分享方式:


使用安全性建議增強安全性態勢

使用適用於 IoT 的 Microsoft Defender 安全性建議,增強網路中狀況不良裝置之間的網路安全性態勢。 建立可採取動作、已排定優先順序的風險降低計畫,解決 OT/IoT 網路中的獨特挑戰,藉此降低您的受攻擊面。

重要

[建議] 頁面目前為預覽版。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

檢視安全性建議

您可以在 Azure 入口網站中適用於 IoT 的 Defender [建議] 頁面上,檢視適合您組織的所有目前建議。 例如:

Screenshot of the Recommendations page on the Azure portal.

作用中建議小工具指出的建議數目,代表您目前可以針對狀況不良裝置採取的可動作步驟。 建議您定期檢閱狀況不良的裝置、採取建議的動作,並盡可能降低作用中建議的數目。

注意

方格中只顯示與您環境相關的建議,至少會找到一個狀況良好或狀況不良的裝置。 您不會看到與您網路中任何裝置無關的建議。

建議以方格顯示,其中包含下列資料行中的詳細資料:

資料行名稱 描述
嚴重性 表示所建議風險降低步驟的緊迫性。
名稱 建議的名稱,指出所建議風險降低步驟的摘要。
狀況不良的裝置 偵測到的裝置數目,這些裝置與建議步驟相關。
狀況良好的裝置 偵測到的裝置數目,這些裝置涵蓋在建議步驟範圍內且不需要採取任何動作。
上次更新時間 上次在偵測到的裝置上觸發建議的時間。

執行下列其中一項動作可修改列出的建議資料:

  • 選取 [編輯資料行],新增或移除方格中的資料行。
  • 從 [搜尋] 方塊中輸入關鍵詞以篩選清單,或選取 [新增篩選],依任何建議資料行篩選方格。

若要匯出適用於您網路的所有建議 CSV 檔案,請選取 [匯出]

檢視建議的詳細資料

在方格中,選取您要向下切入以取得詳細資料的特定建議。 建議名稱會顯示為頁面的標題。 左側小工具中的詳細資料包含建議的嚴重性、偵測到狀況不良的裝置數目,以及上次更新的日期和時間。

左窗格也顯示下列資訊:

  • 描述:更多所建議風險降低步驟的內容
  • 補救步驟:建議用於狀況不良裝置的風險降低步驟完整清單

在 [狀況不良的裝置] 和 [狀況良好的裝置] 索引標籤之間切換,可以針對選取的建議檢閱網路中偵測到的裝置狀態。

例如:

Screenshot of the Review PLC operating mode recommendation page.

依裝置檢視建議詳細資料

您可能想要檢閱特定裝置的所有建議,以便全部一起處理。

建議也會列在每個偵測到的裝置 [裝置詳細資料] 頁面上,您可以從 [裝置清查] 頁面存取,或從建議詳細資料頁面上的狀況良好或狀況不良裝置清單存取。

在裝置詳細資料頁面上,選取 [建議] 索引標籤,檢視所選裝置特定的安全性建議清單。

例如:

Screenshot of the Recommendations tab on a device details page.

支援的安全性建議

Azure 入口網站中 OT 裝置會顯示下列建議:

名稱 描述
OT 網路感應器
檢閱 PLC 作業模式 找到具有此建議的裝置,且 PLC 設定為不安全的作業模式狀態。

如果 PLC 不再需要存取權,建議您將 PLC 操作模式設定為 [安全執行] 狀態,降低惡意 PLC 程式設計的威脅。
檢閱未經授權的裝置 必須識別具有此建議的裝置並授權為網路基準的一部分。

建議您採取動作來識別任何指定的裝置。 中斷即使在調查後仍未知的任何裝置與網路連線,以減少流氓或潛在惡意裝置的威脅。
保護易受攻擊的 <廠商> 裝置 此建議的裝置被發現有一或多個具重大嚴重性的弱點,這些裝置依廠商進行編排。

建議您遵循裝置廠商或 CISA 所列出的步驟 (網路安全暨基礎設施安全局)。

若要查看必要的補救步驟:

1.從狀況不良的裝置清單中選擇一個裝置,查看其弱點的完整清單。
2.在 [弱點] 索引標籤中,在您要緩解的危急 CVE,選擇其 [名稱] 資料行中的連結。 完整詳細資料會在 NVD (國家弱點資料庫) 中開啟。
3.捲動至 NVD References to Advisories, Solutions, and Tools 一節,然後選擇任何列出的連結以取得詳細資訊。 隨即開啟廠商或 CISA 的諮詢頁面。
4.尋找並執行針對您案例列出的補救步驟。 某些弱點無法透過修補程式進行補救。
為缺少驗證的裝置設定安全密碼 此建議的裝置被發現不需要驗證即可成功登入。

建議您啟用驗證,並設定具長度下限和複雜性的強式密碼。
設定具長度下限和複雜性的強式密碼 此建議的裝置被發現使用弱式密碼即可成功登入。

建議您將裝置密碼變更為具八個字元以上的密碼,並包含下列其中 3 個類別的字元:

- 大寫字母
- 小寫字母
- 特殊字元
- 數字 (0-9)
停用不安全的系統管理通訊協定 此建議的裝置暴露於惡意威脅之中,因為這些裝置使用 Telnet,這不是安全且加密的通訊協定。

建議您切換為更安全的通訊協定 (例如 SSH),完全停用該伺服器,或是套用網路存取限制。

您可能會在 [建議] 頁面中看到其他建議,這些建議與適用於 IoT 的 Defender 微代理程式相關。

下列適用於端點的 Defender 建議與企業 IoT 客戶相關,僅於 Microsoft 365 Defender 中提供:

  • 需要 VNC 管理介面的驗證
  • 停用不安全的系統管理通訊協定 – Telnet
  • 移除不安全的系統管理通訊協定 SNMP V1 和 SNMP V2
  • 需要 VNC 管理介面的驗證

如需詳細資訊,請參閱安全性建議

下一步