Новые возможности Microsoft Defender для Интернета вещей
В этой статье описываются функции, доступные в Microsoft Defender для Интернета вещей, в сетях OT и Enterprise IoT, как в локальной среде, так и в портал Azure, а также для версий, выпущенных за последние девять месяцев.
Функции, выпущенные ранее девяти месяцев назад, описаны в новом архиве Microsoft Defender для Интернета вещей для организаций. Дополнительные сведения о версиях программного обеспечения мониторинга OT см . в заметках о выпуске программного обеспечения для мониторинга OT.
Примечание.
Приведенные ниже функции предоставляются в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
Примечание.
В этой статье рассматривается Microsoft Defender для Интернета вещей в портал Azure.
Если вы являетесь клиентом Microsoft Defender, который ищет единый интерфейс ИТ/OT, см. документацию по Microsoft Defender для Интернета вещей на портале Microsoft Defender (предварительная версия).
Дополнительные сведения о порталах управления Defender для Интернета вещей.
Октябрь 2024 г.
Область обслуживания | Обновления |
---|---|
Сети OT | - Добавление подстановочных знаков для разрешенных доменных имен - Добавлен протокол - Новые параметры датчика типа "Общедоступные адреса" - Улучшенная адаптация датчика OT |
Добавление подстановочных знаков разрешенных доменных имен
При добавлении доменных имен в полный список разрешений используется *
подстановочный знак для включения всех поддоменов. Дополнительные сведения см. в разделе "Разрешить подключения к Интернету" в сети OT.
Добавлен протокол
Теперь мы поддерживаем протокол OCPI. См . обновленный список протоколов.
Новые параметры датчика типа "Общедоступные адреса"
Мы добавляем тип общедоступных адресов в параметры датчика, что позволяет исключить общедоступные IP-адреса, которые могли использоваться для внутреннего использования и не должны отслеживаться. Дополнительные сведения см. в разделе "Добавление параметров датчика".
Улучшенная адаптация датчика OT
Если во время подключения датчика возникают проблемы с подключением, между датчиком OT и портал Azure на этапе конфигурации процесс не удастся завершить, пока не будет решена проблема подключения.
Теперь мы поддерживаем выполнение процесса настройки без необходимости решить проблему связи, что позволяет быстро подключить датчик OT и решить эту проблему позже. Дополнительные сведения см. в разделе "Активация датчика OT".
Июль 2024 г.
Область обслуживания | Обновления |
---|---|
Сети OT | - Security update |
Обновление для системы безопасности
Это обновление разрешает CVE, который указан в документации по программному обеспечению версии 24.1.4.
Июнь 2024 г.
Область обслуживания | Обновления |
---|---|
Сети OT | - Оповещение о пути вредоносного URL-адреса - Новые поддерживаемые протоколы |
Оповещение о пути вредоносного URL-адреса
Новое оповещение, вредоносный URL-путь, позволяет пользователям определять вредоносные пути в допустимых URL-адресах. Оповещение о вредоносном URL-адресе расширяет идентификацию угроз Defender для Интернета вещей, чтобы включить универсальные подписи URL-адресов, важные для противодействия широкому спектру кибер-угроз.
Дополнительные сведения об этом оповещении описаны в таблице оповещений обработчика вредоносных программ.
Новые поддерживаемые протоколы
Теперь мы поддерживаем протокол Open. См. обновленный список протоколов.
Апрель 2024 г.
Область обслуживания | Обновления |
---|---|
Сети OT | - Единый вход для консоли датчика - Обнаружение смещения времени датчика - Security update |
Единый вход для консоли датчика
Вы можете настроить единый вход для консоли датчика Defender для Интернета вещей с помощью идентификатора Microsoft Entra. Единый вход позволяет выполнять простой вход для пользователей вашей организации, позволяет вашей организации соответствовать стандартам регулирования и повысить уровень безопасности. При использовании единого входа пользователи не нуждаются в нескольких учетных данных входа на разных датчиках и сайтах.
Использование идентификатора Microsoft Entra упрощает процессы подключения и отключения, уменьшает административные издержки и обеспечивает согласованные элементы управления доступом в организации.
Дополнительные сведения см. в разделе "Настройка единого входа" для консоли датчика.
Обнаружение смещения времени датчика
В этой версии представлен новый тест устранения неполадок в функции средства подключения, специально предназначенный для выявления проблем с смещением времени.
Одна из распространенных проблем при подключении датчиков к Defender для Интернета вещей в портал Azure возникает из несоответствий в формате UTC датчика, что может привести к проблемам с подключением. Чтобы устранить эту проблему, рекомендуется настроить сервер протокола NTP в параметрах датчика.
Обновление для системы безопасности
Это обновление разрешает шесть CVEs, перечисленных в документации по программному обеспечению версии 24.1.3.
Февраль 2024 г.
Область обслуживания | Обновления |
---|---|
Сети OT | Версия 24.1.2: - Правила подавления оповещений из портал Azure (общедоступная предварительная версия) - Специализированные оповещения в средах OT/IT - Теперь идентификатор оповещения выровнен на консоли портал Azure и датчика - Новые поддерживаемые протоколы Облачные функции - Напоминание о продлении лицензии в портал Azure - Новый профиль оборудования устройства OT - Новые поля для OID SNMP MIB |
Правила подавления оповещений из портал Azure (общедоступная предварительная версия)
Теперь можно настроить правила подавления оповещений из портал Azure, чтобы указать датчикам OT указанный трафик в сети, который в противном случае активирует оповещение.
- Настройте оповещения для подавления, указав заголовок оповещения, IP-адрес или MAC-адрес, имя узла, подсеть, датчик или сайт.
- Задайте для каждого правила подавления активный режим всегда или только в течение предопределенного периода, например для определенного периода обслуживания.
Совет
Если в настоящее время вы используете правила исключения в локальной консоль управления, рекомендуется перенести их в правила подавления в портал Azure. Дополнительные сведения см. в разделе "Подавление неуместных оповещений".
Специализированные оповещения в средах OT/IT
Организации, где датчики развертываются между OT и ИТ-сетями, имеют множество оповещений, связанных как с OT, так и с ИТ-трафиком. Количество оповещений, некоторые из которых являются неуместными, могут привести к усталости оповещений и повлиять на общую производительность.
Чтобы устранить эти проблемы, мы обновили политику обнаружения Defender для Интернета вещей для автоматического активации оповещений на основе бизнес-влияния и сетевого контекста, а также снижения низкого значения, связанных с ИТ-оповещениями.
Это обновление доступно в датчике версии 24.1.3 и более поздних версий.
Дополнительные сведения см. в разделе "Специализированные оповещения" в средах OT/IT.
Теперь идентификатор оповещения выровнен на консоли портал Azure и датчика
Идентификатор оповещения в столбце "Идентификатор" на странице оповещений портал Azure теперь отображает тот же идентификатор оповещения, что и консоль датчика. Дополнительные сведения о оповещениях на портал Azure.
Примечание.
Если оповещение было объединено с другими оповещениями от датчиков, которые обнаружили то же оповещение, портал Azure отображает идентификатор оповещения первого датчика, создающего оповещения.
Новые поддерживаемые протоколы
Теперь мы поддерживаем следующие протоколы:
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Роквелл AADvance Discover
- Rockwell AADvance SNCP/IXL
- Шнайдер NetManage
См. обновленный список протоколов.
Профиль оборудования L60 больше не поддерживается
Профиль оборудования L60 больше не поддерживается и удаляется из документации по поддержке. Теперь для профилей оборудования требуется не менее 100 ГБ (минимальный профиль оборудования теперь L100).
Чтобы перейти из профиля L60 в поддерживаемый профиль, выполните процедуру резервного копирования и восстановления сетевого датчика OT.
Напоминание о продлении лицензии в портал Azure
Когда срок действия лицензии для одного или нескольких сайтов OT истекает, заметка отображается в верхней части Defender для Интернета вещей в портал Azure, напоминая вам о продлении лицензий. Чтобы продолжить получение значения безопасности из Defender для Интернета вещей, выберите ссылку в заметке, чтобы продлить соответствующие лицензии в Центр администрирования Microsoft 365. Дополнительные сведения о выставлении счетов Defender для Интернета вещей.
Новый профиль оборудования устройства OT
Теперь устройство DELL XE4 SFF поддерживается для датчиков OT для мониторинга производственных линий. Это часть профиля оборудования L500, среды производственной линии , с шестью ядрами, 8-ГБ ОЗУ и 512 ГБ дискового хранилища.
Дополнительные сведения см. в разделе DELL XE4 SFF.
Новые поля для OID SNMP MIB
Дополнительные стандартные универсальные поля были добавлены в OIDs SNMP MiB. Полный список полей см. в разделе OID датчика OT для конфигураций SNMP вручную.
2024 января
Область обслуживания | Обновления |
---|---|
Сети OT | Обновление датчика в портал Azure теперь поддерживает выбор определенной версии |
Обновление датчика в портал Azure теперь поддерживает выбор определенной версии
При обновлении датчика в портал Azure теперь можно выбрать обновление до любой из поддерживаемых версий (версий, отличных от последней версии). Ранее датчики, подключенные к Microsoft Defender для Интернета вещей в портал Azure, были автоматически обновлены до последней версии.
Может потребоваться обновить датчик до определенной версии по различным причинам, например для тестирования, или выровнять все датчики с одной и той же версией.
Дополнительные сведения см. в статье Обновление программного обеспечения для мониторинга Defender для Интернета вещей.
| СЕТИ |OT версии 24.1.0:
- Правила подавления оповещений из портал Azure (общедоступная предварительная версия)|
Декабрь 2023 г.
Область обслуживания | Обновления |
---|---|
Сети OT | Новая архитектура для поддержки гибридных и воздушных подключений Версия 23.2.0: - Сетевые датчики OT теперь работают в Debian 11 - Привилегированный пользователь по умолчанию теперь является администратором вместо поддержки Облачные функции: - Динамические состояния для обновлений датчика на основе облака - Оптимизированные записи оповещений в таблице SecurityAlert |
Сетевые датчики OT теперь работают в Debian 11
Датчик версии 23.2.0 работает в операционной системе Debian 11 вместо Ubuntu. Debian — это операционная система под управлением Linux, которая широко используется для серверов и внедренных устройств, и известна тем, что отличается от других операционных систем и ее стабильности, безопасности и обширной поддержки оборудования.
Использование Debian в качестве основы для нашего программного обеспечения датчика помогает уменьшить количество пакетов, установленных на датчиках, повышая эффективность и безопасность ваших систем.
Из-за переключения операционной системы обновление программного обеспечения из устаревшей версии до версии 23.2.0 может быть длиннее и тяжелее, чем обычно.
Дополнительные сведения см. в статье Резервное копирование и восстановление сетевых датчиков OT из консоли датчиков и программного обеспечения мониторинга Update Defender для Интернета вещей.
Привилегированный пользователь по умолчанию теперь является администратором вместо поддержки
Начиная с версии 23.2.0, привилегированный пользователь, установленный с новыми установками датчика OT, является пользователем администратора вместо пользователя поддержки .
Например, используйте пользователя привилегированного администратора в следующих сценариях:
Войдите в новый датчик в первый раз после установки. Дополнительные сведения см. в разделе "Настройка и активация датчика OT".
Использование Интерфейса командной строки Defender для Интернета вещей. Дополнительные сведения см. в статье Работа с командами CLI в Defender для Интернета вещей.
Доступ к странице поддержки датчика.
Внимание
Если вы обновляете программное обеспечение датчика с предыдущей версии до версии 23.2.0, пользователь привилегированной поддержки автоматически переименовывается в администратор. Если вы сохранили учетные данные поддержки , например в сценариях CLI, необходимо обновить сценарии, чтобы использовать нового пользователя администратора .
Устаревший пользователь поддержки доступен и поддерживается только в версиях выше 23.2.0.
Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Новая архитектура для поддержки гибридных и воздушных подключений
Гибридные и воздушные сети распространены во многих отраслях, таких как правительство, финансовые услуги или промышленное производство. Подключенные к воздуху сети физически отделены от других, незащищенных внешних сетей, таких как корпоративные сети или Интернет, и менее уязвимы для кибератак. Тем не менее, сетевые сети по-прежнему не полностью безопасны, могут быть нарушены и должны быть защищены и тщательно отслеживаться.
Defender для Интернета вещей теперь предоставляет новые рекомендации по подключению к гибридным и воздушным сетям и мониторингу. Новое руководство по архитектуре предназначено для добавления эффективности, безопасности и надежности в операции SOC с меньшим количеством компонентов для обслуживания и устранения неполадок. Технология датчика, используемая в новой архитектуре, позволяет локальной обработке, которая хранит данные в собственной сети, уменьшая потребность в облачных ресурсах и повышая производительность.
На следующем рисунке показан пример, высокоуровневая архитектура наших рекомендаций по мониторингу и обслуживанию систем Defender для Интернета вещей, где каждый датчик OT подключается к нескольким системам управления безопасностью в облаке или локальной среде.
На этом примере изображения обмен данными для оповещений, сообщений системного журнала и API отображается в сплошной черной строке. Локальная связь управления отображается в сплошной фиолетовой линии, а в облачной или гибридной системе управления отображается точечная черная линия.
Мы рекомендуем существующим клиентам, которые в настоящее время используют локальный консоль управления для управления переходом датчиков OT в обновленное руководство по архитектуре.
Дополнительные сведения см. в статье "Развертывание гибридного или воздушного управления датчиком OT".
Локальное консоль управления выхода на пенсию
Устаревшие локальные консоль управления не будут доступны для скачивания после 1 января 2025 г. Мы рекомендуем перейти на новую архитектуру с помощью полного спектра локальных и облачных API до этой даты.
Версии датчиков, выпущенные после 1 января 2025 г., не смогут управляться локальной консоль управления.
Версии программного обеспечения датчика, выпущенные с 1 января 2024 г. по 1 января 2025 г., будут продолжать поддерживать локальный выпуск консоль управления.
Датчики с отслеживанием воздуха, которые не могут подключаться к облаку, можно управлять непосредственно через консоль датчика или с помощью REST API.
Дополнительные сведения см. в разделе:
- Переход с устаревшей локальной консоль управления.
- Управление версиями и поддержка локальных версий программного обеспечения
Динамические состояния для обновлений датчика на основе облака
При запуске обновления датчика из портал Azure в столбце версии датчика во время обновления появится новая индикатор выполнения. По мере выполнения обновления на панели отображается процент завершенного обновления, показывающий, что процесс продолжается, не завис или завершился сбоем. Например:
Дополнительные сведения см. в статье Обновление программного обеспечения для мониторинга Defender для Интернета вещей.
Оптимизированные записи оповещений в таблице SecurityAlert
При интеграции с Microsoft Sentinel таблица Microsoft Sentinel SecurityAlert теперь обновляется немедленно только для изменений в состоянии оповещения и серьезности. Другие изменения оповещений, такие как последнее обнаружение существующего оповещения, агрегируются в течение нескольких часов и отображаются только последние изменения.
Дополнительные сведения см. в разделе "Общие сведения о нескольких записях на оповещение".
Ноябрь 2023 г.
Область обслуживания | Обновления |
---|---|
Корпоративные сети Интернета вещей | Защита Корпоративных Интернета вещей теперь включена в лицензии Microsoft 365 E5 и E5 Security |
Сети OT | Обновлено руководство по интеграции с стеком безопасности |
Защита Корпоративных Интернета вещей теперь включена в лицензии Microsoft 365 E5 и E5 Security
Безопасность Enterprise IoT (EIoT) с помощью Defender для Интернета вещей обнаруживает неуправляемые устройства Интернета вещей, а также обеспечивает добавленную ценность безопасности, включая непрерывный мониторинг, оценку уязвимостей и специализированные рекомендации, специально предназначенные для устройств Enterprise IoT. Бесшовная интеграция с Microsoft Defender XDR, Управление уязвимостями Microsoft Defender и Microsoft Defender для конечной точки на портале Microsoft Defender обеспечивает комплексный подход к защите сети организации.
Мониторинг Defender для Интернета вещей EIoT теперь автоматически поддерживается в рамках планов безопасности Microsoft 365 E5 (ME5) и E5 Security, охватывающих до пяти устройств на лицензию пользователя. Например, если у вашей организации есть 500 лицензий ME5, вы можете использовать Defender для Интернета вещей для мониторинга до 2500 устройств EIoT. Эта интеграция представляет собой значительный скачок к укреплению экосистемы Интернета вещей в среде Microsoft 365.
Клиенты, у которых есть планы безопасности ME5 или E5, но пока не используют Defender для Интернета вещей для своих устройств EIoT, должны переключаться на поддержку на портале Microsoft Defender.
Новые клиенты без плана безопасности ME5 или E5 могут приобрести автономную версию, Microsoft Defender для Интернета вещей — лицензия на устройство EIoT — лицензия на надстройку, в качестве надстройки для Microsoft Defender для конечной точки P2. Приобретение автономных лицензий из Центра администрирования Майкрософт.
Существующие клиенты с устаревшими планами Корпоративного Интернета вещей и планами безопасности ME5/E5 автоматически переключаются на новый метод лицензирования. Мониторинг Корпоративного Интернета вещей теперь упаковается в лицензию без дополнительной платы и без каких-либо элементов действия, необходимых для вас.
Клиенты с устаревшими планами Enterprise IoT и без планов безопасности ME5/E5 могут продолжать использовать существующие планы до истечения срока действия планов.
Пробные лицензии доступны для клиентов Defender для конечной точки P2 как автономные лицензии. Пробные лицензии поддерживают 100 устройств.
Дополнительные сведения см. в разделе:
- Защита устройств Интернета вещей в организации
- Включение безопасности Enterprise IoT с помощью Defender для конечной точки
- Выставление счетов за подписку Defender для Интернета вещей
- Планы и цены Microsoft Defender для Интернета вещей
- Блог: Безопасность Enterprise IoT с Defender для Интернета вещей теперь включена в планы безопасности Microsoft 365 E5 и E5
Обновлено руководство по интеграции с стеком безопасности
Defender для Интернета вещей обновляет интеграцию стека безопасности, чтобы повысить общую надежность, масштабируемость и удобство обслуживания различных решений безопасности.
Если вы интегрируете решение безопасности с облачными системами, рекомендуется использовать соединители данных через Microsoft Sentinel. Для локальных интеграции рекомендуется настроить датчик OT для пересылки событий системного журнала или использовать API Defender для Интернета вещей.
Устаревшие интеграции Aruba ClearPass, Palo Alto Panorama и Splunk поддерживаются до октября 2024 года с использованием датчика версии 23.1.3 и не будут поддерживаться в предстоящих основных версиях программного обеспечения.
Для клиентов, использующих устаревшие методы интеграции, рекомендуется переместить интеграции в новые рекомендуемые методы. Дополнительные сведения см. в разделе:
- Интеграция ClearPass с Microsoft Defender для Интернета вещей
- Интеграция Palo Alto с Microsoft Defender для Интернета вещей
- Интеграция Splunk с Microsoft Defender для Интернета вещей
- Интеграция с microsoft и партнерскими службами
Сентябрь 2023
Область обслуживания | Обновления |
---|---|
Сети OT | Версия 23.1.3: - Устранение неполадок с подключением датчика OT - Доступ к временной шкале событий для пользователей датчика OT только для чтения |
Устранение неполадок с подключением датчика OT
Начиная с версии 23.1.3 датчики OT автоматически помогают устранять проблемы с подключением к портал Azure. Если облачный датчик не подключен, в портал Azure на странице "Сайты и датчики" и на странице обзора датчика отображается ошибка.
Например:
С помощью датчика откройте область устранения неполадок с подключением к облаку, которая содержит сведения о проблемах подключения и шагах по устранению рисков.
- На странице "Обзор" выберите ссылку "Устранение неполадок" в верхней части страницы
- Выберите "Работоспособность управления > датчиками > параметров системы" и устранение неполадок > с подключением к облаку
Дополнительные сведения см. в разделе "Проверка проблем с подключением к облаку".
Доступ к временной шкале событий для пользователей датчика OT только для чтения
Начиная с версии 23.1.3 пользователи на датчике OT могут просматривать страницу временной шкалы событий. Например:
Дополнительные сведения см. в разделе:
- Отслеживание активности сети и датчика с помощью временной шкалы событий
- Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей
Август 2023 г.
Область обслуживания | Обновления |
---|---|
Сети OT | CvEs Defender для Интернета вещей соответствуют CVSS версии 3 |
CvEs Defender для Интернета вещей соответствуют CVSS версии 3
Оценки CVE, отображаемые на датчике OT и на портал Azure, соответствуют национальной базе данных уязвимостей (NVD) и начиная с обновления аналитики угроз в Defender для Интернета вещей, оценки CVSS версии 3 отображаются, если они нужны. Если нет соответствующей оценки CVSS версии 3, то вместо этого отображается оценка CVSS версии 2.
Просмотрите данные CVE из портал Azure на вкладке "Уязвимости устройства Defender для Интернета вещей" с ресурсами, доступными с помощью решения Microsoft Sentinel или в запросе интеллектуального анализа данных на датчике OT. Дополнительные сведения см. в разделе:
- Поддержка пакетов аналитики угроз на сетевых датчиках OT
- Просмотр полных сведений об устройстве
- Руководство. Изучение и обнаружение угроз для устройств Интернета вещей с помощью Microsoft Sentinel
- Создание запросов интеллектуального анализа данных
Июль 2023 г.
Область обслуживания | Обновления |
---|---|
Сети OT | Версия 23.1.2: - Усовершенствования установки и настройки датчика OT - Анализ и настройка развертывания - Настройка отслеживаемых интерфейсов с помощью графического интерфейса датчика - Упрощенные привилегированные пользователи Миграция на лицензии на основе сайта |
Усовершенствования установки и настройки датчика OT
В версии 23.1.2 мы обновили мастеры установки и установки датчика OT, чтобы быть более удобными для пользователей. Обновления включают следующее:
Мастер установки. Если вы устанавливаете программное обеспечение на собственных физических или виртуальных машинах, мастер установки Linux теперь проходит непосредственно через процесс установки, не требуя каких-либо входных или подробных сведений от вас.
Вы можете наблюдать за запуском установки с рабочей станции развертывания, но вы также можете выбрать установку программного обеспечения без использования клавиатуры или экрана и разрешить установку автоматически. По завершении перейдите к датчику из браузера с помощью IP-адреса по умолчанию.
Установка использует значения по умолчанию для параметров сети. После этого настройте эти параметры в интерфейсе командной строки, как и раньше, или в новом мастере на основе браузера.
Все датчики устанавливаются с помощью пользователя и пароля поддержки по умолчанию. Измените пароль по умолчанию немедленно с помощью первого входа.
Настройте начальную настройку в браузере: после установки программного обеспечения и настройки исходных параметров сети перейдите к тому же мастеру на основе браузера, чтобы активировать датчик и определить параметры СЕРТИФИКАТА SSL/TLS.
Дополнительные сведения см. в разделе "Установка и настройка датчика OT" и настройка и активация датчика OT.
Анализ и настройка развертывания
После завершения установки и начальной настройки проанализируйте трафик, который датчик обнаруживает по умолчанию из параметров датчика. На датчике выберите ">Базовое развертывание датчика">, чтобы проанализировать текущие обнаружения.
Возможно, вам потребуется точно настроить развертывание, например изменить расположение датчика в сети или убедиться, что интерфейсы мониторинга подключены правильно. Нажмите кнопку "Анализ " еще раз после внесения изменений, чтобы просмотреть обновленное состояние мониторинга.
Дополнительные сведения см. в разделе "Анализ развертывания".
Настройка отслеживаемых интерфейсов с помощью графического интерфейса датчика
Если вы хотите изменить интерфейсы, используемые для мониторинга трафика после начальной настройки датчика, теперь вы можете использовать новую >страницу конфигураций интерфейса датчика для обновления параметров, а не мастера Linux, доступного к CLI. Например:
На странице конфигураций интерфейса отображаются те же параметры, что и вкладка "Конфигурации интерфейса" в мастере начальной настройки.
Дополнительные сведения см. в разделе "Обновление интерфейсов мониторинга датчика" (настройка ERSPAN).
Упрощенные привилегированные пользователи
В новых установках датчика версии 23.1.2 только привилегированный пользователь поддержки доступен по умолчанию. Доступны киберкс и cyberx_host пользователи, но по умолчанию отключены. Если вам нужно использовать эти пользователи, например для доступа к Интерфейсу командной строки Defender для Интернета вещей, измените пароль пользователя.
В датчиках, которые были обновлены с предыдущих версий до 23.1.2, киберкс и cyberx_host пользователи остаются включенными как раньше.
Совет
Чтобы выполнить команды CLI, доступные только для киберксов или cyberx_host пользователей при входе в систему в качестве пользователя поддержки , убедитесь в первом доступе к корневому каталогу системы хост-компьютера. Дополнительные сведения см. в разделе "Доступ к корневому каталогу системы" в качестве пользователя администратора.
Миграция на лицензии на основе сайта
Существующие клиенты теперь могут перенести свои устаревшие планы приобретения Defender для Интернета вещей в план Microsoft 365 на основе веб-сайтов, лицензий Microsoft 365.
На странице "Планы и цены" измените план и выберите план Microsoft 365 вместо текущего ежемесячного или ежегодного плана. Например:
Обязательно измените все соответствующие сайты, чтобы соответствовать новым лицензированным размерам сайта. Например:
Дополнительные сведения см. в статье "Миграция из устаревшего плана OT" и выставления счетов за подписку Defender для Интернета вещей.
Июнь 2023 г.
Область обслуживания | Обновления |
---|---|
Сети OT | Планы OT, выставленные лицензиями на основе сайтов Рекомендации по безопасности для сетей OT для небезопасных паролей и критически важных cvEs |
Планы OT, выставленные лицензиями на основе сайтов
Начиная с 1 июня 2023 года лицензии Microsoft Defender для Интернета вещей для мониторинга OT доступны только в Центр администрирования Microsoft 365.
Лицензии доступны для отдельных сайтов на основе размеров соответствующих сайтов. Пробная лицензия также доступна, охватывая большой размер сайта в течение 60 дней.
Любая покупка дополнительных лицензий автоматически обновляется в плане OT в портал Azure.
При подключении нового датчика теперь запрашивается назначить датчик сайту, основанному на размерах лицензированных сайтов.
Существующие клиенты могут продолжать использовать любой устаревший план OT, уже подключенный к подписке Azure, без изменений в функциональных возможностях. Однако вы не можете добавить новый план в новую подписку без соответствующей лицензии из Центр администрирования Microsoft 365.
Совет
Сайт Defender для Интернета вещей — это физическое место, например объект, кампус, офисное здание, больница, буровая платформа и т. д. Каждый сайт может содержать любое количество сетевых датчиков, которые определяют устройства через обнаруженный сетевой трафик.
Дополнительные сведения см. в разделе:
- Выставление счетов за подписку Defender для Интернета вещей
- Запуск пробной версии Microsoft Defender для Интернета вещей
- Управление планами OT в подписках Azure
- Подключение датчиков OT к Defender для Интернета вещей
Рекомендации по безопасности для сетей OT для небезопасных паролей и критически важных cvEs
Defender для Интернета вещей теперь предоставляет рекомендации по безопасности для небезопасных паролей и критически важных CVEs, чтобы помочь клиентам управлять их состоянием безопасности сети OT/IoT.
Следующие новые рекомендации по безопасности можно просмотреть из портал Azure обнаруженных устройств в сетях:
Защита уязвимых устройств: устройства с этой рекомендацией найдены с одной или несколькими уязвимостями с критической серьезностью. Рекомендуется выполнить действия, перечисленные поставщиком устройств или CISA (Агентство по кибербезопасности и инфраструктуре).
Задайте безопасный пароль для устройств с отсутствием проверки подлинности: устройства с этой рекомендацией находятся без проверки подлинности на основе успешных входов. Рекомендуется включить проверку подлинности и задать более надежный пароль с минимальной длиной и сложностью.
Задайте более надежный пароль с минимальной длиной и сложностью: устройства с этой рекомендацией найдены с слабыми паролями на основе успешных входов. Рекомендуется изменить пароль устройства на более надежный пароль с минимальной длиной и сложностью.
Дополнительные сведения см. в статье "Поддерживаемые рекомендации по безопасности".
Май 2023 г.
Область обслуживания | Обновления |
---|---|
Сети OT | Датчик версии 22.3.9: - Улучшен мониторинг и поддержка журналов датчиков OT Датчик версии 22.3.x и выше: - Настройка параметров Active Directory и NTP в портал Azure |
Улучшен мониторинг и поддержка журналов датчиков OT
В версии 22.3.9 мы добавили новую возможность сбора журналов с датчика OT через новую конечную точку. Дополнительные данные помогают нам устранять проблемы с клиентами, обеспечивая более быстрое время отклика и более целевые решения и рекомендации. Новая конечная точка добавлена в список необходимых конечных точек, которые подключают датчики OT к Azure.
После обновления датчиков OT скачайте последний список конечных точек и убедитесь, что датчики могут получить доступ ко всем конечным точкам, перечисленным.
Дополнительные сведения см. в разделе:
- Обновление программного обеспечения для мониторинга Defender для Интернета вещей
- Развертывание датчика и доступ
Настройка параметров Active Directory и NTP в портал Azure
Теперь вы можете настроить параметры Active Directory и NTP для датчиков OT удаленно с страницы "Сайты и датчики" в портал Azure. Эти параметры доступны для датчиков OT версии 22.3.x и выше.
Дополнительные сведения см . в справочнике по настройке датчика.
Апрель 2023 г.
Область обслуживания | Обновления |
---|---|
Документация | Комплексные руководства по развертыванию |
Сети OT | Датчик версии 22.3.8: - Поддержка прокси-сервера для сертификатов SSL/TLS клиента - Обогащение данных рабочей станции и сервера Windows с помощью локального скрипта (общедоступная предварительная версия) - Автоматически разрешенные уведомления ОС - Усовершенствование пользовательского интерфейса при отправке СЕРТИФИКАТов SSL/TLS |
Комплексные руководства по развертыванию
В документации Defender для Интернета вещей теперь содержится новый раздел "Развертывание " с полным набором руководств по развертыванию для следующих сценариев:
- Стандартное развертывание для мониторинга OT
- Развертывание с воздушным подключением для мониторинга OT с помощью локального управления датчиками
- Развертывание Корпоративного Интернета вещей
Например, рекомендуемое развертывание для мониторинга OT включает следующие шаги, которые подробно описаны в наших новых статьях:
Пошаговые инструкции в каждом разделе предназначены для оптимизации клиентов для успешного выполнения и развертывания для нулевого доверия. Элементы навигации на каждой странице, включая блок-диаграммы в верхней части и ссылки на следующие шаги внизу, укажите, где вы находитесь в процессе, что вы выполнили, и что должно быть на следующем шаге. Например:
Дополнительные сведения см. в статье "Развертывание Defender для Интернета вещей для мониторинга OT".
Поддержка прокси-сервера для сертификатов SSL/TLS клиента
Сертификат SSL/TLS клиента необходим для прокси-серверов, которые проверяют трафик SSL/TLS, например при использовании служб, таких как Zscaler и Palo Alto Prisma. Начиная с версии 22.3.8, вы можете отправить сертификат клиента через консоль датчика OT.
Дополнительные сведения см. в разделе "Настройка прокси-сервера".
Обогащение данных рабочей станции и сервера Windows с помощью локального скрипта (общедоступная предварительная версия)
Используйте локальный скрипт, доступный в пользовательском интерфейсе датчика OT, для обогащения данных рабочей станции и сервера Microsoft Windows на датчике OT. Скрипт запускается как служебная программа для обнаружения устройств и обогащения данных и может выполняться вручную или с помощью стандартных средств автоматизации.
Дополнительные сведения см. в статье "Обогащение рабочих станций Windows" и данных сервера с помощью локального скрипта.
Автоматически разрешенные уведомления ОС
После обновления датчика OT до версии 22.3.8 новые уведомления об изменениях операционной системы не создаются. Существующие уведомления об изменениях операционной системы автоматически разрешаются, если они не уволены или не обрабатываются в течение 14 дней.
Дополнительные сведения см . в разделе "Ответы на уведомления об устройстве"
Усовершенствование пользовательского интерфейса при отправке СЕРТИФИКАТов SSL/TLS
Датчик OT версии 22.3.8 содержит расширенную страницу конфигурации SSL/TLS-сертификатов для определения параметров сертификата SSL/TLS и развертывания подписанного ЦС сертификата.
Дополнительные сведения см. в разделе "Управление SSL/TLS-сертификатами".
Март 2023 г.
Область обслуживания | Обновления |
---|---|
Сети OT | Датчик версии 22.3.6/22.3.7: - Поддержка временных устройств - Узнайте о трафике DNS, настроив списки разрешений - Обновления хранения данных устройства - Улучшения пользовательского интерфейса при отправке SSL/TLS-сертификатов - Обновления срока действия файлов активации - Улучшения пользовательского интерфейса для управления инвентаризацией устройств - Обновлен уровень серьезности для всех подозрительных оповещений о вредоносных действиях - Автоматически разрешенные уведомления об устройстве Версия 22.3.7 включает те же функции, что и 22.3.6. Если у вас установлена версия 22.3.6, настоятельно рекомендуется обновить до версии 22.3.7, которая также содержит важные исправления ошибок. Облачные функции: - Новый интерфейс инцидента Microsoft Sentinel для Defender для Интернета вещей |
Поддержка временных устройств
Defender для Интернета вещей теперь определяет временные устройства как уникальный тип устройства, представляющий устройства, обнаруженные только в течение короткого времени. Мы рекомендуем тщательно исследовать эти устройства, чтобы понять их влияние на сеть.
Дополнительные сведения см. в разделе "Инвентаризация устройств Defender для Интернета вещей" и "Управление инвентаризацией устройств" из портал Azure.
Узнайте о трафике DNS, настроив списки разрешений
Теперь пользователь службы поддержки может уменьшить количество несанкционированных оповещений в Интернете, создав список разрешений доменных имен на датчике OT.
При настройке списка разрешений DNS датчик проверяет каждую несанкционированную попытку подключения к Интернету перед активацией оповещения. Если полное доменное имя домена входит в список разрешений, датчик не активирует оповещение и автоматически разрешает трафик.
Все пользователи датчика OT могут просматривать список разрешенных доменов DNS и их разрешенные IP-адреса в отчетах интеллектуального анализа данных.
Например:
Дополнительные сведения см. в разделе "Разрешить подключения к Интернету" в сети OT и создавать запросы интеллектуального анализа данных.
Обновления хранения данных устройства
Период хранения данных устройства на датчике OT и локальном консоль управления обновлен до 90 дней с даты последнего значения действия.
Дополнительные сведения см. в разделе "Сроки хранения данных устройства".
Улучшения пользовательского интерфейса при отправке SSL/TLS-сертификатов
Датчик OT версии 22.3.6 содержит расширенную страницу конфигурации сертификатов SSL/TLS для определения параметров сертификата SSL/TLS и развертывания подписанного ЦС сертификата.
Дополнительные сведения см. в разделе "Управление SSL/TLS-сертификатами".
Обновления срока действия файлов активации
Файлы активации на локально управляемых датчиках OT теперь остаются активированными до тех пор, пока план Defender для Интернета вещей активен в подписке Azure, как и файлы активации на облачных датчиках OT.
Вам нужно обновить файл активации, только если вы обновляете датчик OT из последней версии или переключаете режим управления датчиком, например переход от локально управляемого к облаку.
Дополнительные сведения см. в разделе Управление отдельными датчиками.
Улучшения пользовательского интерфейса для управления инвентаризацией устройств
В инвентаризацию устройств датчика OT в версии 22.3.6 добавлены следующие улучшения:
- Более плавный процесс редактирования сведений об устройстве на датчике OT. Измените сведения об устройстве непосредственно на странице инвентаризации устройств на консоли датчика OT с помощью новой кнопки "Изменить " на панели инструментов в верхней части страницы.
- Датчик OT теперь поддерживает удаление нескольких устройств одновременно.
- Процедуры объединения и удаления устройств теперь включают сообщения подтверждения, которые отображаются при завершении действия.
Дополнительные сведения см. в статье Датчики обнаружения для данных инвентаризации.
Обновлен уровень серьезности для всех подозрительных оповещений о вредоносных действиях
Все оповещения с категорией "Вредоносные действия" теперь имеют серьезность критических.
Дополнительные сведения см. в разделе оповещений подсистемы вредоносных программ.
Автоматически разрешенные уведомления об устройстве
Начиная с версии 22.3.6 выбранные уведомления на странице карты устройств датчика OT теперь автоматически разрешаются, если они не закрываются или обрабатываются в течение 14 дней.
После обновления версии датчика неактивные устройства и уведомления о новых устройствах OT больше не отображаются. Хотя уведомления о неактивных устройствах, оставленные до автоматического закрытия обновления, могут по-прежнему иметь устаревшие уведомления о новых устройствах OT для обработки. Обработайте эти уведомления по мере необходимости, чтобы удалить их из датчика.
Дополнительные сведения см. в разделе "Управление уведомлениями об устройстве".
Новый интерфейс инцидента Microsoft Sentinel для Defender для Интернета вещей
Новый интерфейс инцидента Microsoft Sentinel включает определенные функции для клиентов Defender для Интернета вещей. Аналитики SOC, которые изучают OT/IoT, теперь могут использовать следующие улучшения на страницах сведений об инциденте:
Просмотрите связанные сайты, зоны, датчики и важность устройства, чтобы лучше понять влияние инцидента на бизнес и физическое расположение.
Просмотрите агрегированную временную шкалу затронутых устройств и связанных сведений об устройстве вместо изучения отдельных страниц сведений об сущности для связанных устройств
Просмотрите действия по исправлению оповещений OT непосредственно на странице сведений об инциденте
Дополнительные сведения см. в руководстве по изучению и обнаружению угроз для устройств Интернета вещей и анализу инцидентов в Microsoft Sentinel.
2023 февраля
Microsoft Sentinel: решение Microsoft Defender для Интернета вещей версии 2.0.2
Версия 2.0.2 решения Microsoft Defender для Интернета вещей теперь доступна в центре содержимого Microsoft Sentinel, а также улучшения правил аналитики для создания инцидентов, страницы сведений об инцидентах и улучшения производительности запросов правил аналитики.
Дополнительные сведения см. в разделе:
- Руководство. Изучение и обнаружение угроз для устройств Интернета вещей
- Версии решений Microsoft Defender для Интернета вещей в Microsoft Sentinel
Скачивание обновлений на странице "Сайты и датчики" (общедоступная предварительная версия)
Если вы выполняете локальное обновление программного обеспечения на датчике OT или локальной консоль управления, страница "Сайты и датчики" теперь предоставляет новый мастер для скачивания пакетов обновления, доступ к который осуществляется через меню обновления датчика (предварительная версия).
Например:
Обновления аналитики угроз теперь доступны только на странице> "Сайты и датчики" (предварительная версия) обновления аналитики угроз.
Пакеты обновления для локальной консоль управления также доступны на вкладке "Начало работы>локальной консоль управления".
Дополнительные сведения см. в разделе:
- Обновление программного обеспечения для мониторинга Defender для Интернета вещей
- Обновление пакетов аналитики угроз
- Версии программного обеспечения для мониторинга OT
Общедоступная версия инвентаризации устройств в портал Azure
Страница инвентаризации устройств в портал Azure теперь общедоступна ( общедоступная версия), предоставляя централизованное представление на всех обнаруженных устройствах в масштабе.
Инвентаризация устройств Defender для Интернета вещей помогает определить сведения о конкретных устройствах, таких как производитель, тип, серийный номер, встроенное ПО и многое другое. Сбор сведений об устройствах помогает командам заранее исследовать уязвимости, которые могут компрометации наиболее важных ресурсов.
Управление всеми устройствами Интернета вещей и OT путем создания актуальной инвентаризации, которая включает все управляемые и неуправляемые устройства.
Защита устройств с помощью подхода на основе рисков для выявления таких рисков, как отсутствие исправлений, уязвимостей и определение приоритетов на основе оценки рисков и автоматического моделирования угроз
Обновление инвентаризации путем удаления неуместных устройств и добавления сведений, относящихся к организации, чтобы подчеркнуть ваши предпочтения организации
Общедоступная версия инвентаризации устройств включает следующие улучшения пользовательского интерфейса:
Улучшение | Description |
---|---|
Улучшения уровня сетки | - Экспорт всей инвентаризации устройств для просмотра автономных и сравнения заметок с командами - Удаление неуместных устройств , которые больше не существуют или больше не работают - Слияние устройств для точной настройки списка устройств , если датчик обнаружил отдельные сетевые сущности, связанные с одним уникальным устройством. Например, PLC с четырьмя сетевыми картами, ноутбуком с Wi-Fi и физической сетевой картой или одной рабочей станцией с несколькими сетевыми картами. - Изменение представлений таблицы, чтобы отразить только интересующие вас данные |
Усовершенствования на уровне устройства | - Изменение сведений об устройстве путем аннотирования контекстных сведений для конкретной организации, таких как относительная важность, описательные теги и сведения о бизнес-функции |
Усовершенствования фильтра и поиска | - Выполните глубокий поиск в любом поле инвентаризации устройств, чтобы быстро найти устройства, которые наиболее важны - Фильтрация инвентаризации устройств по любому полю. Например, фильтруйте по типу , чтобы определить промышленные устройства или поля времени, чтобы определить активные и неактивные устройства. |
Расширенные элементы управления безопасностью, управлением и администраторами также предоставляют возможность назначать администраторов, ограничивая пользователей, которые могут объединять, удалять и изменять устройства от имени владельца.
Улучшения группирования инвентаризации устройств (общедоступная предварительная версия)
Страница инвентаризации устройств на портал Azure поддерживает новые категории группирования. Теперь вы можете сгруппировать инвентаризацию устройств по классам, источнику данных, расположению, уровню Purdue, сайту, типу, поставщику и зоне. Дополнительные сведения см. в разделе "Просмотр полных сведений об устройстве".
Сосредоточенная инвентаризация в инвентаризации устройств Azure (общедоступная предварительная версия)
Страница инвентаризации устройств на портал Azure теперь содержит сведения о расположении сети для ваших устройств, чтобы помочь сосредоточиться на инвентаризации устройств на устройствах в области Интернета вещей или OT.
Просмотрите и отфильтруйте, какие устройства определены как локальные или перенаправленные в соответствии с настроенными подсетями. Фильтр расположения сети включен по умолчанию. Добавьте столбец "Расположение сети", изменив столбцы в инвентаризации устройств. Настройте подсети на портал Azure или на датчике OT. Дополнительные сведения см. в разделе:
- Просмотр сведений об инвентаризации устройств на портале Azure
- Настройка параметров датчика OT из портал Azure
- Настройка списка подсетей
Настройка параметров датчика OT из портал Azure (общедоступная предварительная версия)
Для датчиков версии 22.2.3 и более поздних версий можно настроить выбранные параметры для облачных датчиков с помощью новой страницы параметров датчика (предварительная версия), доступ к которому осуществляется через страницу сайтов и датчиков портал Azure. Например:
Дополнительные сведения см. в разделе "Определение и просмотр параметров датчика OT" из портал Azure (общедоступная предварительная версия).
Оповещения общедоступной доступности в портал Azure
Страница "Оповещения" в портал Azure теперь выходит за общедоступную версию. Оповещения Microsoft Defender для Интернета вещей повышают безопасность сети и операции с подробными сведениями о событиях, обнаруженных в сети в режиме реального времени. Оповещения активируются при обнаружении сетевых датчиков OT или Enterprise IoT или микроагента Defender для Интернета вещей, обнаружения изменений или подозрительных действий в сетевом трафике, который требует вашего внимания.
Конкретные оповещения, активированные датчиком Enterprise IoT, в настоящее время остаются в общедоступной предварительной версии.
Дополнительные сведения см. в разделе:
- Просмотр оповещений и управление ими на портале Azure
- Изучение и реагирование на оповещение о сети OT
- Типы оповещений и описания оповещений о мониторинге OT
2023 января
Область обслуживания | Обновления |
---|---|
Сети OT | Датчик версии 22.3.4: состояние подключения Azure, отображаемое на датчиках OT Датчик версии 22.2.3. Обновление программного обеспечения датчика из портал Azure |
Обновление программного обеспечения датчика из портал Azure (общедоступная предварительная версия)
Для подключенных к облаку датчиков версии 22.2.3 и более поздних версий теперь можно обновить программное обеспечение датчика непосредственно с новой страницы "Сайты и датчики" на портал Azure.
Дополнительные сведения см. в разделе "Обновление датчиков" из портал Azure.
Состояние подключения Azure, отображаемое на датчиках OT
Сведения о состоянии подключения Azure теперь отображаются на странице обзора в датчиках сети OT и отображаются ошибки, если подключение датчика к Azure потеряно.
Например:
Дополнительные сведения см. в статье "Управление отдельными датчиками и подключением датчиков OT к Defender для Интернета вещей".
Декабрь 2022 г.
Область обслуживания | Обновления |
---|---|
Сети OT | Новый интерфейс покупки для планов OT |
Корпоративные сети Интернета вещей | Оповещения и рекомендации датчика Enterprise IoT (общедоступная предварительная версия) |
Оповещения и рекомендации датчика Enterprise IoT (общедоступная предварительная версия)
Теперь портал Azure предоставляет следующие дополнительные данные безопасности для трафика, обнаруженного сетевыми датчиками Enterprise IoT:
Тип данных | Description |
---|---|
Оповещения | Теперь сетевой датчик Enterprise IoT активирует следующие оповещения: - Попытка подключения к известному вредоносному IP-адресу - Запрос на вредоносное доменное имя |
Рекомендации | Теперь сетевой датчик Enterprise IoT активирует следующую рекомендацию для обнаруженных устройств в соответствии с соответствующими параметрами: Отключение небезопасного протокола администрирования |
Дополнительные сведения см. в разделе:
- Оповещения о обработчике вредоносных программ
- Просмотр оповещений и управление ими на портале Azure
- Повышение уровня безопасности с помощью рекомендаций по безопасности
- Обнаружение устройств Enterprise IoT с помощью сетевого датчика Enterprise IoT (общедоступная предварительная версия)
Новый интерфейс покупки для планов OT
Страница "Планы и цены" в портал Azure теперь включает в себя новый расширенный интерфейс покупки для планов Defender для Интернета вещей для сетей OT. Измените план OT в портал Azure, например, чтобы изменить план с пробной версии на ежемесячное или ежегодное обязательство, или обновить количество устройств или сайтов.
Дополнительные сведения см. в статье "Управление планами OT в подписках Azure".
Ноябрь 2022 г.
Область обслуживания | Обновления |
---|---|
Сети OT | - Версии датчика 22.x и более поздних версий: управление доступом на основе сайта на портал Azure (общедоступная предварительная версия) - Все версии датчика OT: новые заметки о выпуске программного обеспечения мониторинга OT |
Управление доступом на основе сайта на портал Azure (общедоступная предварительная версия)
Для программного обеспечения датчика версии 22.x Defender для Интернета вещей теперь поддерживает управление доступом на основе сайта, что позволяет клиентам управлять доступом пользователей к функциям Defender для Интернета вещей на портал Azure на уровне сайта.
Например, примените роли читателя безопасности, администратора безопасности, участника или владельца, чтобы определить доступ пользователей к ресурсам Azure, таким как оповещения, инвентаризация устройств или книги.
Чтобы управлять доступом на основе сайта, выберите сайт на странице "Сайты и датчики", а затем щелкните ссылку "Управление доступом на сайте" (предварительная версия). Например:
Дополнительные сведения см. в статье "Управление пользователями мониторинга OT" на портал Azure и ролях пользователей Azure для мониторинга OT и Enterprise IoT.
Примечание.
Сайты и, следовательно, управление доступом на основе сайта относятся только к мониторингу сети OT.
Новые заметки о выпуске программного обеспечения для мониторинга OT
В документации Defender для Интернета вещей теперь есть новая страница заметок о выпуске, посвященная программному обеспечению мониторинга OT, с подробными сведениями о моделях поддержки версий и рекомендациях по обновлению.
