OT ağ algılayıcılarında tehdit bilgileri paketlerini koruyun

  • Makale

Microsoft güvenlik ekipleri sürekli olarak özel ICS tehdit bilgileri ve güvenlik açığı araştırması çalıştırır. Güvenlik araştırması, Microsoft'un bulut altyapısı ve hizmetleri, geleneksel ürünler ve cihazlar ve iç şirket kaynaklarına yönelik güvenlik algılama, analiz ve yanıt sağlar.

IoT için Microsoft Defender, OT ağ algılayıcıları için düzenli olarak tehdit bilgileri paketi güncelleştirmeleri sunarak, ekiplerinizin uyarıları önceliklendirmesine ve önceliklendirmesine yardımcı olabilecek bilinen ve ilgili tehditlere ve içgörülere karşı daha fazla koruma sağlar.

Tehdit bilgileri paketleri kötü amaçlı yazılım imzaları, CVE'ler ve diğer güvenlik içeriği gibi imzalar içerir.

Gösterilen CVE puanları Ulusal Güvenlik Açığı Veritabanı (NVD) ile hizalanır ve cvSS v3 puanları ilgiliyse gösterilir. CvSS v3 puanı yoksa cvSS v2 puanı gösterilir.

Bahşiş

Ot ağ algılayıcılarınızın her zaman en son tehdit bilgileri paketinin yüklü olduğundan emin olmanız önerilir; böylece ortam etkilenmeden önce her zaman bir tehdidin tüm bağlamını ve daha fazla ilgililik, doğruluk ve eyleme dönüştürülebilir öneriler elde edebilirsiniz.

Yeni paketler hakkındaki duyurulara TechCommunity blogumuzdan ulaşabilirsiniz.

İzinler

Bu makaledeki yordamları gerçekleştirmek için şunlara sahip olduğunuzdan emin olun:

  • Azure'a eklenen bir veya daha fazla OT algılayıcısı.

  • Azure portalında ve güncelleştirmek istediğiniz OT ağ algılayıcılarında veya şirket içi yönetim konsolunda ilgili izinler.

    • Azure portalından tehdit bilgileri paketlerini indirmek için Azure portalına Güvenlik Okuyucusu, Güvenlik Yönetici, Katkıda Bulunan veya Sahip rolü olarak erişmeniz gerekir.

    • Azure portalından buluta bağlı OT algılayıcılarına tehdit bilgileri güncelleştirmeleri göndermek için Azure portalına Güvenlik Yönetici, Katkıda Bulunan veya Sahip rolü olarak erişmeniz gerekir.

    • Tehdit bilgileri paketlerini OT algılayıcılarına veya şirket içi yönetim konsollarına el ile yüklemek için, Yönetici kullanıcı olarak OT algılayıcısına veya şirket içi yönetim konsoluna erişmeniz gerekir.

Daha fazla bilgi için bkz. IoT için Defender ve Şirket içi kullanıcılar için Azure kullanıcı rolleri ve izinleri ve IoT için Defender ile OT izleme rolleri.

En son tehdit bilgileri paketini görüntüleme

IoT için Defender'da kullanılabilen en son paketi görüntülemek için:

Azure portalında Siteler ve algılayıcılar>Tehdit bilgileri güncelleştirmesi (Önizleme)Yerel güncelleştirme'yi> seçin. En son sunulan paketle ilgili ayrıntılar Algılayıcı TI güncelleştirme bölmesinde gösterilir. Örneğin:

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

Tehdit bilgileri paketlerini güncelleştirme

Aşağıdaki yöntemlerden herhangi birini kullanarak OT algılayıcılarınızdaki tehdit bilgileri paketlerini güncelleştirin:

Güncelleştirmeleri buluta bağlı algılayıcılara otomatik olarak gönderme

Tehdit bilgileri paketleri, IoT için Defender tarafından kullanıma sunuldukları için buluta bağlı algılayıcılara otomatik olarak güncelleştirilebilir.

Otomatik Tehdit Bilgileri Güncelleştirmeler seçeneği etkinken buluta bağlı algılayıcınızı ekleyerek otomatik paket güncelleştirmesini sağlayın. Daha fazla bilgi için bkz . IoT için Defender'a OT algılayıcıları ekleme.

OT algılayıcınızı yükledikten sonra güncelleştirme modunu değiştirmek için:

  1. Azure portalında IoT için Defender'da Siteler ve algılayıcılar'ı seçin ve değiştirmek istediğiniz algılayıcıyı bulun.
  2. Seçili OT algılayıcısı Düzenle için seçenekler (...) menüsünü seçin.>
  3. Gerektiğinde Otomatik Tehdit Bilgileri Güncelleştirmeler seçeneğini açın veya kapatın.

Güncelleştirmeleri buluta bağlı algılayıcılara el ile gönderme

Buluta bağlı algılayıcılarınız tehdit bilgileri paketleriyle otomatik olarak güncelleştirilebilir. Ancak daha muhafazakar bir yaklaşım benimsemek isterseniz, IoT için Defender'dan gelen paketleri algılayıcılara yalnızca gerekli olduğunu düşünüyorsanız gönderebilirsiniz. Güncelleştirmeleri el ile göndermek, paketi indirmenize ve ardından algılayıcılarınıza yüklemenize gerek kalmadan paketin ne zaman yükleneceğini denetlemenizi sağlar.

Güncelleştirmeleri tek bir OT algılayıcısına el ile göndermek için:

  1. Azure portalında IoT için Defender'da Siteler ve algılayıcılar'ı seçin ve güncelleştirmek istediğiniz OT algılayıcısını bulun.
  2. Seçili algılayıcı için seçenekler (...) menüsünü ve ardından Anında İletme Tehdit Bilgileri güncelleştirmesi'ni seçin.

Tehdit Bilgileri güncelleştirme durumu alanında güncelleştirme ilerleme durumu görüntülenir.

Güncelleştirmeleri birden çok OT algılayıcısına el ile göndermek için:

  1. Azure portalında IoT için Defender'da Siteler ve algılayıcılar'ı seçin. Güncelleştirmek istediğiniz OT algılayıcılarını bulun ve seçin.
  2. Tehdit bilgileri güncelleştirmeleri (Önizleme)Uzaktan güncelleştirme'yi> seçin.

Tehdit Bilgileri güncelleştirme durumu alanında, seçilen her algılayıcı için güncelleştirme ilerleme durumu görüntülenir.

Yerel olarak yönetilen algılayıcıları el ile güncelleştirme

Yerel olarak yönetilen OT algılayıcılarıyla çalışıyorsanız güncelleştirilmiş tehdit bilgileri paketlerini indirmeniz ve bunları algılayıcılarınıza el ile yüklemeniz gerekir.

Şirket içi yönetim konsoluyla da çalışıyorsanız tehdit bilgileri paketini şirket içi yönetim konsoluna yüklemenizi ve güncelleştirmeyi oradan göndermenizi öneririz.

Bahşiş

Bu seçenek, güncelleştirmeleri Azure portalından göndermek istemiyorsanız buluta bağlı algılayıcılar için de kullanılabilir.

Tehdit bilgileri paketlerini indirmek için:

  1. Azure portalında IoT için Defender'da Siteler ve algılayıcılar>Tehdit bilgileri güncelleştirmesi (Önizleme)Yerel güncelleştirme'yi> seçin.

  2. Algılayıcı TI güncelleştirme bölmesinde İndir'i seçerek en son tehdit bilgileri dosyasını indirin.

Azure portalından indirilen tüm dosyalar güven kökü tarafından imzalanarak makinelerinizin yalnızca imzalı varlıkları kullanması sağlanır.

Tek bir algılayıcıyı güncelleştirmek için:

  1. OT algılayıcınızda oturum açın ve ardından Sistem ayarları>Tehdit bilgileri'ne tıklayın.

  2. Tehdit bilgileri bölmesinde Dosyayı karşıya yükle'yi seçin. Örneğin:

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Azure portalından indirdiğiniz paketi bulun ve seçin ve algılayıcıya yükleyin.

Birden çok algılayıcıyı aynı anda güncelleştirmek için:

  1. Şirket içi yönetim konsolunuzda oturum açın ve Sistem ayarları'nı seçin.

  2. Algılayıcı Altyapısı Yapılandırma alanında, güncelleştirilmiş paketleri almak istediğiniz algılayıcıları seçin. Örneğin:

    Screenshot of where you can select which sensors you want to make changes to.

  3. Algılayıcı Tehdit Bilgileri Verileri bölümünde artı işaretini (+ ) seçin.

  4. Dosyayı Karşıya Yükle iletişim kutusunda DOSYAYA GÖZAT... öğesini seçerek güncelleştirme paketine göz atın ve paketi seçin. Örneğin:

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. Kapat'ı ve ardından DEĞIŞIKLIKLERI KAYDET'i seçerek tehdit bilgileri güncelleştirmesini seçilen tüm algılayıcılara gönderebilirsiniz.

    Screenshot of where you can save changes made to selected sensors on the management console.

Tehdit bilgileri güncelleştirme durumlarını gözden geçirme

Her OT algılayıcısında tehdit bilgileri güncelleştirme durumu ve sürüm bilgileri algılayıcının Sistem ayarlarında Tehdit bilgileri ayarlarında > gösterilir.

Buluta bağlı OT algılayıcıları için tehdit bilgileri verileri Siteler ve algılayıcılar sayfasında da gösterilir. Azure portalından tehdit bilgileri heykellerini görüntülemek için:

  1. Azure portalında IoT için Defender'da Site ve algılayıcılar'ı seçin.

  2. Tehdit istihbaratı heykellerini kontrol etmek istediğiniz OT algılayıcılarını bulun.

  3. OT algılayıcılarınız için aşağıdaki sütunların değerlerini not edin:

    Sütun adı Açıklama
    Threat Intelligence sürümü Sürüm adlandırma, paketin IoT için Defender tarafından oluşturulduğu güne dayanır.
    Tehdit Bilgileri modu Otomatik , yeni kullanılabilir paketlerin IoT için Defender tarafından kullanıma sunulduklarında algılayıcılara otomatik olarak yükleneceğini gösterir.

    El ile , yeni sunulan paketleri gerektiği gibi doğrudan algılayıcılara gönderebileceğinizi gösterir.
    Tehdit Bilgileri güncelleştirme durumu Aşağıdaki durumlardan birini gösterir:
    - Başarısız oldu
    - Devam Edenler
    - Güncelleştirme Kullanılabilir
    - Tamam

Bahşiş

Buluta bağlı bir OT algılayıcısı tehdit bilgileri güncelleştirmesinin başarısız olduğunu gösteriyorsa algılayıcı bağlantı ayrıntılarınızı denetlemenizi öneririz. Siteler ve algılayıcılar sayfasında Algılayıcı durumunu ve Son bağlı UTC sütunlarını denetleyin.

Sonraki adımlar

Daha fazla bilgi için bkz.