O que há de novo no Microsoft Defender para IoT?
Este artigo descreve os recursos disponíveis no Microsoft Defender para IoT, em redes OT e Enterprise IoT, tanto no local quanto no portal do Azure, e para versões lançadas nos últimos nove meses.
Os recursos lançados há menos de nove meses são descritos no Arquivo de novidades do Microsoft Defender for IoT para organizações. Para obter mais informações específicas para versões de software de monitoramento de OT, consulte Notas de versão do software de monitoramento de OT.
Nota
Os recursos listados abaixo estão em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Abril de 2024
| Área de serviço | Atualizações |
|---|---|
| Redes OT | - Logon único para o console do sensor - Deteção de desvio de tempo do sensor - Atualização de segurança |
Logon único para o console do sensor
Você pode configurar o logon único (SSO) para o console do sensor do Defender for IoT usando o Microsoft Entra ID. O SSO permite o início de sessão simples para os utilizadores da sua organização, permite que a sua organização cumpra os padrões regulamentares e aumenta a sua postura de segurança. Com o SSO, seus usuários não precisam de várias credenciais de login em diferentes sensores e sites.
O uso do Microsoft Entra ID simplifica os processos de integração e desintegração, reduz a sobrecarga administrativa e garante controles de acesso consistentes em toda a organização.
Para obter mais informações, consulte Configurar o logon único para o console do sensor.
Deteção de desvio de tempo do sensor
Esta versão introduz um novo teste de solução de problemas no recurso de ferramenta de conectividade, projetado especificamente para identificar problemas de desvio de tempo.
Um desafio comum ao conectar sensores ao Defender for IoT no portal do Azure surge de discrepâncias no tempo UTC do sensor, o que pode levar a problemas de conectividade. Para resolver esse problema, recomendamos que você configure um servidor NTP (Network Time Protocol) nas configurações do sensor.
Atualização de segurança
Esta atualização resolve seis CVEs, que estão listados na documentação de recursos da versão de software 23.1.3.
Fevereiro de 2024
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Versão 24.1.2: - Regras de supressão de alertas do portal do Azure (visualização pública) - Alertas focados em ambientes OT/IT - ID de alerta agora alinhada no portal do Azure e no console do sensor - Protocolos recentemente suportados Recursos de nuvem - Novo lembrete de renovação de licença no portal do Azure - Novo perfil de hardware do dispositivo OT - Novos campos para SNMP MIB OIDs |
Regras de supressão de alertas do portal do Azure (visualização pública)
Agora você pode configurar regras de supressão de alertas do portal do Azure para instruir seus sensores OT para o tráfego especificado em sua rede que, de outra forma, dispararia um alerta.
- Configure quais alertas devem ser suprimidos especificando um título de alerta, endereço IP/MAC, nome do host, sub-rede, sensor ou site.
- Defina cada regra de supressão para estar ativa sempre ou apenas durante um período predefinido, como para uma janela de manutenção específica.
Gorjeta
Se você estiver usando regras de exclusão no console de gerenciamento local, recomendamos migrá-las para regras de supressão no portal do Azure. Para obter mais informações, consulte Suprimir alertas irrelevantes.
Alertas focados em ambientes OT/IT
As organizações onde os sensores são implantados entre OT e redes de TI lidam com muitos alertas, relacionados ao tráfego de OT e TI. O número de alertas, alguns dos quais são irrelevantes, pode causar fadiga de alerta e afetar o desempenho geral.
Para enfrentar esses desafios, atualizamos a política de deteção do Defender for IoT para disparar automaticamente alertas com base no impacto nos negócios e no contexto da rede e reduzir alertas de baixo valor relacionados à TI.
Para obter mais informações, consulte Alertas focados em ambientes OT/IT.
ID de alerta agora alinhada no portal do Azure e no console do sensor
A ID do alerta na coluna Id na página Alertas do portal do Azure agora exibe a mesma ID de alerta que o console do sensor. Saiba mais sobre alertas no portal do Azure.
Nota
Se o alerta foi mesclado com outros alertas de sensores que detetaram o mesmo alerta, o portal do Azure exibirá a ID do alerta do primeiro sensor que gerou os alertas.
Protocolos recentemente suportados
Apoiamos agora estes protocolos:
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Rockwell AADvance Descubra
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
Consulte a lista de protocolos atualizada.
O perfil de hardware L60 não é mais suportado
O perfil de hardware L60 não é mais suportado e é removido da documentação de suporte. Os perfis de hardware agora exigem um mínimo de 100GB (o perfil de hardware mínimo agora é L100).
Para migrar do perfil L60 para um perfil suportado, siga o procedimento Fazer backup e restaurar o sensor de rede OT.
Novo lembrete de renovação de licença no portal do Azure
Quando a licença para um ou mais de seus sites OT está prestes a expirar, uma observação fica visível na parte superior do Defender for IoT no portal do Azure, lembrando-o de renovar suas licenças. Para continuar a obter valor de segurança do Defender for IoT, selecione o link na nota para renovar as licenças relevantes no centro de administração do Microsoft 365. Saiba mais sobre o faturamento do Defender for IoT.
Novo perfil de hardware do dispositivo OT
O dispositivo DELL XE4 SFF agora é suportado para sensores OT monitorando linhas de produção. Isso faz parte do perfil de hardware L500, um ambiente de linha de produção, com seis núcleos, 8 GB de RAM e 512 GB de armazenamento em disco.
Para obter mais informações, consulte DELL XE4 SFF.
Novos campos para SNMP MIB OIDs
Campos genéricos padrão adicionais foram adicionados aos OIDs MiB SNMP. Para obter a lista completa de campos, consulte OIDs de sensor OT para configurações manuais de SNMP.
Janeiro de 2024
| Área de serviço | Atualizações |
|---|---|
| Redes OT | A atualização do sensor no portal do Azure agora oferece suporte à seleção de uma versão específica |
A atualização do sensor no portal do Azure agora oferece suporte à seleção de uma versão específica
Ao atualizar o sensor no portal do Azure, agora você pode optar por atualizar para qualquer uma das versões anteriores com suporte (versões diferentes da versão mais recente). Anteriormente, os sensores integrados ao Microsoft Defender for IoT no portal do Azure eram atualizados automaticamente para a versão mais recente.
Talvez você queira atualizar o sensor para uma versão específica por vários motivos, como para fins de teste ou para alinhar todos os sensores à mesma versão.
Para obter mais informações, consulte Update Defender for IoT OT monitoring software.
| Redes |OT Versão 24.1.0:
- Regras de supressão de alertas do portal do Azure (visualização pública)|
Dezembro de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Nova arquitetura para suporte híbrido e air-gapped Versão 23.2.0: - Sensores de rede OT agora são executados no Debian 11 - O usuário privilegiado padrão agora é admin em vez de suporte Recursos de nuvem: - Status em tempo real para atualizações de sensores baseadas em nuvem - Registos de alerta simplificados na tabela SecurityAlert |
Sensores de rede OT agora são executados no Debian 11
As versões do sensor 23.2.0 são executadas em um sistema operacional Debian 11 em vez do Ubuntu. Debian é um sistema operacional baseado em Linux que é amplamente utilizado para servidores e dispositivos embarcados, e é conhecido por ser mais enxuto do que outros sistemas operacionais, e sua estabilidade, segurança e extenso suporte de hardware.
Usar o Debian como base para o nosso software de sensores ajuda a reduzir o número de pacotes instalados nos sensores, aumentando a eficiência e a segurança dos seus sistemas.
Devido à mudança do sistema operacional, a atualização de software da sua versão herdada para a versão 23.2.0 pode ser mais longa e pesada do que o normal.
Para obter mais informações, consulte Fazer backup e restaurar sensores de rede OT a partir do console do sensor e Update Defender para software de monitoramento OT IoT.
O usuário privilegiado padrão agora é admin em vez de suporte
A partir da versão 23.2.0, o usuário padrão e privilegiado instalado com novas instalações de sensores OT é o usuário administrador em vez do usuário de suporte .
Por exemplo, use o usuário administrador privilegiado nos seguintes cenários:
Iniciar sessão num novo sensor pela primeira vez após a instalação. Para obter mais informações, consulte Configurar e ativar o sensor OT.
Usando a CLI do Defender for IoT. Para obter mais informações, consulte Trabalhar com comandos da CLI do Defender for IoT.
Aceder à página de Suporte do sensor.
Importante
Se você estiver atualizando o software do sensor de uma versão anterior para a versão 23.2.0, o usuário de suporte privilegiado será automaticamente renomeado para admin. Se você salvou suas credenciais de suporte, como em scripts CLI, deverá atualizar seus scripts para usar o novo usuário administrador.
O usuário de suporte herdado está disponível e é suportado apenas em versões anteriores à 23.2.0.
Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.
Nova arquitetura para suporte híbrido e air-gapped
Redes híbridas e air-gapped são comuns em muitos setores, como governo, serviços financeiros ou manufatura industrial. As redes Air-gapped estão fisicamente separadas de outras redes externas não seguras, como as redes empresariais ou a Internet, e são menos vulneráveis a ciberataques. No entanto, as redes air-gapped ainda não são completamente seguras, ainda podem ser violadas e devem ser protegidas e monitorizadas cuidadosamente.
O Defender for IoT agora fornece novas orientações para se conectar e monitorar redes híbridas e air-gaped. A nova orientação de arquitetura foi projetada para adicionar eficiência, segurança e confiabilidade às suas operações SOC, com menos componentes para manutenção e solução de problemas. A tecnologia de sensores usada na nova arquitetura permite o processamento local que mantém os dados dentro de sua própria rede, reduzindo a necessidade de recursos de nuvem e melhorando o desempenho.
A imagem a seguir mostra um exemplo de arquitetura de alto nível de nossas recomendações para monitoramento e manutenção de sistemas Defender for IoT, onde cada sensor OT se conecta a vários sistemas de gerenciamento de segurança na nuvem ou no local.
Nesta imagem de exemplo, a comunicação para alertas, mensagens syslog e APIs é mostrada em uma linha preta sólida. A comunicação de gerenciamento local é mostrada em uma linha roxa sólida e a comunicação de gerenciamento de nuvem/híbrida é mostrada em uma linha preta pontilhada.
Recomendamos que os clientes existentes que estão usando um console de gerenciamento local para gerenciar sensores OT façam a transição para as diretrizes de arquitetura atualizadas.
Para obter mais informações, consulte Implantar o gerenciamento de sensores OT híbridos ou com ar-condicionado.
Aposentadoria do console de gerenciamento local
O console de gerenciamento local herdado não estará disponível para download após 1º de janeiro de 2025. Recomendamos a transição para a nova arquitetura usando todo o espectro de APIs locais e na nuvem antes dessa data.
As versões do sensor lançadas após 1º de janeiro de 2025 não poderão ser gerenciadas por um console de gerenciamento local.
As versões do software do sensor lançadas entre 1º de janeiro de 2024 e 1º de janeiro de 2025 continuarão a oferecer suporte a uma versão do console de gerenciamento local.
Os sensores com ar comprimido que não podem ser conectados à nuvem podem ser gerenciados diretamente por meio do console do sensor ou usando APIs REST.
Para obter mais informações, consulte:
- Transição de um console de gerenciamento local herdado.
- Controle de versão e suporte para versões de software local
Status em tempo real para atualizações de sensores baseadas em nuvem
Ao executar uma atualização do sensor a partir do portal do Azure, uma nova barra de progresso aparece na coluna Versão do sensor durante o processo de atualização. À medida que a atualização progride, a barra mostra a porcentagem da atualização concluída, mostrando que o processo está em andamento, não está preso ou falhou. Por exemplo:
Para obter mais informações, consulte Update Defender for IoT OT monitoring software.
Registos de alerta simplificados na tabela SecurityAlert
Ao integrar-se com o Microsoft Sentinel, a tabela Microsoft Sentinel SecurityAlert é agora atualizada imediatamente apenas para alterações no estado e gravidade do alerta. Outras alterações nos alertas, como a última deteção de um alerta existente, são agregadas ao longo de várias horas e exibem apenas a última alteração feita.
Para obter mais informações, consulte Compreender vários registros por alerta.
Novembro de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes IoT corporativas | Proteção Enterprise IoT agora incluída nas licenças de Segurança do Microsoft 365 E5 e E5 |
| Redes OT | Diretrizes atualizadas de integração da pilha de segurança |
Proteção Enterprise IoT agora incluída nas licenças de Segurança do Microsoft 365 E5 e E5
A segurança Enterprise IoT (EIoT) com o Defender for IoT descobre dispositivos IoT não gerenciados e também fornece valor agregado de segurança, incluindo monitoramento contínuo, avaliações de vulnerabilidade e recomendações personalizadas especificamente projetadas para dispositivos Enterprise IoT. Perfeitamente integrado com o Microsoft Defender XDR, o Microsoft Defender Vulnerability Management e o Microsoft Defender for Endpoint no Portal do Microsoft Defender, garante uma abordagem holística para proteger a rede de uma organização.
O monitoramento EIoT do Defender for IoT agora é suportado automaticamente como parte dos planos de segurança Microsoft 365 E5 (ME5) e E5, cobrindo até cinco dispositivos por licença de usuário. Por exemplo, se sua organização possui licenças 500 ME5, você pode usar o Defender for IoT para monitorar até 2500 dispositivos EIoT. Essa integração representa um salto significativo para fortalecer seu ecossistema de IoT no ambiente Microsoft 365.
Os clientes que têm planos de segurança ME5 ou E5, mas ainda não estão usando o Defender for IoT para seus dispositivos EIoT, devem ativar o suporte no Portal do Microsoft Defender.
Novos clientes sem um plano de segurança ME5 ou E5 podem comprar uma licença autônoma do Microsoft Defender for IoT - EIoT Device License - como um complemento para o Microsoft Defender for Endpoint P2. Adquira licenças autónomas no centro de administração da Microsoft.
Os clientes existentes com planos Enterprise IoT herdados e planos de segurança ME5/E5 são automaticamente mudados para o novo método de licenciamento. O monitoramento de IoT corporativo agora está incluído em sua licença, sem custo adicional e sem nenhum item de ação exigido de você.
Os clientes com planos Enterprise IoT legados e sem planos de segurança ME5/E5 podem continuar a usar seus planos existentes até que os planos expirem.
As licenças de avaliação estão disponíveis para clientes do Defender for Endpoint P2 como licenças autônomas. As licenças de avaliação suportam um número de 100 dispositivos durante 90 dias.
Para obter mais informações, consulte:
- Protegendo dispositivos IoT na empresa
- Habilite a segurança do Enterprise IoT com o Defender for Endpoint
- Cobrança da assinatura do Defender for IoT
- Planos e preços do Microsoft Defender para IoT
- Blog: Segurança de IoT empresarial com o Defender for IoT agora incluída nos planos de segurança do Microsoft 365 E5 e E5
Diretrizes atualizadas de integração da pilha de segurança
O Defender for IoT está atualizando suas integrações de pilha de segurança para melhorar a robustez, a escalabilidade e a facilidade de manutenção gerais de várias soluções de segurança.
Se estiver a integrar a sua solução de segurança com sistemas baseados na nuvem, recomendamos que utilize conectores de dados através do Microsoft Sentinel. Para integrações locais, recomendamos que você configure seu sensor OT para encaminhar eventos syslog) ou use APIs do Defender for IoT.
As integrações herdadas do Aruba ClearPass, Palo Alto Panorama e Splunk são suportadas até outubro de 2024 usando a versão 23.1.3 do sensor e não serão suportadas nas próximas versões principais de software.
Para clientes que usam métodos de integração herdados, recomendamos mover suas integrações para métodos recém-recomendados. Para obter mais informações, consulte:
- Integre o ClearPass ao Microsoft Defender para IoT
- Integre Palo Alto com o Microsoft Defender for IoT
- Integre o Splunk ao Microsoft Defender para IoT
- Integrações com a Microsoft e serviços de parceiros
Setembro de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Versão 23.1.3: - Solucionar problemas de conectividade do sensor OT - Acesso à linha do tempo do evento para usuários somente leitura do sensor OT |
Solucionar problemas de conectividade do sensor OT
A partir da versão 23.1.3, os sensores OT ajudam automaticamente a solucionar problemas de conectividade com o portal do Azure. Se um sensor gerenciado na nuvem não estiver conectado, um erro será indicado no portal do Azure na página Sites e sensores e na página Visão geral do sensor.
Por exemplo:
No sensor, siga um destes procedimentos para abrir o painel de solução de problemas de conectividade na nuvem, que fornece detalhes sobre os problemas de conectividade e as etapas de mitigação:
- Na página Visão geral, selecione o link Solução de problemas na parte superior da página
- Selecione Configurações > do sistema Gerenciamento do > sensor Integridade e solução de problemas Solução de problemas de > conectividade na nuvem
Para obter mais informações, consulte Verificar sensor - problemas de conectividade na nuvem.
Acesso à linha do tempo do evento para usuários somente leitura do sensor OT
A partir da versão 23.1.3, os usuários somente leitura no sensor OT podem visualizar a página Linha do tempo do evento. Por exemplo:
Para obter mais informações, consulte:
- Rastreie a atividade da rede e do sensor com a linha do tempo do evento
- Usuários e funções locais para monitoramento de OT com o Defender for IoT
Agosto de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Os CVEs do Defender for IoT estão alinhados ao CVSS v3 |
Os CVEs do Defender for IoT estão alinhados ao CVSS v3
As pontuações CVE mostradas no sensor OT e no portal do Azure estão alinhadas com o National Vulnerability Database (NVD) e, a partir da atualização de inteligência de ameaças de agosto do Defender for IoT, as pontuações do CVSS v3 são mostradas se forem relevantes. Se não houver uma pontuação CVSS v3 relevante, a pontuação CVSS v2 é mostrada.
Exiba dados CVE do portal do Azure, seja na guia Vulnerabilidades de detalhes do dispositivo do Defender for IoT, com recursos disponíveis com a solução Microsoft Sentinel, ou em uma consulta de mineração de dados em seu sensor OT. Para obter mais informações, consulte:
- Mantenha pacotes de informações sobre ameaças em sensores de rede OT
- Ver detalhes completos do dispositivo
- Tutorial: Investigar e detetar ameaças para dispositivos IoT com o Microsoft Sentinel
- Criar consultas de mineração de dados
Julho de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Versão 23.1.2: - Melhorias na instalação e configuração do sensor OT - Analise e ajuste sua implantação - Configurar interfaces monitorizadas através da GUI do sensor - Usuários privilegiados simplificados Migrar para licenças baseadas no site |
Melhorias na instalação e configuração do sensor OT
Na versão 23.1.2, atualizámos os assistentes de instalação e configuração do sensor OT para serem mais rápidos e fáceis de utilizar. As atualizações incluem:
Assistente de instalação: Se você estiver instalando software em suas próprias máquinas físicas ou virtuais, o assistente de instalação do Linux agora passa diretamente pelo processo de instalação sem exigir nenhuma entrada ou detalhes de você.
Você pode assistir à execução da instalação a partir de uma estação de trabalho de implantação, mas também pode optar por instalar o software sem usar um teclado ou tela e permitir que a instalação seja executada automaticamente. Quando terminar, acesse o sensor a partir do navegador usando o endereço IP padrão.
A instalação usa valores padrão para suas configurações de rede. Ajuste essas configurações posteriormente, seja na CLI, como antes, ou em um novo assistente baseado em navegador.
Todos os sensores são instalados com um usuário de suporte padrão e senha. Altere a palavra-passe predefinida imediatamente com o primeiro início de sessão.
Configurar a configuração inicial no navegador: Depois de instalar o software e definir as configurações iniciais de rede, continue com o mesmo assistente baseado em navegador para ativar o sensor e definir as configurações do certificado SSL/TLS.
Para obter mais informações, consulte Instalar e configurar o sensor OT e Configurar e ativar o sensor OT.
Analise e ajuste sua implantação
Depois de concluir a instalação e a configuração inicial, analise o tráfego que o sensor deteta por padrão a partir das configurações do sensor. No sensor, selecione Configurações do sensor>Implantação básica> para analisar as deteções atuais. Por exemplo:
Você pode achar que precisa ajustar sua implantação, como alterar a localização do sensor na rede ou verificar se as interfaces de monitoramento estão conectadas corretamente. Selecione Analisar novamente depois de fazer as alterações para ver o estado de monitoramento atualizado.
Para obter mais informações, consulte Analisar sua implantação.
Configurar interfaces monitorizadas através da GUI do sensor
Se você quiser modificar as interfaces usadas para monitorar seu tráfego após a configuração inicial do sensor, agora você pode usar a nova página Configurações da interface de configurações>do sensor para atualizar suas configurações em vez do assistente do Linux acessado pela CLI. Por exemplo:
A página Configurações da interface mostra as mesmas opções da guia Configurações da interface no assistente de configuração inicial.
Para obter mais informações, consulte Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN).
Usuários privilegiados simplificados
Em novas instalações de sensores da versão 23.1.2, apenas o usuário de suporte privilegiado está disponível por padrão. Os usuários cyberx e cyberx_host estão disponíveis, mas estão desativados por padrão. Se você precisar usar esses usuários, como para o acesso à CLI do Defender for IoT, altere a senha do usuário.
Em sensores que foram atualizados de versões anteriores para 23.1.2, os usuários cyberx e cyberx_host permanecem ativados como antes.
Gorjeta
Para executar comandos da CLI que estão disponíveis apenas para os usuários cyberx ou cyberx_host quando conectados como o usuário de suporte , certifique-se de acessar primeiro a raiz do sistema da máquina host. Para obter mais informações, consulte Acessar a raiz do sistema como um usuário administrador.
Migrar para licenças baseadas no site
Os clientes existentes agora podem migrar seus planos de compra herdados do Defender for IoT para um plano Microsoft 365 , com base em licenças do Microsoft 365 baseadas no site.
Na página Planos e preços, edite o seu plano e selecione o plano Microsoft 365 em vez do seu plano mensal ou anual atual. Por exemplo:
Certifique-se de editar todos os sites relevantes para corresponder aos tamanhos dos sites recém-licenciados. Por exemplo:
Para obter mais informações, consulte Migrar de um plano de OT herdado e Cobrança de assinatura do Defender for IoT.
Junho de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Planos de OT cobrados por licenças baseadas no site Recomendações de segurança para redes OT para senhas inseguras e CVEs críticos |
Planos de OT cobrados por licenças baseadas no site
A partir de 1º de junho de 2023, as licenças do Microsoft Defender for IoT para monitoramento de OT estarão disponíveis para compra apenas no centro de administração do Microsoft 365.
As licenças estão disponíveis para sites individuais, com base nos tamanhos desses respetivos sites. Uma licença de avaliação também está disponível, cobrindo um tamanho de site grande por 60 dias.
Qualquer compra de licenças extras é atualizada automaticamente no seu plano de OT no portal do Azure.
Ao integrar um novo sensor, você será solicitado a atribuir seu sensor a um site baseado no tamanho do site licenciado.
Os clientes existentes podem continuar a usar qualquer plano de OT herdado já integrado a uma assinatura do Azure, sem alterações na funcionalidade. No entanto, não pode adicionar um novo plano a uma nova subscrição sem uma licença correspondente do centro de administração do Microsoft 365.
Gorjeta
Um site do Defender for IoT é um local físico, como uma instalação, campus, prédio de escritórios, hospital, equipamento e assim por diante. Cada site pode conter qualquer número de sensores de rede, que identificam dispositivos através do tráfego de rede detetado.
Para obter mais informações, consulte:
- Cobrança da assinatura do Defender for IoT
- Iniciar uma avaliação do Microsoft Defender para IoT
- Gerir planos OT em subscrições do Azure
- Sensores OT integrados ao Defender for IoT
Recomendações de segurança para redes OT para senhas inseguras e CVEs críticos
O Defender for IoT agora fornece recomendações de segurança para senhas inseguras e CVEs críticas para ajudar os clientes a gerenciar sua postura de segurança de rede OT/IoT.
Você pode ver as seguintes novas recomendações de segurança do portal do Azure para dispositivos detetados em suas redes:
Proteja os seus dispositivos vulneráveis: Os dispositivos com esta recomendação são encontrados com uma ou mais vulnerabilidades com uma gravidade crítica. Recomendamos que você siga as etapas listadas pelo fornecedor do dispositivo ou pela CISA (Cybersecurity & Infrastructure Agency).
Definir uma palavra-passe segura para dispositivos com autenticação em falta: os dispositivos com esta recomendação são encontrados sem autenticação com base em entradas bem-sucedidas. Recomendamos que você habilite a autenticação e defina uma senha mais forte com o mínimo de comprimento e complexidade.
Defina uma palavra-passe mais forte com o mínimo de comprimento e complexidade: os dispositivos com esta recomendação são encontrados com palavras-passe fracas com base em entradas bem-sucedidas. Recomendamos que altere a palavra-passe do dispositivo para uma palavra-passe mais forte, com o mínimo de comprimento e complexidade.
Para obter mais informações, consulte Recomendações de segurança suportadas.
Maio de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Versão do sensor 22.3.9: - Monitoramento e suporte aprimorados para logs de sensores OT Versões do sensor 22.3.x e superiores: - Definir configurações do Ative Directory e NTP no portal do Azure |
Monitoramento e suporte aprimorados para logs de sensores OT
Na versão 22.3.9, adicionamos um novo recurso para coletar logs do sensor OT por meio de um novo ponto de extremidade. Os dados extras nos ajudam a solucionar problemas dos clientes, fornecendo tempos de resposta mais rápidos e soluções e recomendações mais direcionadas. O novo ponto de extremidade foi adicionado à nossa lista de pontos de extremidade necessários que conectam seus sensores OT ao Azure.
Depois de atualizar seus sensores OT, baixe a lista mais recente de endpoints e garanta que seus sensores possam acessar todos os endpoints listados.
Para obter mais informações, consulte:
Definir configurações do Ative Directory e NTP no portal do Azure
Agora você pode definir as configurações do Ative Directory e NTP para seus sensores OT remotamente na página Sites e sensores no portal do Azure. Essas configurações estão disponíveis para as versões 22.3.x e superiores do sensor OT.
Para obter mais informações, consulte Referência de configuração do sensor.
Abril de 2023
| Área de serviço | Atualizações |
|---|---|
| Documentação | Guias de implantação de ponta a ponta |
| Redes OT | Versão do sensor 22.3.8: - Suporte de proxy para certificados SSL/TLS de cliente - Enriqueça os dados da estação de trabalho e do servidor Windows com um script local (visualização pública) - Notificações do SO resolvidas automaticamente - Aprimoramento da interface do usuário ao carregar certificados SSL/TLS |
Guias de implantação de ponta a ponta
A documentação do Defender for IoT agora inclui uma nova seção Implantar , com um conjunto completo de guias de implantação para os seguintes cenários:
- Implantação padrão para monitoramento de OT
- Implantação com arejamento para monitoramento de OT com um gerenciamento de sensor local
- Implantação de IoT empresarial
Por exemplo, a implantação recomendada para monitoramento de OT inclui as seguintes etapas, que são todas detalhadas em nossos novos artigos:
As instruções passo a passo em cada seção destinam-se a ajudar os clientes a otimizar para o sucesso e implantar para o Zero Trust. Os elementos de navegação em cada página, incluindo fluxogramas na parte superior e links Próximas etapas na parte inferior, indicam onde você está no processo, o que concluiu e qual deve ser a próxima etapa. Por exemplo:
Para obter mais informações, consulte Implantar o Defender para IoT para monitoramento de OT.
Suporte de proxy para certificados SSL/TLS de cliente
Um certificado SSL/TLS de cliente é necessário para servidores proxy que inspecionam o tráfego SSL/TLS, como ao usar serviços como Zscaler e Palo Alto Prisma. A partir da versão 22.3.8, você pode carregar um certificado de cliente através do console do sensor OT.
Para obter mais informações, consulte Configurar um proxy.
Enriqueça os dados da estação de trabalho e do servidor Windows com um script local (visualização pública)
Use um script local, disponível na interface do usuário do sensor OT, para enriquecer os dados da estação de trabalho e do servidor Microsoft Windows no sensor OT. O script é executado como um utilitário para detetar dispositivos e enriquecer dados, e pode ser executado manualmente ou usando ferramentas de automação padrão.
Para obter mais informações, consulte Enriquecer dados da estação de trabalho e do servidor Windows com um script local.
Notificações do SO resolvidas automaticamente
Depois de atualizar o sensor OT para a versão 22.3.8, não são geradas notificações de novos dispositivos para alterações no sistema operacional. As notificações de alterações existentes no sistema operacional são resolvidas automaticamente se não forem descartadas ou tratadas de outra forma dentro de 14 dias.
Para obter mais informações, consulte Respostas de notificação de dispositivo
Aprimoramento da interface do usuário ao carregar certificados SSL/TLS
A versão 22.3.8 do sensor OT tem uma página de configuração aprimorada de Certificados SSL/TLS para definir suas configurações de certificado SSL/TLS e implantar um certificado assinado por CA.
Para obter mais informações, consulte Gerenciar certificados SSL/TLS.
Março de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Versão do sensor 22.3.6/22.3.7: - Suporte para dispositivos transitórios - Aprenda o tráfego DNS configurando listas de permissões - Atualizações de retenção de dados do dispositivo - Aprimoramentos da interface do usuário ao carregar certificados SSL/TLS - Atualizações de expiração de arquivos de ativação - Aprimoramentos da interface do usuário para gerenciar o inventário de dispositivos - Severidade atualizada para todos os alertas de suspeita de atividade maliciosa - Notificações de dispositivo resolvidas automaticamente A versão 22.3.7 inclui os mesmos recursos da 22.3.6. Se tiver a versão 22.3.6 instalada, recomendamos vivamente que atualize para a versão 22.3.7, que também inclui correções de bugs importantes. Recursos de nuvem: - Nova experiência de incidente do Microsoft Sentinel para o Defender for IoT |
Suporte para dispositivos transitórios
O Defender for IoT agora identifica dispositivos transitórios como um tipo de dispositivo exclusivo que representa dispositivos que foram detetados por apenas um curto período de tempo. Recomendamos que investigue cuidadosamente estes dispositivos para compreender o seu impacto na sua rede.
Para obter mais informações, consulte Defender for IoT device inventory e Manage your device inventory from the Azure portal.
Aprenda o tráfego DNS configurando listas de permissões
O usuário de suporte agora pode diminuir o número de alertas de internet não autorizados criando uma lista de permissões de nomes de domínio no seu sensor OT.
Quando uma lista de permissões DNS é configurada, o sensor verifica cada tentativa não autorizada de conectividade com a Internet em relação à lista antes de disparar um alerta. Se o FQDN do domínio estiver incluído na lista de permissões, o sensor não acionará o alerta e permitirá o tráfego automaticamente.
Todos os usuários do sensor OT podem visualizar a lista de domínios DNS permitidos e seus endereços IP resolvidos em relatórios de mineração de dados.
Por exemplo:
Para obter mais informações, consulte Permitir conexões com a Internet em uma rede OT e Criar consultas de mineração de dados.
Atualizações de retenção de dados do dispositivo
O período de retenção de dados do dispositivo no sensor OT e no console de gerenciamento local foi atualizado para 90 dias a partir da data do valor da última atividade .
Para obter mais informações, consulte Períodos de retenção de dados do dispositivo.
Aprimoramentos da interface do usuário ao carregar certificados SSL/TLS
A versão 22.3.6 do sensor OT tem uma página de configuração aprimorada de Certificados SSL/TLS para definir suas configurações de certificado SSL/TLS e implantar um certificado assinado por CA.
Para obter mais informações, consulte Gerenciar certificados SSL/TLS.
Atualizações de expiração de arquivos de ativação
Os arquivos de ativação em sensores OT gerenciados localmente agora permanecem ativados enquanto seu plano do Defender for IoT estiver ativo em sua assinatura do Azure, assim como os arquivos de ativação em sensores OT conectados à nuvem.
Você só precisa atualizar seu arquivo de ativação se estiver atualizando um sensor OT de uma versão recente ou alternando o modo de gerenciamento do sensor, como mudar de gerenciado localmente para conectado à nuvem.
Para obter mais informações, consulte Gerenciar sensores individuais.
Aprimoramentos da interface do usuário para gerenciar o inventário de dispositivos
As seguintes melhorias foram adicionadas ao inventário de dispositivos do sensor OT na versão 22.3.6:
- Um processo mais suave para editar detalhes do dispositivo no sensor OT. Edite os detalhes do dispositivo diretamente da página de inventário do dispositivo no console do sensor OT usando o novo botão Editar na barra de ferramentas na parte superior da página.
- O sensor OT agora suporta a exclusão de vários dispositivos simultaneamente.
- Os procedimentos para mesclar e excluir dispositivos agora incluem mensagens de confirmação que aparecem quando a ação é concluída.
Para obter mais informações, consulte Gerenciar seu inventário de dispositivos OT a partir de um console de sensor.
Severidade atualizada para todos os alertas de suspeita de atividade maliciosa
Todos os alertas com a categoria Suspeita de atividade maliciosa agora têm uma gravidade de Crítica.
Para obter mais informações, consulte Alertas do mecanismo de malware.
Notificações de dispositivo resolvidas automaticamente
A partir da versão 22.3.6, as notificações selecionadas na página Mapa do dispositivo do sensor OT agora são automaticamente resolvidas se não forem descartadas ou tratadas de outra forma dentro de 14 dias.
Depois de atualizar a versão do sensor, as notificações de dispositivos inativos e Novos dispositivos OT não são mais exibidas. Embora todas as notificações de dispositivos inativos que sobraram de antes da atualização sejam automaticamente descartadas, você ainda pode ter notificações de novos dispositivos OT herdadas para lidar. Manipule essas notificações conforme necessário para removê-las do sensor.
Para obter mais informações, consulte Gerenciar notificações de dispositivos.
Nova experiência de incidente do Microsoft Sentinel para o Defender for IoT
A nova experiência de incidentes do Microsoft Sentinel inclui recursos específicos para clientes do Defender for IoT. Os analistas SOC que estão investigando OT/IoT agora podem usar os seguintes aprimoramentos nas páginas de detalhes de incidentes:
Visualize sites, zonas, sensores e importância do dispositivo relacionados para entender melhor o impacto nos negócios e a localização física de um incidente.
Analise uma linha do tempo agregada de dispositivos afetados e detalhes de dispositivos relacionados, em vez de investigar em páginas de detalhes de entidade separadas para os dispositivos relacionados
Revise as etapas de correção de alertas de OT diretamente na página de detalhes do incidente
Para obter mais informações, consulte Tutorial: Investigar e detetar ameaças para dispositivos IoT e Navegar e investigar incidentes no Microsoft Sentinel.
Fevereiro de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Recursos de nuvem: - Microsoft Sentinel: Microsoft Defender para IoT versão 2.0.2 solução - Transferir atualizações a partir da página Sites e sensores (Pré-visualização pública) - Página de alertas GA no portal do Azure - GA de inventário de dispositivos no portal do Azure - Aprimoramentos no agrupamento de inventário de dispositivos (visualização pública) - Inventário focado no inventário de dispositivos do Azure (visualização pública) Sensor versão 22.2.3: Definir definições do sensor OT a partir do portal do Azure (Pré-visualização pública) |
| Redes IoT corporativas | Recursos de nuvem: página de alertas GA no portal do Azure |
Microsoft Sentinel: Microsoft Defender para IoT versão 2.0.2 solução
A versão 2.0.2 da solução Microsoft Defender for IoT agora está disponível no hub de conteúdo do Microsoft Sentinel, com melhorias nas regras de análise para a criação de incidentes, uma página de detalhes de incidentes aprimorada e melhorias de desempenho para consultas de regras de análise.
Para obter mais informações, consulte:
- Tutorial: Investigar e detetar ameaças para dispositivos IoT
- Versões da solução Microsoft Defender for IoT no Microsoft Sentinel
Transferir atualizações a partir da página Sites e sensores (Pré-visualização pública)
Se você estiver executando uma atualização de software local no sensor OT ou no console de gerenciamento local, a página Sites e sensores agora fornece um novo assistente para baixar seus pacotes de atualização, acessados por meio do menu Atualização do sensor (Visualização).
Por exemplo:
As atualizações de informações sobre ameaças também estão agora disponíveis apenas na opção Atualização de inteligência de ameaças (Pré-visualização) da página >Sites e sensores.
Os pacotes de atualização para o console de gerenciamento local também estão disponíveis na guia Introdução>ao console de gerenciamento local.
Para obter mais informações, consulte:
- Atualizar o software de monitoramento OT do Update Defender for IoT
- Atualizar pacotes de informações sobre ameaças
- Versões do software de monitoramento OT
GA de inventário de dispositivos no portal do Azure
A página Inventário de dispositivos no portal do Azure agora está disponível em geral (GA), fornecendo uma exibição centralizada em todos os dispositivos detetados, em escala.
O inventário de dispositivos do Defender for IoT ajuda a identificar detalhes sobre dispositivos específicos, como fabricante, tipo, número de série, firmware e muito mais. A recolha de detalhes sobre os seus dispositivos ajuda as suas equipas a investigar proativamente vulnerabilidades que podem comprometer os seus ativos mais críticos.
Gerencie todos os seus dispositivos IoT/OT criando um inventário atualizado que inclui todos os seus dispositivos gerenciados e não gerenciados
Proteja dispositivos com uma abordagem baseada em risco para identificar riscos, como patches ausentes, vulnerabilidades e priorizar correções com base na pontuação de risco e na modelagem automatizada de ameaças
Atualize seu inventário excluindo dispositivos irrelevantes e adicionando informações específicas da organização para enfatizar as preferências da organização
O GA de inventário de dispositivos inclui os seguintes aprimoramentos da interface do usuário:
| Melhoria | Description |
|---|---|
| Aprimoramentos no nível da grade | - Exporte todo o inventário de dispositivos para revisar off-line e comparar anotações com suas equipes - Excluir dispositivos irrelevantes que não existem mais ou não são mais funcionais - Mescle dispositivos para ajustar a lista de dispositivos se o sensor tiver descoberto entidades de rede separadas associadas a um único dispositivo exclusivo. Por exemplo, um PLC com quatro placas de rede, um laptop com WiFi e uma placa de rede física ou uma única estação de trabalho com várias placas de rede. - Edite as vistas da tabela para refletir apenas os dados que está interessado em ver |
| Aprimoramentos no nível do dispositivo | - Edite detalhes do dispositivo anotando detalhes contextuais específicos da organização, como importância relativa, tags descritivas e informações de função de negócios |
| Aprimoramentos de filtro e pesquisa | - Execute pesquisas profundas em qualquer campo de inventário de dispositivos para encontrar rapidamente os dispositivos mais importantes - Filtre o inventário de dispositivos por qualquer campo. Por exemplo, filtre por Tipo para identificar dispositivos industriais ou campos de tempo para determinar dispositivos ativos e inativos. |
Controles avançados de segurança, governança e administração também oferecem a capacidade de atribuir administradores, restringindo quem pode mesclar, excluir e editar dispositivos em nome do proprietário.
Aprimoramentos no agrupamento de inventário de dispositivos (visualização pública)
A página Inventário de dispositivos no portal do Azure dá suporte a novas categorias de agrupamento. Agora você pode agrupar seu inventário de dispositivos por classe, fonte de dados, local, nível de Purdue, site, tipo, fornecedor e zona. Para obter mais informações, consulte Exibir detalhes completos do dispositivo.
Inventário focado no inventário de dispositivos do Azure (visualização pública)
A página Inventário de dispositivos no portal do Azure agora inclui uma indicação de local de rede para seus dispositivos, para ajudar a concentrar seu inventário de dispositivos nos dispositivos dentro do escopo IoT/OT.
Veja e filtre quais dispositivos são definidos como locais ou roteados, de acordo com suas sub-redes configuradas. O filtro Local de rede está ativado por padrão. Adicione a coluna Local de rede editando as colunas no inventário do dispositivo. Configure suas sub-redes no portal do Azure ou em seu sensor OT. Para obter mais informações, consulte:
- Gerir o inventário do seu dispositivo a partir do portal do Azure
- Definir definições do sensor OT a partir do portal do Azure
- Ajuste sua lista de sub-redes
Definir definições do sensor OT a partir do portal do Azure (Pré-visualização pública)
Para as versões de sensor 22.2.3 e superiores, agora você pode definir as configurações selecionadas para sensores conectados à nuvem usando a nova página Configurações do sensor (Visualização), acessada por meio da página Sites e sensores do portal do Azure. Por exemplo:
Para obter mais informações, consulte Definir e exibir configurações do sensor OT no portal do Azure (visualização pública).
Alertas GA no portal do Azure
A página Alertas no portal do Azure agora está disponível para Disponibilidade Geral. Os alertas do Microsoft Defender para IoT melhoram a segurança e as operações da rede com detalhes em tempo real sobre os eventos detetados na rede. Os alertas são acionados quando sensores de rede OT ou Enterprise IoT, ou o microagente do Defender for IoT, detetam alterações ou atividades suspeitas no tráfego de rede que precisam de sua atenção.
Alertas específicos acionados pelo sensor Enterprise IoT atualmente permanecem em visualização pública.
Para obter mais informações, consulte:
- Exibir e gerenciar alertas do portal do Azure
- Investigar e responder a um alerta de rede OT
- Tipos e descrições de alertas de monitoramento de OT
Janeiro de 2023
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Versão 22.3.4 do sensor: status de conectividade do Azure mostrado em sensores OT Versão 22.2.3 do sensor: Atualizar o software do sensor a partir do portal do Azure |
Atualizar o software do sensor a partir do portal do Azure (Pré-visualização pública)
Para as versões 22.2.3 e superiores do sensor conectado à nuvem, agora você pode atualizar o software do sensor diretamente da nova página Sites e sensores no portal do Azure.
Para obter mais informações, consulte Atualizar seus sensores no portal do Azure.
Status de conectividade do Azure mostrado em sensores OT
Os detalhes sobre o status da conectividade do Azure agora são mostrados na página Visão geral em sensores de rede OT e os erros são mostrados se a conexão do sensor com o Azure for perdida.
Por exemplo:
Para obter mais informações, consulte Gerenciar sensores individuais e sensores OT integrados ao Defender for IoT.
Dezembro de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Nova experiência de compra para planos OT |
| Redes IoT corporativas | Alertas e recomendações do sensor IoT corporativo (Visualização pública) |
Alertas e recomendações do sensor IoT corporativo (Visualização pública)
O portal do Azure agora fornece os seguintes dados de segurança adicionais para o tráfego detetado pelos sensores de rede Enterprise IoT:
| Tipo de dados | Description |
|---|---|
| Alertas | O sensor de rede Enterprise IoT agora dispara os seguintes alertas: - Tentativa de conexão com IP mal-intencionado conhecido - Solicitação de nome de domínio mal-intencionado |
| Recomendações | O sensor de rede Enterprise IoT agora aciona a seguinte recomendação para dispositivos detetados, conforme relevante: Desativar protocolo de administração inseguro |
Para obter mais informações, consulte:
- Alertas do mecanismo de malware
- Exibir e gerenciar alertas do portal do Azure
- Melhore a postura de segurança com recomendações de segurança
- Descubra dispositivos Enterprise IoT com um sensor de rede Enterprise IoT (visualização pública)
Nova experiência de compra para planos OT
A página Planos e preços no portal do Azure agora inclui uma nova experiência de compra aprimorada para planos do Defender for IoT para redes OT. Edite seu plano de OT no portal do Azure, por exemplo, para alterar seu plano de uma avaliação para um compromisso mensal ou anual, ou atualizar o número de dispositivos ou sites.
Para obter mais informações, consulte Gerenciar planos OT em assinaturas do Azure.
Novembro de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | - Versões do sensor 22.x e posteriores: controle de acesso baseado em site no portal do Azure (visualização pública) - Todas as versões do sensor OT: Novas notas de versão do software de monitoramento OT |
Controle de acesso baseado em site no portal do Azure (visualização pública)
Para as versões 22.x do software do sensor, o Defender for IoT agora oferece suporte ao controle de acesso baseado em site, que permite que os clientes controlem o acesso do usuário aos recursos do Defender for IoT no portal do Azure no nível do site .
Por exemplo, aplique as funções Leitor de segurança, Administrador de segurança, Colaborador ou Proprietário para determinar o acesso do usuário aos recursos do Azure, como as páginas Alertas, Inventário de dispositivos ou Pastas de trabalho.
Para gerenciar o controle de acesso baseado em site, selecione o site na página Sites e sensores e, em seguida, selecione o link Gerenciar controle de acesso ao site (Visualização ). Por exemplo:
Para obter mais informações, consulte Gerenciar usuários de monitoramento de OT no portal do Azure e funções de usuário do Azure para monitoramento de OT e Enterprise IoT.
Nota
Os sites e, portanto, o controle de acesso baseado no site, são relevantes apenas para o monitoramento da rede OT.
Novas notas de versão do software de monitoramento OT
A documentação do Defender for IoT agora tem uma nova página de notas de versão dedicada ao software de monitoramento OT, com detalhes sobre nossos modelos de suporte de versão e recomendações de atualização.
Continuamos a atualizar este artigo, nossa página principal Novidades , com novos recursos e aprimoramentos para redes OT e Enterprise IoT. Os novos itens listados incluem recursos locais e de nuvem e são listados por mês.
Por outro lado, as novas notas de versão do software de monitoramento de OT listam apenas as atualizações de monitoramento de rede OT que exigem que você atualize seu software local. Os itens são listados por versões principais e de patch, com uma tabela agregada de versões, datas e escopo.
Para obter mais informações, consulte Notas de versão do software de monitoramento de OT.
Outubro de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Referência de alerta de monitoramento de OT aprimorada |
Referência de alerta de monitoramento de OT aprimorada
Nosso artigo de referência de alerta agora inclui os seguintes detalhes para cada alerta:
Categoria de alerta, útil quando você deseja investigar alertas agregados por uma atividade específica ou configurar regras do SIEM para gerar incidentes com base em atividades específicas
Limiar de alerta, para alertas relevantes. Os limiares indicam o ponto específico em que um alerta é acionado. O usuário cyberx pode modificar os limites de alerta conforme necessário na página de suporte do sensor.
Para obter mais informações, consulte Tipos e descrições de alertas de monitoramento de OT e Categorias de alertas suportados.
Setembro de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Todas as versões de software de sensor OT suportadas: - Vulnerabilidades de dispositivos do portal do Azure - Recomendações de segurança para redes OT Todas as versões de software do sensor OT 22.x: Atualizações para regras de firewall de conexão com a nuvem do Azure Software do sensor versão 22.2.7: - Correções de bugs e melhorias de estabilidade Software do sensor versão 22.2.6: - Correções de bugs e melhorias de estabilidade - Melhorias no algoritmo de classificação de tipo de dispositivo Integração com o Microsoft Sentinel: - Aprimoramentos de investigação com entidades de dispositivos IoT - Atualizações da solução Microsoft Defender para IoT |
Recomendações de segurança para redes OT (Pré-visualização pública)
O Defender for IoT agora fornece recomendações de segurança para ajudar os clientes a gerenciar sua postura de segurança de rede OT/IoT. As recomendações do Defender for IoT ajudam os usuários a formar planos de mitigação acionáveis e priorizados que abordam os desafios exclusivos das redes OT/IoT. Use recomendações para reduzir o risco e a superfície de ataque da sua rede.
Você pode ver as seguintes recomendações de segurança do portal do Azure para dispositivos detetados em suas redes:
Reveja o modo de funcionamento do PLC. Os dispositivos com esta recomendação são encontrados com PLCs definidos para estados de modo de operação não seguros. Recomendamos definir os modos de operação do PLC para o estado Secure Run se o acesso ao PLC não for mais necessário para reduzir a ameaça de programação maliciosa do PLC.
Analise dispositivos não autorizados. Os dispositivos com esta recomendação devem ser identificados e autorizados como parte da linha de base da rede. Recomendamos que tome medidas para identificar quaisquer dispositivos indicados. Desconecte todos os dispositivos da sua rede que permanecem desconhecidos, mesmo após investigação, para reduzir a ameaça de dispositivos não autorizados ou potencialmente mal-intencionados.
Aceda às recomendações de segurança a partir de uma das seguintes localizações:
A página Recomendações , que exibe todas as recomendações atuais em todos os dispositivos OT detetados.
A guia Recomendações em uma página de detalhes do dispositivo, que exibe todas as recomendações atuais para o dispositivo selecionado.
Em qualquer um dos locais, selecione uma recomendação para detalhar mais e visualizar listas de todos os dispositivos OT detetados que estão atualmente em um estado íntegro ou não íntegro , de acordo com a recomendação selecionada. Na guia Dispositivos não íntegros ou Dispositivos íntegros, selecione um link de dispositivo para ir para a página de detalhes do dispositivo selecionado. Por exemplo:
Para obter mais informações, consulte Exibir o inventário de dispositivos e Aprimorar a postura de segurança com recomendações de segurança.
Vulnerabilidades de dispositivos do portal do Azure (visualização pública)
O Defender for IoT agora fornece dados de vulnerabilidade no portal do Azure para dispositivos de rede OT detetados. Os dados de vulnerabilidade são baseados no repositório de dados de vulnerabilidade baseados em padrões documentados no National Vulnerability Database (NVD) do governo dos EUA.
Aceda aos dados de vulnerabilidade no portal do Azure a partir das seguintes localizações:
Em uma página de detalhes do dispositivo, selecione a guia Vulnerabilidades para exibir as vulnerabilidades atuais no dispositivo selecionado. Por exemplo, na página Inventário de dispositivos , selecione um dispositivo específico e, em seguida, selecione Vulnerabilidades.
Para obter mais informações, consulte Exibir o inventário de dispositivos.
Uma nova pasta de trabalho Vulnerabilidades exibe dados de vulnerabilidade em todos os dispositivos OT monitorados. Use a pasta de trabalho Vulnerabilidades para exibir dados como CVE por gravidade ou fornecedor e listas completas de vulnerabilidades detetadas e dispositivos e componentes vulneráveis.
Selecione um item nas tabelas Vulnerabilidades de dispositivos, Dispositivos vulneráveis ou Componentes vulneráveis para exibir informações relacionadas nas tabelas à direita.
Por exemplo:
Para obter mais informações, consulte Usar pastas de trabalho do Azure Monitor no Microsoft Defender para IoT.
Atualizações para regras de firewall de conexão com a nuvem do Azure (visualização pública)
Os sensores de rede OT se conectam ao Azure para fornecer dados de alerta e de dispositivo e mensagens de integridade do sensor, acessar pacotes de inteligência de ameaças e muito mais. Os serviços conectados do Azure incluem o Hub IoT, o Armazenamento de Blobs, Hubs de Eventos e o Centro de Download da Microsoft.
Para sensores OT com versões de software 22.x e superiores, o Defender for IoT agora oferece suporte a maior segurança ao adicionar regras de permissão de saída para conexões com o Azure. Agora você pode definir suas regras de permissão de saída para se conectar ao Azure sem usar curingas.
Ao definir regras de permissão de saída para se conectar ao Azure, você precisa habilitar o tráfego HTTPS para cada um dos pontos de extremidade necessários na porta 443. As regras de permissão de saída são definidas uma vez para todos os sensores OT integrados à mesma assinatura.
Para versões de sensores suportadas, transfira a lista completa de pontos de extremidade seguros necessários a partir das seguintes localizações no portal do Azure:
Uma página de registro de sensor bem-sucedida: Depois de integrar um novo sensor OT com a versão 22.x, a página de registro bem-sucedida agora fornece instruções para as próximas etapas, incluindo um link para os pontos finais que você precisará adicionar como regras de permissão de saída segura em sua rede. Selecione o link Baixar detalhes do ponto de extremidade para baixar o arquivo JSON.
Por exemplo:
A página Sites e sensores: Selecione um sensor OT com versões de software 22.x ou superiores, ou um site com uma ou mais versões de sensores suportadas. Em seguida, selecione Mais ações>Baixar detalhes do ponto de extremidade para baixar o arquivo JSON. Por exemplo:
Para obter mais informações, consulte:
- Tutorial: Introdução ao Microsoft Defender for IoT para segurança OT
- Gerencie sensores com o Defender for IoT no portal do Azure
- Requisitos de rede
Aprimoramentos de investigação com entidades de dispositivo IoT no Microsoft Sentinel
A integração do Defender for IoT com o Microsoft Sentinel agora suporta uma página de entidade de dispositivo IoT. Ao investigar incidentes e monitorar a segurança da IoT no Microsoft Sentinel, agora você pode identificar seus dispositivos mais confidenciais e ir diretamente para mais detalhes em cada página de entidade do dispositivo.
A página de entidade do dispositivo IoT fornece informações contextuais sobre um dispositivo IoT, com detalhes básicos do dispositivo e informações de contato do proprietário do dispositivo. Os proprietários de dispositivos são definidos por site na página Sites e sensores no Defender for IoT.
A página da entidade do dispositivo IoT pode ajudar a priorizar a correção com base na importância do dispositivo e no impacto nos negócios, de acordo com o site, a zona e o sensor de cada alerta. Por exemplo:
Agora você também pode procurar dispositivos vulneráveis na página de comportamento da Entidade Sentinela da Microsoft. Por exemplo, veja os cinco principais dispositivos IoT com o maior número de alertas ou pesquise um dispositivo por endereço IP ou nome do dispositivo:
Para obter mais informações, consulte Investigar mais com entidades de dispositivo IoT e Opções de gerenciamento de site no portal do Azure.
Atualizações para a solução Microsoft Defender for IoT no hub de conteúdo do Microsoft Sentinel
Este mês, lançamos a versão 2.0 da solução Microsoft Defender for IoT no hub de conteúdo do Microsoft Sentinel, anteriormente conhecida como a solução IoT/OT Threat Monitoring with Defender for IoT .
As atualizações nesta versão da solução incluem:
Uma mudança de nome. Se você já havia instalado a solução IoT/OT Threat Monitoring with Defender for IoT em seu espaço de trabalho do Microsoft Sentinel, a solução será automaticamente renomeada para Microsoft Defender for IoT, mesmo que você não atualize a solução.
Melhorias na pasta de trabalho: a pasta de trabalho do Defender for IoT agora inclui:
Um novo painel Visão geral com métricas-chave sobre o inventário de dispositivos, deteção de ameaças e postura de segurança. Por exemplo:
Um novo painel Vulnerabilidades com detalhes sobre CVEs mostrados em sua rede e seus dispositivos vulneráveis relacionados. Por exemplo:
Melhorias no painel de inventário de dispositivos, incluindo acesso a recomendações de dispositivos, vulnerabilidades e links diretos para as páginas de detalhes de dispositivos do Defender for IoT. O painel de inventário de dispositivos na pasta de trabalho IoT/OT Threat Monitoring with Defender for IoT está totalmente alinhado com os dados de inventário de dispositivos do Defender for IoT.
Atualizações do Playbook: A solução Microsoft Defender for IoT agora suporta a seguinte funcionalidade de automação SOC com novos playbooks:
Automação com detalhes de CVE: use o manual AD4IoT-CVEAutoWorkflow para enriquecer comentários de incidentes com CVEs de dispositivos relacionados com base em dados do Defender for IoT. Os incidentes são triados e, se o CVE for crítico, o proprietário do ativo é notificado sobre o incidente por e-mail.
Automação para notificações por e-mail para proprietários de dispositivos. Use o manual AD4IoT-SendEmailtoIoTOwner para que um e-mail de notificação seja enviado automaticamente ao proprietário de um dispositivo sobre novos incidentes. Os proprietários de dispositivos podem responder ao e-mail para atualizar o incidente conforme necessário. Os proprietários de dispositivos são definidos no nível do site no Defender for IoT.
Automação para incidentes com dispositivos sensíveis: use o manual AD4IoT-AutoTriageIncident para atualizar automaticamente a gravidade de um incidente com base nos dispositivos envolvidos no incidente e seu nível de sensibilidade ou importância para sua organização. Por exemplo, qualquer incidente envolvendo um dispositivo sensível pode ser automaticamente escalado para um nível de gravidade mais alto.
Para obter mais informações, consulte Investigar incidentes do Microsoft Defender para IoT com o Microsoft Sentinel.
Agosto de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes OT | Software do sensor versão 22.2.5: Versão secundária com melhorias de estabilidade Software do sensor versão 22.2.4: Novas colunas de alerta com dados de carimbo de data/hora Software do sensor versão 22.1.3: Estado de funcionamento do sensor a partir do portal do Azure (Pré-visualização pública) |
Novas colunas de alerta com dados de carimbo de data/hora
A partir da versão 22.2.4 do sensor OT, os alertas do Defender for IoT no portal do Azure e no console do sensor agora mostram as seguintes colunas e dados:
Última deteção. Define a última vez que o alerta foi detetado na rede e substitui a coluna Hora de deteção.
Primeira deteção. Define a primeira vez que o alerta foi detetado na rede.
Última atividade. Define a última vez que o alerta foi alterado, incluindo atualizações manuais para gravidade ou status, ou alterações automatizadas para atualizações de dispositivo ou desduplicação de dispositivo/alerta.
As colunas Primeira deteção e Última atividade não são exibidas por padrão. Adicione-os à sua página de Alertas , conforme necessário.
Gorjeta
Se você também for um usuário do Microsoft Sentinel, estará familiarizado com dados semelhantes de suas consultas do Log Analytics. As novas colunas de alerta no Defender for IoT são mapeadas da seguinte forma:
- O último tempo de deteção do Defender for IoT é semelhante ao Log Analytics EndTime
- O tempo de deteção do Defender for IoT First é semelhante ao StartTime do Log Analytics
- O tempo da última atividade do Defender for IoT é semelhante ao TimeGenerated do Log Analytics Para obter mais informações, consulte:
- Ver alertas no portal do Defender for IoT
- Ver alertas no sensor
- Monitoramento de ameaças OT em SOCs empresariais
Estado de funcionamento do sensor a partir do portal do Azure (pré-visualização pública)
Para as versões 22.1.3 e superiores do sensor OT, você pode usar os novos widgets de integridade do sensor e os dados da coluna da tabela para monitorar a integridade do sensor diretamente da página Sites e sensores no portal do Azure.
Também adicionamos uma página de detalhes do sensor, onde você detalha um sensor específico do portal do Azure. Na página Sites e sensores, selecione um nome de sensor específico. A página de detalhes do sensor lista os dados básicos do sensor, a integridade do sensor e todas as configurações do sensor aplicadas.
Para obter mais informações, consulte Compreender a integridade do sensor e Referência da mensagem de integridade do sensor.
Julho de 2022
| Área de serviço | Atualizações |
|---|---|
| Redes IoT corporativas | - Integração do Enterprise IoT e do Defender for Endpoint no GA |
| Redes OT | Software do sensor versão 22.2.4: - Aprimoramentos no inventário de dispositivos - Aprimoramentos para a API de integração do ServiceNow Software do sensor versão 22.2.3: - Atualizações do perfil de hardware do dispositivo OT - Acesso PCAP a partir do portal do Azure - Sincronização de alertas bidirecionais entre sensores e o portal do Azure - Conexões do sensor restauradas após a rotação do certificado - Suporte a aprimoramentos de log de diagnóstico - Nomes dos sensores mostrados nos separadores do navegador Software do sensor versão 22.1.7: - Mesmas senhas para usuários cyberx_host e cyberx |
| Recursos somente na nuvem | - Sincronização de incidentes do Microsoft Sentinel com alertas do Defender for IoT |
Integração do Enterprise IoT e do Defender for Endpoint no GA
A integração do Enterprise IoT com o Microsoft Defender for Endpoint está agora em Disponibilidade Geral (GA). Com esta atualização, fizemos as seguintes atualizações e melhorias:
Integre um plano Enterprise IoT diretamente no Defender for Endpoint. Para obter mais informações, consulte Gerenciar suas assinaturas e a documentação do Defender for Endpoint.
Integração perfeita com o Microsoft Defender for Endpoint para exibir dispositivos Enterprise IoT detetados e seus alertas, vulnerabilidades e recomendações relacionados no portal de Segurança do Microsoft 365. Para obter mais informações, consulte o tutorial do Enterprise IoT e a documentação do Defender for Endpoint. Você pode continuar a exibir dispositivos Enterprise IoT detetados na página de inventário de dispositivos do Defender for IoT no portal do Azure.
Todos os sensores Enterprise IoT agora são adicionados automaticamente ao mesmo site no Defender for IoT, chamado Enterprise network. Ao integrar um novo dispositivo Enterprise IoT, você só precisa definir um nome de sensor e selecionar sua assinatura, sem definir um site ou zona.
Nota
O sensor de rede Enterprise IoT e todas as deteções permanecem na Pré-visualização Pública.
Mesmas senhas para usuários cyberx_host e cyberx
Durante as instalações e atualizações do software de monitoramento OT, o usuário cyberx recebe uma senha aleatória. Quando você atualiza da versão 10.x.x para a versão 22.1.7, a senha cyberx_host é atribuída com uma senha idêntica ao usuário cyberx .
Para obter mais informações, consulte Instalar o software de monitoramento sem agente OT e o software de monitoramento OT Update Defender for IoT.
Aprimoramentos no inventário de dispositivos
A partir das versões 22.2.4 do sensor OT, agora você pode executar as seguintes ações na página de inventário de dispositivos do console do sensor:
Mesclar dispositivos duplicados. Talvez seja necessário mesclar dispositivos se o sensor tiver descoberto entidades de rede separadas associadas a um único dispositivo exclusivo. Exemplos desse cenário podem incluir um PLC com quatro placas de rede, um laptop com WiFi e uma placa de rede física ou uma única estação de trabalho com várias placas de rede.
Exclua dispositivos individuais. Agora, você pode excluir um único dispositivo que não se comunicou por pelo menos 10 minutos.
Exclua dispositivos inativos por usuários administradores. Agora, todos os usuários administradores, além do usuário cyberx , podem excluir dispositivos inativos.
Também a partir da versão 22.2.4, na página Inventário de dispositivos do console do sensor, o valor Visto pela última vez no painel de detalhes do dispositivo é substituído por Última atividade. Por exemplo:
Para obter mais informações, consulte Gerenciar seu inventário de dispositivos OT a partir de um console de sensor.
Aprimoramentos para a API de integração do ServiceNow
A versão 22.2.4 do sensor OT fornece melhorias para a devicecves API, que obtém detalhes sobre os CVEs encontrados para um determinado dispositivo.
Agora você pode adicionar qualquer um dos seguintes parâmetros à sua consulta para ajustar seus resultados:
- "sensorId" - Mostra os resultados de um sensor específico, conforme definido pelo ID do sensor fornecido.
- "score" - Determina uma pontuação CVE mínima a ser recuperada. Todos os resultados têm uma pontuação CVE igual ou superior ao valor fornecido. Padrão = 0.
- "deviceIds" - Uma lista separada por vírgulas de IDs de dispositivo a partir dos quais você deseja mostrar resultados. Por exemplo: 1232,34,2,456
Para obter mais informações, consulte Referência da API de integração para consoles de gerenciamento locais (visualização pública).
Atualizações do perfil de hardware do dispositivo OT
Atualizámos as convenções de nomenclatura para os nossos perfis de hardware de dispositivos OT para maior transparência e clareza.
Os novos nomes refletem o tipo de perfil, incluindo Corporativo, Empresa e Linha de produção, e também o tamanho de armazenamento em disco relacionado.
Use a tabela a seguir para entender o mapeamento entre nomes de perfis de hardware herdados e os nomes atuais usados na instalação de software atualizada:
| Nome legado | Novo nome | Description |
|---|---|---|
| Societário | C5600 | Um ambiente corporativo , com: 16 núcleos 32 GB de RAM Armazenamento em disco de 5,6 TB |
| Enterprise | E1800 | Um ambiente empresarial , com: Oito núcleos 32 GB de RAM Armazenamento em disco de 1,8 TB |
| SMB | L500 | Um ambiente de linha de produção, com: Quatro núcleos 8 GB de RAM 500 GB de armazenamento em disco |
| Office | L100 | Um ambiente de linha de produção, com: Quatro núcleos 8 GB de RAM 100 GB de armazenamento em disco |
| Robusto | L64 | Um ambiente de linha de produção, com: Quatro núcleos 8 GB de RAM 64 GB de armazenamento em disco |
Agora também suportamos novos perfis de hardware empresarial, para sensores que suportam tamanhos de disco de 500 GB e 1 TB.
Para obter mais informações, consulte Quais aparelhos eu preciso?
Acesso PCAP a partir do portal do Azure (Pré-visualização pública)
Agora você pode acessar os arquivos de tráfego bruto, conhecidos como arquivos de captura de pacotes ou arquivos PCAP, diretamente do portal do Azure. Este recurso suporta engenheiros de segurança SOC ou OT que desejam investigar alertas do Defender for IoT ou Microsoft Sentinel, sem ter que acessar cada sensor separadamente.
Os arquivos PCAP são baixados para seu armazenamento do Azure.
Para obter mais informações, consulte Exibir e gerenciar alertas do portal do Azure.
Sincronização de alertas bidirecionais entre sensores e o portal do Azure (visualização pública)
Para sensores atualizados para a versão 22.2.1, os status de alerta e os status de aprendizado agora estão totalmente sincronizados entre o console do sensor e o portal do Azure. Por exemplo, isso significa que você pode fechar um alerta no portal do Azure ou no console do sensor e o status do alerta é atualizado em ambos os locais.
Aprenda um alerta no portal do Azure ou no console do sensor para garantir que ele não seja acionado novamente na próxima vez que o mesmo tráfego de rede for detetado.
O console do sensor também é sincronizado com um console de gerenciamento local, para que os status de alerta e os status de aprendizado permaneçam atualizados em todas as interfaces de gerenciamento.
Para obter mais informações, consulte:
- Exibir e gerenciar alertas do portal do Azure
- Ver e gerir alertas no sensor
- Trabalhar com alertas no console de gerenciamento local
Conexões do sensor restauradas após a rotação do certificado
A partir da versão 22.2.3, depois de girar os certificados, as conexões do sensor são restauradas automaticamente no console de gerenciamento local e você não precisa reconectá-las manualmente.
Para obter mais informações, consulte Criar certificados SSL/TLS para dispositivos OT e Gerenciar certificados SSL/TLS.
Aprimoramentos de log de diagnóstico de suporte (visualização pública)
A partir da versão 22.1.1 do sensor, você pode baixar um log de diagnóstico do console do sensor para enviar ao suporte quando abrir um ticket.
Agora, para sensores gerenciados localmente, você pode carregar esse log de diagnóstico diretamente no portal do Azure.
Gorjeta
Para sensores conectados à nuvem, a partir da versão 22.1.3 do sensor, o log de diagnóstico fica automaticamente disponível para suporte quando você abre o ticket.
Para obter mais informações, consulte:
Nomes dos sensores mostrados nos separadores do navegador
A partir da versão 22.2.3 do sensor, o nome do sensor é exibido na guia do navegador, facilitando a identificação dos sensores com os quais está trabalhando.
Por exemplo:
Para obter mais informações, consulte Gerenciar sensores individuais.
Sincronização de incidentes do Microsoft Sentinel com alertas do Defender for IoT
A solução IoT OT Threat Monitoring with Defender for IoT agora garante que os alertas no Defender for IoT sejam atualizados com quaisquer alterações de status de incidentes relacionados do Microsoft Sentinel.
Essa sincronização substitui qualquer status definido no Defender for IoT, no portal do Azure ou no console do sensor, para que os status de alerta correspondam aos do incidente relacionado.
Atualize seu IoT OT Threat Monitoring com a solução Defender for IoT para usar o suporte de sincronização mais recente, incluindo o novo playbook AD4IoT-AutoAlertStatusSync . Depois de atualizar a solução, certifique-se de que você também siga as etapas necessárias para garantir que o novo manual funcione conforme o esperado.
Para obter mais informações, consulte:
- Tutorial: Integrar o Defender para IoT e o Sentinel
- Exibir e gerenciar alertas no portal do Defender for IoT (Visualização)
- Ver alertas no sensor
Junho de 2022
Software do sensor versão 22.1.6: Versão secundária com atualizações de manutenção para componentes do sensor interno
Software do sensor versão 22.1.5: Versão secundária para melhorar os pacotes de instalação de TI e atualizações de software
Também otimizamos e aprimoramos recentemente nossa documentação da seguinte maneira:
- Catálogo de dispositivos atualizado para ambientes OT
- Reorganização da documentação para organizações de usuários finais
Catálogo de dispositivos atualizado para ambientes OT
Atualizámos e renovámos o catálogo de dispositivos suportados para monitorizar ambientes OT. Esses dispositivos oferecem suporte a opções flexíveis de implantação para ambientes de todos os tamanhos e podem ser usados para hospedar o sensor de monitoramento OT e consoles de gerenciamento locais.
Use as novas páginas da seguinte maneira:
Entenda qual modelo de hardware melhor se adapta às necessidades da sua organização. Para obter mais informações, consulte Quais aparelhos eu preciso?
Saiba mais sobre os dispositivos de hardware pré-configurados que estão disponíveis para compra ou os requisitos do sistema para máquinas virtuais. Para obter mais informações, consulte Dispositivos físicos pré-configurados para monitoramento de OT e monitoramento de OT com dispositivos virtuais.
Para obter mais informações sobre cada tipo de aparelho, use a página de referência vinculada ou navegue pela nossa nova seção Dispositivos de monitoramento de OT de referência>.
Os artigos de referência para cada tipo de dispositivo, incluindo dispositivos virtuais, incluem etapas específicas para configurar o dispositivo para monitoramento de OT com o Defender for IoT. Os procedimentos genéricos de instalação e solução de problemas de software ainda estão documentados na instalação do software Defender for IoT.
Reorganização da documentação para organizações de usuários finais
Recentemente, reorganizamos nossa documentação do Defender for IoT para organizações de usuários finais, destacando um caminho mais claro para integração e introdução.
Confira nossa nova estrutura para acompanhar a visualização de dispositivos e ativos, o gerenciamento de alertas, vulnerabilidades e ameaças, a integração com outros serviços e a implantação e manutenção do seu sistema Defender for IoT.
Artigos novos e atualizados incluem:
- Bem-vindo ao Microsoft Defender for IoT para organizações
- Arquitetura do Microsoft Defender para IoT
- Guia de início rápido: introdução ao Defender for IoT
- Tutorial: Configuração de avaliação do Microsoft Defender para IoT
- Tutorial: Introdução ao Enterprise IoT
Nota
Para enviar comentários sobre documentos via GitHub, role até a parte inferior da página e selecione a opção Comentários para Esta página. Teremos todo o gosto em ouvir a sua opinião!
Abril de 2022
Dados de propriedade do dispositivo estendidos no inventário de dispositivos
Versão do software do sensor: 22.1.4
Começando para sensores atualizados para a versão 22.1.4, a página Inventário de dispositivos no portal do Azure mostra dados estendidos para os seguintes campos:
- Descrição
- Etiquetas
- Protocolos
- Scanner
- Última atividade
Para obter mais informações, consulte Gerenciar seu inventário de dispositivos no portal do Azure.
Março de 2022
Versão do sensor: 22.1.3
- Usar pastas de trabalho do Azure Monitor com o Microsoft Defender para IoT
- Monitoramento de ameaças OT de IoT com a solução GA do Defender for IoT
- Editar e excluir dispositivos do portal do Azure
- Atualizações de alerta de estado chave
- Sair de uma sessão da CLI
Usar pastas de trabalho do Azure Monitor com o Microsoft Defender para IoT (visualização pública)
As pastas de trabalho do Azure Monitor fornecem gráficos e painéis que refletem visualmente seus dados e agora estão disponíveis diretamente no Microsoft Defender for IoT com dados do Azure Resource Graph.
No portal do Azure, use a nova página Defender for IoT Workbooks para exibir pastas de trabalho criadas pela Microsoft e fornecidas prontas para uso ou crie suas próprias pastas de trabalho personalizadas.
Para obter mais informações, consulte Usar pastas de trabalho do Azure Monitor no Microsoft Defender para IoT.
Monitoramento de ameaças OT de IoT com a solução GA do Defender for IoT
A solução IoT OT Threat Monitoring with Defender for IoT no Microsoft Sentinel agora é GA. No portal do Azure, use essa solução para ajudar a proteger todo o seu ambiente de OT, quer você precise proteger dispositivos OT existentes ou criar segurança em novas inovações de OT.
Para obter mais informações, consulte Monitoramento de ameaças OT em SOCs corporativos e Tutorial: Integrar o Defender para IoT e o Sentinel.
Editar e excluir dispositivos do portal do Azure (visualização pública)
A página Inventário de dispositivos no portal do Azure agora oferece suporte à capacidade de editar detalhes do dispositivo, como segurança, classificação, localização e muito mais:
Para obter mais informações, consulte Editar detalhes do dispositivo.
Você só pode excluir dispositivos do Defender for IoT se eles estiverem inativos por mais de 14 dias. Para obter mais informações, consulte Excluir um dispositivo.
Atualizações de alerta de estado chave (visualização pública)
O Defender for IoT agora suporta o protocolo Rockwell para deteções de modo operacional PLC.
Para o protocolo Rockwell, as páginas de inventário de dispositivos no portal do Azure e no console do sensor agora indicam a chave do modo de operação do PLC e o estado de execução, e se o dispositivo está atualmente em um modo seguro.
Se o modo de funcionamento do PLC do dispositivo for alguma vez comutado para um modo não seguro, como Programa ou Remoto, é gerado um alerta PLC Modo de funcionamento alterado.
Para obter mais informações, consulte Gerenciar seus dispositivos IoT com o inventário de dispositivos para organizações.
Sair de uma sessão da CLI
A partir desta versão, os usuários da CLI são automaticamente desconectados de sua sessão após 300 segundos inativos. Para sair manualmente, use o novo logout comando da CLI.
Para obter mais informações, consulte Trabalhar com comandos da CLI do Defender for IoT.
Fevereiro de 2022
Versão do software do sensor: 22.1.1
- Novo assistente de instalação do sensor
- Redesenho do sensor e experiência unificada do produto Microsoft
- Página de visão geral do sensor aprimorado
- Novo registo de diagnósticos de suporte
- Atualizações de alertas
- Atualizações de alertas personalizados
- Atualizações de comandos da CLI
- Atualização para a versão 22.1.x
- Novo modelo de conectividade e requisitos de firewall
- Melhorias no protocolo
- Opções e configurações modificadas, substituídas ou removidas
Novo assistente de instalação do sensor
Anteriormente, você precisava usar caixas de diálogo separadas para carregar um arquivo de ativação do sensor, verificar a configuração da rede do sensor e configurar seus certificados SSL/TLS.
Agora, ao instalar um novo sensor ou uma nova versão do sensor, nosso assistente de instalação fornece uma interface simplificada para realizar todas essas tarefas a partir de um único local.
Para obter mais informações, consulte Instalação do Defender for IoT.
Redesenho do sensor e experiência unificada do produto Microsoft
O console do sensor Defender for IoT foi redesenhado para criar uma experiência unificada do Microsoft Azure e aprimorar e simplificar fluxos de trabalho.
Esses recursos agora estão disponíveis em geral (GA). As atualizações incluem a aparência geral, painéis detalhados, opções de pesquisa e ação e muito mais. Por exemplo:
Os fluxos de trabalho simplificados incluem:
A página Inventário de dispositivos agora inclui páginas detalhadas do dispositivo. Selecione um dispositivo na tabela e, em seguida, selecione Ver detalhes completos à direita.
As propriedades atualizadas a partir do inventário do sensor agora são atualizadas automaticamente no inventário de dispositivos na nuvem.
As páginas de detalhes do dispositivo, acessadas a partir do mapa do dispositivo ou das páginas de inventário do dispositivo, são mostradas como somente leitura. Para modificar as propriedades do dispositivo, selecione Editar propriedades no canto inferior esquerdo.
A página Mineração de dados agora inclui a funcionalidade de relatórios. Embora a página Relatórios tenha sido removida, os usuários com acesso somente leitura podem exibir atualizações na página Mineração de dados sem a capacidade de modificar relatórios ou configurações.
Para usuários administradores que criam novos relatórios, agora você pode ativar uma opção Enviar para CM para enviar o relatório para um console de gerenciamento central também. Para obter mais informações, consulte Criar um relatório
A área Configurações do sistema foi reorganizada em seções para Configurações básicas , Configurações para monitoramento de rede, Gerenciamento de sensores, Integrações e Configurações de importação.
A ajuda on-line do sensor agora contém links para os principais artigos da documentação do Microsoft Defender para IoT.
Os mapas do Defender for IoT agora incluem:
Uma nova Visualização de Mapa agora é mostrada para alertas e nas páginas de detalhes do dispositivo, mostrando onde o alerta ou dispositivo é encontrado em seu ambiente.
Clique com o botão direito do mouse em um dispositivo no mapa para exibir informações contextuais sobre o dispositivo, incluindo alertas relacionados, dados da linha do tempo do evento e dispositivos conectados.
Selecione Desativar Exibir grupos de redes de TI para evitar a capacidade de recolher redes de TI no mapa. Esta opção está ativada por predefinição.
A opção Visualização de Mapa Simplificada foi removida.
Também implementamos recursos globais de prontidão e acessibilidade para cumprir os padrões da Microsoft. No console do sensor local, essas atualizações incluem temas de exibição de tela de alto contraste e regulares e localização para mais de 15 idiomas.
Por exemplo:
Aceda às opções globais de prontidão e acessibilidade a partir do ícone Definições no canto superior direito do ecrã:
Página de visão geral do sensor aprimorado
A página Painel do portal de sensores do Defender for IoT foi renomeada como Visão geral e agora inclui dados que destacam melhor os detalhes da implantação do sistema, a integridade crítica do monitoramento da rede, os principais alertas e as tendências e estatísticas importantes.
A página Visão geral agora também serve como uma caixa preta para exibir o status geral do sensor caso suas conexões de saída, como para o portal do Azure, fiquem inativas.
Crie mais painéis usando a página Tendências e Estatísticas , localizada no menu Analisar à esquerda.
Novo registo de diagnósticos de suporte
Agora você pode obter um resumo do log e das informações do sistema que são adicionadas aos seus tíquetes de suporte. Na caixa de diálogo Backup e restauração, selecione Diagnóstico de tíquete de suporte.
Para obter mais informações, consulte Baixar um log de diagnóstico para obter suporte
Atualizações de alertas
No portal do Azure:
Os alertas agora estão disponíveis no Defender for IoT no portal do Azure. Trabalhe com alertas para melhorar a segurança e a operação da sua rede IoT/OT.
A nova página Alertas está atualmente em Visualização Pública e fornece:
- Uma visão agregada e em tempo real das ameaças detetadas pelos sensores de rede.
- Etapas de correção para dispositivos e processos de rede.
- Transmita alertas para o Microsoft Sentinel e capacite sua equipe SOC.
- Armazenamento de alertas por 90 dias a partir do momento em que são detetados pela primeira vez.
- Ferramentas para investigar a atividade de origem e destino, gravidade e status do alerta, informações MITRE ATT&CK e informações contextuais sobre o alerta.
Por exemplo:
No console do sensor:
No console do sensor, a página Alertas agora mostra detalhes de alertas detetados por sensores configurados com uma conexão de nuvem com o Defender for IoT no Azure. Os usuários que trabalham com alertas no Azure e no local devem entender como os alertas são gerenciados entre o portal do Azure e os componentes locais.
Outras atualizações de alerta incluem:
Acesse dados contextuais para cada alerta, como eventos que ocorreram na mesma época ou um mapa de dispositivos conectados. Os mapas de dispositivos conectados estão disponíveis apenas para alertas do console do sensor.
Os status dos alertas são atualizados e, por exemplo, agora incluem um status Fechado em vez de Confirmado.
Armazenamento de alertas por 90 dias a partir do momento em que são detetados pela primeira vez.
O alerta de atividade de backup com assinaturas antivírus. Esse novo aviso de alerta é acionado para o tráfego detetado entre um dispositivo de origem e o servidor de backup de destino, que geralmente é uma atividade de backup legítima. Alertas de malware críticos ou importantes não são mais acionados para essa atividade.
Durante as atualizações, os alertas do console do sensor que estão arquivados no momento são excluídos. Os alertas fixos não são mais suportados, portanto, os pinos são removidos para alertas do console do sensor, conforme relevante.
Para obter mais informações, consulte Exibir alertas no sensor.
Atualizações de alertas personalizados
A página Regras de alerta personalizadas do console do sensor agora fornece:
Informações de contagem de cliques na tabela Regras de alerta personalizadas, com detalhes imediatos sobre o número de alertas acionados na última semana para cada regra que você criou.
A capacidade de agendar regras de alerta personalizadas para serem executadas fora do horário normal de trabalho.
A capacidade de alertar em qualquer campo que possa ser extraído de um protocolo usando o mecanismo DPI.
Suporte completo a protocolos ao criar regras personalizadas e suporte para uma ampla gama de variáveis de protocolo relacionadas.
Para obter mais informações, consulte Criar regras de alerta personalizadas em um sensor OT.
Atualizações de comandos da CLI
A instalação do software do sensor Defender for IoT agora está em contêineres. Com o sensor agora em contêiner, você pode usar o usuário cyberx_host para investigar problemas com outros contêineres ou o sistema operacional, ou para enviar arquivos via FTP.
Esse usuário cyberx_host está disponível por padrão e se conecta à máquina host. Se precisar, recupere a senha do usuário cyberx_host na página Sites e sensores no Defender for IoT.
Como parte do sensor em contêiner, os seguintes comandos da CLI foram modificados:
| Nome legado | Substituição |
|---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
O sudo cyberx-xsense-limit-interface-I eth0 -l value comando CLI foi removido. Este comando foi usado para limitar a largura de banda da interface que o sensor usa para procedimentos do dia-a-dia e não é mais suportado.
Para obter mais informações, consulte Instalação do Defender para IoT, Trabalhar com comandos da CLI do Defender para IoT e Referência de comandos da CLI de sensores de rede OT.
Atualização para a versão 22.1.x
Para usar todos os recursos mais recentes do Defender for IoT, atualize as versões do software do sensor para 22.1.x.
Se você estiver em uma versão herdada, talvez seja necessário executar uma série de atualizações para chegar à versão mais recente. Você também precisará atualizar suas regras de firewall e reativar seu sensor com um novo arquivo de ativação.
Depois de atualizar para a versão 22.1.x, o novo log de atualização pode ser encontrado no seguinte caminho, acessado via SSH e o usuário cyberx_host : /opt/sensor/logs/legacy-upgrade.log.
Para obter mais informações, consulte Atualizar o software do sistema OT.
Nota
A atualização para a versão 22.1.x é uma atualização grande, e você deve esperar que o processo de atualização exija mais tempo do que as atualizações anteriores.
Novo modelo de conectividade e requisitos de firewall
O Defender for IoT versão 22.1.x suporta um novo conjunto de métodos de conexão de sensor que fornecem implantação simplificada, segurança aprimorada, escalabilidade e conectividade flexível.
Além das etapas de migração, esse novo modelo de conectividade exige que você abra uma nova regra de firewall. Para obter mais informações, consulte:
- Novos requisitos de firewall: acesso do sensor ao portal do Azure.
- Arquitetura: Métodos de conexão do sensor
- Procedimentos de conexão: Conecte seus sensores ao Microsoft Defender for IoT
Melhorias no protocolo
Esta versão do Defender for IoT oferece suporte aprimorado para:
- Profinet DCP
- Honeywell
- Deteção de pontos finais do Windows
Para obter mais informações, consulte Microsoft Defender para IoT - protocolos IoT, OT, ICS e SCADA suportados.
Opções e configurações modificadas, substituídas ou removidas
As seguintes opções e configurações do Defender for IoT foram movidas, removidas e/ou substituídas:
Os relatórios encontrados anteriormente na página Relatórios agora são mostrados na página Mineração de Dados . Você também pode continuar a exibir informações de mineração de dados diretamente do console de gerenciamento local.
A alteração de um nome de sensor gerenciado localmente agora é suportada apenas integrando o sensor ao portal do Azure novamente com o novo nome. Os nomes dos sensores não podem mais ser alterados diretamente do sensor. Para obter mais informações, consulte Carregar um novo arquivo de ativação.