維護 OT 網路感應器上的威脅情報套件

  • 發行項

Microsoft 安全性小組持續執行專屬的 ICS 威脅情報和弱點研究。 安全性研究提供 Microsoft 雲端基礎結構和服務、傳統產品和裝置,以及內部公司資源的安全性偵測、分析和回應。

適用於 IoT 的 Microsoft Defender 會定期提供 OT 網路感應器的威脅情報套件更新、加強防護已知和相關威脅,並提供深入解析以協助小組分級警示並排定優先順序。

威脅情報套件包含簽章 (例如惡意程式碼簽章)、CVE 和其他安全性內容。

顯示的 CVE 分數遵循國家弱點資料庫 (NVD) 的規範,且會顯示 CVSS v3 分數 (如果相關)。 如果沒有相關的 CVSS v3 分數,則會改為顯示 CVSS v2 分數。

提示

建議您確定 OT 網路感應器一律已安裝最新的威脅情報套件,這樣一來,您就一定會在環境受到影響之前先行取得威脅的完整內容,以及增加的相關性、精確度和可操作的建議。

如需新套件的公告,請前往我們的 TechCommunity 部落格

權限

若要執行本文中的程序,請確定您具備下列條件:

  • 一或多個 OT 感應器已上線至 Azure。

  • Azure 入口網站的相關權限,以及您要更新的任何 OT 網路感應器或內部部署管理主控台的相關權限。

    • 若要從 Azure 入口網站下載威脅情報套件,您必須以安全性讀取者安全性系統管理員參與者擁有者角色存取 Azure 入口網站。

    • 若要從 Azure 入口網站將威脅情報更新推送至雲端連線的 OT 感應器,您必須以安全性系統管理員參與者擁有者角色存取 Azure 入口網站。

    • 若要將威脅情報套件手動上傳至 OT 感應器或內部部署管理主控台,您必須以系統管理員使用者身分存取 OT 感應器或內部部署管理主控台。

如需詳細資訊,請參閱適用於 IoT 的 Defender 的 Azure 使用者角色和權限使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色

檢視最新的威脅情報套件

若要檢視適用於 IoT 的 Defender 的最新可用套件

在 Azure 入口網站中,選取 [網站與感應器]>[威脅情報更新 (預覽)]>[本機更新]。 [感應器 TI 更新] 窗格會顯示最新的可用套件相關詳細資料。 例如:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

更新威脅情報套件

使用下列任一方法,更新 OT 感應器上的威脅情報套件:

  • 發行更新時,系統會將更新自動發送至雲端連線的 OT 感應器。
  • 將更新手動推送至雲端連線的 OT 感應器。
  • 下載更新套件並將它手動上傳至 OT 感應器。 或者,將套件上傳至內部部署管理主控台,然後從管理主控台將更新推送至任何連線的 OT 感應器。

將更新自動推送至雲端連線的感應器

適用於 IoT 的 Defender 發行更新時,系統會自動更新雲端連線感應器的威脅情報套件。

將雲端連線感應器上線並啟用 [自動威脅情報更新] 選項,以確保自動套件更新。 如需詳細資訊,請參閱將 OT 感應器上線至適用於 IoT 的 Defender

若要在上線 OT 感應器後變更更新模式

  1. 在 Azure 入口網站的適用於 IoT 的 Defender 中,選取 [網站與感應器],然後找出您要變更的感應器。
  2. 針對選取的 OT 感應器,選取選項 (...) 功能表 >[編輯]
  3. 必要時,開啟或關閉 [自動威脅情報更新] 選項。

將更新手動推送至雲端連線的感應器

您可以使用威脅情報套件自動更新雲端連線的感應器。 不過,如果您想要採用更保守的方法,您可以只在覺得需要時,將套件從適用於 IoT 的 Defender 推送至感應器。 手動推送更新讓您可以在安裝套件時就能夠使用控制項,而不需要下載後上傳到感應器。

若要將更新手動推送至單一 OT 感應器

  1. 在 Azure 入口網站的適用於 IoT 的 Defender 中,選取 [網站與感應器],然後找出您要更新的 OT 感應器。
  2. 針對選取的感應器,選取選項 (...) 功能表,然後選取 [推送威脅情報更新]

[威脅情報更新狀態] 欄位會顯示更新進度。

若要將更新手動推送至多個 OT 感應器

  1. 在 Azure 入口網站的 [適用於 IoT 的 Defender] 中,選取 [網站與感應器]。 找出並選取您要更新的 OT 感應器。
  2. 選取 [威脅情報更新 (預覽)]>[遠端更新]

[威脅情報更新狀態] 欄位會顯示每個選定感應器的更新進度。

手動更新本機管理的感應器

如果您要使用本機管理的 OT 感應器,必須下載更新的威脅情報套件,然後手動上傳至感應器。

如果您還使用了內部部署管理主控台,建議您將威脅情報套件上傳至內部部署管理主控台後,從主控台推送更新。

提示

如果您不想從 Azure 入口網站推送更新,也可以將此選項用於雲端連線的感應器。

若要下載威脅情報套件

  1. 在 Azure 入口網站的適用於 IoT 的 Defender 中,選取 [網站與感應器]>[威脅情報更新 (預覽)]>[本機更新]

  2. 在 [感應器 TI 更新] 窗格中,選取 [下載],以下載最新的威脅情報檔案。

從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署,讓您的機器只使用已簽署的資產。

若要更新單一感應器:

  1. 登入您的 OT 感應器,然後選取 [系統設定]>[威脅情報]

  2. 在 [威脅情報] 窗格中,選取 [上傳檔案]。 例如:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. 瀏覽並選取您從 Azure 入口網站下載的套件,然後將它上傳至感應器。

若要同時更新多個感應器:

  1. 登入內部部署管理主控台,然後選取 [系統設定]

  2. 在 [感應器引擎設定] 區域中,選取要接收更新套件的感應器。 例如:

    Screenshot of where you can select which sensors you want to make changes to.

  3. 在 [感應器威脅情報資料] 區段中,選取加號 (+)。

  4. 在 [上傳檔案] 對話方塊中,選取 [瀏覽檔案...] 以瀏覽並選取更新套件。 例如:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. 選取 [關閉],然後選取 [儲存變更],將威脅情報更新推送至所有選取的感應器。

    Screenshot of where you can save changes made to selected sensors on the management console.

檢閱威脅情報更新狀態

在每個 OT 感應器上,威脅情報更新狀態和版本資訊會顯示在感應器的 [系統設定]>[威脅情報] 設定中。

對於雲端連線的 OT 感應器,威脅情報資料也會顯示在 [網站與感應器] 頁面中。 若要從 Azure 入口網站檢視威脅情報狀態:

  1. 在 Azure 入口網站的 [適用於 IoT 的 Defender] 中,選取 [網站與感應器]

  2. 找出您要檢查威脅情報狀態的 OT 感應器。

  3. 請注意 OT 感應器的下列資料行值:

    資料行名稱 描述
    威脅情報版本 版本命名是以適用於 IoT 的 Defender 所建置套件的日期為基礎。
    威脅情報模式 自動表示新可用的套件會在適用於 IoT 的 Defender 發行時自動安裝在感應器上。

    手動表示您可以視需要將新可用的套件直接推送至感應器。
    威脅情報更新狀態 顯示下列其中一個狀態:
    - 失敗
    - 進行中
    - 可用的更新
    - 確定

提示

如果雲端連線的 OT 感應器顯示威脅情報更新失敗,建議您檢查感應器連線詳細資料。 在 [網站與感應器] 頁面上,檢查 [感應器狀態] 和 [上次連線時間 (UTC)] 資料行。

下一步

如需詳細資訊,請參閱