適用於 IoT 的 Microsoft Defender 新功能
注意
適用於 IoT 的 Azure Defender 已重新命名為適用於 IoT 的 Microsoft Defender。
本文列出適用於 IoT 的 Microsoft Defender 中適用於裝置建立器的新功能和功能增強。
註明的功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
如需詳細資訊,請參閱升級適用於 IoT 的 Microsoft Defender 微代理程式。
2024 年 8 月
適用於 IoT 的 Defender 計劃於 2025 年 8 月 1 日淘汰微代理程式。
2024 年 3 月
適用於 IoT 的 Defender 韌體分析更新:
Azure CLI 和 PowerShell 命令:使用韌體分析 Azure CLI 或韌體分析 PowerShell 命令,將分析韌體映射的工作流程自動化。
資源群組中的使用者選擇:挑選您自己的資源群組,或建立新的資源群組,以在上線程序期間使用適用於 IoT 的 Defender 韌體分析。
具有韌體清查的新 UI 格式:子索引標籤,用以組織使用者入門、訂用帳戶管理和韌體清查。
增強文件:更新為教學課程:分析 IoT/OT 韌體映像文件,該文件說明新的上線體驗。
2024 年一月
自從 2023 年 7 月公開預覽以來,對適用於 IoT 的 Defender 韌體分析的更新:
PDF 報告產生器:在概觀頁面上新增下載為 PDF 功能,可產生及下載韌體分析結果的 PDF 報告。
![顯示新的 [下載為 PDF] 按鈕的螢幕擷取畫面。](media/whats-new-firmware-analysis/overview-pdf-download.png)
縮短分析時間:根據映像大小,分析時間已縮短 30-80%。
CODESYS 程式庫偵測:適用於 IoT 的 Defender 韌體分析現在會偵測使用 CODESYS 程式庫,Microsoft 最近識別為具有高嚴重性弱點。 這些弱點可能會遭到遠端程式碼執行 (RCE) 或阻斷服務 (DoS) 等攻擊的惡意探索。 如需詳細資訊,請參閱 CODESYS V3 SDK 中的多個高嚴重性弱點可能會導致 RCE 或 DoS。
增強文件:新增說明下列概念的文件:
- 適用於 IoT 的 Defender 韌體分析的 Azure 角色型存取控制,其中說明上傳韌體映像和共用分析結果所需的角色和權限,以及說明 FirmwareAnalysisRG 資源群組的運作方式
- 常見問題集
改善每個報告的篩選:每個子索引標籤報告現在包含更精細的篩選功能。
韌體中繼資料:新增可摺疊索引標籤,其中包含每個頁面上可用的韌體中繼資料。
![顯示 [概觀] 頁面中新中繼資料索引標籤的螢幕擷取畫面。](media/whats-new-firmware-analysis/overview-firmware-metadata.png)
改善版本偵測:改善下列程式庫的版本偵測:
- pcre
- pcre2
- net-tools
- 斑馬
- dropbear
- bluetoothd
- WolfSSL
- sqlite3
新增對檔案系統的支援:適用於 IoT 的 Defender 韌體分析現在支援擷取下列檔案系統。 如需詳細資訊,請參閱韌體分析常見問題集:
- ISO
- RomFS
- SquashFS 的 Zstandard 和非標準 LZMA 實作
![顯示新的 [下載為 PDF] 按鈕的螢幕擷取畫面。](media/whats-new-firmware-analysis/overview-pdf-download.png#lightbox)
![顯示 [概觀] 頁面中新中繼資料索引標籤的螢幕擷取畫面。](media/whats-new-firmware-analysis/overview-firmware-metadata.png#lightbox)
2023 年 7 月
韌體分析公開預覽公告
適用於 IoT 的 Microsoft Defender 韌體分析現已公開預覽。 適用於 IoT 的 Defender 可以分析裝置韌體是否有常見的弱項和弱點,並提供韌體安全性的深入解析。 無論您在內部建置韌體或從供應鏈接收韌體,這項分析都很有用。
