Поддержка пакетов аналитики угроз на сетевых датчиках OT

  • Статья

Группы безопасности Майкрософт постоянно выполняют собственные исследования угроз ICS и исследования уязвимостей. Исследования по безопасности обеспечивают обнаружение безопасности, аналитику и реагирование на облачную инфраструктуру и службы Майкрософт, традиционные продукты и устройства, а также внутренние корпоративные ресурсы.

Microsoft Defender для Интернета вещей регулярно предоставляет обновления пакетов аналитики угроз для сетевых датчиков OT, обеспечивая повышенную защиту от известных и соответствующих угроз и аналитических сведений, которые могут помочь командам в тризовых и приоритетных оповещениях.

Пакеты аналитики угроз содержат подписи, такие как сигнатуры вредоносных программ, CVEs и другое содержимое безопасности.

Показатели CVE отображаются в соответствии с национальной базой данных уязвимостей (NVD), а оценки CVSS версии 3 отображаются, если они актуальны. Если нет соответствующей оценки CVSS версии 3, то вместо этого отображается оценка CVSS версии 2.

Совет

Мы рекомендуем убедиться, что сетевые датчики OT всегда установлены в последнем пакете аналитики угроз, чтобы вы всегда имели полный контекст угрозы, прежде чем будет затронута среда, и повысить релевантность, точность и практические рекомендации.

Объявления о новых пакетах доступны в нашем блоге TechCommunity.

Разрешения

Чтобы выполнить процедуры в этой статье, убедитесь, что у вас есть:

  • Один или несколько датчиков OT, подключенных к Azure.

  • Соответствующие разрешения для портал Azure и любых сетевых датчиков OT или локальных консоль управления, которые требуется обновить.

    • Чтобы скачать пакеты аналитики угроз из портал Azure, вам потребуется доступ к портал Azure в качестве средства чтения безопасности, Администратор безопасности, участника или роли владельца.

    • Чтобы отправить обновления аналитики угроз на подключенные к облаку датчики OT из портал Azure, вам потребуется доступ к портал Azure как роль Администратор безопасности, участника или владельца.

    • Чтобы вручную отправить пакеты аналитики угроз в датчики OT или локальные консоль управления, вам потребуется доступ к датчику OT или локальному консоль управления в качестве пользователя Администратор.

Дополнительные сведения см. в статье о ролях пользователей и разрешениях Azure для Защитника Интернета вещей и локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

Просмотр последнего пакета аналитики угроз

Чтобы просмотреть последний пакет, доступный в Defender для Интернета вещей, выполните следующие действия.

В портал Azure выберите "Сайты" и датчики обновления аналитики>угроз (предварительная версия)>Локальное обновление. Сведения о последнем пакете доступны в области обновления датчика TI. Например:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Обновление пакетов аналитики угроз

Обновите пакеты аналитики угроз на датчиках OT с помощью любого из следующих методов:

  • Автоматические отправки обновлений на подключенные к облаку датчики OT по мере их выпуска.
  • Вручную отправлять обновления на подключенные к облаку датчики OT.
  • Скачайте пакет обновления и вручную отправьте его на датчик OT. Кроме того, отправьте пакет в локальную консоль управления и отправьте обновления из него на все подключенные датчики OT.

Автоматическое отправка обновлений на подключенные к облаку датчики

Пакеты аналитики угроз можно автоматически обновлять до облачных датчиков по мере их выпуска Defender для Интернета вещей.

Обеспечьте автоматическое обновление пакета, подключив датчик, подключенный к облаку, с включенным параметром "Автоматическая Обновления аналитика угроз". Дополнительные сведения см. в разделе "Подключение датчиков OT к Defender для Интернета вещей".

Чтобы изменить режим обновления после подключения датчика OT:

  1. В Defender для Интернета вещей на портал Azure выберите сайты и датчики, а затем найдите датчик, который нужно изменить.
  2. Выберите меню параметров (...) для выбранного датчика >OT Edit.
  3. При необходимости включите или отключите параметр "Автоматическая Обновления аналитика угроз".

Отправка обновлений вручную на подключенные к облаку датчики

Подключенные к облаку датчики можно автоматически обновлять с помощью пакетов аналитики угроз. Однако если вы хотите использовать более консервативный подход, можно отправлять пакеты из Defender для Интернета вещей на датчики только тогда, когда вы сочтете это необходимым. Отправка обновлений вручную позволяет управлять установкой пакета без необходимости скачать и отправить его на датчики.

Чтобы вручную отправлять обновления на один датчик OT, выполните следующие действия.

  1. В Defender для Интернета вещей на портал Azure выберите сайты и датчики и найдите датчик OT, который требуется обновить.
  2. Выберите меню параметров (...) для выбранного датчика, а затем нажмите кнопку "Отправить обновление аналитики угроз".

В поле Состояние обновления аналитики угроз отображается ход обновления.

Чтобы вручную отправлять обновления на несколько датчиков OT, выполните следующие действия.

  1. В Defender для Интернета вещей на портал Azure выберите сайты и датчики. Найдите и выберите датчики OT, которые требуется обновить.
  2. Выберите обновления аналитики угроз (предварительная версия)>Удаленное обновление.

В поле "Состояние обновления аналитики угроз" отображается ход обновления для каждого выбранного датчика.

Обновление локально управляемых датчиков вручную

Если вы работаете с локально управляемыми датчиками OT, необходимо скачать обновленные пакеты аналитики угроз и отправить их вручную на датчики.

Если вы также работаете с локальным консоль управления, рекомендуется отправить пакет аналитики угроз в локальную консоль управления и отправить обновление.

Совет

Этот параметр также можно использовать для облачных датчиков, если вы не хотите отправлять обновления из портал Azure.

Чтобы скачать пакеты аналитики угроз, выполните приведенные далее действия.

  1. В Defender для Интернета вещей в портал Azure выберите "Сайты" и датчики обновления аналитики>угроз (предварительная версия)>Локальное обновление.

  2. В области обновления Датчика TI выберите "Скачать", чтобы скачать последний файл аналитики угроз.

Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

Чтобы обновить один датчик, выполните следующее:

  1. Войдите в датчик OT и выберите "Аналитика> угроз" параметров системы.

  2. В области аналитики угроз выберите "Отправить файл". Например:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Перейдите к нему и выберите пакет, который вы скачали из портал Azure, и отправьте его на датчик.

Чтобы обновить несколько датчиков одновременно:

  1. Войдите в локальную консоль управления и выберите параметры системы.

  2. В области конфигурации обработчика датчиков выберите датчики, которые требуется получить обновленные пакеты. Например:

    Screenshot of where you can select which sensors you want to make changes to.

  3. В разделе "Данные аналитики угроз датчика" выберите знак плюса (+).

  4. В диалоговом окне "Отправить файл" выберите "ОБЗОР ФАЙЛА", чтобы перейти к пакету обновления и выбрать его. Например:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Выберите "ЗАКРЫТЬ ", а затем СОХРАНИТЕ ИЗМЕНЕНИЯ , чтобы отправить обновление аналитики угроз всем выбранным датчикам.

    Screenshot of where you can save changes made to selected sensors on the management console.

Просмотр состояний обновления аналитики угроз

На каждом датчике OT сведения о состоянии обновления аналитики угроз и версии отображаются в параметрах аналитики > угроз датчика.

Для подключенных к облаку датчиков OT данные аналитики угроз также отображаются на странице "Сайты и датчики ". Чтобы просмотреть статуи аналитики угроз из портал Azure:

  1. В Defender для Интернета вещей на портал Azure выберите сайт и датчики.

  2. Найдите датчики OT, где вы хотите проверка статуи аналитики угроз.

  3. Обратите внимание на значения следующих столбцов для датчиков OT:

    Имя столбца Description
    Версия аналитики угроз Название версии основано на дате, когда пакет был создан службой Defender для Интернета вещей.
    Режим аналитики угроз Автоматически означает, что новые доступные пакеты будут автоматически устанавливаться на датчики по мере их выпуска службой Defender для Интернета вещей.

    Вручную означает, что при необходимости вы можете отправлять новые доступные пакеты непосредственно на датчики.
    Состояние обновления аналитики угроз Отображает одно из следующих состояний:
    - Неудачно
    - Выполняется
    - Доступно обновление
    - Допустимо

Совет

Если подключенный к облаку датчик OT показывает, что обновление аналитики угроз завершилось сбоем, рекомендуется проверка сведения о подключении датчика. На странице "Сайты и датчики" проверка состояние датчика и столбцы last connected UTC.

Дальнейшие действия

Дополнительные сведения см. в разделе: