IoT için Microsoft Defender'daki yeni neler?

  • Makale
  • Okumak için 7 dakika

Not

IoT için Azure Defender, IoT için Microsoft Defender olarak yeniden adlandırıldı. Belgeler yakında güncelleştirilecektir.

Bu makalede, IoT için Defender'a yeni özellikler ve özellik geliştirmeleri listelanmıştır.

Noted features are in PREVIEW. Azure Önizleme Ek Koşulları, beta, önizleme veya henüz genel kullanılabilirlik aşamasında yayımlanmayacak Olan Azure özellikleri için geçerli olan diğer yasal koşulları içerir.

IoT için Defender sürümü ve desteği

Aşağıda IoT için Defender'a yönelik destek, yeni değişiklik ilkeleri ve şu anda kullanılabilen IoT için Defender sürümleri listelenmiştir.

Hizmet bilgileri ve zaman çizelgeleri

Microsoft, IoT için Defender güncelleştirmelerini her çeyrekte en az bir kez yayımlar. IoT için Defender algılayıcısı ve şirket içi yönetim konsollarının her genel kullanılabilirlik (GA) sürümü, yayından sonra dokuz aya kadar destekleniyor. Düzeltmeler ve yeni işlevler, şu anda destekte olan geçerli GA sürümüne uygulanır ve eski GA sürümlerine uygulanmaz.

Sürümler ve destek tarihleri

Sürüm Yayım tarihi Destek bitiş tarihi
10.0 01/2021 10/2021
10.3 04/2021 01/2022
10.5.2 10/2021 07/2022
10.5.3 10/2021 07/2022

Kasım 2021

IoT için Microsoft Defender'ın 10.5.3 sürümünde aşağıdaki özellik geliştirmeleri kullanılabilir.

  • Algılayıcılar artık 90 günlük arşivlenmiş uyarıları otomatik olarak siler.

  • Müşteri geri bildirimlerine göre dışarı aktarma uyarılarına yönelik geliştirmeler yapıldı.

  • Performans ve ağ trafiği analizi geliştirmeleri yapıldı.

  • Şirket içi yönetim konsoluna yeni bir ServiceNow Tümleştirme API'si - "/external/v3/integration/ (Önizleme) eklendi.

Ekim 2021

Aşağıdaki özellik geliştirmeleri, IoT için Azure Defender'nin 10.5.2 sürümüyle IoT için Azure Defender.

WINDOWS işletim modu algılamaları (Genel Önizleme)

Kullanıcılar artık WINDOWS işletim modu durumları, değişiklikleri ve riskleri görüntülemeye devam ediyor. MODE İşletim modu, BIR FIZIKSEL anahtar anahtarı VARSA, SWITCH mantıksal Çalıştırma durumu ve fiziksel Anahtar durumu oluşur.

Bu yeni özellik, güvenli olmayan PLC'leri algılayan güvenliğin iyileştirilmesine yardımcı olur ve sonuç olarak, BILGISAYAR PROGRAMı İndirmeleri gibi kötü amaçlı saldırıları önler. 2017'de petrya fabrikasına yapılan Triton saldırısı, bu tür risklerin etkisini göstermektedir. Bu bilgiler ayrıca operasyon mühendislerine kurumsal PLC'lerin operasyonel moduyla ilgili kritik görünürlük sağlar.

Güvenli olmayan mod nedir?

Anahtar durumu Program olarak algılanırsa veya Çalıştırma durumu Uzak veya Program olarak algılanırsa, IoT için DEFENDER tarafından güvenli olmayan olarak TANıMLANıR.

Görünürlük ve risk değerlendirmesi

  • Kuruluş PLC'lerinin VE bağlamsal cihaz bilgilerini görüntülemek için Cihaz Envanterini kullanın. Bu sütunu Envantere eklemek Ayarlar Cihaz Envanteri Bilgileri iletişim kutusunu kullanın.

    CIHAZ envanteri, WINDOWS işletim modunu gösterir.

  • Cihaz Özellikleri ekranındaKimlikler bölümünde, HER BIRİFİS'in güvenlik durumunu ve son değişiklik bilgilerini görüntüleme. Anahtar durumu Program olarak algılanırsa veya Çalıştırma durumu Uzak veya Program olarak algılanırsa, IoT için DEFENDER tarafından güvenli olmayan olarak TANıMLANıR. Cihaz Özellikleri SECURED Güvenli seçeneği false olarak okunur. Daha fazla bilgi için bkz. Cihaz özelliklerini görüntüleme ve yönetme.

    ÖZNITELIK bilgilerini gösteren öznitelikler ekranı.

  • Tümünü görüntüle DURUMU ÇALıŞTıRMA ve Anahtar Durumu durumlarını, BIR VERI Madenciliği ve BURP işletim modu bilgileriyle oluşturarak gösterir.

    VERI envanteri ekranı, BURK seçeneğini gösterir.

  • Güvenli olmayan modda ağ PLC'lerinin sayısını ve güvenli olmayan RISK risklerini azaltmak için kullanabileceğiniz ek bilgileri gözden geçirmek için Risk Değerlendirme Raporunu kullanın.

PCAP API'si

Yeni PCAP API'si, kullanıcının sensöre doğrudan erişim ile veya doğrudan erişim olmadan şirket içi yönetim konsolu aracılığıyla algılayıcıdan PCAP dosyalarını almalarına olanak sağlar.

Şirket İçi Yönetim Konsolu denetimi

Şirket içi yönetim konsolu için denetim günlükleri artık hangi değişikliklerin ve kimlerin yaptığına ilişkin araştırmayı kolaylaştırmak için dışarı aktarabilirsiniz.

Web kancası genişletilmiş

Web kancası genişletilmiş, uç noktasına ek veri göndermek için kullanılabilir. Genişletilmiş özellik, Web Kancası uyarısının tüm bilgilerini içerir ve rapora aşağıdaki bilgileri ekler:

  • sensorID
  • sensorName
  • zoneID
  • Bölgeadı
  • Siteıd
  • Sitename
  • sourceDeviceAddress
  • destinationDeviceAddress
  • düzeltmeAdımlar
  • Işlenen
  • additionalInformation

Sertifika parolaları için Unicode desteği

Artık algılayıcı sertifikası parolaları ile çalışırken Unicode karakterler de desteklemektedir. Daha fazla bilgi için bkz. Sertifikalar hakkında

Nisan 2021

Otomatik tehdit zekası güncelleştirmeleriyle çalışma (Genel Önizleme)

Yeni tehdit zekası paketleri artık IoT için Microsoft Defender tarafından yayınlandıklarından buluta bağlı algılayıcılara otomatik olarak verilebiliyor. Bu, tehdit zekası paketlerini indirmeye ve ardından algılayıcılara yüklemeye ek olarak da kullanılır.

Otomatik güncelleştirmelerle çalışmak, operasyonel çabaları azaltmaya ve daha fazla güvenlik sağlamaya yardımcı olur. Otomatik Tehdit Bilgileri Güncelleştirmeleri iki durumlu düğme açıkken IoT için Defender portalında buluta bağlı algılayıcınızı kullanarak otomatik güncelleştirmeyi etkinleştirin.

Tehdit bilgileri verilerinizi güncelleştirmek için daha tutucu bir yaklaşım benimsemek için paketleri IoT için Azure Defender portaldan buluta bağlı algılayıcılara yalnızca gerekli olduğunu hissederek el ile atabilirsiniz. Bu, paketi indirmenize ve ardından algılayıcılara yüklemenize gerek kalmadan paketin ne zaman yük olduğunu denetlemenize yardımcı olur. IoT Siteleri ve Algılayıcıları için Defender sayfasından algılayıcılara el ile güncelleştirmeler anından.

Ayrıca tehdit bilgileri paketleri hakkında aşağıdaki bilgileri de gözden geçirebilirsiniz:

  • Paket sürümü yüklü
  • Tehdit bilgileri güncelleştirme modu
  • Tehdit bilgileri güncelleştirme durumu

Buluta bağlı algılayıcı bilgilerini görüntüleme (Genel Önizleme)

Siteler ve Algılayıcılar sayfasında buluta bağlı algılayıcılar hakkında önemli operasyonel bilgileri görüntüleyebilirsiniz.

  • Algılayıcı sürümü yüklü
  • Buluta algılayıcı bağlantı durumu.
  • Algılayıcının buluta bağlanırken son algılandığında.

Uyarı API'si geliştirmeleri

Uyarı API'leri ile çalışan kullanıcılar için yeni alanlar kullanılabilir.

Şirket içi yönetim konsolu

  • Kaynak ve hedef adres
  • Düzeltme adımları
  • Kullanıcı tarafından tanımlanan algılayıcının adı
  • Algılayıcıyla ilişkili bölgenin adı
  • Algılayıcıyla ilişkili sitenin adı

Sensör

  • Kaynak ve hedef adres
  • Düzeltme adımları

Yeni alanlarla çalışırken API sürüm 2 gereklidir.

Genel Kullanıma Açık (GA) olarak teslim edilen özellikler

Daha önce Genel Önizleme için kullanılabilen aşağıdaki özellikler artık Genel Kullanıma Açık (GA) özelliklerdir:

  • Algılayıcı - gelişmiş özel uyarı kuralları
  • Şirket içi yönetim konsolu - uyarıları dışarı aktarma
  • Şirket içi yönetim konsoluna ikinci ağ arabirimi ekleme
  • Cihaz oluşturucu - yeni mikro aracı

Mart 2021

Algılayıcı - gelişmiş özel uyarı kuralları (Genel Önizleme)

Artık algılanan gün, gün grubu ve zaman dönemi ağ etkinliğine göre özel uyarı kuralları oluşturabilirsiniz. Gün ve saat kuralı koşullarıyla çalışmak, örneğin uyarı önem derecenin uyarı olayı gerçekleştiklerinden türetilen durumlarda yararlıdır. Örneğin, bir hafta sonu veya akşam ağ etkinliği algılandığında yüksek önem derecesine sahip bir uyarı tetikleyen özel bir kural oluşturun.

Bu özellik, 10.2 sürümüyle birlikte algılayıcıda kullanılabilir.

Şirket içi yönetim konsolu - uyarıları dışarı aktarma (Genel Önizleme)

Uyarı bilgileri artık şirket içi yönetim konsolundan .csv bir dosyaya aktarabilirsiniz. Algılanan tüm uyarıların bilgilerini dışarı aktarabilirsiniz veya bilgileri filtrelenmiş görünüme göre dışarı aktarabilirsiniz.

Bu özellik, sürüm 10.2 ile birlikte şirket içi yönetim konsolunda kullanılabilir.

Şirket içi yönetim konsoluna ikinci ağ arabirimi ekleme (Genel Önizleme)

Artık şirket içi yönetim konsolunuza ikinci bir ağ arabirimi ekleyerek dağıtım güvenliğinizi artırabilirsiniz. Bu özellik, şirket içi yönetiminizin bağlı algılayıcılarını tek bir güvenli ağ üzerinde bulundurarak kullanıcılarının ikinci bir ayrı ağ arabirimi aracılığıyla şirket içi yönetim konsoluna erişmesini sağlar.

Bu özellik, sürüm 10.2 ile birlikte şirket içi yönetim konsolunda kullanılabilir.

Ocak 2021

Güvenlik

Bu sürüm için sertifika ve parola kurtarma geliştirmeleri yapıldı.

Sertifikalar

Bu sürüm şunları sağlar:

  • Upload SSL sertifikalarını doğrudan algılayıcılara ve şirket içi yönetim konsollarına kullanın.
  • Şirket içi yönetim konsolu ile bağlı algılayıcılar arasında ve bir yönetim konsolu ile Yüksek Kullanılabilirlik yönetim konsolu arasında doğrulama gerçekleştirin. Doğrulama, sona erme tarihlerini, kök CA orijinalliğini ve Sertifika İptal Listeleri'ne göredir. Doğrulama başarısız olursa oturum devam eder.

Yükseltmeler için:

  • Yükseltme sırasında SSL sertifikasında veya doğrulama işlevinde bir değişiklik yoktur.
  • Yükseltmeden sonra, algılayıcı ve şirket içi yönetim konsolu yönetici kullanıcıları SSL sertifikalarını değiştirebilir veya System Ayarlar, SSL Sertifikası penceresinden SSL sertifika doğrulamasını etkinleştirebilirsiniz.

Yeni Yüklemeler için:

  • İlk kez oturum açma sırasında kullanıcıların SSL Sertifikası (önerilir) veya yerel olarak oluşturulmuş otomatik olarak imzalanan bir sertifika (önerilmez) kullanmaları gerekir
  • Yeni yüklemeler için sertifika doğrulaması varsayılan olarak açıktır.

Parola kurtarma

Algılayıcı ve şirket içi yönetim konsolu Yönetim kullanıcıları artık parolaları IoT için Azure Defender kurtarabilirsiniz. Daha önce parola kurtarma, destek ekibi tarafından müdahale gerektirmektedir.

Ekleme

Şirket içi yönetim konsolu - kaydedilmiş cihazlar

Şirket içi yönetim konsolunda ilk oturum açmanın ardından kullanıcıların artık bir etkinleştirme dosyasını karşıya yüklemesi gerekir. Dosya, kuruluş ağın üzerinde izlenir cihazların toplam sayısını içerir. Bu sayı, işlenen cihazların sayısı olarak adlandırılır. Kaydedilmiş cihazlar, etkinleştirme dosyasının IoT için Azure Defender portalda ekleme işlemi sırasında tanımlanır. İlk kez yükseltme yapılan kullanıcılar ve kullanıcılar, etkinleştirme dosyasını karşıya yüklemek için gereklidir. İlk etkinleştirmeden sonra, ağ üzerinde algılanan cihaz sayısı, işlenen cihaz sayısını aşabilirsiniz. Örneğin yönetim konsoluna daha fazla algılayıcı bağsanız bu olay meydana gelir. Algılanan cihaz sayısı ile işlenen cihaz sayısı arasında bir tutarsızlık varsa, yönetim konsolunda bir uyarı görüntülenir. Bu olay oluşursa yeni bir etkinleştirme dosyasını karşıya yükleyebilirsiniz.

Fiyatlandırma sayfası seçenekleri

Fiyatlandırma sayfası, yeni abonelikleri ağ IoT için Azure Defender ve kaydedilmiş cihazları tanımlamanıza olanak tanır.
Buna ek olarak, Fiyatlandırma sayfası artık bir algılayıcıyla ilişkili mevcut abonelikleri yönetmenize ve cihaz taahhüdünü güncelleştirmenizi sağlar.

Yerleşik algılayıcıları görüntüleme ve yönetme

Yeni bir Site ve Algılayıcılar portalı sayfası şunları sağlar:

  • Algılayıcı hakkında açıklayıcı bilgiler ekleyin. Örneğin, algılayıcıyla ilişkili bir bölge veya serbest metin etiketleri.
  • Algılayıcı bilgilerini görüntüleme ve filtreleme. Örneğin buluta bağlı veya yerel olarak yönetilen algılayıcıların ayrıntılarını veya belirli bir uzlanda yer alan algılayıcılar hakkında bilgi görüntüleme.

Kullanılabilirlik

Azure Sentinel bağlayıcı sayfası

IoT için Azure Defender veri bağlayıcısı Azure Sentinel yeniden tasarlandı. Veri bağlayıcısı artık IoT Hub'ları yerine abonelikleri temel almaktadır; müşterilerin yapılandırma bağlantılarını daha iyi yönetmelerine olanak Azure Sentinel.

Azure portal güncelleştirmeleri

Güvenlik Okuyucusu ve Güvenlik Yöneticisi desteği eklendi.

Diğer güncelleştirmeler

Erişim grubu - bölge izinleri

Şirket içi yönetim konsolu Erişim Grubu kuralları, belirli bir bölgeye erişim izni ver seçeneğini içermez. Siteleri, bölgeleri ve iş birimlerini kullanan kuralları tanımlamada bir değişiklik yoktur. Yükseltmeden sonra, belirli bölgelere erişime izin veren kurallar içeren Erişim Grupları, tüm bölgeleri de dahil olmak üzere üst sitesine erişime izin verecek şekilde değiştirilir.

Terminoloji değişiklikleri

Varlık terimi algılayıcıda ve şirket içi yönetim konsolunda, raporlarda ve diğer çözüm arabirimlerde cihaz olarak yeniden adlandırıldı. Algılayıcı ve şirket içi yönetim konsolu Uyarılarında Bu Olayı Yönet terimi Düzeltme Adımları olarak adlandırılmıştır.

Sonraki adımlar

IoT için Defender'ı çalışmaya başlama