Arquivo de novidades do Microsoft Defender para IoT para organizações

Observação

O Azure Defender para IoT foi renomeado para Microsoft Defender para IoT.

Este artigo serve como um arquivo dos recursos e aprimoramentos lançados há mais de nove meses para o Microsoft Defender para IoT para organizações.

Para ver atualizações mais recentes, confira Novidades do Microsoft Defender para IoT.

Os recursos indicados abaixo estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Dezembro de 2021

Versão do software do sensor: 10.5.4

Integração aprimorada com o Microsoft Sentinel (versão prévia)

A nova solução de Monitoramento de Ameaças de IoT OT com o Defender para IoT está disponível e fornece recursos aprimorados para a integração do Microsoft Defender para IoT com o Microsoft Sentinel. A solução de Monitoramento de Ameaças de IoT OT com o Defender para IoT é um conjunto empacotado de conteúdo, que inclui regras de análise, pastas de trabalho e guias estratégicos, configurados especificamente para dados do Defender para IoT. Atualmente, essa solução dá suporte apenas a Redes Operacionais (OT/ICS).

Para obter informações sobre a integração com o Microsoft Sentinel, confira Tutorial: Integrar o Defender para IoT e o Sentinel

Vulnerabilidade do Apache Log4j

A versão 10.5.4 do Microsoft Defender para IoT atenua a vulnerabilidade do Apache Log4J. Para obter detalhes, confira a atualização da consultoria de segurança.

Alertas

A versão 10.5.4 do Microsoft Defender para IoT fornece aprimoramentos de alertas importantes:

  • Os alertas para alguns eventos secundários ou casos de borda agora estão desabilitados.
  • Para determinados cenários, alertas semelhantes são minimizados em uma única mensagem de alerta.

Essas alterações reduzem o volume de alertas e permitem um direcionamento e uma análise mais eficientes da segurança e de eventos operacionais.

Para obter mais informações, confira Tipos de alerta e descrições do monitoramento de OT.

Alertas desabilitados permanentemente

Os alertas listados abaixo estão permanentemente desabilitados na versão 10.5.4. A detecção e o monitoramento ainda têm suporte para o tráfego associado aos alertas.

Alertas do mecanismo de política

  • Invocações de procedimento RPC
  • Servidor HTTP não autorizado
  • Uso anormal de endereços MAC

Alertas desabilitados por padrão

Os alertas listados abaixo estão desabilitados por padrão com a versão 10.5.4. Você pode reabilitar os alertas na página de suporte do console do sensor, se necessário.

Alerta do mecanismo de anomalia

  • Número anormal de parâmetros no cabeçalho HTTP
  • Comprimento anormal de cabeçalho HTTP
  • Conteúdo de cabeçalho HTTP inválido

Alertas do mecanismo operacional

  • Erro do cliente HTTP
  • Falha na operação do RPC

Alertas do mecanismo de política

Desabilitar esses alertas também desabilita o monitoramento do tráfego relacionado. Especificamente, esse tráfego não será relatado em relatórios de mineração de dados.

  • Alerta de comunicação HTTP ilícita e tráfego de mineração de dados de Conexões HTTP
  • Alerta de Agente do usuário HTTP não autorizado e tráfego de mineração de dados de Agentes do usuário HTTP
  • Ação SOAP HTTP não autorizada e tráfego de mineração de dados de ações SOAP HTTP

Funcionalidade de alerta atualizada

Alerta de Operação de banco de dados não autorizado Anteriormente, esse alerta abrangia os alertas DDL e DML e os relatórios de mineração de dados. Agora:

  • Tráfego DDL: há suporte para alertas e monitoramento.
  • Tráfego DML: há suporte para o monitoramento. Não há suporte para alertas.

Alerta de Novo ativo detectado Este alerta está desabilitado para novos dispositivos detectados nas sub-redes de TI. O alerta de Novo ativo detectado continua sendo disparado para novos dispositivos descobertos em sub-redes OT. As sub-redes OT são detectadas automaticamente e podem ser atualizadas pelos usuários, se necessário.

Alertas minimizados

O disparo de alerta para cenários específicos foi minimizado para ajudar a reduzir o volume de alertas e simplificar a investigação de alertas. Nesses cenários, se um dispositivo executar uma atividade repetida nos destinos, um alerta será disparado uma vez. Anteriormente, um novo alerta era disparado cada vez que a mesma atividade era executada.

Essa nova funcionalidade está disponível nos seguintes alertas:

  • Alertas de Detecção de Verificação de Porta, com base na atividade do dispositivo de origem (gerado pelo mecanismo de Anomalias)
  • Alertas de Malware, com base na atividade do dispositivo de origem. (gerado pelo mecanismo de Malware).
  • Suspeita de alertas de Ataque de Negação de Serviço, com base na atividade do dispositivo de destino (gerado pelo mecanismo de Malware)

Novembro de 2021

Versão do software do sensor: 10.5.3

Os aprimoramentos de recursos a seguir estão disponíveis com a versão 10.5.3 do Microsoft Defender para IoT.

  • O console de gerenciamento local tem uma nova API para dar suporte à nossa integração com o ServiceNow. Para obter mais informações, confira Referência da API de Integração para consoles de gerenciamento locais (versão prévia pública).

  • Foram feitos aprimoramentos na análise de tráfego de rede de vários dissectores de protocolo de OT e ICS.

  • Como parte de nossa manutenção automatizada, alertas arquivados com mais de 90 dias serão automaticamente excluídos.

  • Vários aprimoramentos foram feitos na exportação de metadados de alerta com base nos comentários dos clientes.

Outubro de 2021

Versão do software do sensor: 10.5.2

Os aprimoramentos de recursos a seguir estão disponíveis com a versão 10.5.2 do Microsoft Defender para IoT.

Detecções do modo de operação PLC (versão prévia pública)

Os usuários agora podem ver os estados, as alterações e os riscos do modo de operação PLC. O modo de operação PLC será composto pelo estado de execução lógico e o estado de chave físico se houver um comutador de chave física no PLC.

Essa nova funcionalidade ajuda a aprimorar a segurança detectando PLCs não seguros e, como resultado, impede ataques mal-intencionados, como downloads de programa PLC. O ataque Triton de 2017 em uma fábrica petroquímica ilustra os efeitos desses riscos. Essas informações também oferecem aos engenheiros operacionais visibilidade crítica sobre o modo de operação de PLCs empresariais.

O que é um modo não seguro?

Se o estado de chave for detectado como o programa ou o estado de execução for detectado como Remoto ou Programa, o PLC será definido pelo Defender para IoT como não seguro.

Visibilidade e avaliação de risco

  • Use o Inventário de Dispositivos para ver o estado PLC de PLCs organizacionais e informações contextuais do dispositivo. Use a caixa de diálogo Configurações do Inventário de Dispositivos para adicionar essa coluna ao Inventário.

    Device inventory showing PLC operating mode.

  • Veja o status de segurança do PLC e as últimas informações sobre alterações por PLC na seção Atributos da tela Propriedades do Dispositivo. Se o estado de chave for detectado como o programa ou o estado de execução for detectado como Remoto ou Programa, o PLC será definido pelo Defender para IoT como não seguro. A opção PLC Secured das Propriedades do Dispositivo será exibida como false.

    Attributes screen showing PLC information.

  • Exiba todo os status Estado da Execução e da Chave do PLC da rede criando uma informação de modo operacional Mineração de Dados com o PLC.

    Data inventory screen showing PLC option.

  • Use o Relatório de Avaliação de Risco para examinar o número de PLCs de rede no modo não seguro e informações adicionais que podem ser usadas para mitigar os riscos de um PLC não seguro.

API do PCAP

A nova API do PCAP permite que o usuário recupere arquivos do PCAP do sensor por meio do console de gerenciamento local com ou sem acesso direto ao próprio sensor.

Auditoria do console de gerenciamento local

Os logs de auditoria para o console de gerenciamento local agora podem ser exportados para facilitar investigações sobre quais alterações foram feitas e por quem.

Webhook estendido

O webhook estendido pode ser usado para enviar dados extras para o ponto de extremidade. O recurso estendido inclui todas as informações no alerta de Webhook e adiciona as seguintes informações ao relatório:

  • sensorID
  • sensorName
  • zoneID
  • zoneName
  • siteID
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • manipulado
  • additionalInformation

Suporte a Unicode para frases secretas de certificado

Agora há suporte para caracteres Unicode quando você trabalha com frases secretas de certificado do sensor. Para obter mais informações, consulte Preparar certificados assinados por AC.

Abril de 2021

Trabalhar com atualizações automáticas de inteligência contra ameaças (versão prévia pública)

Novos pacotes de inteligência contra ameaças já podem ser enviados automaticamente por push para sensores conectados à nuvem à medida que são lançados pelo Microsoft Defender para IoT. Isso é um complemento ao download de pacotes de inteligência contra ameaças e ao upload deles nos sensores.

Trabalhar com atualizações automáticas ajuda a reduzir os esforços operacionais e garantir maior segurança. Habilite a atualização automática integrando seu sensor conectado à nuvem no portal do Defender para IoT com a alternância Atualizações Automáticas de Inteligência contra Ameaças ativada.

Caso deseje adotar uma abordagem mais conservadora para atualizar seus dados de inteligência contra ameaças, envie pacotes por push manualmente do portal do Microsoft Defender para IoT aos sensores conectados à nuvem somente quando achar necessário. Isso fornece a capacidade de controlar quando um pacote é instalado, sem a necessidade de baixá-lo nem carregá-lo nos sensores. Envie atualizações por push manualmente aos sensores na página Sites e Sensores do Defender for IoT.

Examine também as seguintes informações sobre os pacotes de inteligência contra ameaças:

  • Versão do pacote instalada
  • Modo de atualização de inteligência contra ameaças
  • Status da atualização de inteligência contra ameaças

Exibir informações do sensor conectado à nuvem (versão prévia pública)

Veja informações operacionais importantes sobre os sensores conectados à nuvem na página Sites e Sensores.

  • A versão do sensor instalada
  • O status de conexão do sensor com a nuvem.
  • A última vez em que o sensor foi detectado conectando-se à nuvem.

Aprimoramentos da API de Alerta

Novos campos estão disponíveis para os usuários que trabalham com as APIs de alerta.

Console de gerenciamento local

  • Endereço de origem e de destino
  • Etapas de correção
  • O nome do sensor definido pelo usuário
  • O nome da zona associada ao sensor
  • O nome do site associado ao sensor

Sensor

  • Endereço de origem e de destino
  • Etapas de correção

A versão 2 da API é necessária ao trabalhar com os novos campos.

Recursos entregues como GA (disponibilidade geral)

Os seguintes recursos estavam disponíveis anteriormente na versão prévia pública e já são recursos em GA (disponibilidade geral):

  • Sensor – aprimoramento das regras de alerta personalizadas
  • Console de gerenciamento local – exportação de alertas
  • Adição de um segundo adaptador de rede ao console de gerenciamento local
  • Construtor de dispositivos – novo microagente

Março de 2021

Sensor – aprimoramento das regras de alerta personalizadas (versão prévia pública)

Agora você pode criar regras de alerta personalizadas com base no dia, no grupo de dias e no período em que a atividade de rede foi detectada. Trabalhar com condições de regra de dia e hora é útil, por exemplo, nos casos em que a severidade do alerta é derivada da hora em que o evento de alerta ocorre. Por exemplo, crie uma regra personalizada que dispara um alerta de severidade alta quando a atividade de rede é detectada em um fim de semana ou à noite.

Esse recurso está disponível no sensor com o lançamento da versão 10.2.

Console de gerenciamento local – exportação de alertas (versão prévia pública)

As informações de alerta já podem ser exportadas para um arquivo .csv no console de gerenciamento local. Você pode exportar as informações de todos os alertas detectados ou exportar as informações com base na exibição filtrada.

Esse recurso está disponível no console de gerenciamento local com o lançamento da versão 10.2.

Adição de um segundo adaptador de rede ao console de gerenciamento local (versão prévia pública)

Agora você pode aprimorar a segurança da sua implantação adicionando um segundo adaptador de rede ao console de gerenciamento local. Esse recurso permite que o gerenciamento local tenha os sensores conectados em uma só rede segura, permitindo que os usuários acessem o console de gerenciamento local por meio de um segundo adaptador de rede separado.

Esse recurso está disponível no console de gerenciamento local com o lançamento da versão 10.2.

Janeiro de 2021

Segurança

Foram feitos aprimoramentos de recuperação de senha e certificado nesta versão.

Certificados

Esta versão permite:

  • Carregar certificados TLS/SSL diretamente nos sensores e nos consoles de gerenciamento locais.
  • Executar a validação entre o console de gerenciamento local e os sensores conectados e entre um console de gerenciamento e um console de gerenciamento de alta disponibilidade. A validação é baseada em datas de validade, autenticidade da AC raiz e listas de certificados revogados. Se a validação falhar, a sessão não continuará.

Para atualizações:

  • Não há nenhuma alteração no certificado TLS/SSL ou na funcionalidade de validação durante a atualização.
  • Após atualizar seus sensores e consoles de gerenciamento locais, os usuários administrativos poderão substituir certificados TLS/SSL ou ativar a validação do certificado TLS/SSL na janela Configurações do Sistema, Certificado TLS/SSL.

Para instalações novas:

  • Durante a primeira entrada, os usuários precisam usar um certificado TLS/SSL (recomendado) ou um certificado autoassinado gerado localmente (não recomendado)
  • A validação de certificado é ativada por padrão para instalações novas.

Recuperação de senha

Os usuários administrativos do sensor e do console de gerenciamento local já podem recuperar senhas no portal do Microsoft Defender para IoT. Anteriormente, a recuperação de senha exigia a intervenção da equipe de suporte.

Integração

Console de gerenciamento local: dispositivos confirmados

Após a entrada inicial no console de gerenciamento local, agora, os usuários precisam carregar um arquivo de ativação. O arquivo contém o número agregado de dispositivos a serem monitorados na rede organizacional. Esse número é conhecido como o número de dispositivos confirmados. Os dispositivos confirmados são definidos durante o processo de integração no portal do Microsoft Defender para IoT, no qual o arquivo de ativação é gerado. Os usuários novatos e os usuários que estão fazendo a atualização devem carregar o arquivo de ativação. Após a ativação inicial, o número de dispositivos detectados na rede pode exceder o número de dispositivos confirmados. Esse evento poderá acontecer, por exemplo, se você conectar mais sensores ao console de gerenciamento. Se houver uma discrepância entre o número de dispositivos detectados e o número de dispositivos confirmados, um aviso será exibido no console de gerenciamento. Caso isso ocorra, carregue um novo arquivo de ativação.

Opções da página Preços

A página Preços permite que você integre novas assinaturas ao Microsoft Defender para IoT e defina os dispositivos confirmados na sua rede.
Além disso, a página Preços agora permite que você gerencie as assinaturas existentes associadas a um sensor e atualize o compromisso do dispositivo.

Exibir e gerenciar os sensores integrados

Uma nova página Site e Sensores do portal permite:

  • Adicionar informações descritivas sobre o sensor. Por exemplo, uma zona associada ao sensor ou marcas de texto livre.
  • Exibir e filtrar informações do sensor. Por exemplo, veja detalhes sobre os sensores que estão conectados à nuvem ou são gerenciados localmente ou veja informações sobre os sensores de uma zona específica.

Usabilidade

Nova página do conector do Azure Sentinel

A página do conector de dados do Microsoft Defender para IoT no Azure Sentinel foi reformulada. O conector de dados agora é baseado em assinaturas em vez de Hubs IoT, permitindo que os clientes gerenciem melhor a conexão de configuração com o Azure Sentinel.

atualizações de permissão do portal do Azure

O suporte ao Leitor de segurança e ao Administrador de segurança foi adicionado.

Outras atualizações

Grupo de acesso: permissões de zona

As regras do grupo de acesso do console de gerenciamento local não incluirão a opção de permitir acesso a uma zona específica. Não há nenhuma alteração na definição de regras que usam sites, regiões e unidades de negócios. Após a atualização, os grupos de acesso que continham regras que permitiam o acesso a zonas específicas serão modificados para permitir o acesso ao site pai, incluindo todas as zonas.

Alterações de terminologia

O termo "ativo" foi renomeado como "dispositivo" no sensor e no console de gerenciamento local, em relatórios e em outras interfaces da solução. Nos alertas do console de gerenciamento local e do sensor, o termo "Gerenciar este Evento" foi renomeado como "Etapas de Correção".

Próximas etapas

Introdução ao Defender para IoT