Manter pacotes de inteligência contra ameaças em sensores de rede de OT
As equipes de segurança da Microsoft executam de modo contínuo a inteligência contra ameaças e a pesquisa de vulnerabilidades proprietárias do ICS (compartilhamento de conexão com a internet). A pesquisa de segurança fornece detecção, análise e resposta à infraestrutura e aos serviços de nuvem da Microsoft, produtos e dispositivos tradicionais e recursos corporativos internos.
O Microsoft Defender para IoT fornece regularmente atualizações dos pacote de inteligência contra ameaças para sensores de rede OT, fornecendo maior proteção contra ameaças e insights conhecidos e relevantes que podem ajudar suas equipes a fazer a triagem e priorizar alertas.
Os pacotes de inteligência contra ameaças contêm assinaturas (incluindo assinaturas de malware), CVEs (vulnerabilidades e exposições comuns) e outros conteúdos de segurança.
As pontuações do CVE mostradas estão alinhadas com o Banco de Dados de Vulnerabilidade Nacional (NVD) e as pontuações do CVSS v3 são mostradas se forem relevantes. Se não houver nenhuma pontuação CVSS v3 relevante, a pontuação CVSS v2 será mostrada em vez disso.
Dica
Recomendamos garantir que seus sensores de rede OT sempre tenham o pacote de inteligência contra ameaças mais recente instalado para que você sempre tenha o contexto completo de uma ameaça antes que um ambiente seja afetado e relevância, precisão e recomendações acionáveis aprimoradas.
Anúncios sobre novos pacotes estão disponíveis em nosso blog da TechCommunity.
Permissões
Antes de executar os procedimentos neste artigo, verifique se você tem:
Um ou mais sensores de OT integrados ao Azure.
Permissões relevantes no portal do Azure e em todos os sensores de rede OT que você deseja atualizar.
Para baixar pacotes de inteligência contra ameaças do portal do Azure, você precisa ter acesso ao Portal do Azure comoLeitor de segurança, Administrador de segurança, Colaboradorou Proprietário.
Para enviar atualizações de inteligência contra ameaças por push para sensores de OT conectados à nuvem do portal do Azure, você precisa ter acesso ao portal do Azure com uma função de Administrador de segurança, Colaborador ou Proprietário.
Para carregar manualmente os pacotes de inteligência de ameaças para sensores OT, você precisa acessar o sensor OT como um usuário Administrador.
Para obter mais informações, consulte Funções e permissões de usuário do Azure para o Defender para IoT e Usuários locais e funções para o monitoramento de OT com o Defender para IoT.
Exibir o pacote de inteligência contra ameaças mais recente
Para exibir o pacote mais recente disponível no Defender para IoT:
No portal do Azure, selecione Sites e sensores>Atualização de inteligência contra ameaças (versão prévia)>Atualização local. Os detalhes sobre o pacote mais recente disponível são mostrados no painel de atualização do Sensor TI. Por exemplo:
Atualizar pacotes de inteligência contra ameaças
Atualize pacotes de inteligência contra ameaças em seus sensores de OT usando um dos seguintes métodos:
- Ter atualizações enviadas por push automaticamente para sensores de OT conectados à nuvem à medida que são lançadas.
- Enviar atualizações por push manualmente para sensores de OT conectados à nuvem.
- Baixe um pacote de atualização e carregue-o manualmente no sensor de OT.
Enviar automaticamente atualizações por push para sensores de OT conectados à nuvem
Os pacotes de inteligência contra ameaças podem ser enviados automaticamente para sensores conectados à nuvem assim que são lançados pelo Defender para IoT.
Ative a atualização automática do pacote para o sensor conectado à nuvem habilitando a opção Atualizações automáticas de inteligência contra ameaças. Para obter mais informações, confira Integrar sensores de OT ao Defender para IoT.
Para alterar o modo de atualização depois de integrar o sensor de OT:
- No Defender para IoT no portal do Azure, selecione Sites e sensores e depois localize o sensor que você deseja alterar.
- Selecione o menu opções (...) para o sensor de OT selecionado >Editar.
- Ative ou desative a opção Atualizações de Inteligência Contra Ameaças Automática (Versão Prévia), conforme necessário.
Envia atualizações por push manualmente para sensores de OT conectados à nuvem
Os sensores conectados à nuvem podem ser atualizados automaticamente com pacotes de inteligência contra ameaças. No entanto, se você quiser adotar uma abordagem mais conservadora, envie pacotes por push do Defender para IoT aos sensores somente quando achar necessário. Isso possibilita controlar quando um pacote é instalado, sem a necessidade de baixá-lo nem carregá-lo nos sensores.
Para enviar atualizações por push manualmente para um único sensor de OT:
- No Defender para IoT no portal do Azure, selecione Sites e sensores e localize o sensor de OT que você deseja atualizar.
- Selecione o menu opções (...) para o sensor escolhido e selecione Atualização da inteligência contra ameaças por push.
O campo Status da atualização da inteligência contra ameaças exibe o progresso da atualização.
Para enviar atualizações por push manualmente para múltiplos sensores de OT:
- No Defender para IoT no portal do Azure, selecione Sites e sensores. Localize e selecione os sensores de OT que você deseja atualizar.
- Selecione Atualizações de inteligência contra ameaças (versão prévia)>Atualização remota.
O campo Status da atualização da inteligência contra ameaças exibe o progresso da atualização.
Atualizar manualmente sensores gerenciados localmente
Se você estiver trabalhando com sensores de OT gerenciados localmente, precisará baixar os pacotes atualizados de inteligência contra ameaças e carregá-los manualmente em seus sensores.
Dica
Essa opção também pode ser usada para sensores conectados à nuvem se você não quiser enviar por push as atualizações do portal do Azure.
Para baixar pacotes de inteligência contra ameaças:
No Defender para IoT no portal do Azure, selecione Sites e sensores>Atualização de inteligência contra ameaças (versão prévia)>Atualização local.
No painel Atualização do sensor de Inteligência contra ameaças (TI), selecione Baixar para baixar o arquivo de inteligência contra ameaças mais recente.
Todos os arquivos baixados do portal do Azure são assinados pela raiz de confiança para que suas máquinas usem apenas ativos assinados.
Para atualizar um único sensor:
Entre no console do sensor de OT e selecione Configurações do sistema>Inteligência contra ameaças.
No painel Inteligência contra ameaças, selecione Carregar arquivo. Por exemplo:
Navegue até e selecione o pacote que você baixou do portal do Azure e carregue-o no sensor.
Analise o status da atualização da inteligência contra ameaça
Em cada sensor de OT, o status de atualização de inteligência contra ameaças e as informações de versão são mostrados no sensor em Configurações de sistema >Inteligência contra ameaças.
Para sensores de OT conectados à nuvem, os dados de inteligência contra ameaças também são mostrados na página Sites e sensores. Para exibir os status de inteligência contra ameaças do portal do Azure:
No Defender para IoT no portal do Azure, selecione Sites e sensores.
Localize os sensores de OT onde você deseja verificar os status de inteligência contra ameaças.
Observe os valores das seguintes colunas para seus sensores de OT:
Nome da coluna Descrição Versão da Inteligência contra Ameaças A atribuição de nomes de versão é baseada no dia em que o pacote foi criado pelo Defender para IoT. Modo de inteligência contra ameaças Automático indica que os pacotes recentemente disponíveis serão instalados automaticamente nos sensores conforme eles são liberados pelo Defender para IoT.
Manual: indica que você pode enviar por push os pacotes recentemente disponíveis diretamente aos sensores, conforme necessário.Status de atualização da inteligência contra ameaças Exibe um dos seguintes status:
- Com falha
- Em andamento
- Atualização disponível
- Ok
Dica
Se um sensor de OT conectado à nuvem mostrar que uma atualização de inteligência contra ameaças falhou, recomendamos que você verifique os detalhes da conexão do sensor. Na página Sites e sensores, verifique o Status do sensor e as colunas Última conexão UTC.
Próximas etapas
Para obter mais informações, consulte: