Underhålla hotinformationspaket på OT-nätverkssensorer

  • Artikel

Microsofts säkerhetsteam kör kontinuerligt proprietär ICS-hotinformation och sårbarhetsforskning. Säkerhetsforskning ger säkerhetsidentifiering, analys och svar på Microsofts molninfrastruktur och -tjänster, traditionella produkter och enheter samt interna företagsresurser.

Microsoft Defender för IoT levererar regelbundet uppdateringar av hotinformationspaket för OT-nätverkssensorer, vilket ger ökat skydd mot kända och relevanta hot och insikter som kan hjälpa dina team att sortera och prioritera aviseringar.

Hotinformationspaket innehåller signaturer, till exempel signaturer för skadlig kod, CVE:er och annat säkerhetsinnehåll.

CVE-poäng som visas är i linje med den nationella sårbarhetsdatabasen (NVD) och CVSS v3-poäng visas om de är relevanta. Om det inte finns någon RELEVANT CVSS v3-poäng visas CVSS v2-poängen i stället.

Dricks

Vi rekommenderar att du ser till att dina OT-nätverkssensorer alltid har det senaste paketet för hotinformation installerat så att du alltid har hela kontexten för ett hot innan en miljö påverkas, samt ökad relevans, noggrannhet och åtgärdsrekommendationer.

Meddelanden om nya paket finns i vår TechCommunity-blogg.

Behörigheter

Kontrollera att du har följande för att utföra procedurerna i den här artikeln:

  • En eller flera OT-sensorer som registrerats i Azure.

  • Relevanta behörigheter på Azure-portalen och eventuella OT-nätverkssensorer eller lokala hanteringskonsoler som du vill uppdatera.

    • Om du vill ladda ned hotinformationspaket från Azure-portalen behöver du åtkomst till Azure-portalen som säkerhetsläsare, säkerhetsadministratör, deltagare eller ägare.

    • Om du vill skicka uppdateringar av hotinformation till molnanslutna OT-sensorer från Azure-portalen behöver du åtkomst till Azure-portalen som säkerhetsadministratör, deltagare eller ägare .

    • Om du vill ladda upp hotinformationspaket manuellt till OT-sensorer eller lokala hanteringskonsoler behöver du åtkomst till OT-sensorn eller den lokala hanteringskonsolen som administratörsanvändare .

Mer information finns i Användarroller och behörigheter i Azure för Defender för IoT - och lokala användare och roller för OT-övervakning med Defender för IoT.

Visa det senaste paketet med hotinformation

Så här visar du det senaste paketet som är tillgängligt från Defender för IoT:

I Azure-portalen väljer du Platser och sensorer>Uppdatering av hotinformation (förhandsversion)>Lokal uppdatering. Information om det senaste tillgängliga paketet visas i sensor-TI-uppdateringsfönstret. Till exempel:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Uppdatera hotinformationspaket

Uppdatera hotinformationspaket på dina OT-sensorer med någon av följande metoder:

  • Få uppdateringar som skickas till molnanslutna OT-sensorer automatiskt när de släpps.
  • Skicka uppdateringar till molnanslutna OT-sensorer manuellt.
  • Ladda ned ett uppdateringspaket och ladda upp det manuellt till din OT-sensor. Alternativt laddar du upp paketet till en lokal hanteringskonsol och push-överför uppdateringarna därifrån till eventuella anslutna OT-sensorer.

Skicka uppdateringar automatiskt till molnanslutna sensorer

Hotinformationspaket kan uppdateras automatiskt till molnanslutna sensorer när de släpps av Defender för IoT.

Kontrollera automatisk paketuppdatering genom att registrera din molnanslutna sensor med alternativet Automatisk hotinformation Uppdateringar aktiverat. Mer information finns i Publicera OT-sensorer till Defender för IoT.

Så här ändrar du uppdateringsläget när du har registrerat ot-sensorn:

  1. I Defender för IoT på Azure-portalen väljer du Platser och sensorer och letar sedan upp den sensor som du vill ändra.
  2. Välj alternativmenyn (...) för den valda OT-sensorn> Redigera.
  3. Aktivera eller inaktivera alternativet Automatisk hotinformation Uppdateringar efter behov.

Skicka uppdateringar till molnanslutna sensorer manuellt

Dina molnanslutna sensorer kan uppdateras automatiskt med hotinformationspaket. Men om du vill använda en mer konservativ metod kan du bara push-överföra paket från Defender för IoT till sensorer när du känner att det behövs. Genom att skicka uppdateringar manuellt kan du styra när ett paket installeras, utan att behöva ladda ned och sedan ladda upp det till dina sensorer.

