適用於 IoT 的 Microsoft Defender 有何新的封存適用於組織
注意
適用於 IoT 的 Azure Defender 已重新命名為適用於 IoT 的 Microsoft Defender。
本文可作為超過九個月之前針對適用於 IoT 的 Microsoft Defender (適用於組織) 所發行功能和增強功能的封存。
如需較新的更新,請參閱適用於 IoT 的 Microsoft Defender 的新功能。
下面所列出的已註明功能為預覽版。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
2021 年 12 月
感應器軟體版本:10.5.4
增強與 Microsoft Sentinel 的整合 (預覽)
新的IoT OT 威脅監視與適用於 IoT 的 Defender 解決方案已經推出,並提供適用於 IoT 的 Microsoft Defender 與 Microsoft Sentinel 整合的增強功能。 IoT OT 威脅監視與適用於 IoT 的 Defender 解決方案是一組配套的內容,包括分析規則、活頁簿和劇本,特別針對適用於 IoT 的 Defender 資料進行設定。 此解決方案目前僅支援操作網路 (OT/ICS)。
如需與 Microsoft Sentinel 整合的相關資訊,請參閱教學課程:整合適用於 IoT 的 Defender 和 Sentinel
Apache Log4j 弱點
適用於 IoT 的 Microsoft Defender 10.5.4 版可減少 Apache Log4j 弱點。 如需詳細資訊,請參閱安全性諮詢更新。
警示
適用於 IoT 的 Microsoft Defender 10.5.4 版提供重要的警示增強功能:
- 現在已停用某些次要事件或邊緣案例的警示。
- 在某些情況下,類似警示會最小化至單一警示訊息中。
這些變更可減少警示數量,並針對安全性和操作事件提供更有效率的目標和分析。
如需詳細資訊,請參閱 OT 監視警示類型和描述。
警示已永久停用
下方所列的警示在 10.5.4 版中為永久停用。 仍支援與警示相關的流量偵測和監視。
原則引擎警示
- RPC 程序引動
- 未經授權的 HTTP 伺服器
- MAC 位址的使用量異常
警示預設為停用
下方所列的警示在 10.5.4 版中預設為停用。 如有必要,您可以從感應器主控台的 [支援] 頁面重新啟用警示。
異常引擎警示
- HTTP 標頭的參數數目異常
- HTTP 標頭長度異常
- HTTP 標頭內容不合法
操作引擎警示
- HTTP 用戶端錯誤
- RPC 作業失敗
原則引擎警示
停用這些警示也會停用相關流量的監視。 具體而言,資料採礦報告中不會回報此流量。
- HTTP 通訊不合法警示和 HTTP 連線資料採礦流量
- 未經授權的 HTTP 使用者代理程式警示和 HTTP 使用者代理程式資料採礦流量
- 未經授權的 HTTP SOAP 動作和 HTTP SOAP 動作資料採礦流量
更新的警示功能
未經授權的資料庫作業警示:先前,此警示涵蓋 DDL 和 DML 警示和資料採礦報告。 現在:
- DDL 流量:支援警示和監視。
- DML 流量:支援監視。 不支援警示。
偵測到新資產警示:針對 IT 子網路中偵測到的新裝置會停用此警示。 在 OT 子網路中探索到的新裝置仍會觸發「已偵測到新資產」的警示。 系統會自動偵測 OT 子網路,並視需要由使用者更新。
最小化警示
特定案例的警示觸發已最小化,有助於減少警示量並簡化警示調查。 在這些案例中,如果裝置在目標上執行重複的活動,只會觸發警示一次。 在過去,每次執行相同的活動都會觸發新的警示。
下列警示提供這項新功能:
- 連接埠掃描偵測到的警示,根據來源裝置的活動而定 (由異常引擎所產生)
- 惡意程式碼警示,根據來源裝置的活動而定。 (由惡意程式碼引擎所產生)。
- 可疑的拒絕服務攻擊警示,根據目的地裝置的活動而定 (惡意程式碼引擎所產生)
2021 年 11 月
感應器軟體版本:10.5.3
下列增強功能可透過適用於 IoT 的 Microsoft Defender 10.5.3 版取得。
內部部署管理主控台具有新的 API 來支援 ServiceNow 整合。 如需詳細資訊,請參閱內部部署管理主控台的整合 API 參考 (公開預覽版)。
對多個 OT 和 ICS 通訊協定剖析器的網路流量分析提供了增強功能。
現在在自動化維護過程中,會自動刪除超過 90 天的封存警示。
依據客戶意見反應,對警示中繼資料的匯出提供許多增強功能。
2021 年 10 月
感應器軟體版本:10.5.2
下列功能增強功能可透過適用於 IoT 的 Microsoft Defender 10.5.2 版取得。
PLC 作業模式預測 (公開預覽)
使用者現在可以檢視 PLC 作業模式的狀態、變更和風險。 如果 PLC 上存在實體金鑰交換器,則 PLC 作業模式會包含 PLC 邏輯執行狀態和實體金鑰狀態。
這項新功能可藉由偵測「不安全」 的 PLC 來協助改善安全性,以此防止遭受惡意攻擊,如 PLC 程式下載。 2017 年對石化工廠的 Triton 攻擊說明了這類風險的影響。 這項資訊也為作業工程師提供企業 PLC 作業模式的關鍵可見度。
什麼是不安全模式?
如果 [金鑰] 狀態偵測為 [程式],或 [執行] 狀態偵測為 [遠端] 或 [程式],則適用於 IoT 的 Defender 會將 PLC 定義為「不安全」。
可見度和風險評估
使用裝置詳細目錄來檢視組織 PLC 的 PLC 狀態,以及內容裝置資訊。 使用 [裝置詳細目錄設定] 對話方塊,將此資料行新增至 [詳細目錄]。
在 [裝置屬性] 畫面的 [屬性] 區段中,檢視每個 PLC 的安全狀態和上次的變更資訊。 如果 [金鑰] 狀態偵測為 [程式],或 [執行] 狀態偵測為 [遠端] 或 [程式],則適用於 IoT 的 Defender 會將 PLC 定義為「不安全」。 [裝置屬性 PLC 受保護] 選項會讀取為 false。
藉由建立具有 PLC 作業模式資訊的資料採礦,以檢視所有網路的「PLC 執行」和「金鑰狀態」狀態。
使用風險評估報告來檢閱不安全模式中的網路 PLC 數目,以及可用來降低不安全的 PLC 風險的其他資訊。
PCAP API
新的 PCAP API 可讓使用者透過內部部署管理主控台從感應器擷取 PCAP 檔案,而無需直接存取感應器本身。
內部部署管理主控台稽核
現在可以匯出內部部署管理主控台的稽核記錄,以協助調查變更內容和變更者。
擴充的 Webhook
擴充的 Webhook 可用來將其他資料傳送至端點。 擴充功能包括 Webhook 警示中的所有資訊,並將下列資訊新增至報告中:
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled
- additionalInformation
憑證複雜密碼的 Unicode 支援
現在使用感應器憑證複雜密碼時支援 Unicode 字元。 如需詳細資訊,請參閱準備 CA 簽署的憑證。
2021 年 4 月
使用自動威脅情報更新 (公開預覽)
新的威脅情報套件現在可以自動推送至雲端連線感應器,因為這些套件是由適用於 IoT 的 Microsoft Defender 所發行。 這會下載威脅情報套件,然後將這些套件上傳至感應器。
使用自動更新有助於減少作業工作,並確保更高的安全性。 在開啟 [自動威脅情報更新] 切換的適用於 IoT 的 Defender 入口網站上將雲端連線感應器上線,以啟用自動更新。
如果您想要採用更保守的方式來更新威脅情報資料,則只有在您覺得需要時,才從適用於 IoT 的 Microsoft Defender 入口網站手動將套件推送至雲端連線感應器。 這可讓您不需要下載,即可控制套件的安裝時間,然後將其上傳至感應器。 從適用於 IoT 的 Defender [網站和感應器] 頁面中,將更新手動推送至感應器。
您也可以檢閱下列有關威脅情報套件的資訊:
- 已安裝套件版本
- 威脅情報更新模式
- 威脅情報更新狀態
檢視雲端連線感應器資訊 (公開預覽)
在 [網站和感應器] 頁面上,檢視雲端連線感應器的重要操作資訊。
- 已安裝感應器版本
- 雲端的感應器連線狀態。
- 上次偵測到感應器連線至雲端的時間。
警示 API 增強功能
新的欄位可供使用警示 API 的使用者使用。
內部部署管理主控台
- 來源和目的地位址
- 補救步驟
- 使用者所定義的感應器名稱
- 與感應器相關聯的區域名稱
- 與感應器相關聯的網站名稱
Sensor
- 來源和目的地位址
- 補救步驟
使用新欄位時,需要 API 第 2 版。
以正式發行 (GA) 所提供的功能
下列功能先前可供公開預覽,現在已是正式發行 (GA) 功能:
- 感應器 - 增強型自訂警示規則
- 內部部署管理主控台 - 匯出警示
- 將第二個網路介面新增至內部部署管理主控台
- 裝置建立器 - 新的微代理程式
2021 年 3 月
感應器 - 增強型自訂警示規則 (公開預覽)
您現在可以根據偵測到網路活動的日期、天數和時段群組來建立自訂警示規則。 使用日期和時間規則條件十分有用,例如,在發生警示事件的時間之前衍生警示嚴重時。 例如,建立自訂規則,以在週末或晚上偵測到網路活動時觸發高嚴重性警示。
此功能適用於發行版本為 10.2 版的感應器。
內部部署管理主控台 - 匯出警示 (公開預覽)
警示資訊現在可以從內部部署管理主控台匯出至 .csv 檔案。 您可以匯出所有偵測到的警示資訊,或根據篩選過的檢視來匯出資訊。
此功能適用於發行版本為 10.2 版的內部部署管理主控台。
將第二個網路介面新增至內部部署管理主控台 (公開預覽)
您現在可以將第二個網路介面新增至內部部署管理主控台,以增強部署的安全性。 此功能可讓您的內部部署管理在一個安全網路上具有其連線感應器,同時允許您的使用者透過第二個不同的網路介面來存取內部部署管理主控台。
此功能適用於發行版本為 10.2 版的內部部署管理主控台。
2021 年一月
安全性
此版本已增強憑證和密碼復原功能。
憑證
此版本可讓您:
- 將 TLS/SSL 憑證直接上傳至感應器和內部部署管理主控台。
- 在內部部署管理主控台和連線感應器之間以及在管理主控台與高可用性管理主控台之間執行驗證。 驗證是以到期日、根 CA 驗證和憑證撤銷清單為基礎。 如果驗證失敗,則工作階段將不會繼續。
在升級方面:
- 在升級期間,不會變更 TLS/SSL 憑證或驗證功能。
- 更新感應器和內部部署管理主控台之後,系統管理使用者可以取代 TLS/SSL 憑證,或從 [系統設定]、[TLS/SSL 憑證] 視窗啟用 TLS/SSL 憑證驗證。
針對全新安裝:
- 在第一次登入期間,使用者必須使用 TLS/SSL 憑證 (建議) 或本機產生的自我簽署憑證 (不建議)
- 根據預設,系統會針對全新安裝開啟憑證驗證。
密碼復原
感應器和內部部署管理主控台管理使用者現在可以從適用於 IoT 的 Microsoft Defender 入口網站復原密碼。 先前的密碼復原需要支援小組介入。
登入
內部部署管理主控台 - 認可的裝置
在初始登入內部部署管理主控台之後,使用者現在必須上傳啟用檔案。 此檔案包含要在組織網路上監視的彙總裝置數目。 此數目指的是已認可裝置數目。 已認可裝置是在適用於 IoT 的 Microsoft Defender 入口網站上於上線程序期間所定義,而啟用檔案是在此入口網站中所產生。 第一次使用者和使用者升級需要上傳啟用檔案。 在初始啟用之後,網路上偵測到的裝置數目可能會超過已認可裝置數目。 例如,如果您將更多感應器連線至管理主控台,則可能會發生此事件。 如果偵測到的裝置數目與已認可裝置數目之間有所差異,則管理主控台中會出現警告。 如果發生此事件,則您應該上傳新的啟用檔案。
定價頁面選項
[定價] 頁面可讓您將新訂用帳戶上線至適用於 IoT 的 Microsoft Defender,以及在您的網路中定義已認可裝置。
此外,[定價] 頁面現在還可讓您管理與感應器相關聯的現有訂用帳戶,以及更新裝置認可。
檢視和管理已上線的感應器
新的 [網站和感應器] 入口網站頁面可讓您:
- 新增感應器的描述性資訊。 例如,與感應器相關聯的區域,或任意文字標記。
- 檢視和篩選感應器資訊。 例如,檢視雲端連線感應器或本機受控感應器的詳細資料,或檢視特定區域中感應器的相關資訊。
可用性
Azure Sentinel 新連接器頁面
Azure Sentinel 中的適用於 IoT 的 Microsoft Defender 資料連接器頁面已經過重新設計。 資料連接器現在是以訂用帳戶為基礎,而不是 IoT 中樞;允許客戶更妥善地管理其與 Azure Sentinel 的設定連線。
Azure 入口網站權限更新
已新增安全性讀者和安全性管理員支援。
其他更新
存取群組 - 區域權限
內部部署管理主控台存取群組規則將不會包括將存取權授與特定區域的選項。 定義可使用網站、區域和業務單位的規則沒有任何變更。 在升級之後,將會修改已包含允許存取特定區域的規則的存取群組,以允許存取其父代網站 (包括其所有區域)。
術語變更
「資產」這個字詞已在感應器和內部部署管理主控台、報告以及其他解決方案介面中重新命名為「裝置」。 在感應器和內部部署管理主控台警示中,「管理此事件」這個詞已命名為「補救步驟」。