Bedreigingsinformatiepakketten onderhouden op OT-netwerksensoren

  • Artikel

Microsoft-beveiligingsteams voeren voortdurend eigen ICS-bedreigingsinformatie en onderzoek naar beveiligingsproblemen uit. Beveiligingsonderzoek biedt beveiligingsdetectie, analyse en reactie op de cloudinfrastructuur en -services van Microsoft, traditionele producten en apparaten en interne bedrijfsresources.

Microsoft Defender for IoT levert regelmatig updates voor bedreigingsinformatiepakketten voor OT-netwerksensoren, waardoor er betere bescherming wordt geboden tegen bekende en relevante bedreigingen en inzichten die uw teams kunnen helpen bij het classificeren en prioriteren van waarschuwingen.

Bedreigingsinformatiepakketten bevatten handtekeningen, zoals malwarehandtekeningen, CVE's en andere beveiligingsinhoud.

DE WEERGEGEVEN CVE-scores worden afgestemd op de National Vulnerability Database (NVD) en CVSS v3-scores worden weergegeven als ze relevant zijn. Als er geen CVSS v3-score relevant is, wordt de CVSS v2-score weergegeven.

Tip

We raden u aan ervoor te zorgen dat uw OT-netwerksensoren altijd het nieuwste bedreigingsinformatiepakket hebben geïnstalleerd, zodat u altijd de volledige context van een bedreiging hebt voordat een omgeving wordt beïnvloed, en hogere relevantie, nauwkeurigheid en bruikbare aanbevelingen.

Aankondigingen over nieuwe pakketten zijn beschikbaar via onze TechCommunity-blog.

Bevoegdheden

Als u de procedures in dit artikel wilt uitvoeren, moet u het volgende doen:

  • Een of meer OT-sensoren die zijn onboarding naar Azure.

  • Relevante machtigingen in Azure Portal en eventuele OT-netwerksensoren of on-premises beheerconsole die u wilt bijwerken.

    • Als u bedreigingsinformatiepakketten wilt downloaden vanuit Azure Portal, hebt u toegang tot Azure Portal nodig als beveiligingslezer, beveiligingslezer, beveiligingsrol Beheer, inzender of eigenaar.

    • Als u updates voor bedreigingsinformatie wilt pushen naar met de cloud verbonden OT-sensoren vanuit De Azure-portal, hebt u toegang nodig tot Azure Portal als een rol Beveiliging Beheer, Inzender of Eigenaar.

    • Als u bedreigingsinformatiepakketten handmatig wilt uploaden naar OT-sensoren of on-premises beheerconsoles, hebt u als Beheer gebruiker toegang nodig tot de OT-sensor of on-premises beheerconsole.

Zie Azure-gebruikersrollen en -machtigingen voor Defender for IoT - en on-premises gebruikers en -rollen voor OT-bewaking met Defender for IoT voor meer informatie.

Het meest recente bedreigingsinformatiepakket weergeven

Het meest recente pakket weergeven dat beschikbaar is vanuit Defender for IoT:

Selecteer in Azure Portal de optie Sites en sensoren>Voor bedreigingsinformatie-update (preview)>Lokale update. Details over het meest recente pakket dat beschikbaar is, worden weergegeven in het deelvenster Sensor TI-update . Voorbeeld:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Bedreigingsinformatiepakketten bijwerken

Werk bedreigingsinformatiepakketten op uw OT-sensoren bij met behulp van een van de volgende methoden:

Updates automatisch pushen naar sensoren in de cloud

Bedreigingsinformatiepakketten kunnen automatisch worden bijgewerkt naar sensoren in de cloud wanneer ze door Defender for IoT worden vrijgegeven.

Zorg ervoor dat automatische pakketupdates worden uitgevoerd door de sensor in de cloud te onboarden met de optie Automatische bedreigingsinformatie-updates ingeschakeld. Zie OT-sensoren onboarden voor Defender for IoT voor meer informatie.

Als u de updatemodus wilt wijzigen nadat u de OT-sensor hebt onboarded:

  1. Selecteer in Defender for IoT in Azure Portal sites en sensoren en zoek vervolgens de sensor die u wilt wijzigen.
  2. Selecteer het menu Opties (...) voor de geselecteerde OT-sensor> Bewerken.
  3. Schakel indien nodig de optie Automatische bedreigingsinformatieupdates in of uit.

Updates handmatig pushen naar met de cloud verbonden sensoren

Uw met de cloud verbonden sensoren kunnen automatisch worden bijgewerkt met bedreigingsinformatiepakketten. Als u echter een meer conservatieve benadering wilt gebruiken, kunt u pakketten van Defender for IoT alleen naar sensoren pushen wanneer u denkt dat dit nodig is. Als u updates handmatig pusht, hebt u de mogelijkheid om te bepalen wanneer een pakket is geïnstalleerd, zonder dat u het hoeft te downloaden en vervolgens naar uw sensoren te uploaden.

Updates handmatig pushen naar één OT-sensor:

  1. Selecteer in Defender for IoT in Azure Portal sites en sensoren en zoek de OT-sensor die u wilt bijwerken.
  2. Selecteer het menu Opties (...) voor de geselecteerde sensor en selecteer vervolgens Push Threat Intelligence-update.

In het veld Status van bedreigingsinformatie wordt de voortgang van de update weergegeven.

Updates handmatig pushen naar meerdere OT-sensoren:

  1. Selecteer sites en sensoren in Defender for IoT in Azure Portal. Zoek en selecteer de OT-sensoren die u wilt bijwerken.
  2. Selecteer Updates voor bedreigingsinformatie (preview)>Externe update.

In het veld Status van bedreigingsinformatie wordt de voortgang van de update voor elke geselecteerde sensor weergegeven.

Lokaal beheerde sensoren handmatig bijwerken

Als u met lokaal beheerde OT-sensoren werkt, moet u de bijgewerkte bedreigingsinformatiepakketten downloaden en deze handmatig uploaden op uw sensoren.

Als u ook met een on-premises beheerconsole werkt, raden we u aan het bedreigingsinformatiepakket te uploaden naar de on-premises beheerconsole en de update daar te pushen.

Tip

Deze optie kan ook worden gebruikt voor sensoren in de cloud als u de updates niet vanuit Azure Portal wilt pushen.

Bedreigingsinformatiepakketten downloaden:

  1. Selecteer in Defender for IoT in Azure Portal de optie Sites en sensoren>Bedreigingsinformatie-update (preview)>Lokale update.

  2. Selecteer Downloaden in het deelvenster Sensor TI-update om het meest recente bedreigingsinformatiebestand te downloaden.

Alle bestanden die vanuit Azure Portal worden gedownload, worden ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.

Eén sensor bijwerken:

  1. Meld u aan bij uw OT-sensor en selecteer vervolgens Bedreigingsinformatie voor systeeminstellingen>.

  2. Selecteer Bestand uploaden in het deelvenster Bedreigingsinformatie. Voorbeeld:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Blader naar en selecteer het pakket dat u hebt gedownload uit Azure Portal en upload het naar de sensor.

Meerdere sensoren tegelijk bijwerken:

  1. Meld u aan bij uw on-premises beheerconsole en selecteer Systeeminstellingen.

  2. Selecteer in het gebied Configuratie van sensorengine de sensoren die u wilt ontvangen van de bijgewerkte pakketten. Voorbeeld:

    Screenshot of where you can select which sensors you want to make changes to.

  3. Selecteer in de sectie Sensor Threat Intelligence Data het plusteken (+).

  4. Selecteer BROWSE FILE in het dialoogvenster Bestand uploaden... om naar het updatepakket te bladeren en te selecteren. Voorbeeld:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Selecteer SLUITEN en SLA WIJZIGINGEN op om de bedreigingsinformatie-update naar alle geselecteerde sensoren te pushen.

    Screenshot of where you can save changes made to selected sensors on the management console.

Statussen van bedreigingsinformatie-updates bekijken

Op elke OT-sensor worden de status van de bedreigingsinformatie en versie-informatie weergegeven in de instellingen > voor bedreigingsinformatie van de sensor.

Voor met de cloud verbonden OT-sensoren worden gegevens over bedreigingsinformatie ook weergegeven op de pagina Sites en sensoren . Om bedreigingsinformatiebeelden weer te geven vanuit Azure Portal:

  1. Selecteer site en sensoren in Defender for IoT in Azure Portal.

  2. Zoek de OT-sensoren waar u de bedreigingsinformatiebeelden wilt controleren.

  3. Noteer de waarden van de volgende kolommen voor uw OT-sensoren:

    Kolomnaam Beschrijving
    Bedreigingsinformatieversie Versienaamgeving is gebaseerd op de dag dat het pakket is gebouwd door Defender for IoT.
    Bedreigingsinformatiemodus Automatisch geeft aan dat nieuw beschikbare pakketten automatisch worden geïnstalleerd op sensoren wanneer ze worden vrijgegeven door Defender for IoT.

    Handmatig geeft aan dat u zo nodig nieuwe pakketten rechtstreeks naar sensoren kunt pushen.
    Updatestatus bedreigingsinformatie Toont een van de volgende statussen:
    - Mislukt
    - Wordt uitgevoerd
    - Update beschikbaar
    - Ok

Tip

Als een in de cloud verbonden OT-sensor laat zien dat een update voor bedreigingsinformatie is mislukt, raden we u aan de verbindingsgegevens van uw sensor te controleren. Controleer op de pagina Sites en sensoren de sensorstatus en de laatst verbonden UTC-kolommen .

Volgende stappen

Zie voor meer informatie: