Udostępnij za pośrednictwem

Obsługa pakietów analizy zagrożeń w czujnikach sieciowych OT

  • Artykuł

Zespoły ds. zabezpieczeń firmy Microsoft stale uruchamiają zastrzeżone analizy zagrożeń ICS i badania luk w zabezpieczeniach. Badania zabezpieczeń zapewniają wykrywanie zabezpieczeń, analizę i reagowanie na infrastrukturę i usługi w chmurze firmy Microsoft, tradycyjne produkty i urządzenia oraz wewnętrzne zasoby firmowe.

Usługa Microsoft Defender dla IoT regularnie dostarcza aktualizacje pakietów analizy zagrożeń dla czujników sieci OT, zapewniając zwiększoną ochronę przed znanymi i odpowiednimi zagrożeniami oraz szczegółowymi informacjami, które mogą pomóc zespołom w klasyfikacji i określaniu priorytetów alertów.

Pakiety analizy zagrożeń zawierają podpisy, takie jak sygnatury złośliwego oprogramowania, CVE i inną zawartość zabezpieczeń.

Wyświetlane wyniki CVE są zgodne z krajową bazą danych luk w zabezpieczeniach (NVD), a wyniki CVSS w wersji 3 są wyświetlane, jeśli są one istotne. Jeśli nie ma odpowiedniego wyniku CVSS w wersji 3, zamiast tego zostanie wyświetlony wynik CVSS v2.

Napiwek

Zalecamy upewnienie się, że czujniki sieciowe OT zawsze mają zainstalowany najnowszy pakiet analizy zagrożeń, dzięki czemu zawsze masz pełny kontekst zagrożenia przed wystąpieniem zagrożenia i zwiększonej trafności, dokładności i zaleceń z możliwością działania.

Ogłoszenia o nowych pakietach są dostępne na naszym blogu TechCommunity.

Uprawnienia

Aby wykonać procedury opisane w tym artykule, upewnij się, że masz następujące elementy:

  • Co najmniej jeden czujnik OT dołączony do platformy Azure.

  • Odpowiednie uprawnienia w witrynie Azure Portal i wszelkie czujniki sieciowe OT, które chcesz zaktualizować.

    • Aby pobrać pakiety analizy zagrożeń z witryny Azure Portal, musisz mieć dostęp do witryny Azure Portal jako rolę Czytelnik zabezpieczeń, Administrator zabezpieczeń, Współautor lub Właściciel .

    • Aby wypychać aktualizacje analizy zagrożeń do czujników OT połączonych z chmurą z witryny Azure Portal, musisz mieć dostęp do witryny Azure Portal jako administrator zabezpieczeń, współautor lub właściciel .

    • Aby ręcznie przekazać pakiety analizy zagrożeń do czujników OT, musisz mieć dostęp do czujnika OT jako administrator.

Aby uzyskać więcej informacji, zobacz Role i uprawnienia użytkowników platformy Azure dla usługi Defender dla IoT oraz lokalnych użytkowników i ról monitorowania ot za pomocą usługi Defender for IoT.

Wyświetlanie najnowszego pakietu analizy zagrożeń

Aby wyświetlić najnowszy pakiet dostępny w usłudze Defender dla IoT:

W witrynie Azure Portal wybierz pozycję Lokacje>i czujniki Aktualizacja analizy zagrożeń (wersja zapoznawcza)>Aktualizacja lokalna. Szczegółowe informacje o najnowszym dostępnym pakiecie są wyświetlane w okienku aktualizacji Czujnik TI. Na przykład:

Zrzut ekranu przedstawiający okienko aktualizacji czujnika TI z najnowszym pakietem analizy zagrożeń.

Aktualizowanie pakietów analizy zagrożeń

Zaktualizuj pakiety analizy zagrożeń na czujnikach OT przy użyciu dowolnej z następujących metod:

Automatyczne wypychanie aktualizacji do czujników połączonych z chmurą

Pakiety analizy zagrożeń można automatycznie aktualizować do czujników połączonych z chmurą w miarę ich wydawania przez usługę Defender dla IoT.

Upewnij się, że automatyczna aktualizacja pakietu została włączona, dołączając czujnik połączony z chmurą z włączoną opcją Aktualizacje automatycznej analizy zagrożeń. Aby uzyskać więcej informacji, zobacz Dołączanie czujników OT do usługi Defender dla IoT.

Aby zmienić tryb aktualizacji po dołączeniu czujnika OT:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki, a następnie znajdź czujnik, który chcesz zmienić.
  2. Wybierz menu opcji (...) dla wybranego czujnika >OT Edytuj.
  3. Włącz lub wyłącz opcję Automatyczne aktualizacje analizy zagrożeń zgodnie z potrzebami.

Ręczne wypychanie aktualizacji do czujników połączonych z chmurą

Czujniki połączone z chmurą można automatycznie aktualizować przy użyciu pakietów analizy zagrożeń. Jeśli jednak chcesz podjąć bardziej konserwatywne podejście, możesz wypchnąć pakiety z usługi Defender dla IoT do czujników tylko wtedy, gdy uważasz, że jest to wymagane. Wypychanie aktualizacji ręcznie umożliwia kontrolowanie, kiedy pakiet jest zainstalowany, bez konieczności pobierania, a następnie przekazywania go do czujników.

Aby ręcznie wypchnąć aktualizacje do pojedynczego czujnika OT:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki i znajdź czujnik OT, który chcesz zaktualizować.
  2. Wybierz menu opcji (...) dla wybranego czujnika, a następnie wybierz pozycję Wypychanie aktualizacji analizy zagrożeń.

W polu Stan aktualizacji analizy zagrożeń jest wyświetlany postęp aktualizacji.

Aby ręcznie wypchnąć aktualizacje do wielu czujników OT:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki. Znajdź i wybierz czujniki OT, które chcesz zaktualizować.
  2. Wybierz pozycję Aktualizacje analizy zagrożeń (wersja zapoznawcza)>Aktualizacja zdalna.

Pole Stan aktualizacji analizy zagrożeń wyświetla postęp aktualizacji dla każdego wybranego czujnika.

Ręczne aktualizowanie czujników zarządzanych lokalnie

Jeśli pracujesz z lokalnie zarządzanymi czujnikami OT, musisz pobrać zaktualizowane pakiety analizy zagrożeń i przekazać je ręcznie na czujniki.

Napiwek

Ta opcja może być również używana w przypadku czujników połączonych z chmurą, jeśli nie chcesz wypychać aktualizacji z witryny Azure Portal.

Aby pobrać pakiety analizy zagrożeń:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Lokacje>i czujniki Aktualizacja analizy zagrożeń (wersja zapoznawcza)>Aktualizacja lokalna.

  2. W okienku Aktualizacji czujnika TI wybierz pozycję Pobierz , aby pobrać najnowszy plik analizy zagrożeń.

Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

Aby zaktualizować pojedynczy czujnik:

  1. Zaloguj się do czujnika OT, a następnie wybierz pozycję Ustawienia>systemu Analiza zagrożeń.

  2. W okienku Analiza zagrożeń wybierz pozycję Przekaż plik. Na przykład:

    Zrzut ekranu przedstawiający miejsce przekazywania pakietu analizy zagrożeń do pojedynczego czujnika.

  3. Przejdź do i wybierz pakiet pobrany z witryny Azure Portal i przekaż go do czujnika.

Przeglądanie stanów aktualizacji analizy zagrożeń

Na każdym czujniku OT stan aktualizacji analizy zagrożeń i informacje o wersji są wyświetlane w ustawieniach > systemu czujnika Ustawienia analizy zagrożeń.

W przypadku czujników OT połączonych z chmurą dane analizy zagrożeń są również wyświetlane na stronie Lokacje i czujniki. Aby wyświetlić posągi analizy zagrożeń w witrynie Azure Portal:

  1. W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryna i czujniki.

  2. Znajdź czujniki OT, w których chcesz sprawdzić posągi analizy zagrożeń.

  3. Zanotuj wartości następujących kolumn dla czujników OT:

    Nazwa kolumny opis
    Wersja analizy zagrożeń Nazewnictwo wersji jest oparte na dniu tworzenia pakietu przez usługę Defender dla IoT.
    Tryb analizy zagrożeń Automatyczne wskazuje, że nowo dostępne pakiety zostaną automatycznie zainstalowane na czujnikach, ponieważ są one wydawane przez usługę Defender dla IoT.

    Ręczne wskazuje, że nowo dostępne pakiety można wypchnąć bezpośrednio do czujników zgodnie z potrzebami.
    Stan aktualizacji analizy zagrożeń Przedstawia jeden z następujących stanów:
    - Nie działa
    - W trakcie wykonywania
    - Dostępna aktualizacja
    - OK

Napiwek

Jeśli czujnik OT połączony z chmurą pokazuje, że aktualizacja analizy zagrożeń nie powiodła się, zalecamy sprawdzenie szczegółów połączenia czujnika. Na stronie Witryny i czujniki sprawdź kolumny Stan czujnika i Ostatnio połączony czas UTC.

Następne kroki

Aby uzyskać więcej informacji, zobacz: