適用於 IoT 的 Microsoft Defender 中有什麼新功能?
本文說明適用於 IoT 的 Microsoft Defender 中橫跨 OT 和企業 IoT 網路、在內部部署和 Azure 入口網站中提供,同時適用於在過去九個月內發行之版本的可用功能。
發行時間超過九個月的功能已詳述於適用於 IoT 的 Microsoft Defender 組織新功能封存中。 如需特定於 OT 監視軟體版本的詳細資訊,請參閱 OT 監視軟體發行備註 (部分機器翻譯)。
注意
下面所列出的已註明功能為預覽版。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
2024 年 4 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | - 感測器主控台的單一登錄 - 感測器時間漂移偵測 - 安全性更新 |
感測器主控台的單一登錄
您可以使用 Microsoft Entra ID 為適用於IoT的Defender感測器控制台設定單一登入 (SSO)。 SSO 可讓您為組織的用戶簡單登入、讓您的組織符合法規標準,以及提高安全性狀態。 使用 SSO 時,您的使用者不需要跨不同感測器和月臺的多個登入認證。
使用 Microsoft Entra ID 可簡化上線和下線程式、減少系統管理額外負荷,並確保整個組織的一致訪問控制。
如需詳細資訊,請參閱 設定感測器主控台的單一登錄。
感測器時間漂移偵測
此版本在連線工具功能中引進了新的疑難解答測試,專為識別時間漂移問題而設計。
在 Azure 入口網站 中將感測器連線到適用於IoT的Defender時,有一個常見的挑戰是感測器的UTC時間不一致,這可能會導致連線問題。 若要解決此問題,建議您在感測器設定中設定網路時間通訊協定 (NTP) 伺服器。
安全性更新
此更新會解決六個 CES,其列在 軟體 23.1.3 功能檔中。
2024 年 2 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 版本 24.1.2: - 來自 Azure 入口網站的警示歸併規則 (公開預覽) - OT/IT 環境的聚焦警示 - 警示識別碼現在已於 Azure 入口網站和感應器主控台之間達成一致 - 新支援的通訊協定 雲端功能 - Azure 入口網站中的新授權續約提醒 - 新的 OT 裝置硬體設定檔 - SNMP MIB OIDs 的新欄位 |
來自 Azure 入口網站的警示歸併規則 (公開預覽)
現在您可以從 Azure 入口網站設定警示歸併規則,以將您的 OT 感應器指示至您網路上的指定流量,以避免觸發警示。
- 透過指定警示標題、IP/MAC 位址、主機名稱、子網路、感應器或站台,來設定要歸併哪一個警示。
- 設定要讓哪一個歸併規則持續保持作用,或是僅在預先定義的期間內作用,例如針對特定的維護期間。
提示
如果您目前在內部部署管理主控台上使用排除規則,建議您將其移轉至 Azure 入口網站上的歸併規則。 如需詳細資訊,請參閱歸併不相關的警示。
OT/IT 環境的聚焦警示
在 OT 和 IT 網路之間部署許多感應器的組織需要處理許多關於 OT 和 IT 流量的警示。 其中一些無關緊要的警示數目可能會導致警示疲勞並影響整體效能。
為了解決這些挑戰,我們已更新適用於 IoT 的 Defender 的偵測原則,以根據商務影響和網路內容自動觸發警示,並減少低價值 IT 相關警示的數目。
如需詳細資訊,請參閱 OT/IT 環境的聚焦警示 (部分機器翻譯)。
警示識別碼現在已於 Azure 入口網站和感應器主控台之間達成一致
Azure 入口網站 [警示] 頁面上 [識別碼] 欄中的警示識別碼現在會顯示與感應器主控台相同的警示識別碼。 深入了解 Azure 入口網站中的警示。
注意
如果警示與偵測到相同警示感應器的其他警示合併 (部分機器翻譯),則 Azure 入口網站會顯示第一個產生警示感應器的警示識別碼。
新支援的通訊協定
我們現在支援這些通訊協定:
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Rockwell AADvance Discover
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
已不再支援 L60 硬體設定檔
已不再支援 L60 硬體設定檔,且已經將其從支援文件中移除。 硬體設定檔現在需要至少 100GB (最低硬體設定檔現在是 L100)。
若要從 L60 設定檔移轉至支援的設定檔,請遵循備份並還原 OT 網路感應器 (部分機器翻譯) 程序。
Azure 入口網站中的新授權續約提醒
當您 OT 站台有一或多個授權即將到期時,現在會在 Azure 入口網站中適用於 IoT 的 Defender 頂端顯示一則附註,提醒您對授權進行續約。 若要繼續從適用於 IoT 的 Defender 取得安全性價值,請選取附註中的連結以在 Microsoft 365 系統管理中心中對相關授權進行續約。 深入了解適用於 IoT 的 Defender 帳單 (部分機器翻譯)。
新的 OT 裝置硬體設定檔
DELL XE4 SFF 設備現在支援 OT 感測器監視生產線。 這是 L500 硬體配置檔的一部分,這是生產線環境,具有六個核心、8 GB RAM 和 512 GB 磁碟記憶體。
如需詳細資訊,請參閱 DELL XE4 SFF。
SNMP MIB OIDs 的新欄位
其他標準、泛型欄位已新增至 SNMP MiB OID。 如需欄位的完整清單,請參閱 手動 SNMP 設定的 OT 感測器 OID。
2024 年一月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | Azure 入口網站中的感應器更新現在支援選取特定版本 |
Azure 入口網站中的感應器更新現在支援選取特定版本
當您在 Azure 入口網站中更新感應器時,您現在可以選擇更新至支援的任何舊版版本 (最新版本以外的版本)。 之前,在 Azure 入口網站上適用於 IoT 的 Microsoft Defender 中上線的感應器都會自動更新至最新版本。
基於各種原因,建議您將感應器更新至特定版本,例如基於測試目的,或是讓所有感應器都使用相同的版本。
![[感測器更新] 窗格的螢幕快照,其中具有選擇感測器更新版本的選項。](media/whats-new/send-package-multiple-versions.png#lightbox)
如需詳細資訊,請參閱更新適用於 IOT 的 Defender OT 監視軟體。
| OT 網路 |24.1.0 版:
- 來自 Azure 入口網站的警示歸併規則 (公開預覽)|
2023 年 12 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 適用於混合式和實體隔離斷網支援的新架構 23.2.0 版: - OT 網路感應器現在改為在 Debian 11 上執行 - 預設特殊權限使用者現在會是 admin 而非 support 雲端功能: - 雲端式感應器更新的即時狀態 - 簡化 SecurityAlert 資料表中的警示記錄 |
OT 網路感應器現在改為在 Debian 11 上執行
感測器 23.2.0 版會在 Debian 11 操作系統上執行,而不是 Ubuntu。 Debian 為廣泛用於伺服器和內嵌裝置的 Linux 型作業系統,並且以比其他作業系統更為精簡,並具備良好的穩定性、安全性及廣泛的硬體支援而聞名。
使用 Debian 作為我們感應器軟體的基礎,有助於減少在感應器上安裝的套件數目,進一步提升您系統的效率和安全性。
基於作業系統的切換,從舊版升更新至 23.2.0 版的軟體更新可能需要花更長的時間,以及更大的下載量。
如需詳細資訊,請參閱從感應器主控台備份並還原 OT 網路感應器 (部分機器翻譯) 和更新適用於 IoT 的 Defender OT 監視軟體 (部分機器翻譯)。
預設特殊權限使用者現在會是 admin 而非 support
從 23.2.0 版開始,搭配新的 OT 感應器安裝一起安裝的預設特殊權限使用者將會是 admin 使用者,而非 support 使用者。
例如,請在下列案例中使用具特殊權限的 admin 使用者:
在安裝後首次登入新的感應器。 如需詳細資訊,請參閱設定並啟動 OT 感應器 (部分機器翻譯)。
使用適用於 IoT 的 Defender CLI。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender CLI 命令。
存取感應器的 [支援] 頁面。
重要
當您將您的感應器軟體從舊版更新到 23.2.0 版時,系統會將具特殊權限的 support 使用者自動重新命名為 admin。如果您已儲存您的 support 認證,例如在 CLI 指令碼中,您必須更新您的指令碼以改為使用新的 admin 使用者。
舊版 support 使用者僅在早於 23.2.0 的版本中提供及支援。
如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色 (部分機器翻譯)。
適用於混合式和實體隔離斷網支援的新架構
混合式和實體隔離斷網的網路在許多產業中都很常見,例如政府、金融服務業,或是工業製造業。 實體隔離斷網網路會與其他不安全的外部網路 (例如企業網路或網際網路) 分開,因此較不容易遭受網路攻擊。 不過,實體隔離斷網網路並非完全安全的,且仍可能遭到入侵,因此必須仔細保護並監視。
針對連線至及監視混合式和實體隔離斷網網路,適用於 IoT 的 Defender 現在已提供新的指導方針。 新的架構指導方針是設計來提升您 SOC 作業的效率、安全性及可靠性,且具有較少需要維護和疑難排解的元件。 用於新架構的感應器技術可讓您進行內部部署處理,以將資料保留在您自己的網路內,進一步減少對雲端資源的需求並改善效能。
下圖顯示我們對監視和維護適用於 IoT 的 Defender 系統之建議的簡易概略架構,其中每個 OT 感應器都會連線至位於雲端或內部部署的多個安全性管理系統。
在這個影像範例,警示、syslog 訊息及 API 的通訊以黑色實線表示。 內部部署管理通訊是以純紫色線條表示,而雲端/混合式管理通訊則是以黑色虛線表示。
我們建議目前使用內部部署管理主控台來管理 OT 感應器的現有客戶轉換至更新的架構指導方針。
如需詳細資訊,請參閱部署混合式或實體隔離斷網 OT 感應器管理 (部分機器翻譯)。
內部部署管理主控台淘汰
在 2025 年 1 月 1 日之後,舊版內部部署管理主控台便不提供下載。 我們建議在此日期之前使用完整的內部部署和雲端 API 來轉換至新的架構。
在 2025 年 1 月 1 日之後發行的感應器版本將無法使用內部部署管理主控台加以管理。
在 2024 年 1 月 1 日至 2025 年 1 月 1 日之間發行的感應器軟體版本將繼續支援內部部署管理主控台發行。
無法連線至雲端的實體隔離斷網感應器,可以直接透過感應器主控台或使用 REST API 來加以管理。
如需詳細資訊,請參閱
- 從舊版內部部署管理主控台進行轉換 (部分機器翻譯)。
- 內部部署軟體版本的版本設定與支援 (部分機器翻譯)
雲端式感應器更新的即時狀態
從 Azure 入口網站執行感應器更新時,會在更新流程期間在 [感應器版本] 欄中出現新的進度列。 隨著更新的進行,進度列會顯示已完成更新的百分比,讓您知道該流程仍在進行中,且並未停滯或失敗。 例如:
![[感測器版本] 資料行中更新列的螢幕快照。](media/whats-new/sensor-version-update-bar.png#lightbox)
如需詳細資訊,請參閱更新適用於 IOT 的 Defender OT 監視軟體。
簡化 SecurityAlert 資料表中的警示記錄
與 Microsoft Sentinel 整合時,Microsoft Sentinel [SecurityAlert] 資料表現在僅會針對警示狀態和嚴重性的變更立即更新。 其他的警示變更 (例如現有警示的最後一次偵測) 會經過數小時的彙總,並僅顯示最近所做的變更。
如需詳細資訊,請參閱了解每個警示的多個記錄。
2023 年 11 月
| 服務區域 | 更新 |
|---|---|
| 企業 IoT 網路 | 企業 IoT 保護現在已包括在 Microsoft 365 E5 和 E5 安全性授權中 |
| OT 網路 | 更新的安全性堆疊整合指導方針 |
企業 IoT 保護現在已包括在 Microsoft 365 E5 和 E5 安全性授權中
搭配適用於 IoT 的 Defender 的企業 IoT (EIoT) 安全性能探索到非受控的 IoT 裝置,同時提供額外的安全性價值,包括持續監視、弱點評量,以及特別針對企業 IoT 裝置設計的量身訂做建議。 透過在 Microsoft Defender 入口網站上與 Microsoft Defender XDR、Microsoft Defender 弱點管理,以及適用於端點的 Microsoft Defender 順暢整合,能確保以整體性的方式保護組織的網路。
適用於 IoT 的 Defender EIoT 監視現在已作為 Microsoft 365 E5 (ME5) 和 E5 Security 方案的一部分自動受到支援,且針對每個使用者授權都能涵蓋最多五部裝置。 例如,如果您的組織擁有 500 個 ME5 授權,就可以使用適用於 IoT 的 Defender 來監視最多 2500 部 EIoT 裝置。 此整合能大幅強化您位於 Microsoft 365 環境內的 IoT 生態系統。
擁有 ME5 或 E5 安全性方案,但尚未針對其 EIoT 裝置使用適用於 IoT 的 Defender 的客戶必須在 Microsoft Defender 入口網站中將支援切換為開啟 (部分機器翻譯)。
沒有 ME5 或 E5 安全性方案的新客戶可以購買獨立的適用於 IoT 的 Microsoft Defender - EIoT 裝置授權 - 附加元件授權,作為適用於端點的 Microsoft Defender P2 的附加元件。 從 Microsoft 系統管理中心購買獨立授權。
同時具有舊版企業 IoT 方案和 ME5/E5 安全性方案的現有客戶會自動切換至新的授權方法。 企業 IoT 監視現在已隨附於您的授權中,無需額外費用,且您不需要採取額外動作。
具有舊版企業 IoT 方案但沒有 ME5/E5 安全性方案的客戶可以繼續使用其現有的方案,直到方案到期為止。
試用授權可供適用於端點的 Defender P2 客戶作為獨立授權使用。 試用授權能支援 100 部裝置,為期 90 天。
如需詳細資訊,請參閱
- 保護企業的 IoT 裝置
- 使用適用於端點的 Defender 啟用企業 IoT 安全性 (部分機器翻譯)
- 適用於 IoT 的 Defender 訂閱帳單
- 適用於 IoT 的 Microsoft Defender 方案和定價
- 部落格:搭配適用於 IoT 的 Defender 的企業 IoT 安全性現在已包括在 Microsoft 365 E5 和 E5 安全性方案中 (英文)
更新的安全性堆疊整合指導方針
適用於 IoT 的 Defender 正在重新整理其安全性堆疊整合,以改善各種安全性解決方案的整體強固性、可擴縮性和維護的容易性。
如果您將安全性解決方案與雲端式系統整合,建議您透過 Microsoft Sentinel (部分機器翻譯) 使用資料連接器。 針對內部部署整合,建議您將 OT 感應器設定至轉送 syslog 事件,或使用適用於 IoT 的 Defender API (部分機器翻譯)。
舊版 Aruba ClearPass、Palo Alto Panorama 及 Splunk 整合能在 2024 年 10 月前使用感應器 23.1.3 版獲得支援,且在未來的主要軟體版本中都不會受到支援。
針對使用舊版整合方法的客戶,建議將您的整合移至新建議的方法。 如需詳細資訊,請參閱
- 整合 ClearPass 與適用於 IoT 的 Microsoft Defender
- 整合 Palo Alto 與適用於 IoT 的 Microsoft Defender (部分機器翻譯)
- 整合 Splunk 與適用於 IoT 的 Microsoft Defender (部分機器翻譯)
- 與 Microsoft 和合作夥伴服務的整合 (部分機器翻譯)
2023 年 9 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 23.1.3 版: - 對 OT 感應器連線能力進行疑難排解 - 適用於 OT 感應器唯讀使用者的事件時間表存取 |
對 OT 感應器連線能力進行疑難排解
從 23.1.3 版開始,OT 感應器會自動協助您使用 Azure 入口網站對連線能力問題進行移難排解。 如果雲端管理的感應器未連線,系統會在 Azure 入口網站上的 [網站與感應器] 頁面中,以及感應器的 [概觀] 頁面上顯示錯誤。
例如:
![[概觀] 頁面上連線錯誤的螢幕快照。](media/release-notes/connectivity-error.png#lightbox)
從您的感應器,執行下列其中一個動作來開啟 [雲端連線疑難排解] 窗格,其能提供關於連線能力問題和風險降低步驟的詳細資料:
- 在 [概觀] 頁面上,選取頁面頂端的 [移難排解] 連結
- 選取 [系統設定] > [感應器管理] > [健康情況與疑難排解] > [雲端連線移難排解]
如需詳細資訊,請參閱檢查感應器 - 雲端連線能力問題 (部分機器翻譯)。
適用於 OT 感應器唯讀使用者的事件時間表存取
從 23.1.3 版開始,OT 感應器上的「唯讀」使用者可以檢視 [事件時間表] 頁面。 例如:
如需詳細資訊,請參閱
- 使用事件時間表來追蹤網路和感應器活動 (部分機器翻譯)
- 使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色 (部分機器翻譯)
2023 年 8 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 適用於 IoT 的 Defender 的 CVE 遵循 CVSS v3 |
適用於 IoT 的 Defender 的 CVE 遵循 CVSS v3
在 OT 感應器和 Azure 入口網站上顯示的 CVE 分數會遵循國家弱點資料庫 (NVD) (英文) 的規範,且從適用於 IoT 的 Defender 的 8 月威脅情報更新開始,會在相關的情況下顯示 CVSS v3 分數。 如果沒有相關的 CVSS v3 分數,則會改為顯示 CVSS v2 分數。
從 Azure 入口網站中檢視 CVE 資料,無論是在適用於 IoT 的 Defender 裝置詳細資料的 [弱點] 索引標籤上 (包括 Microsoft Sentinel 解決方案提供的資源),或是在您 OT 感應器上的資料採礦查詢中。 如需詳細資訊,請參閱
- 維護 OT 網路感應器上的威脅情報套件
- 檢視完整裝置詳細資料 (部分機器翻譯)
- 教學課程:使用 Microsoft Sentinel 調查和偵測對 IoT 裝置的威脅 (部分機器翻譯)
- 建立資料採礦查詢 (部分機器翻譯)
2023 年 7 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 23.1.2 版: - OT 感應器安裝和設定增強功能 - 分析並微調您的部署 - 透過感應器 GUI 設定監視的介面 - 簡化的特殊權限使用者 移轉至站台型授權 |
OT 感應器安裝和設定增強功能
在 23.1.2 版中,我們已更新 OT 感應器安裝和設定精靈,使其更為快速且方便使用者使用。 更新包括:
安裝精靈:如果您是在您自己的實體或虛擬機器上安裝軟體,Linux 安裝精靈現在會直接完成安裝程序,而不需要您進行任何輸入或提供任何詳細資料。
您可以從部署工作站監看安裝執行,但您也可以選擇不使用鍵盤或螢幕來安裝軟體,並讓安裝自動執行。 完成時,請使用預設 IP 位址從瀏覽器存取感應器。
安裝針對您的網路設定會使用預設值。 之後請對這些設定進行微調,您可以和先前一樣在 CLI 中進行,或是使用新的瀏覽器型精靈來這麼做。
所有感應器都會搭配預設的 support 使用者和密碼安裝。 請在首次登入時立即變更預設密碼。
在瀏覽器中設定初始設定:在安裝軟體並設定初始的網路設定之後,請繼續使用相同的瀏覽器型精靈來啟動您的感應器,並定義 SSL/TLS 憑證設定。
如需詳細資訊,請參閱安裝並設定 OT 感應器 (部分機器翻譯) 和設定並啟動 OT 感應器 (部分機器翻譯)。
分析並微調您的部署
在完成安裝和初始設定之後,從感應器設定中分析預設由感應器偵測的流量。 在感應器上,選取 [感應器設定]>[基本]>[部署] 以分析目前的偵測。 例如:
![[部署設定] 頁面的螢幕快照。](media/how-to-control-what-traffic-is-monitored/deployment-settings.png#lightbox)
您可能會發現您需要對部署進行微調,例如變更感應器在網路上的位置,或驗證監視介面是否已經正確連線。 在進行任何變更後,請再次選取 [分析] 以查看更新的監視狀態。
如需詳細資訊,請參閱分析部署 (部分機器翻譯)。
透過感應器 GUI 設定監視的介面
如果您想要在初始感應器設定之後修改用來監視流量的介面,現在您可以使用新的 [感應器設定]>[介面設定] 頁面來更新您的設定,而不是使用透過 CLI 存取的 Linux 精靈。 例如:
![OT 感測器上 [整合組態] 頁面的螢幕快照。](media/release-notes/integration-configurations.png)
[介面設定] 頁面顯示的選項,與初始設定精靈 (部分機器翻譯) 中的 [介面設定] 索引標籤相同。
如需詳細資訊,請參閱更新感應器的監視介面 (設定 ERSPAN) (部分機器翻譯)。
簡化的特殊權限使用者
在 23.1.2 版的新感應器安裝中,預設只會提供具特殊權限的 support 使用者。 提供 cyberx 和 cyberx_host 使用者,但預設為停用。 如果您需要使用這些使用者,例如用於適用於 IoT 的 Defender CLI (部分機器翻譯) 存取,請變更使用者密碼 (部分機器翻譯)。
在從舊版更新至 23.1.2 的感應器中,cyberx 和 cyberx_host 使用者會保持啟用狀態。
提示
在以 support 使用者登入的情況下,若要執行僅供 cyberx 或 cyberx_host 使用者使用的 CLI 命令,請務必先存取主機機器的系統根目錄。 如需詳細資訊,請參閱以 admin 使用者的身分存取系統根目錄 (部分機器翻譯)。
移轉至站台型授權
現有客戶現在可以將其舊版適用於 IoT 的 Defender 購買方案移轉至以站台型的 Microsoft 365 授權為基礎的 Microsoft 365 方案。
在 [方案和定價] 頁面上,編輯您的方案並選取 [Microsoft 365] 方案,而非您目前的美月或每年方案。 例如:
務必編輯任何相關的站台,以符合您新授權的站台大小。 例如:
如需詳細資訊,請參閱從舊版 OT 方案移轉和適用於 IoT 的 Defender 訂用帳戶計費 (部分機器翻譯)。
2023 年 6 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 依站台型授權計費的 OT 方案 針對不安全的密碼和重大 CVE 的 OT 網路安全性建議 |
依站台型授權計費的 OT 方案
從 2023 年 6 月 1 日起,OT 監視所需適用於 IoT 的 Microsoft Defender 授權只能在 Microsoft 365 系統管理中心購買。
針對個別的站台提供授權,視那些個別站台的大小而定。 同時提供試用版授權,其能涵蓋 60 天的大型站台大小。
任何額外授權的購買,都會自動在您於 Azure 入口網站中的 OT 方案中更新。
當您將新的感應器上線時,您現在必須根據您授權的站台大小將該感應器指派至站台。
現有的客戶可以繼續使用已針對 Azure 訂用帳戶進行上線的任何舊版 OT 方案,功能不變。 不過,您無法在沒有來自 Microsoft 365 系統管理中心之相對應授權的情況下,將新的方案新增至新的訂用帳戶。
提示
適用於 IoT 的 Defender「站台」是實體位置,例如某座設施、校區、辦公大樓、醫院、設備等。 每個站台都能包含任意數目的網路感應器,其能識別出已偵測到之網路流量上的裝置。
如需詳細資訊,請參閱
- 適用於 IoT 的 Defender 訂閱帳單
- 開始適用於 IoT 的 Microsoft Defender 試用 (部分機器翻譯)
- 管理 Azure 訂用帳戶上的 OT 方案
- 將 OT 感應器上線至適用於 IoT 的 Defender
針對不安全的密碼和重大 CVE 的 OT 網路安全性建議
適用於 IoT 的 Defender 現在針對不安全的密碼和重大 CVE 提供安全性建議,以協助客戶管理其 OT/IoT 網路安全性狀態。
您可以在 Azure 入口網站中針對在您網路上偵測到的裝置看見下列新的安全性建議:
保護易受攻擊的裝置:針對具有此建議的裝置,發現其有一或多個具重大嚴重性的弱點。 建議您遵循裝置廠商或 CISA (網路安全暨基礎設施安全局) 所列出的步驟。
為缺少驗證的裝置設定安全密碼:針對具有此建議的裝置,根據成功登入的記錄,發現其沒有任何驗證。建議啟用驗證,並搭配最小長度和複雜性設定更強式的密碼。
以最小長度和複雜性設定更強大的密碼:針對具有此建議的裝置,根據成功登入的記錄,發現其使用弱式密碼。建議將裝置密碼搭配最小長度和複雜性變更為更強式的密碼。
如需詳細資訊,請參閱支援的安全性建議。
2023 年 5 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 感應器 22.3.9 版: - 改善 OT 感應器記錄的監視和支援 感應器 22.3.x 版和更新版本: - 在 Azure 入口網站中設定 Active Directory 和 NTP 設定 |
改善 OT 感應器記錄的監視和支援
在 22.3.9 版中,我們新增了一個新功能,以透過新的端點從 OT 感應器收集記錄。 這些額外的資料可協助我們對客戶問題進行移難排解,提供更快的回應時間及更具針對性的解決方案和建議。 我們已將這個新的端點新增至將 OT 感應器連線至 Azure 的必要端點清單中。
在更新 OT 感應器之後,請下載端點的最新清單,並確保您的感應器可以存取所有列出的端點。
如需詳細資訊,請參閱
- 更新適用於 IoT 的 Defender OT 監視軟體 (部分機器翻譯)
- 感應器部署和存取 (部分機器翻譯)
在 Azure 入口網站中設定 Active Directory 和 NTP 設定
現在您可以從 Azure 入口網站中的 [網站與感應器] 頁面,以遠端方式設定您 OT 感應器的 Active Directory 和 NTP 設定。 這些設定針對 OT 感應器 22.3.x 版和更新版本提供。
如需詳細資訊,請參閱感應器設定參考 (部分機器翻譯)。
2023 年 4 月
| 服務區域 | 更新 |
|---|---|
| 文件 | 端對端部署指南 |
| OT 網路 | 感應器 22.3.8 版: - 針對用戶端 SSL/TLS 憑證的 Proxy 支援 - 使用本機指令碼擴充 Windows 工作站和伺服器資料 (公開預覽) - 自動解決的 OS 通知 - 上傳 SSL/TLS 憑證時的 UI 增強功能 |
端對端部署指南
適用於 IoT 的 Defender 文件現在包括新的<部署>小節,其中包含適用於下列案例的完整部署指南集:
- 適用於 OT 監視的標準部署 (部分機器翻譯)
- 適用於具有內部部署感應器管理之 OT 監視的實體隔離斷網部署 (部分機器翻譯)
- 企業 IoT 部署 (部分機器翻譯)
例如,針對 OT 監視所建議的部署包括下列步驟,其皆已詳述於我們的新文章:
每個小節中的逐步指示旨在協助客戶針對成功進行最佳化,並針對零信任進行部署。 每個頁面上的瀏覽元素,包括頂端的流程圖和底部的 [後續步驟] 連結,都能指出您在程序中處於哪個位置、您已完成的內容,以及您的下一個步驟。 例如:
![已醒目提示 [月台網络設定] 進度列的圖表。](media/deployment-paths/progress-network-level-deployment.png#lightbox)
如需詳細資訊,請參閱針對 OT 監視部署適用於 IoT 的 Defender (部分機器翻譯)。
針對用戶端 SSL/TLS 憑證的 Proxy 支援
檢查 SSL/TLS 流量的 Proxy 伺服器需要用戶端 SSL/TLS 憑證,例如當您使用如 Zscaler 和 Palo Alto Prisma 等服務時。 從 22.3.8 版開始,您可以透過 OT 感應器主控台上傳用戶端憑證。
如需詳細資訊,請參閱設定 Proxy (部分機器翻譯)。
使用本機指令碼擴充 Windows 工作站和伺服器資料 (公開預覽)
使用 OT 感應器 UI 提供的本機指令碼來擴充您 OT 感應器上的 Microsoft Windows 工作站和伺服器資料。 指令碼會以公用程式的形式執行來偵測裝置並擴充資料,同時可以手動執行,或是使用標準自動化工具執行。
如需詳細資訊,請參閱使用本機指令碼擴充 Windows 工作站和伺服器資料。
自動解決的 OS 通知
在您將 OT 感應器更新至 22.3.8 版之後,系統將不會針對作業系統變更產生任何新的裝置通知。 如果現有的作業系統變更通知未關閉或在 14 天內加以處理,系統會自動解決這些通知。
如需詳細資訊,請參閱裝置通知回應 (部分機器翻譯)
上傳 SSL/TLS 憑證時的 UI 增強功能
OT 感應器 22.3.8 版具有增強的 [SSL/TLS 憑證] 設定頁面,以用來定義您的 SSL/TLS 憑證設定,以及部署 CA 簽署的憑證。
如需詳細資訊,請參閱管理 SSL/TLS 憑證 (部分機器翻譯)。
2023 年 3 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 感應器 22.3.6/22.3.7 版: - 對暫時性裝置的支援 - 透過設定允許清單來了解 DNS 流量 - 裝置資料保留更新 - 上傳 SSL/TLS 憑證時的 UI 增強功能 - 啟用檔案到期更新 - 適用於管理裝置詳細目錄的 UI 增強功能 - 針對所有 [惡意活動的疑慮] 警示更新的嚴重性 - 自動解決的裝置通知 22.3.7 版包括與 22.3.6 相同的功能。 如果您已安裝 22.3.6 版,強烈建議您更新至 22.3.7 版,因為其中也包括重要錯誤 (Bug) 修正。 雲端功能: - 適用於適用於 IoT 的 Defender 的新 Microsoft Sentinel 事件 |
對暫時性裝置的支援
適用於 IoT 的 Defender 現在能將「暫時性」裝置識別為代表只會短時間偵測到之裝置的唯一裝置類型。 建議仔細調查這些裝置,以了解其對您網路所帶來的影響。
如需詳細資訊,請參閱適用於 IoT 的 Defender 裝置詳細目錄 (部分機器翻譯) 和從 Azure 入口網站管理您的裝置詳細目錄 (部分機器翻譯)。
透過設定允許清單來了解 DNS 流量
support 使用者現在可以透過在 OT 感應器上建立網域名稱允許清單,以減少未經授權的網際網路警示數目。
設定 DNS 允許清單時,感應器在觸發警示之前,會先檢查每個未經授權的網際網路連線嘗試。 如果網域的 FQDN 包括在允許清單中,則感應器不會自動觸發警示並允許流量。
所有 OT 感應器使用者現在都可以檢視資料採礦報告中允許的 DNS 網域清單,以及其已解析的 IP 位址。
例如:
如需詳細資訊,請參閱在 OT 網路上允許網際網路連線和建立資料採礦查詢。
裝置資料保留更新
OT 感應器和內部部署管理主控台上的裝置資料保留期間,已經更新為從 [上次活動] 值的日期算起的 90 天。
如需詳細資訊,請參閱裝置資料保留期間 (部分機器翻譯)。
上傳 SSL/TLS 憑證時的 UI 增強功能
OT 感應器 22.3.6 版具有增強的 [SSL/TLS 憑證] 設定頁面,以用來定義您的 SSL/TLS 憑證設定,以及部署 CA 簽署的憑證。
如需詳細資訊,請參閱管理 SSL/TLS 憑證 (部分機器翻譯)。
啟用檔案到期更新
只要您 Azure 訂用帳戶上的適用於 IoT 的 Defender 方案是有效的,於本機管理的 OT 感應器上的啟用檔案現在將會持續保持啟用,和連線至雲端的 OT 感應器上的啟用檔案相同。
如果您 從最新版本 更新 OT 感測器,或切換感測器管理模式,例如從本機受控移至雲端連線,則只需要更新啟用檔案。
如需詳細資訊,請參閱管理個別感應器。
適用於管理裝置詳細目錄的 UI 增強功能
下列增強功能已在 22.3.6 版中新增至 OT 感應器的裝置詳細目錄:
- 以更加順暢的流程在 OT 感應器上編輯裝置詳細資料 (部分機器翻譯)。 直接在 OT 感應器主控台上使用裝置詳細目錄頁面頂端工具列中的新 [編輯] 按鈕來編輯裝置詳細資料。
- OT 感應器現在支援同時刪除多部裝置 (部分機器翻譯)。
- 合併 (部分機器翻譯) 和刪除 (部分機器翻譯) 裝置的程序現在包括會在動作完成時顯示的確認訊息。
如需詳細資訊,請參閱從感應器主控台管理您的 OT 裝置詳細目錄。
針對所有 [惡意活動的疑慮] 警示更新的嚴重性
具有 [惡意活動的疑慮] 類別的所有警示現在都會具有 [重大] 嚴重性。
如需詳細資訊,請參閱惡意程式碼引擎警示 (部分機器翻譯)。
自動解決的裝置通知
從 22.3.6 版開始,如果 OT 感應器 [裝置對應] 頁面上選取的通知未關閉或在 14 天內加以處理,系統會自動解決這些通知。
在您更新感應器版本之後,已不會再出現 [非使用中裝置] 和 [新 OT 裝置] 通知。 雖然系統會自動關閉更新前留下的任何 [非使用中裝置] 通知,您可能還會有舊版的 [新 OT 裝置] 通知需要處理。 請視需要處理這些通知,以從感應器中加以移除。
如需詳細資訊,請參閱管理裝置通知 (部分機器翻譯)。
適用於適用於 IoT 的 Defender 的新 Microsoft Sentinel 事件
Microsoft Sentinel 新的事件體驗 (英文) 包括適用於適用於 IoT 的 Defender 客戶的特定功能。 調查 OT/IoT 相關事件的 SOC 分析師,現在可以在事件詳細資料頁面上使用下列增強功能:
檢視相關站台、區域、感應器和裝置重要性以更佳地了解事件的商務影響和實體位置。
檢閱受影響裝置和相關裝置詳細資料的彙總時間表,而非調查相關裝置的個別實體詳細資料頁面
直接在事件詳細資料頁面上檢閱 OT 警示補救步驟
如需詳細資訊,請參閱教學課程:調查及偵測對 IoT 裝置的威脅 (部分機器翻譯) 和在 Microsoft Sentinel 中瀏覽及調查事件 (部分機器翻譯)。
2023 年 2 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 雲端功能: - Microsoft Sentinel:適用於 IoT 的 Microsoft Defender 解決方案 2.0.2 版 - 從 [網站與感應器] 頁面下載更新 (公開預覽) - Azure 入口網站中的 [警示] 頁面 GA - Azure 入口網站中的 [裝置詳細目錄] GA - 裝置詳細目錄分組增強功能 (公開預覽) - Azure 裝置詳細目錄中的聚焦詳細目錄 (公開預覽) 感應器 22.2.3 版:從 Azure 入口網站設定 OT 感應器設定 (公開預覽) |
| 企業 IoT 網路 | 雲端功能:Azure 入口網站中的 [警示] 頁面 GA |
Microsoft Sentinel:適用於 IoT 的 Microsoft Defender 解決方案 2.0.2 版
適用於 IoT 的 Microsoft Defender 解決方案的2.0.2 版現已在 Microsoft Sentinel 內容中樞 (部分機器翻譯) 中提供,並包含對事件建立之分析規則的改善、增強的事件詳細資料頁面,以及針對分析規則查詢的效能改善。
如需詳細資訊,請參閱
從 [網站與感應器] 頁面下載更新 (公開預覽)
如果您要在您的 OT 感應器或內部部署管理主控台上執行本機軟體更新,[網站與感應器] 頁面現在提供用來下載更新套件的新精靈,其可透過 [感應器更新 (預覽)] 功能表存取。
例如:
![[網站和感測器] 頁面上新 [本機更新] 窗格的螢幕快照。](media/update-ot-software/local-update-wizard.png#lightbox)
此外,威脅情報更新現在僅透過 [網站與感應器] 頁面 >[威脅情報更新 (預覽)] 選項提供。
適用於內部部署管理主控台的更新套件也透過 [開始使用]>[內部部署管理主控台] 索引標籤提供。
如需詳細資訊,請參閱
Azure 入口網站中的 [裝置詳細目錄] GA
Azure 入口網站中的 [裝置詳細目錄] 頁面現已正式發行 (GA),其能針對您所有偵測到的裝置提供大規模的集中式檢視。
適用於 IoT 的 Defender 裝置詳細目錄可協助您識別特定裝置的相關詳細資料,例如製造商、類型、序號、韌體等。 收集關於您裝置的詳細資料可協助您的小組主動調查可能會危害您最重要資產的弱點。
透過建置包括所有受控及非受控裝置的最新詳細目錄來管理所有的 IoT/OT 裝置
採用風險型做法來保護裝置來識別出各種風險,例如遺失的修補檔和弱點,並根據風險評分和自動化威脅建模排定修正優先順序
透過刪除不相關的裝置來更新您的詳細目錄,並新增組織特定資訊來強調您的組織偏好
裝置詳細目錄 GA 包括下列 UI 增強功能:
| 增強功能 | 描述 |
|---|---|
| 格線層級增強功能 | - 匯出整個裝置詳細目錄 (部分機器翻譯) 來進行離線檢閱,並與小組交換意見 - 刪除不相關的裝置,這些裝置可能已不存在或不再運作 在感應器發現與單一獨特裝置相關聯的個別網路實體的情況下- 合併裝置 (部分機器翻譯) 以微調裝置清單。 例如具有四張網路卡的 PLC、具有 WiFi 與實體網路卡的膝上型電腦,或具有多張網路卡的單一工作站。 - 編輯資料表檢視 (部分機器翻譯) 以僅反映出您有興趣檢視的資料 |
| 裝置層級增強功能 | - 編輯裝置詳細資料 (部分機器翻譯),方法是透過對組織特定的內容詳細資料進行標註,例如相對重要性、描述性標籤,以及商務功能資訊 |
| 篩選和搜尋增強功能 | - 對任何裝置詳細目錄欄位執行深度搜尋 (部分機器翻譯) 以快速找到最重要的裝置 - 依任何欄位篩選裝置詳細目錄 (部分機器翻譯)。 例如,依 [類型] 篩選以識別 [工業] 裝置,或依時間欄位篩選以判斷作用中和非作用中的裝置。 |
豐富的安全性、治理和管理員控制項也能提供指派管理員的能力,以限制可以代表擁有者合併、刪除及編輯裝置的人員。
裝置詳細目錄分組增強功能 (公開預覽)
Azure 入口網站上的 [裝置詳細目錄] 頁面支援新的分組類別。 現在您可以依「類別」、「資料來源」、「位置」、「Purdue 層級」、「站台」、「類型」、「廠商」,以及「區域」對您的裝置詳細目錄進行分組。 如需詳細資訊,請參閱檢視完整裝置詳細資料 (部分機器翻譯)。
Azure 裝置詳細目錄中的聚焦詳細目錄 (公開預覽)
Azure 入口網站上的 [裝置詳細目錄] 頁面現在包括您裝置的網路位置指示,以協助將您的裝置詳細目錄聚焦於您 IoT/OT 範圍內的裝置上。
根據您已設定的子網路,檢視並篩選有哪些裝置定義為「本機」或「路由傳送」。 [網路位置] 篩選預設為開啟。 透過編輯裝置詳細目錄中的欄來新增 [網路位置] 欄。 在 Azure 入口網站或您的 OT 感應器上設定您的子網路。 如需詳細資訊,請參閱
- 從 Azure 入口網站管理您的裝置詳細目錄
- 從 Azure 入口網站設定 OT 感應器設定 (部分機器翻譯)
- 微調您的子網路清單 (部分機器翻譯)
從 Azure 入口網站設定 OT 感應器設定 (公開預覽)
針對感應器 22.2.3 版及更新版本,您現在可以使用新的 [感應器設定 (預覽)] 頁面設定連線雲端之感應器的選取設定,該頁面可透過 Azure 入口網站的 [網站與感應器] 頁面存取。 例如:
如需詳細資訊,請參閱從 Azure 入口網站定義和檢視 OT 感應器設定 (公開預覽) (部分機器翻譯)。
Azure 入口網站中的 [警示] GA
Azure 入口網站中的 [警示] 頁面現已正式發行。 適用於 IoT 的 Microsoft Defender 警示會藉助您網路中所偵測事件的即時詳細資料,來增強您的網路安全性和作業。 當 OT 或企業 IoT 網路感應器,或適用於 IoT 的 Defender 微代理程式在需要注意的網路流量中偵測到變更或可疑活動時,就會觸發警示。
由企業 IoT 感應器觸發的特定警示目前會維持在公開預覽狀態。
如需詳細資訊,請參閱
- 從 Azure 入口網站檢視及管理警示
- 調查及回應 OT 網路警示 (部分機器翻譯)
- OT 監視警示類型和描述 (部分機器翻譯)
2023 年 1 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 感應器 22.3.4 版:在 OT 感應器上顯示的 Azure 連線能力狀態 感應器 22.2.3 版:從 Azure 入口網站更新感應器軟體 |
從 Azure 入口網站更新感應器軟體 (公開預覽)