如需詳細資訊,請參閱裝置建立器的韌體分析。
![此螢幕擷取畫面顯示按一下 [檢視結果] 按鈕,以取得韌體映像的詳細分析。](media/whats-new-firmware-analysis/overview.png#lightbox)
2022 年 12 月
4.6.2 版:
將微代理程式從 4.2.* 版升級至 4.6.2 時,您必須先移除套件,然後再重新安裝。 如需詳細資訊,請參閱升級適用於 IoT 的 Microsoft Defender 微代理程式。
周邊收集器:新增可偵測裝置實體外掛程式的新收集器。 如需詳細資訊,請參閱微代理程式事件集合 - 周邊事件。
檔案系統收集器:新增監視指定檔案系統的新收集器。 如需詳細資訊,請參閱微代理程式事件集合 - 檔案系統事件。
統計資料收集器:新增可報告每個收集週期的新收集器,資料是關於代理程式中的不同收集器。 如需詳細資訊,請參閱微代理程式事件集合 - 統計資料事件。
系統資訊收集器:系統資訊收集器現在會收集代理程式類型 (邊緣/獨立) 和版本。 如需詳細資訊,請參閱微代理程式事件集合 - 系統資訊事件。
新警示:現在支援新的周邊和檔案系統警示。 如需詳細資訊,請參閱微代理程式安全性警示。
DMI 解碼替代方法:現在支援新的替代方法,以在裝置不支援 DMI 譯碼器的情況下報告裝置資訊。 如需詳細資訊,請參閱如何設定 DMI 解碼器。
韌體資訊:現在支援使用 DMI 解碼器或其替代方法收集的裝置韌體廠商和版本。 如需詳細資訊,請參閱如何設定 DMI 解碼器。
裝置佈建服務支援:現在您可以使用 DPS 大規模佈建您的微代理程式和裝置。 如需詳細資訊,請參閱如何使用 DPS 佈建微代理程式。
透過 Web 通訊端通訊協定的 AMQP 通訊協定支援:現在支援透過 Web 通訊端通訊協定的 AMQP,這些通訊協定可在安裝您的微代理程式之後新增。 如需詳細資訊,請參閱新增透過 WebSocket 的 AMQP 通訊協定支援。
SBoM 收集器錯誤修正:現在支援收集所有套件,而不是先擷取的 500 項。 如需詳細資訊,請參閱微代理程式事件集合 - SBoM 事件。
Debian 10 ARM 64 Buster 支援:現在支援 Debian 10 ARM 64 裝置。 如需詳細資訊,請參閱代理程式組合概觀與 OS 支援。
22.04 Ubuntu 支援:現在支援 Ubuntu 22.04 裝置。 如需詳細資訊,請參閱代理程式組合概觀與 OS 支援。
2022 年 9 月
微代理程式正式發行公告
Azure 適用於 IoT 的 Defender 微代理程式現已正式推出。
2022 年 7 月
4.2.4 版:
Proxy 連線更新:現在您可以透過 Proxy 將微代理程式連線到 IoT 中樞。 如需詳細資訊,請參閱透過 Proxy 連線。
支援 TPM 支援的憑證:現在您可以使用由 TPM 支援的 OpenSSL 憑證。 如需詳細資訊,請參閱使用憑證進行驗證。
AMQP 支援:現在您可以在安裝微代理程式之後新增 AMQP 支援。 如需詳細資訊,請參閱新增 AMQP 通訊協定支援。
基準收集器更新:除了「失敗」的結果之外,基準收集器現在還會將「傳遞」和「略過」檢查傳送至雲端。 如需詳細資訊,請參閱基準 (以觸發程式為基礎的收集器)。
透過 UTMP 登入收集器:登入收集器現在支援 UTMP來攔截 SSH 互動式事件、telnet 事件和終端機登入,包括失敗的登入事件。 如需詳細資訊,請參閱登入收集器 (事件型收集器)。
SBoM 收集器已知問題:SBoM 收集器目前只會收集前 500 個擷取的套件。 如需詳細資訊,請參閱 SBoM (以觸發程式為基礎的收集器)。
2022 年 2 月
4.1.2 版:
適用於 Edge 的微代理程式現在處於公開預覽狀態:微代理程式支援 IoT Edge 裝置,其具有易於安裝和身分識別佈建流程,可使用自動佈建的模組身分識別來驗證 Edge 裝置,而不需要執行任何手動驗證。
如需詳細資訊,請參閱為 Edge 安裝適用於 IoT 的 Defender 微代理程式 (預覽)。
新的目錄結構:現在與標準 Linux 安裝目錄結構一致。
由於此變更,4.1.2 版的更新會要求您重新驗證微代理程式,並將您的連接字串儲存在新的位置中。 如需詳細資訊,請參閱升級適用於 IoT 的 Microsoft Defender 微代理程式。
SBoM 收集器:SBoM 收集器現在會定期收集裝置上安裝的套件。 如需詳細資訊,請參閱微代理程式事件集合 (預覽)。
CIS 基準:微代理程式現在支援以 CIS Distribution Independent Linux Benchmarks 2.0.0 版為基礎的建議,以及可讓您使用對應項設定來停用特定 CIS 基準檢查或群組。 如需詳細資訊,請參閱微代理程式設定 (預覽)。
Micro Agent 支援的裝置清單擴大:微代理程式現在支援 Debian 11 AMD64 和 ARM32v7 裝置,也支援 Ubuntu Server 18.04 ARM32 Linux 裝置 和 Ubuntu Server 20.04 ARM32 和 ARM64 Linux 裝置。
如需詳細資訊,請參閱代理程式組合概觀與 OS 支援 (預覽)。
DNS 叫用次數:網路收集器現在包含可透過 Log Analytics 看見的 DNS 叫用次數欄位,這有助於指出 DNS 要求是否為自動查詢的一部分。
如需詳細資訊,請參閱網路活動事件 (事件型收集器)。
登入收集器:現在支援登入收集器使用 SYSLOG 收集 SSH 登入事件,以及使用 PAM 收集 SSH、Telnet 和本機登入事件,方法為使用可插入的驗證模組堆疊。 如需詳細資訊,請參閱登入收集器 (事件型收集器)。
2021 年 11 月
3.13.1 版:
現在支援受控裝置上的 DNS 網路活動。 Microsoft 威脅情報安全性圖表現在可以根據 DNS 流量偵測可疑的活動。
分葉裝置 Proxy:現在已增強與 IoT Edge 的整合。 此整合使用了分葉裝置 Proxy,增強代理程式與雲端之間的連線能力。
2021 年 10 月
3.12.2 版:
Debian 9 現在支援更多的 CIS 基準檢查:這些額外檢查可讓您確定您的網路符合 CIS 最佳做法,此最佳做法用來防範遍佈網路的威脅。
對應項設定:微代理程式的行為是透過一組模組對應項屬性進行設定。 您可以設定微代理程式,以最符合您的需求。
2021 年 9 月
3.11 版:
登入收集器 - 登入收集器會收集使用者登入、登出和失敗的登入嘗試。 例如 SSH 和 Telnet。
系統資訊收集器 - 系統資訊收集器會收集與裝置作業系統和硬體詳細資料相關的資訊。
事件彙總 - 適用於 IoT 的 Defender 代理程式會彙總事件,例如流程、登入、減少所傳送訊息數目的網路事件,以及成本,同時維護裝置的安全性。
對應項設定 - 微代理程式的行為是透過一組模組對應項屬性進行設定。 (例如事件傳送頻率和彙總模式)。 您可以設定微代理程式,以最符合您的需求。
2021 年 3 月
裝置建立器 - 新的微代理程式 (公開預覽)
提供新的裝置建立器模組。 此模組稱為微代理程式,允許:
與 Azure IoT 中樞和適用於 IoT 的 Defender 整合- 將更強大的端點安全性直接內建於您的 IoT 裝置,方法為將其與 Azure IoT 中樞和適用於 IoT 的 Defender for IoT 兩者所提供的監視選項整合。
支援標準 IoT 作業系統的彈性部署選項 - 可以部署為二進位套件或可修改的原始程式碼,並支援 Linux 和 Eclipse ThreadX 等標準 IoT 作業系統。
沒有 OS 核心相依性的最低資源需求 - 很小磁碟使用量、低 CPU 耗用量,以及沒有 OS 核心相依性。
安全性態勢管理 – 主動監視 IoT 裝置的安全性態勢。
連續、即時 IoT/OT 威脅偵測 - 偵測威脅,例如殭屍網路、暴力密碼破解嘗試、密碼編譯採礦器和可疑的網路活動
已淘汰的 Defender-IoT-micro-agent 文件將會移至 Agent-based solution for device builders>Legacy 資料夾。
此功能集可與目前的公開預覽雲端版本搭配使用。