Поддержка пакетов аналитики угроз на сетевых датчиках OT

Группы безопасности Майкрософт постоянно выполняют собственные исследования угроз ICS и исследования уязвимостей. Исследования по безопасности обеспечивают обнаружение безопасности, аналитику и реагирование на облачную инфраструктуру и службы Майкрософт, традиционные продукты и устройства, а также внутренние корпоративные ресурсы.

Microsoft Defender для Интернета вещей регулярно предоставляет обновления пакетов аналитики угроз для сетевых датчиков OT, обеспечивая повышенную защиту от известных и соответствующих угроз и аналитических сведений, которые могут помочь командам в тризовых и приоритетных оповещениях.

Пакеты аналитики угроз содержат подписи, такие как сигнатуры вредоносных программ, CVEs и другое содержимое безопасности.

Показатели CVE отображаются в соответствии с национальной базой данных уязвимостей (NVD), а оценки CVSS версии 3 отображаются, если они актуальны. Если нет соответствующей оценки CVSS версии 3, то вместо этого отображается оценка CVSS версии 2.

Совет

Мы рекомендуем убедиться, что сетевые датчики OT всегда установлены в последнем пакете аналитики угроз, чтобы вы всегда имели полный контекст угрозы, прежде чем будет затронута среда, и повысить релевантность, точность и практические рекомендации.

Объявления о новых пакетах доступны в нашем блоге TechCommunity.

Разрешения

Чтобы выполнить процедуры в этой статье, убедитесь, что у вас есть:

• Один или несколько датчиков OT, подключенных к Azure.

• Соответствующие разрешения на портал Azure и любые сетевые датчики OT, которые требуется обновить.

  • Чтобы скачать пакеты аналитики угроз из портал Azure, необходимо получить доступ к портал Azure как читатель безопасности, администратор безопасности, участник или роль владельца.

  • Чтобы отправить обновления аналитики угроз на подключенные к облаку датчики OT из портал Azure, вам потребуется доступ к портал Azure в качестве администратора безопасности, участника или владельца.

  • Чтобы вручную отправить пакеты аналитики угроз в датчики OT, вам потребуется доступ к датчику OT в качестве пользователя администратора .

Дополнительные сведения см. в статье о ролях пользователей и разрешениях Azure для Защитника Интернета вещей и локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

Просмотр последнего пакета аналитики угроз

Чтобы просмотреть последний пакет, доступный в Defender для Интернета вещей, выполните следующие действия.

В портал Azure выберите "Сайты" и датчики обновления аналитики>угроз (предварительная версия)>Локальное обновление. Сведения о последнем пакете доступны в области обновления датчика TI. Например:

Обновление пакетов аналитики угроз

Обновите пакеты аналитики угроз на датчиках OT с помощью любого из следующих методов:

• Автоматические отправки обновлений на подключенные к облаку датчики OT по мере их выпуска.
• Вручную отправлять обновления на подключенные к облаку датчики OT.
• Скачайте пакет обновления и вручную отправьте его на датчик OT.

Автоматическое отправка обновлений на подключенные к облаку датчики

Пакеты аналитики угроз можно автоматически обновлять до облачных датчиков по мере их выпуска Defender для Интернета вещей.

Обеспечьте автоматическое обновление пакета, подключив датчик, подключенный к облаку, с включенным параметром "Автоматическое обновление аналитики угроз". Дополнительные сведения см. в разделе "Подключение датчиков OT к Defender для Интернета вещей".

Чтобы изменить режим обновления после подключения датчика OT:

1. В Defender для Интернета вещей на портал Azure выберите сайты и датчики, а затем найдите датчик, который нужно изменить.
2. Выберите меню параметров (...) для выбранного датчика >OT Edit.
3. При необходимости включите или отключите параметр автоматического обновления аналитики угроз.

Отправка обновлений вручную на подключенные к облаку датчики

Подключенные к облаку датчики можно автоматически обновлять с помощью пакетов аналитики угроз. Однако если вы хотите использовать более консервативный подход, можно отправлять пакеты из Defender для Интернета вещей на датчики только тогда, когда вы сочтете это необходимым. Отправка обновлений вручную позволяет управлять установкой пакета без необходимости скачать и отправить его на датчики.

Чтобы вручную отправлять обновления на один датчик OT, выполните следующие действия.

1. В Defender для Интернета вещей на портал Azure выберите сайты и датчики и найдите датчик OT, который требуется обновить.
2. Выберите меню параметров (...) для выбранного датчика, а затем нажмите кнопку "Отправить обновление аналитики угроз".

В поле Состояние обновления аналитики угроз отображается ход обновления.

Чтобы вручную отправлять обновления на несколько датчиков OT, выполните следующие действия.

1. В Defender для Интернета вещей на портал Azure выберите сайты и датчики. Найдите и выберите датчики OT, которые требуется обновить.
2. Выберите обновления аналитики угроз (предварительная версия)>Удаленное обновление.

В поле "Состояние обновления аналитики угроз" отображается ход обновления для каждого выбранного датчика.

Обновление локально управляемых датчиков вручную

Если вы работаете с локально управляемыми датчиками OT, необходимо скачать обновленные пакеты аналитики угроз и отправить их вручную на датчики.

Совет

Этот параметр также можно использовать для облачных датчиков, если вы не хотите отправлять обновления из портал Azure.

Чтобы скачать пакеты аналитики угроз, выполните приведенные далее действия.

1. В Defender для Интернета вещей в портал Azure выберите "Сайты" и датчики обновления аналитики>угроз (предварительная версия)>Локальное обновление.

2. В области обновления Датчика TI выберите "Скачать", чтобы скачать последний файл аналитики угроз.

Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

Чтобы обновить один датчик, выполните следующее:

1. Войдите в датчик OT и выберите "Аналитика> угроз" параметров системы.

2. В области аналитики угроз выберите "Отправить файл". Например:

   

3. Перейдите к нему и выберите пакет, который вы скачали из портал Azure, и отправьте его на датчик.

Просмотр состояний обновления аналитики угроз

На каждом датчике OT сведения о состоянии обновления аналитики угроз и версии отображаются в параметрах аналитики > угроз датчика.

Для подключенных к облаку датчиков OT данные аналитики угроз также отображаются на странице "Сайты и датчики ". Чтобы просмотреть статуи аналитики угроз из портал Azure:

1. В Defender для Интернета вещей на портал Azure выберите сайт и датчики.

2. Найдите датчики OT, где вы хотите проверить статуи аналитики угроз.

3. Обратите внимание на значения следующих столбцов для датчиков OT:

   Имя столбца	Description
   Версия аналитики угроз	Название версии основано на дате, когда пакет был создан службой Defender для Интернета вещей.
   Режим аналитики угроз	Автоматически означает, что новые доступные пакеты будут автоматически устанавливаться на датчики по мере их выпуска службой Defender для Интернета вещей. Вручную означает, что при необходимости вы можете отправлять новые доступные пакеты непосредственно на датчики.
   Состояние обновления аналитики угроз	Отображает одно из следующих состояний: - Неудачно - Выполняется - Доступно обновление - Допустимо

Совет

Если подключенный к облаку датчик OT показывает, что обновление аналитики угроз завершилось сбоем, рекомендуется проверить сведения о подключении датчика. На странице "Сайты и датчики" проверьте состояние датчика и столбцы last connected UTC.

Дальнейшие действия

Дополнительные сведения см. в разделе:

• Подключение датчиков OT к Defender для Интернета вещей