針對連線至雲端的感應器 22.2.3 (部分機器翻譯) 版及更新版本,現在您可以直接從 Azure 入口網站上的 [網站與感應器] 頁面中更新感應器軟體。
![[傳送套件] 選項的螢幕快照。](media/update-ot-software/send-package.png#lightbox)
如需詳細資訊,請參閱從 Azure 入口網站更新感應器 (部分機器翻譯)。
在 OT 感應器上顯示的 Azure 連線能力狀態
關於 Azure 連線能力狀態的詳細資料,現在會在 OT 網路感應器中的 [概觀] 頁面上顯示,且在感應器與 Azure 之間失去連線時會顯示錯誤。
例如:
![OT 感測器 [概觀] 頁面上顯示的 Azure 連線狀態螢幕快照。](media/how-to-manage-individual-sensors/connectivity-status.png)
如需詳細資訊,請參閱管理個別感應器 (部分機器翻譯) 和將 OT 感應器上線至適用於 IoT 的 Defender。
2022 年 12 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 適用於 OT 方案的新購買體驗 |
| 企業 IoT 網路 | 企業 IoT 感應器警示和建議 (公開預覽) |
企業 IoT 感應器警示和建議 (公開預覽)
Azure 入口網站現在針對由企業 IoT 網路感應器所偵測到的流量提供下列額外安全性資料:
| 資料類型 | 描述 |
|---|---|
| 警示 | 企業 IoT 網路感應器現在會觸發下列警示: - 嘗試連線至已知的惡意 IP - 惡意網域名稱要求 |
| 建議 | 企業 IoT 網路感應器現在會針對偵測到的裝置觸發下列相關建議: 停用不安全的系統管理通訊協定 |
如需詳細資訊,請參閱
適用於 OT 方案的新購買體驗
Azure 入口網站中的 [方案和定價] 頁面針對 OT 網路的適用於 IoT 的 Defender 方案現在已包括新的增強購買體驗。 在 Azure 入口網站中編輯您的 OT 方案,例如將您的方案從試用版變更為每月或每年承諾用量,或更新裝置或站台數目。
如需詳細資訊,請參閱管理 Azure 訂用帳戶上的 OT 方案。
2022 年 11 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | - 感應器 22.x 版和更新版本:Azure 入口網站上的站台型存取控制 (公開預覽) - 所有 OT 感應器版本:新 OT 監視軟體發行備註 |
Azure 入口網站上的站台型存取控制 (公開預覽)
針對感應器軟體 22.x 版,適用於 IoT 的 Defender 現已支援「站台型存取控制」,其允許客戶在 Azure 入口網站上於「站台」層級控制使用者對適用於 IoT 的 Defender 功能的存取權。
例如,套用安全性讀者 (部分機器翻譯)、安全性管理員 (部分機器翻譯)、參與者 (部分機器翻譯),或擁有者 (部分機器翻譯) 角色,以決定使用者對各種 Azure 資源的存取權,例如 [警示]、[裝置詳細目錄] 或 [活頁簿] 頁面。
若要管理站台型存取控制,在 [網站與感應器] 頁面中選取站台,然後選取 [管理站台存取控制 (預覽)] 連結。 例如:
如需詳細資訊,請參閱在 Azure 入口網站上管理 OT 監視使用者 (部分機器翻譯),以及適用於 OT 和企業 IoT 監視的 Azure 使用者角色 (部分機器翻譯)。
注意
「站台」及站台型存取控制僅與 OT 網路監視相關。
新 OT 監視軟體發行備註
適用於 IoT 的 Defender 文件現在有專用於 OT 監視軟體的新發行備註頁面,其中包含我們版本支援模型和更新建議的相關詳細資料。
我們會繼續針對適用於 OT 和企業 IoT 網路的新功能和增強功能更新本文,也就是我們的主要《新功能》頁面。 所列出的新項目同時包括內部部署和雲端功能,且每個月都會列出。
相較之下,新的 OT 監視軟體發行備註只會列出需要您更新內部部署軟體的 OT 網路監視更新。 會針對每個主要版本和修補檔版本列出項目,並提供版本、日期及範圍的彙總表格。
如需詳細資訊,請參閱 OT 監視軟體發行備註 (部分機器翻譯)。
2022 年 10 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 增強型 OT 監視警示參考 |
增強型 OT 監視警示參考
我們的警示參考文章現在包含下列每個警示的詳細資料:
當您想要調查由特定活動彙總的警示,或設定 SIEM 規則來根據特定活動產生事件時,警示類別會很有用
相關警示的警示閾值。 閾值表示觸發警示的特定點。 cyberx 使用者可以視需要從感應器的 [支援] 頁面修改警示閾值。
如需詳細資訊,請參閱 OT 監視警示類型和描述 (部分機器翻譯),以及支援的警示類別 (部分機器翻譯)。
2022 年 9 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 所有支援的 OT 感應器軟體版本: - 來自 Azure 入口網站的裝置弱點 - OT 網路的安全性建議 所有 OT 感應器軟體版本 22.x:適用於 Azure 雲端連線防火牆規則的更新 感應器軟體版本 22.2.7: - 錯誤修正 (bug) 及穩定性改善 感應器軟體版本 22.2.6: - 錯誤修正 (bug) 及穩定性改善 - 裝置類型分類演算法的增強功能 Microsoft Sentinel 整合: - IoT 裝置實體的調查增強功能 - 適用於 IoT 的 Microsoft Defender 解決方案更新 |
OT 網路的安全性建議 (公開預覽版)
適用於 IoT 的 Defender 現在提供安全性建議,協助客戶管理其 OT/IoT 網路安全性狀態。 適用於 IoT 的 Defender 建議可協助使用者想出可採取動作、優先的風險降低計畫,以解決 OT/IoT 網路的獨特挑戰。 使用建議來降低網路的風險和受攻擊表面。
您可以從網路上偵測到的裝置 Azure 入口網站中看到下列安全性建議:
檢閱 PLC 作業模式。 找到具有此建議的裝置,且 PLC 設定為不安全的作業模式狀態。 如果 PLC 不再需要存取權,建議您將 PLC 操作模式設定為 [安全執行] 狀態,降低惡意 PLC 程式設計的威脅。
檢閱未經授權的裝置。 必須識別具有此建議的裝置並授權為網路基準的一部分。 建議您採取動作來識別任何指定的裝置。 中斷即使在調查後仍未知的任何裝置與網路連線,以減少流氓或潛在惡意裝置的威脅。
從下列其中一個位置存取安全性建議:
[建議] 頁面,顯示所有已偵測到 OT 裝置上所有目前的建議。
裝置詳細資料頁面上的 [建議] 索引標籤,顯示所選裝置所有目前的建議。
從任一個位置選取建議,根據選取的建議,進一步向下切鑽研,並檢視目前處於 [良好] 或 [狀況不良] 狀態所有偵測到的 OT 裝置清單。 從 [狀況不良的裝置] 或 [良好的裝置] 索引標籤中,選取裝置連結以跳至選取的裝置詳細資料頁面。 例如:
![[檢閱 PLC 作業模式建議] 頁面的螢幕快照。](media/release-notes/recommendations.png)
如需詳細資訊,請參閱檢視裝置詳細目錄和使用安全性建議增強安全性狀態。
來自 Azure 入口網站的裝置弱點 (公開預覽版)
適用於 IoT 的 Defender 現在 Azure 入口網站中針對偵測到的 OT 網路裝置提供弱點資料。 弱點資料是以美國政府國家弱點資料庫 (NVD) 所記錄的標準型弱點資料存放庫為基準。
從下列位置存取 Azure 入口網站中的弱點資料:
在裝置詳細資料頁面上,選取 [弱點] 索引標籤以檢視所選裝置上目前的弱點。 例如,從 [裝置庫存] 頁面選取特定裝置,然後選取 [弱點]。
如需詳細資訊,請參閱檢視裝置清查。
新的弱點活頁簿會顯示所有受監視 OT 裝置的弱點資料。 使用弱點活頁簿可依照嚴重性或廠商檢視 CVE 等資料,以及偵測到的弱點和易受攻擊裝置和元件的完整清單。
在 [裝置弱點]、[易受攻擊的裝置] 或 [易受攻擊的元件] 資料表中選取項目,以檢視右側資料表中的相關資訊。
例如:
Azure 雲端連線防火牆規則的更新 (公開預覽版)
OT 網路感應器會連線到 Azure,以提供警示和裝置資料,以及感應器健康情況訊息、存取威脅情報套件等等。 連線的 Azure 服務包括 IoT 中樞、Blob 儲存體、事件中樞和 Microsoft 下載中心。
針對軟體版本 22.x 和更高版本的 OT 感應器,適用於 IoT 的 Defender 現在支援在新增連線至 Azure 輸出允許規則時提高安全性。 現在您可以定義輸出允許規則來連線到 Azure,而不需使用萬用字元。
定義輸出「允許」規則以連線到 Azure 時,您必須在連接埠 443 上啟用每個必要端點的 HTTPS 流量。 輸出「允許」規則會針對上線至相同訂用帳戶的所有 OT 感應器定義一次。
如需支援的感應器版本,請從 Azure 入口網站下列位置下載必要安全端點的完整清單:
成功感應器註冊頁面:在搭配 22.x 版將新的 OT 感應器上線之後,成功註冊頁面現在提供後續步驟的指示,包括您需要在網路上新增為安全輸出允許規則的端點連結。 選取 [下載端點詳細資料] 連結,下載 JSON 檔案。
例如:
網站和感應器頁面:選取軟體版本 22.x 或更高版本的 OT 感應器,或具有一或多個支援感應器版本的網站。 然後,選取 [更多動作]> [下載端點詳細資料],下載 JSON 檔案。 例如:
![[網站和感測器] 頁面的螢幕快照,其中包含下載端點詳細數據連結。](media/release-notes/download-endpoints-sites-sensors.png)
如需詳細資訊,請參閱
- 教學課程:針對 OT 安全性開始使用適用於 IoT 的 Microsoft Defender (部分機器翻譯)
- 在 Azure 入口網站中管理具有適用於 IoT 的 Defender 的感應器 (部分機器翻譯)
- 網路需求
Microsoft Sentinel 中 IoT 裝置實體的調查增強功能
適用於 IoT 的 Defender 與 Microsoft Sentinel 的整合現在支援 IoT 裝置實體頁面。 在 Microsoft Sentinel 中調查事件和監視 IoT 安全性時,您現在可以識別最敏感的裝置,並直接跳至每個裝置實體頁面上的更多詳細資料。
IoT 裝置實體頁面提供 IoT 裝置相關的內容裝置資訊,其中包含基本裝置詳細資料和裝置擁有者連絡資訊。 裝置擁有者是由適用於 IoT 的 Defender [網站和感應器] 頁面中的網站所定義。
根據每個警示的網站、區域和感應器,IoT 裝置實體頁面可以根據裝置重要性和業務影響,來協助設定補救的優先順序。 例如:
您也可以在 Microsoft Sentinel [實體行為] 頁面上搜尋易受攻擊的裝置。 例如,檢視警示數目最多的前五個 IoT 裝置,或依 IP 位址或裝置名稱搜尋裝置:
![Microsoft Sentinel 中 [實體行為] 頁面的螢幕快照。](media/release-notes/entity-behavior-iot-devices-alerts.png)
如需詳細資訊,請參閱從 Azure 入口網站使用 IoT 裝置實體和網站管理選項進一步調查。
Microsoft Sentinel 內容中樞適用於 IoT 的 Microsoft Defender 解決方案更新
這個月我們已在 Microsoft Sentinel 內容中樞發行適用於 IoT 的 Microsoft Defender 解決方案 2.0 版本,之前稱為使用適用於 IoT 的 Defender 進行 IoT/OT 威脅監視解決方案。
此解決方案版本中的更新包括:
名稱變更。 如果您之前已在 Microsoft Sentinel 工作區中安裝使用適用於 IoT 的 Defender 進行 IoT/OT 威脅監視解決方案,即使您未更新解決方案,解決方案也會自動重新命名為適用於 IoT 的 Microsoft Defender。
活頁簿改善:適用於 IoT 的 Defender 活頁簿現在包含:
新的概觀儀表板,其中包含裝置庫存、威脅偵測和安全性狀態的關鍵計量。 例如:
![IoT OT 威脅監視與適用於IoT的Defender活頁簿中新 [概觀] 索引標籤的螢幕快照。](media/release-notes/sentinel-workbook-overview.png)
新的弱點儀表板,其中包含網路中顯示的 CVE 及其相關易受攻擊裝置的詳細資料。 例如:
![IoT OT 威脅監視與適用於IoT的Defender活頁簿中新 [弱點] 索引標籤的螢幕快照。](media/release-notes/sentinel-workbook-vulnerabilities.png)
裝置庫存儀表板的改善,包括存取裝置建議、弱點,以及直接連結到適用於 IoT 的 Defender 裝置詳細資料頁面。 使用適用於 IoT 的 Defender 進行 IoT/OT 威脅監視活頁簿中的裝置庫存儀表板與適用於 IoT 的 Defender 裝置庫存資料完全一致。
劇本更新:適用於 IoT 的 Microsoft Defender 解決方案現在支援下列 SOC 自動化功能與新的劇本:
使用 CVE 詳細資料進行自動化:使用 AD4IoT-CVEAutoWorkflow 劇本,根據適用於 IoT 的 Defender 資料,使用相關裝置的 CVE 來擴充事件註解。 會將事件分級,如果 CVE 很重要,會透過電子郵件通知資產擁有者事件。
自動將電子郵件通知傳送給裝置擁有者。 使用 AD4IoT-SendEmailtoIoTOwner 劇本,將通知電子郵件自動傳送給裝置的新事件擁有者。 接著裝置擁有者可以回覆電子郵件,視需要更新事件。 裝置擁有者是在適用於 IoT 的 Defender 網站等級定義。
具有敏感性裝置的事件自動化:使用 AD4IoT-AutoTriageIncident 劇本,根據事件所涉及的裝置及其對組織的敏感度等層或重要性,自動更新事件的嚴重性。 例如,任何涉及敏感性裝置的事件都可以自動上呈至較高的嚴重性等層。
![IoT OT 威脅監視與適用於IoT的Defender活頁簿中新 [概觀] 索引標籤的螢幕快照。](media/release-notes/sentinel-workbook-overview.png#lightbox)
![IoT OT 威脅監視與適用於IoT的Defender活頁簿中新 [弱點] 索引標籤的螢幕快照。](media/release-notes/sentinel-workbook-vulnerabilities.png#lightbox)
如需詳細資訊,請參閱 使用 Microsoft Sentinel 調查適用於 IoT 的 Microsoft Defender 事件。
2022 年 8 月
| 服務區域 | 更新 |
|---|---|
| OT 網路 | 感應器軟體 22.2.5 版:具有穩定性改善的次要版本 感應器軟體 22.2.4 版:具有時間戳記資料的新警示資料行 感應器軟體 22.1.3 版:Azure 入口網站的感應器健康情況 (公開預覽) |
具有時間戳記資料的新警示資料行
從 OT 感應器 22.2.4 版開始,Azure 入口網站和感應器主控台中適用於 IoT 的 Defender 警示現在會顯示下列資料行和資料:
上次偵測。 定義網路中上次偵測到警示的時間,並取代 [偵測時間] 資料行。
第一次偵測。 定義網路中第一次偵測到警示的時間。
上次活動。 定義上次變更警示的時間,包括手動更新嚴重性或狀態,或是自動變更裝置更新或刪除重複的裝置/警示。
預設不會顯示 [第一次偵測] 和 [上次活動] 資料行。 視需要將其新增至 [警示] 頁面。
提示
如果您也是 Microsoft Sentinel 使用者,您會熟悉 Log Analytics 查詢中的類似資料。 適用於 IoT 的 Defender 中的新警示資料行會對應如下:
- 適用於 IoT 的 Defender 上次偵測時間類似於 Log Analytics EndTime
- 適用於 IoT 的 Defender 第一次偵測時間類似於 Log Analytics StartTime
- 適用於 IoT 的 Defender 上次活動時間類似於 Log Analytics TimeGenerated 如需詳細資訊,請參閱:
Azure 入口網站的感應器健康情況 (公開預覽)
針對 OT 感應器 22.1.3 版和更新版本,您可以使用新的感應器健康情況小工具及資料表資料行資料,直接從 Azure 入口網站上的 [網站與感應器] 頁面監視感應器健康情況。
我們也新增了感應器詳細資料頁面,您可以在其中向下切入至 Azure 入口網站的特定感應器。 在 [網站與感應器] 頁面上,選取特定的感應器名稱。 感應器詳細資料頁面會列出套用的基本感應器資料、感應器健康情況和任何感應器設定。
如需詳細資訊,請參閱了解感應器健康情況 (部分機器翻譯) 和感應器健康情況訊息參考 (部分機器翻譯)。
2022 年 7 月
| 服務區域 | 更新 |
|---|---|
| 企業 IoT 網路 | - 企業 IoT 和適用於端點的 Defender 整合正式發行 |
| OT 網路 | 感應器軟體 22.2.4 版: - 裝置詳細目錄增強功能 - ServiceNow 整合 API 的增強功能 感應器軟體 22.2.3 版: - OT 設備硬體設定檔更新 - 從 Azure 入口網站進行的 PCAP 存取 - 感應器與 Azure 入口網站之間的雙向警示同步處理 - 在憑證輪替之後還原的感應器連線 - 支援診斷記錄增強功能 - 瀏覽器索引標籤中顯示的感應器名稱 感應器軟體 22.1.7 版: - cyberx_host 和 cyberx 使用者的相同密碼 |
| 僅限雲端功能 | - 與適用於 IoT 的 Defender 警示同步的 Microsoft Sentinel 事件 |
企業 IoT 和適用於端點的 Defender 整合正式發行
企業 IoT 與適用於端點的 Microsoft Defender 整合現在已正式發行 (GA)。 透過此更新,我們已進行下列更新和改善:
直接在適用於端點的 Defender 中將企業 IoT 方案上線。 如需詳細資訊,請參閱管理您的訂用帳戶和適用於端點的 Defender 文件。
與適用於端點的 Microsoft Defender 緊密整合,以在 Microsoft 365 安全性入口網站中檢視偵測到的企業 IoT 裝置及其相關警示、弱點和建議。 如需詳細資訊,請參閱企業 IoT 教學課程和適用於端點的 Defender 文件。 您可以在 Azure 入口網站中適用於 IoT 的 Defender [裝置詳細目錄] 頁面上,繼續檢視偵測到的企業 IoT 裝置。
所有企業 IoT 感應器現在都會自動新增至適用於 IoT 的 Defender 中名為企業網路的相同網站。 將新的企業 IoT 裝置上線時,您只需要定義感應器名稱並選取您的訂用帳戶,而不需定義網站或區域。
注意
企業 IoT 網路感應器和所有偵測都會維持在公開預覽狀態。
cyberx_host 和 cyberx 使用者的相同密碼
在 OT 監視軟體安裝和更新期間,cyberx 使用者會獲指派隨機密碼。 從 10.x.x 版更新至 22.1.7 版時,cyberx_host 密碼會指派給 cyberx 使用者相同的密碼。
如需詳細資訊,請參閱安裝 OT 無代理程式監視軟體 (部分機器翻譯) 和更新適用於 IoT 的 Defender OT 監視軟體 (部分機器翻譯)。
裝置詳細目錄增強功能
從 OT 感應器 22.2.4 版開始,您現在可以從感應器主控台的 [裝置詳細目錄] 頁面採取下列動作:
合併重複的裝置。 如果感應器發現與單一獨特裝置相關聯的個別網路實體,您可能需要合併裝置。 此案例的範例可能包括具有四張網路卡的 WLAN、具有 WiFi 與實體網路卡的膝上型電腦,或具有多張網路卡的單一工作站。
刪除單一裝置。 現在,您可以刪除至少 10 分鐘未通訊的單一裝置。
由系統管理員使用者刪除非使用中的裝置。 現在,除了 cyberx 使用者之外,所有管理員使用者都可以刪除非使用中的裝置。
從 22.2.4 版開始,在感應器主控台的 [裝置詳細目錄] 頁面中,裝置詳細資料窗格中的 [上次出現時間] 值會由 [上次活動] 取代。 例如:
![[上次] 活動欄位的螢幕快照,其中顯示於 [裝置清查] 頁面上感測器控制台的 [裝置詳細數據] 窗格中。](media/release-notes/last-activity-new.png)
如需詳細資訊,請參閱從感應器主控台管理您的 OT 裝置詳細目錄。
ServiceNow 整合 API 的增強功能
OT 感應器 22.2.4 版提供 devicecves API 的增強功能,可取得針對指定裝置找到的 CVE 詳細資料。
現在您可以將下列任何參數新增至查詢,以微調結果:
- 「sensorId」- 顯示特定感應器的結果,如指定的感應器識別碼所定義。
- 「score」- 決定要擷取的最小 CVE 分數。 所有結果都會有等於或高於指定值的 CVE 分數。 預設值 = 0。
- 「deviceIds」- 您要顯示結果的裝置識別碼逗號分隔清單。 例如:1232,34,2,456
如需詳細資訊,請參閱內部部署管理主控台的整合 API 參考 (公開預覽版)。
OT 設備硬體設定檔更新
我們已重新整理 OT 設備硬體設定檔的命名慣例,以提升透明度和清晰度。
新名稱會反映設定檔的類型,包括公司、企業和生產線,以及相關的磁碟儲存體大小。
使用下表來了解舊版硬體設定檔名稱與已更新軟體安裝中所使用目前名稱之間的對應:
| 舊版名稱 | 新名稱 | 描述 |
|---|---|---|
| 公司 | C5600 | 公司環境,包含: 16 個核心 32-GB RAM 5.6-TB 磁碟儲存體 |
| 企業 | E1800 | 企業環境,包含: 八個核心 32-GB RAM 1.8-TB 磁碟儲存體 |
| SMB | L500 | 生產線環境,包含: 四個核心 8-GB RAM 500-GB 磁碟儲存體 |
| Office | L100 | 生產線環境,包含: 四個核心 8-GB RAM 100-GB 磁碟儲存體 |
| Rugged | L64 | 生產線環境,包含: 四個核心 8-GB RAM 64-GB 磁碟儲存體 |
我們現在也支援新的企業硬體設定檔,適用於支援 500 GB 和 1-TB 磁碟大小的感應器。
如需詳細資訊,請參閱我需要哪些設備?(英文)
Azure 入口網站的 PCAP 存取權 (公開預覽)
現在您可以直接從 Azure 入口網站存取原始流量檔案,稱為封包擷取檔案或 PCAP 檔案。 此功能支援 SOC 或 OT 安全性工程師,這些工程師想要從適用於 IoT 的 Defender 或 Microsoft Sentinel 調查警示,而不需要個別存取每個感應器。
![[下載 PCAP] 按鈕的螢幕快照。](media/release-notes/pcap-request.png#lightbox)
PCAP 檔案會下載至您的 Azure 儲存體。
如需詳細資訊,請參閱從 Azure 入口網站檢視和管理警示。
感應器與 Azure 入口網站之間的雙向警示同步處理 (公開預覽)
針對更新為 22.2.1 版的感應器,警示狀態和學習狀態現在會在感應器主控台與 Azure 入口網站之間完全同步。 例如,這表示您可以在 Azure 入口網站或感應器主控台上關閉警示,而且警示狀態會在這兩個位置更新。
從 Azure 入口網站或感應器主控台了解警示,以確保下次偵測到相同的網路流量時,不會再次觸發警示。
感應器主控台也會與內部部署管理主控台同步處理,讓警示狀態和學習狀態在管理介面之間保持最新狀態。
如需詳細資訊,請參閱
- 從 Azure 入口網站檢視及管理警示
- 檢視和管理感應器上的警示 (部分機器翻譯)
- 在內部部署管理主控台上使用警示 (部分機器翻譯)
在憑證輪替之後還原的感應器連線
從 22.2.3 版開始,輪替憑證之後,感應器連線會自動還原到您的內部部署管理主控台,您不需要手動重新連線。
如需詳細資訊,請參閱為 OT 設備建立 SSL/TLS 憑證和管理 SSL/TLS 憑證 (部分機器翻譯)。
支援診斷記錄增強功能 (公開預覽)
從感應器 22.1.1 版開始,您可以從感應器主控台下載診斷記錄,以在開啟票證時傳送給支援人員。
現在,針對本機受控感應器,您可以直接在 Azure 入口網站上傳該診斷記錄。
![[傳送診斷檔案以支援] 選項的螢幕快照。](media/how-to-manage-sensors-on-the-cloud/upload-diagnostics-log.png#lightbox)
提示
針對從感應器 22.1.3 版開始的雲端連線感應器,當您開啟票證時,診斷記錄會自動提供給支援人員。
如需詳細資訊,請參閱
瀏覽器索引標籤中顯示的感應器名稱
從感應器 22.2.3 版開始,感應器的名稱會顯示在瀏覽器索引標籤中,讓您更容易識別正在使用的感應器。
例如:
如需詳細資訊,請參閱管理個別感應器。
與適用於 IoT 的 Defender 警示同步的 Microsoft Sentinel 事件
使用適用於 IoT 的 Defender 進行 IoT OT 威脅監視解決方案,現在可確保適用於 IoT 的 Defender 中的警示會以來自 Microsoft Sentinel 的任何相關事件狀態變更進行更新。
同步處理會覆寫適用於 IoT 的 Defender、Azure 入口網站或感應器主控台中定義的任何狀態,讓警示狀態符合相關事件的狀態。
更新使用適用於 IoT 的 Defender 進行 IoT OT 威脅監視解決方案,以使用最新的同步處理支援,包括新的 AD4IoT-AutoAlertStatusSync 劇本。 更新解決方案之後,請確定您也採取必要步驟,以確保新的劇本如預期般運作。
如需詳細資訊,請參閱
2022 年 6 月
感應器軟體 22.1.6 版:內部感應器元件維護更新的次要版本
感應器軟體 22.1.5 版:改善 TI 安裝套件和軟體更新的次要版本
我們最近也已最佳化並增強文件,如下所示:
已更新 OT 環境的設備目錄
我們已重新整理並翻新用於監視 OT 環境的支援設備目錄。 這些設備支援各種大小的環境彈性部署選項,且可用來裝載 OT 監視感應器與內部部署管理主控台。
使用新頁面,如下所示:
了解哪些硬體型號最符合貴組織需求。 如需詳細資訊,請參閱我需要哪些設備?
了解可供購買的預先設定硬體設備,或虛擬機器的系統需求。 如需詳細資訊,請參閱用於 OT 監視的預先設定實體設備和使用虛擬設備進行 OT 監視。
如需每個設備類型的詳細資訊,請使用連結的參考頁面,或瀏覽我們新的參考 > OT 監視設備一節。
每個裝置類型的參考文章,包括虛擬裝置,以及設定設備以使用適用於 IoT 的 Defender 進行 OT 監視的具體步驟。 一般軟體安裝和疑難排解程序仍記載於適用於 IoT 的 Defender 軟體安裝中。
針對終端使用者組織重新組織文件
我們最近為終端使用者組織重新組織適用於 IoT 的 Defender 文件,為上線和使用者入門指出更清楚的路徑。
查看並遵循我們的新結構,了解檢視裝置和資產、管理警示、弱點和威脅與其他服務整合,以及部署和維護適用於 IoT 的 Defender 系統。
新增及更新的文章包括:
- 歡迎使用適用於 IoT 的 Microsoft Defender (適用於組織)
- 適用於 IoT 的 Microsoft Defender 架構
- 快速入門:開始使用適用於 IoT 的 Defender
- 教學課程:適用於 IoT 的 Microsoft Defender 試用版設定
- 教學課程:開始使用企業 IoT
注意
若要透過 GitHub 傳送文件的意見反應,請捲動至頁面底部,然後選取此頁面的 [意見反應] 選項。 我們很樂意聽到您的意見反應!
2022 年 4 月
裝置詳細目錄中的擴充裝置屬性資料
感應器軟體版本:22.1.4
從感應器更新為 22.1.4 版開始,Azure 入口網站上的 [裝置詳細目錄] 頁面會顯示下列欄位的擴充資料:
- 說明
- Tags (標籤)
- 通訊協定
- 掃描器
- 上次活動
如需詳細資訊,請參閱從 Azure 入口網站管理您的裝置詳細目錄。
2022 年 3 月
感應器版本:22.1.3
- 搭配使用適用於 IoT 的 Microsoft Defender 和 Azure 監視器活頁簿
- 使用適用於 IoT 的 Defender 來監視 IoT OT 威脅的解決方案正式發行
- 從 Azure 入口網站編輯和刪除裝置
- 金鑰狀態警示更新
- 登出 CLI 工作階段
搭配使用適用於 IoT 的 Microsoft Defender 和 Azure 監視器活頁簿 (公開預覽)
Azure 監視器活頁簿提供圖形和儀表板,以視覺化方式呈現您的資料,並可直接在適用於 IoT 的 Microsoft Defender 中使用來自 Azure Resource Graph 的資料。
在 Azure 入口網站中,使用適用於 IoT 的 Defender [活頁簿] 頁面來檢視 Microsoft 所建立並提供的現成可用活頁簿,或是建立您自己的自訂活頁簿。
如需詳細資訊,請參閱在適用於 IoT 的 Microsoft Defender 中使用 Azure 監視器活頁簿。
使用適用於 IoT 的 Defender 來監視 IoT OT 威脅的解決方案正式發行
Microsoft Sentinel 中,適用於 IoT 的 Defender 解決方案的 IoT OT 威脅監視現已正式發行。 在 Azure 入口網站中,使用此解決方案來協助保護整個 OT 環境,無論您是需要保護現有的 OT 裝置,還是要在新的 OT 創新中建立安全性。
如需詳細資訊,請參閱企業 SOC 中的 OT 威脅監視和教學課程:整合適用於 IoT 的 Defender 和 Sentinel。
從 Azure 入口網站編輯和刪除裝置 (公開預覽)
Azure 入口網站中的 [裝置詳細目錄] 頁面現在支援編輯裝置詳細資料的功能,例如安全性、分類、位置等資料:
![顯示 [編輯] 窗格的 [裝置清查] 頁面螢幕快照。](media/release-notes/edit-device-details.png#lightbox)
如需詳細資訊,請參閱編輯裝置詳細資料。
只有在裝置超過 14 天不使用時,才能從適用於 IoT 的 Defender 中刪除裝置。 如需詳細資訊,請參閱刪除裝置。
金鑰狀態警示更新 (公開預覽版)
適用於 IoT 的 Defender 現在支援用於 PLC 作業模式偵測的 Rockwell 通訊協定。
針對 Rockwell 通訊協定,Azure 入口網站和感應器主控台中的 [裝置詳細目錄] 頁面現在會指出 PLC 作業模式金鑰和執行狀態,以及裝置目前是否處於安全模式。
如果裝置的 PLC 作業模式曾經切換為不安全的模式,例如 [程式] 或 [遠端],就會產生 [PLC 作業模式已變更] 的警示。
如需詳細資訊,請參閱使用組織裝置詳細目錄管理 IoT 裝置。
登出 CLI 工作階段
從此版本開始,CLI 使用者會在非使用狀態 300 秒後自動登出其工作階段。 若要手動登出,請使用新的 logout CLI 命令。
如需詳細資訊,請參閱使用適用於 IoT 的 Defender CLI 命令。
2022 年 2 月
感應器軟體版本:22.1.1
- 新增感應器安裝精靈
- 感應器重新設計和整合 Microsoft 產品體驗
- 強化感應器概觀頁面
- 新增支援診斷記錄
- 警示更新
- 自訂警示更新
- CLI 命令更新
- 更新至 22.1.x 版
- 新增連線模型和防火牆需求
- 通訊協定改善
- 修改、取代或移除選項和設定
新增感應器安裝精靈
先前,您必須使用個別對話方塊來上傳感應器啟用檔、驗證感應器網路設定,以及設定 SSL/TLS 憑證。
現在,安裝新感應器或新感應器版本時,安裝精靈會提供簡化介面,從單一位置執行上述所有工作。
如需詳細資訊,請參閱適用於 IoT 的 Defender 安裝。
感應器重新設計和整合 Microsoft 產品體驗
適用於 IoT 的 Defender 感應器主控台經過重新設計,可建立整合的 Microsoft Azure 體驗,並增強和簡化工作流程。
這些功能現在已正式發行 (GA)。 更新包括一般外觀和風格、向下切入窗格、搜尋和動作選項等。 例如:
簡化的工作流程包括:
[裝置詳細目錄] 頁面現在包含詳細說明的裝置頁面。 選取資料表中的裝置,然後選取右側的 [檢視完整詳細資料]。
![[檢視完整詳細資料] 按鈕的螢幕快照。](media/release-notes/device-inventory-details.png)
從感應器詳細目錄更新的屬性現在會自動在雲端裝置詳細目錄中更新。
從 [裝置地圖] 或 [裝置詳細目錄] 頁面存取的裝置詳細資料頁面會顯示為唯讀。 若要修改裝置屬性,請選取左下方的 [編輯屬性]。
[資料採礦] 頁面現在包含報告功能。 移除 [報告] 頁面時,具有唯讀存取權的使用者可以在 [資料採礦] 頁面上檢視更新,但不能修改報告或設定。
對於建立新報告的系統管理使用者,您現在也可以切換 [傳送至 CM] 選項,將報告傳送至中央管理主控台。 如需詳細資訊,請參閱建立報告
[系統設定] 區域已將 [基本] 設定重新組織加入 [網路監視]、[感應器管理]、[整合] 和 [匯入] 設定的區段。
感應器線上說明現在會連結至適用於 IoT 的 Microsoft Defender 文件中的重要文章。
![[檢視完整詳細資料] 按鈕的螢幕快照。](media/release-notes/device-inventory-details.png#lightbox)
適用於 IoT 的 Defender 地圖現在包含:
現在會為警示並在裝置資料頁面上顯示新的地圖檢視,顯示在環境中發現警示或裝置的位置。
以滑鼠右鍵按一下地圖上的裝置來檢視裝置的相關內容資訊,包括相關的警示、事件時間軸資料,以及連線裝置。
選取 [停用顯示 IT 網路群組] 以防止在對應中摺疊 IT 網路的能力。 預設會開啟此選項。
已移除 [簡化的地圖檢視] 選項。
我們也已實作全域整備和協助工具功能,以符合 Microsoft 標準。 在內部部署感應器主控台中,這些更新包括高對比和一般螢幕顯示主題,以及超過 15 種語言的當地語系化。
例如:
從畫面右上角的設定圖示存取全域整備和協助工具選項:
強化感應器概觀頁面
適用於 IoT 的 Defender 感應器入口網站的 [儀表板] 頁面已重新命名為 [概觀],現在包含更能重點摘要系統部署詳細資料、重要網路監視健康情況、重大警示,以及重要趨勢和統計資料等資料。
[概觀] 頁面現在也會作為「黑箱」來檢視整體感應器狀態,以防輸出連線 (例如對 Azure 入口網站的連線) 停止運作。
使用 [趨勢與統計資料] 頁面建立更多儀表板,其位於左側的 [分析] 功能表底下。
新增支援診斷記錄
現在,您可以取得新增至您支援票證的記錄和系統資訊摘要。 在 [備份與還原] 對話方塊中,選取 [支援票證診斷]。
![[備份與還原] 對話框的螢幕快照,其中顯示 [支援票證診斷] 選項。](media/release-notes/support-ticket-diagnostics.png#lightbox)
如需詳細資訊,請參閱下載診斷記錄以取得支援 (部分機器翻譯)
警示更新
在 Azure 入口網站中:
警示現在可在 Azure 入口網站適用於 IoT 的 Defender 中使用。 使用警示以增強 IoT/OT 網路的安全性和作業。
新的 [警示] 頁面目前處於公開預覽狀態,並提供:
- 即時檢視網路感應器所偵測到的威脅彙總。
- 裝置和網路程序的補救步驟。
- 將警示串流到 Microsoft Sentinel,強化 SOC 小組的能力。
- 警示儲存時間為從第一次偵測到警示算起的 90 天。
- 調查來源和目的地活動、警示嚴重性和狀態、MITRE ATT&CK 資訊,及警示相關內容資訊的工具。
例如:
![[警示] 頁面的螢幕快照,其中顯示 MITRE 資訊。](media/release-notes/mitre.png#lightbox)
在感應器主控台上:
在感應器主控台上,[警示] 頁面現在會顯示感應器偵測到的警示詳細資料,其中這些警示已在 Azure 上設為與適用於 IoT 的 Defender 雲端連線。 在 Azure 和內部部署中使用警示的使用者,應了解 Azure 入口網站與內部部署元件之間的警示管理方式。
![感測器控制臺上新 [警示] 頁面的螢幕快照。](media/release-notes/alerts-in-console.png#lightbox)
其他警示更新包括:
對每個警示存取內容資料,例如相同時間中發生的事件,或連線裝置的地圖。 連線裝置的地圖僅適用於感應器主控台警示。
警示狀態已更新,例如,現在包含 [關閉] 狀態,而不是 [已認可]。
警示儲存時間從第一次偵測到警示算起為 90 天。
具有防毒簽章警示的備份活動。 如果在來源裝置與目的地備份伺服器之間偵測到流量,就會觸發此新警示警告,這通常是合法的備份活動。 這類活動不會再觸發重要或重大惡意程式碼警示。
升級期間會刪除目前封存的感應器主控台警示。 不再支援釘選的警示,因此會移除感應器主控台警示的相關釘選。
如需詳細資訊,請參閱檢視感應器上的警示。
自訂警示更新
感應器主控台的 [自訂警示規則] 頁面現在可供使用:
自訂警示規則資料表中的叫用次數資訊,其中包含您建立之每個規則在最後一週觸發之警示數的概覽詳細資料。
能夠排程自訂警示規則在一般工作時間以外執行。
可使用 DPI 引擎從通訊協定擷取的任何欄位發出警示。
建立自訂規則時的完整通訊協定支援,並支援全面的相關通訊協定變數。
![[已更新的自定義警示] 對話框螢幕快照。](media/how-to-manage-sensors-on-the-cloud/protocol-support-custom-alerts.png)
![[已更新的自定義警示] 對話框螢幕快照。](media/how-to-manage-sensors-on-the-cloud/protocol-support-custom-alerts.png#lightbox)
如需詳細資訊,請參閱在 OT 感應器上建立自訂警示規則。
CLI 命令更新
適用於 IoT 的 Defender 感應器軟體安裝現已容器化。 透過現已容器化的感應器,您可以使用 cyberx_host 使用者來調查其他容器或作業系統的問題,或透過 FTP 傳送檔案。
此 cyberx_host 使用者預設為可用,並連線到主機。 如果您有需要,請從適用於 IoT 的 Defender 中的 [網站與感應器] 頁面復原 cyberx_host 使用者的密碼。
在容器化感應器中,已修改下列 CLI 命令:
| 舊版名稱 | 取代 |
|---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
已移除 sudo cyberx-xsense-limit-interface-I eth0 -l value CLI 命令。 此命令用來限制感應器用於日常程序的介面頻寬,現已不再受到支援。
如需詳細資訊,請參閱適用於 IoT 的 Defender 安裝 (部分機器翻譯)、使用適用於 IoT 的 Defender CLI 命令 (部分機器翻譯),以及來自 OT 網路感應器的 CLI 命令參考 (部分機器翻譯)。
更新至 22.1.x 版
若要使用適用於 IoT 的 Defender 的所有最新功能,請務必將感應器軟體版本更新至 22.1.x 版。
如果您使用的是舊版,可能需要執行一系列更新才能取得最新版本。 您也需要更新防火牆規則,並使用新的啟用檔案重新啟用感應器。
升級至 22.1.x 版之後,您可以在下列路徑中找到新的升級記錄,並可透過 SSH 和 cyberx_host 使用者來存取:/opt/sensor/logs/legacy-upgrade.log。
如需詳細資訊,請參閱更新 OT 系統軟體。
注意
升級至 22.1.x 版是一項大型更新,您應該預期更新程序比先前更新需要更長的時間。
新增連線模型和防火牆需求
適用於 IoT 的 Defender 22.1.x 版支援一套新的感應器連線方法,可提供簡化部署、改善安全性、可擴縮性和彈性連線能力。
除了移轉步驟之外,此新的連線模型還需要您開啟新的防火牆規則。 如需詳細資訊,請參閱
- 新的防火牆需求:感應器可存取 Azure 入口網站。
- 架構:感應器連線方法
- 連線程序:將您的感應器連線到適用於 IoT 的 Microsoft Defender
通訊協定改善
這個適用於 IoT 的 Defender 版本提供經改善的支援:
- Profinet DCP
- Honeywell
- Windows 端點偵測
如需詳細資訊,請參閱適用於 IoT 的 Microsoft Defender - 支援 IoT、OT、ICS 和 SCADA 通訊協定。
修改、取代或移除選項和設定
已移動、移除和/或取代下列適用於 IoT 的 Defender 選項和設定:
先前在 [報告] 頁面上找到的報告現在改為顯示在 [資料採礦] 頁面上。 您也可以直接從內部部署管理主控台檢視資料採礦資訊。
變更本機受控感應器名稱,現在只支援透過使用新名稱將感應器上線至 Azure 入口網站。 感應器名稱無法再直接從感應器中變更。 如需詳細資訊,請參閱上傳新的啟用檔案 (部分機器翻譯)。