Så här skickar du uppdateringar till en enda OT-sensor manuellt:

  1. I Defender för IoT på Azure-portalen väljer du Platser och sensorer och letar upp den OT-sensor som du vill uppdatera.
  2. Välj alternativmenyn (...) för den valda sensorn och välj sedan Push Threat Intelligence-uppdatering.

I fältet Uppdateringsstatus för Hotinformation visas uppdateringsförloppet.

Så här skickar du uppdateringar till flera OT-sensorer manuellt:

  1. I Defender för IoT på Azure-portalen väljer du Platser och sensorer. Leta upp och välj de OT-sensorer som du vill uppdatera.
  2. Välj Uppdateringar av hotinformation (förhandsversion)>Fjärruppdatering.

I fältet Uppdateringsstatus för Hotinformation visas uppdateringsförloppet för varje vald sensor.

Uppdatera lokalt hanterade sensorer manuellt

Om du arbetar med lokalt hanterade OT-sensorer måste du ladda ned de uppdaterade paketen för hotinformation och ladda upp dem manuellt på dina sensorer.

Om du också arbetar med en lokal hanteringskonsol rekommenderar vi att du laddar upp paketet med hotinformation till den lokala hanteringskonsolen och push-överför uppdateringen därifrån.

Dricks

Det här alternativet kan också användas för molnanslutna sensorer om du inte vill push-överföra uppdateringarna från Azure-portalen.

Så här laddar du ned hotinformationspaket:

  1. I Defender för IoT på Azure-portalen väljer du Platser och sensorer>Uppdatering av hotinformation (förhandsversion)>Lokal uppdatering.

  2. I fönstret Sensor TI-uppdatering väljer du Ladda ned för att ladda ned den senaste hotinformationsfilen.

Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.

Så här uppdaterar du en enda sensor:

  1. Logga in på ot-sensorn och välj sedan Systeminställningar>Hotinformation.

  2. I fönstret Hotinformation väljer du Ladda upp fil. Till exempel:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Bläddra till och välj det paket som du hade laddat ned från Azure-portalen och ladda upp det till sensorn.

Så här uppdaterar du flera sensorer samtidigt:

  1. Logga in på den lokala hanteringskonsolen och välj Systeminställningar.

  2. I området Konfiguration av sensormotor väljer du de sensorer som du vill ta emot de uppdaterade paketen. Till exempel:

    Screenshot of where you can select which sensors you want to make changes to.

  3. I avsnittet Sensor Threat Intelligence Data (Sensor Threat Intelligence Data ) väljer du plustecknet (+).

  4. I dialogrutan Ladda upp fil väljer du BLÄDDRA FIL... för att bläddra till och välja uppdateringspaketet. Till exempel:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Välj STÄNG och sedan SPARA ÄNDRINGAR för att skicka uppdateringen av hotinformationen till alla valda sensorer.

    Screenshot of where you can save changes made to selected sensors on the management console.

Granska status för uppdatering av hotinformation

På varje OT-sensor visas uppdateringsstatus för hotinformation och versionsinformation i sensorns systeminställningar Hotinformationsinställningar.>

För molnanslutna OT-sensorer visas även hotinformationsdata på sidan Platser och sensorer . Så här visar du statyer av hotinformation från Azure-portalen:

  1. I Defender för IoT på Azure-portalen väljer du Webbplats och sensorer.

  2. Leta upp OT-sensorerna där du vill kontrollera statyerna för hotinformation.

  3. Observera värdena för följande kolumner för dina OT-sensorer:

    Kolumnnamn beskrivning
    Threat Intelligence-version Versionsnamngivning baseras på dagen då paketet skapades av Defender för IoT.
    Hotinformationsläge Automatiskt anger att nyligen tillgängliga paket installeras automatiskt på sensorer när de släpps av Defender för IoT.

    Manuellt anger att du kan skicka nyligen tillgängliga paket direkt till sensorer efter behov.
    Uppdateringsstatus för hotinformation Visar någon av följande statusar:
    - Misslyckades
    - Pågår
    - Tillgänglig uppdatering
    - Ok

Dricks

Om en molnansluten OT-sensor visar att en uppdatering av hotinformationen har misslyckats rekommenderar vi att du kontrollerar informationen om sensoranslutningen. På sidan Platser och sensorer kontrollerar du sensorstatus och Senaste anslutna UTC-kolumner.

Nästa steg

Mer information finns i: