命令参考。
更新到版本 22.1.x
若要使用 Defender for IoT 的所有最新功能,请确保将传感器软件版本更新为 22.1.x。
如果使用旧版,可能需要运行一系列更新才能获得最新版本。 还需要更新防火墙规则,然后使用新的激活文件重新激活传感器。
升级到版本 22.1.x 后,可以在以下路径中找到新的升级日志,通过 SSH 和 cyberx_host 用户进行访问:。
有关详细信息,请参阅更新 OT 系统软件。
注意
升级到版本 22.1.x 是一项大型更新,预计更新过程比以前的更新需要更多时间。
新的连接模型和防火墙要求
Defender for IoT 22.1.x 版本支持一组新的传感器连接方法,这些方法提供简化的部署,改进的安全性、可伸缩性以及灵活的连接性。
除了迁移步骤以外,新的连接模型还要求打开新的防火墙规则。 有关详细信息,请参阅:
- 新的防火墙要求:传感器对 Azure 门户的访问。
- 体系结构:传感器连接方法
- 连接过程:将传感器连接到 Microsoft Defender for IoT
协议改进
此版本的 Defender for IoT 提供对以下项的改进支持:
- Profinet DCP
- Honeywell
- Windows 终结点检测
有关详细信息,请参阅 Microsoft Defender for IoT - 支持的 IoT、OT、ICS 和 SCADA 协议。
修改、替换或删除的选项和配置
已移动、删除和/或替换以下 Defender for IoT 选项和配置:
以前在“报表”页上找到的报表现在会改为显示在“数据挖掘”页上。 你还可以继续直接从本地管理控制台查看数据挖掘信息。
现在只能通过使用新名称将传感器再次载入到 Azure 门户,来更改本地管理的传感器名称。 传感器名称再也不能直接从传感器进行更改。 有关详细信息,请参阅上传新的激活文件。