Новые возможности Microsoft Defender для Интернета вещей

В этой статье перечислены новые функции и улучшения функций Microsoft Defender для Интернета вещей для разработчиков устройств.

Эти функции работают в режиме предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Дополнительные сведения см. в статье Обновление микроагента Microsoft Defender для Интернета вещей.

Август 2024 г.

Defender для Интернета вещей планирует выйти из эксплуатации микроагента 1 августа 2025 года.

Март 2024 г.

Обновления для анализа встроенного ПО Defender для Интернета вещей:

• Команды Azure CLI и PowerShell. Автоматизация рабочего процесса анализа образов встроенного ПО с помощью Azure CLI или команд PowerShell для анализа встроенного ПО.

• Выбор пользователя в группе ресурсов: выберите собственную группу ресурсов или создайте новую группу ресурсов, чтобы использовать Анализ встроенного ПО Defender для Интернета вещей во время процесса подключения.

  

• Новый формат пользовательского интерфейса с инвентаризацией встроенного ПО: подзаготовки для организации начала работы, управления подписками и инвентаризации встроенного ПО.

  

• Расширенная документация. Обновление руководства. Анализ документации по образу встроенного ПО Интернета вещей и OT, который обращается к новому интерфейсу подключения.

2024 января

Обновления анализа встроенного ПО Defender для Интернета вещей с момента общедоступной предварительной версии в июле 2023 г.

• Генератор отчетов PDF: добавление возможности скачивания в формате PDF на странице обзора, которая создает и скачивает pdf-отчет о результатах анализа встроенного ПО.

  

• Сокращенное время анализа: время анализа сократилось на 30–80 %, в зависимости от размера изображения.

• Обнаружение библиотек CODESYS: Анализ встроенного ПО Defender для Интернета вещей теперь обнаруживает использование библиотек CODESYS, которые корпорация Майкрософт недавно определила как уязвимости с высоким уровнем серьезности. Эти уязвимости можно использовать для атак, таких как удаленное выполнение кода (RCE) или отказ в обслуживании (DoS). Дополнительные сведения см. в статье о нескольких уязвимостях с высоким уровнем серьезности в пакете SDK для CODESYS версии 3, что может привести к RCE или DoS.

• Расширенная документация: добавление документации, в соответствии со следующими понятиями:

  • Управление доступом на основе ролей Azure для анализа встроенного ПО Defender для Интернета вещей, которое объясняет роли и разрешения, необходимые для отправки образов встроенного ПО и общих результатов анализа, а также объяснение того, как работает группа ресурсов FirmwareAnalysisRG
  • Часто задаваемые вопросы по Аналитике компьютеров

• Улучшенная фильтрация для каждого отчета: каждый отчет подзадаче теперь включает более подробные возможности фильтрации.

• Метаданные встроенного ПО: добавление свертываемой вкладки с метаданными встроенного ПО, доступными на каждой странице.

  

• Улучшено обнаружение версий: улучшено обнаружение версий следующих библиотек:

  • pcre
  • pcre2
  • net-tools
  • зебра
  • dropbear
  • Bluetoothd
  • WolfSSL
  • sqlite3

• Добавлена поддержка файловых систем: Анализ встроенного ПО Defender для Интернета вещей теперь поддерживает извлечение следующих файловых систем. Дополнительные сведения см. в разделе часто задаваемые вопросы по анализу встроенного ПО:

  • ISO
  • РомФ
  • Реализация Zstandard и нестандартной реализации LZMA SquashFS

Июль 2023 г.

Объявление "Анализ встроенного ПО" общедоступной предварительной версии

Анализ встроенного ПО Microsoft Defender для Интернета вещей теперь доступен в общедоступной предварительной версии. Defender для Интернета вещей может анализировать встроенное ПО устройства для распространенных слабых мест и уязвимостей и предоставлять аналитические сведения о безопасности встроенного ПО. Этот анализ полезен при создании встроенного ПО или получении встроенного ПО из цепочки поставок.

Дополнительные сведения см. в разделе "Анализ встроенного ПО для построителей устройств".

Декабрь 2022 г.

Версия 4.6.2:

При обновлении микроагента с версии 4.2.* до версии 4.6.2 сначала потребуется удалить пакет, а затем переустановить его. Дополнительные сведения см. в статье Обновление микроагента Microsoft Defender для Интернета вещей.

• Сборщик периферийных устройств: добавление нового сборщика, которое обнаруживает физические подключаемые модули устройств. Дополнительные сведения см. в коллекции событий микроагента — периферийные события.

• Сборщик файловой системы: добавление нового сборщика, отслеживающего указанные файловые системы. Дополнительные сведения см. в коллекции событий микроагента — события файловой системы.

• Сборщик статистики: добавление нового сборщика, который сообщает для каждого цикла сбора данных о разных сборщиках в агенте. Дополнительные сведения см. в коллекции событий микроагента — события статистики.

• Сборщик сведений системы: сборщик сведений системы теперь собирает тип агента (Edge/Standalone) и версию. Дополнительные сведения см. в коллекции событий микроагента — системные информационные события.

• Новые оповещения: теперь поддерживаются новые оповещения периферийной и файловой системы. Дополнительные сведения см. в разделе "Оповещения системы безопасности микроагента".

• Альтернатива декодированию DMI: теперь поддерживается новая альтернатива сведениям об устройстве, если устройство не поддерживает декодирования DMI. Дополнительные сведения см. в разделе "Настройка декодирования DMI".

• Сведения о встроенном ПО: теперь поддерживает поставщик встроенного ПО устройства и версию, собранную с помощью декодирования DMI или его альтернативы. Дополнительные сведения см. в разделе "Настройка декодирования DMI".

• Поддержка службы подготовки устройств. Теперь можно использовать DPS для подготовки микроагента и устройств в масштабе. Дополнительные сведения см. в статье "Подготовка микроагента с помощью DPS".

• Протокол AMQP по протоколу веб-сокета поддерживается: теперь поддерживает AMQP по протоколу веб-сокета, который можно добавить после установки микроагента. Дополнительные сведения см. в разделе "Добавление AMQP через протокол websocket".

• Исправлена ошибка сборщика SBoM: теперь поддержка коллекции всех пакетов вместо первого приема 500. Дополнительные сведения см. в коллекции событий микроагента — события SBoM.

• Поддержка бюстера Debian 10 ARM 64: теперь поддерживает устройства Debian 10 ARM 64. Дополнительные сведения см. в обзоре портфеля агентов и поддержке ОС.

• Поддержка Ubuntu 22.04: теперь поддерживает устройства Ubuntu 22.04. Дополнительные сведения см. в обзоре портфеля агентов и поддержке ОС.

2022 сентября

Объявление о доступности микроагента

Микроагент Azure Defender для Интернета вещей теперь общедоступен.

Июль 2022

Версия 4.2.4:

• Обновления прокси-подключения: теперь можно подключать микроагент к Центру Интернета вещей через прокси-сервер. Дополнительные сведения см. в разделе Подключение через прокси-сервер.

• Поддержка сертификатов на основе доверенного платформенного модуля: теперь можно использовать сертификаты OpenSSL на основе доверенного платформенного модуля. Дополнительные сведения см. в разделе Аутентификация с использованием сертификата.

• Поддержка AMQP: теперь можно добавлять поддержку AMQP после установки микроагента. Дополнительные сведения см. в разделе Добавление поддержки протокола AMQP.

• Обновления сборщика базовых показателей. Теперь сборщик базовых показателей отправляет в облако результаты проверки допущено и пропущено в дополнение к результатам не допущено. Дополнительные сведения см. в разделе Базовые показатели (сборщик на основе триггеров).

• Сборщик данных входа через UTMP: сборщик данных входа теперь поддерживает UTMP для перехвата интерактивных событий SSH, событий telnet и данных входа в терминал, включая события неудачных попыток входа. Дополнительные сведения см. в разделе Сборщик журналируемых данных (сборщик на основе событий).

• Известная проблема сборщика SBoM. В настоящее время сборщик SBoM собирает только первые 500 загруженных пакетов. Дополнительные сведения см. в разделе SBoM (сборщик на основе триггеров).

2022 февраля

Версия 4.1.2

• Микроагент для Edge теперь предоставляется в общедоступной предварительной версии. Микроагент поддерживает устройства IoT Edge, а также простой процесс установки и подготовки удостоверений, использующий автоматически подготовленное удостоверение модуля для проверки подлинности устройств Edge, так что вам не нужно выполнять проверку подлинности вручную.

  Дополнительные сведения см. в статье Установка микроагента Defender для Интернета вещей для Edge (предварительная версия).

• Новая структура каталогов. Теперь соответствует стандартной структуре каталогов установки Linux.

  В связи с этим изменением, после обновления до версии 4.1.2 требуется повторно выполнить проверку подлинности микроагента и сохранить строку подключения в новом расположении. Дополнительные сведения см. в статье Обновление микроагента Microsoft Defender для Интернета вещей.

• Сборщик SBoM. Этот сборщик собирает пакеты, периодически устанавливаемые на устройстве. Дополнительные сведения см. в разделе Сбор событий для микроагента (предварительная версия).

• Контрольные показатели CIS. Микроагент теперь поддерживает рекомендации на основе CIS Distribution Independent Linux Benchmarks версии 2.0.0 и возможность отключения конкретных проверок CIS Benchmark или групп с помощью конфигураций двойника. Дополнительные сведения см. в статье Конфигурации микроагента (предварительная версия).

• Список поддерживаемых микроагентов расширяется: микроагент теперь поддерживает устройства Debian 11 AMD64 и ARM32v7 и Ubuntu Server 18.04 ARM32 Linux и устройства Ubuntu Server 20.04 ARM32 и ARM64 Linux.

  Дополнительные сведения см. в статье Общие сведения о портфеле агентов и поддержке ОС (предварительная версия).

• Число обращений к DNS. Сетевой сборщик теперь включает поле с числом обращений к DNS, которое можно увидеть с помощью Log Analytics. Этот показатель поможет определить, был ли запрос DNS частью автоматического запроса.

  Дополнительные сведения см. в разделе События сетевой активности (сборщик на основе событий).

• Сборщик событий входа. Добавлена поддержка сборщика событий входа с использованием журнала SYSLOG, собирающего события входа по протоколу SSH, и PAM, собирающего события входа по протоколу SSH, telnet и локального входа с помощью стека подключаемых модулей проверки подлинности. Дополнительные сведения см. в разделе Сборщик журналируемых данных (сборщик на основе событий).

Ноябрь 2021 г.

Версия 3.13.1

• Теперь поддерживается сетевая активность DNS на управляемых устройствах. Граф безопасности Майкрософт для аналитики угроз теперь может обнаруживать подозрительные действия на основе трафика DNS.

• Перенаправление трафика через конечное устройство. Расширена интеграция с IoT Edge. Эта интеграция расширяет возможности подключения между агентом и облаком благодаря перенаправлению трафика через конечное устройство.

2021 октября

Версия 3.12.2

• Для Debian 9 теперь поддерживается больше проверок CIS Benchmark. Эти дополнительные проверки позволяют убедиться, что сеть соответствует рекомендациям CIS, используемым для защиты от распространенных киберугроз.

• Конфигурация двойника. Поведение микроагента можно настроить с помощью набора свойств двойника модуля. Микроагент можно настроить таким образом, чтобы он максимально полно удовлетворял ваши потребности.

Сентябрь 2021 года

Версия 3.11.

• Сборщик попыток входа. Сборщики попыток входа собирают данные о входах, выходах и неудачных попытках входа пользователей. Например, SSH и telnet.

• Сборщик системной информации. Сборщик системной информации собирает сведения, связанные с операционной системой и оборудованием устройства.

• Агрегирование событий. Агент службы "Defender для Интернета вещей" агрегирует такие события, как обработка, вход в систему, сетевые события, сокращая количество отправляемых сообщений и расходы и сохраняя при этом безопасность вашего устройства.

• Конфигурация двойника. Поведение микроагента можно настроить с помощью набора свойств двойника модуля. (например, задав частоту отправки событий и режим агрегирования). Микроагент можно настроить таким образом, чтобы он максимально полно удовлетворял ваши потребности.

Март 2021 г.

Построитель устройств — новый Micro Agent (общедоступная Предварительная версия)

Доступен новый модуль "конструктор устройств". Модуль, называемый микроагентом, позволяет:

• Интеграция с Центром Интернета вещей Azure и Defender для Интернета вещей. Создавайте более надежную систему безопасности конечных точек непосредственно в своих устройствах Интернета вещей, интегрируя ее с помощью функции мониторинга, предоставляемой Центром Интернета вещей Azure и решением "Defender для Интернета вещей".

• Гибкие варианты развертывания с поддержкой стандартных операционных систем Интернета вещей — можно развернуть как двоичный пакет или как изменяемый исходный код с поддержкой стандартных операционных систем Интернета вещей, таких как Linux и Eclipse ThreadX.

• Минимальные требования к ресурсам без зависимостей ядра ОС — малый объем, низкое потребление ресурсов ЦП и зависимости ядра ОС.

• Управление уровнями безопасности — упреждающий мониторинг состояния безопасности устройств Интернета вещей.

• Непрерывное обнаружение угроз для устройств Интернета вещей в режиме реального времени — обнаружение угроз, например ботнетов, попыток подбора, сбора криптовалюты и подозрительных сетевых операций

Устаревшая документация по микроагенту Defender для Интернета вещей будет перемещена в папку Решение на основе агента для разработчиков устройств>Устаревшее.

Этот набор функций доступен в текущей общедоступной облачной предварительной версии.

Следующие шаги

• Подключение к Defender для Интернета вещей
• Обновление микроагента Microsoft Defender для Интернета вещей