Мы продолжаем обновлять эту статью, основную страницу новых возможностей и усовершенствований для сетей OT и Enterprise IoT. Новые элементы включают как локальные, так и облачные функции, а также перечислены в месяц.
В отличие от этого, новые заметки о выпуске программного обеспечения для мониторинга OT содержат только обновления мониторинга сети OT, которые требуют обновления локального программного обеспечения. Элементы перечислены на одну основную и исправленную версию с агрегированной таблицей версий, дат и областей.
Дополнительные сведения см . в заметках о выпуске программного обеспечения для мониторинга OT.
Октябрь 2022
Область обслуживания | Обновления |
---|---|
Сети OT | Справочник по расширенному оповещению о мониторинге OT |
Справочник по расширенному оповещению о мониторинге OT
В нашей справочной статье оповещений теперь содержатся следующие сведения для каждого оповещения:
Категория оповещений, полезная при изучении оповещений, агрегированных определенным действием или настройке правил SIEM для создания инцидентов на основе конкретных действий
Пороговое значение оповещения для соответствующих оповещений. Пороговые значения указывают конкретную точку, в которой активируется оповещение. Пользователь cyberx может изменять пороговые значения оповещений по мере необходимости на странице поддержки датчика.
Дополнительные сведения см. в разделе "Типы оповещений и описания оповещений OT" и "Поддерживаемые категории оповещений".
2022 сентября
Область обслуживания | Обновления |
---|---|
Сети OT | Все поддерживаемые версии программного обеспечения датчика OT: - Уязвимости устройств из портал Azure - Рекомендации по безопасности для сетей OT Все версии программного обеспечения датчика OT 22.x: обновления для правил брандмауэра подключения к облаку Azure Программное обеспечение датчика версии 22.2.7: — исправления ошибок и улучшения стабильности Программное обеспечение датчика версии 22.2.6: — исправления ошибок и улучшения стабильности — усовершенствования алгоритма классификации типов устройства Интеграция Microsoft Sentinel: - Улучшения исследования с помощью сущностей устройств Интернета вещей - Обновления решения Microsoft Defender для Интернета вещей |
Рекомендации по безопасности для сетей OT (общедоступная предварительная версия)
Defender для Интернета вещей теперь предоставляет рекомендации по безопасности, помогающие клиентам управлять состоянием безопасности сети OT/IoT. Рекомендации Defender для Интернета вещей помогают пользователям формировать практические планы, приоритетные планы устранения рисков, которые устраняют уникальные проблемы сетей OT/IoT. Используйте рекомендации по снижению рисков и атак сети.
Вы можете просмотреть следующие рекомендации по безопасности из портал Azure обнаруженных устройств в сетях:
Просмотрите рабочий режим PLC. Устройства с этой рекомендацией находятся в небезопасных состояниях операционного режима. Рекомендуется установить режимы работы PLC в состояние безопасного запуска , если доступ больше не требуется для PLC, чтобы снизить угрозу вредоносного программирования PLC.
Проверьте неавторизованные устройства. Устройства с этой рекомендацией должны быть определены и авторизованы в рамках базовой конфигурации сети. Рекомендуется принять меры для идентификации всех указанных устройств. Отключите все устройства из сети, которые остаются неизвестными даже после расследования, чтобы уменьшить угрозу изгоев или потенциально вредоносных устройств.
Доступ к рекомендациям по безопасности из одного из следующих расположений:
Страница рекомендаций, которая отображает все текущие рекомендации на всех обнаруженных устройствах OT.
Вкладка "Рекомендации" на странице сведений об устройстве, в которой отображаются все текущие рекомендации для выбранного устройства.
В любом расположении выберите рекомендацию для дальнейшего детализации и просмотра списков всех обнаруженных устройств OT, которые в настоящее время находятся в работоспособном или неработоспособном состоянии, в соответствии с выбранной рекомендацией. На вкладке "Неработоспособные устройства" или "Работоспособные устройства" выберите ссылку на устройство, чтобы перейти на выбранную страницу сведений об устройстве. Например:
Дополнительные сведения см. в разделе " Просмотр инвентаризации устройств" и "Повышение уровня безопасности" с помощью рекомендаций по безопасности.
Уязвимости устройств из портал Azure (общедоступная предварительная версия)
Defender для Интернета вещей теперь предоставляет данные об уязвимостях в портал Azure для обнаруженных сетевых устройств OT. Данные об уязвимостях основаны на репозитории данных уязвимостей на основе стандартов, задокументированных в Национальной базе данных уязвимостей США (NVD).
Доступ к данным об уязвимостях в портал Azure из следующих расположений:
На странице сведений об устройстве выберите вкладку "Уязвимости", чтобы просмотреть текущие уязвимости на выбранном устройстве. Например, на странице инвентаризации устройств выберите определенное устройство и выберите уязвимости.
Дополнительные сведения см. в разделе Просмотр данных инвентаризации устройств.
В новой книге "Уязвимости" отображаются данные об уязвимостях на всех отслеживаемых устройствах OT. Используйте книгу уязвимостей для просмотра данных, таких как CVE по серьезности или поставщику, и полные списки обнаруженных уязвимостей и уязвимых устройств и компонентов.
Выберите элемент в таблицах уязвимостей устройств, уязвимых устройств или уязвимых компонентов, чтобы просмотреть связанные сведения в таблицах справа.
Например:
Дополнительные сведения см. в статье Использование книг Azure Monitor в Microsoft Defender для Интернета вещей.
Обновления для правил брандмауэра облачного подключения Azure (общедоступная предварительная версия)
Сетевые датчики OT подключаются к Azure, чтобы предоставлять оповещения и данные устройства и сообщения о работоспособности датчиков, получать доступ к пакетам аналитики угроз и многое другое. Подключенные службы Azure включают Центр Интернета вещей, хранилище BLOB-объектов, Центры событий и Центр загрузки Майкрософт.
Для датчиков OT с версиями программного обеспечения 22.x и выше Defender для Интернета вещей теперь поддерживает повышенную безопасность при добавлении правил исходящего трафика для подключений к Azure. Теперь можно определить правила для исходящего трафика для подключения к Azure без использования подстановочных знаков.
При определении правил исходящего трафика для подключения к Azure необходимо включить трафик HTTPS к каждой из необходимых конечных точек через порт 443. Правила исходящего разрешения определяются один раз для всех датчиков OT, подключенных к одной подписке.
Для поддерживаемых версий датчика скачайте полный список необходимых безопасных конечных точек из следующих расположений в портал Azure:
Страница успешной регистрации датчика: после подключения нового датчика OT с версией 22.x страница успешной регистрации теперь содержит инструкции по следующим шагам, включая ссылку на конечные точки, которые необходимо добавить как безопасные правила для исходящего трафика в сети. Выберите ссылку "Скачать сведения о конечной точке", чтобы скачать JSON-файл.
Например:
Страница "Сайты и датчики": выберите датчик OT с версиями программного обеспечения 22.x или выше, или сайт с одной или несколькими поддерживаемыми версиями датчика. Затем нажмите кнопку "Дополнительные действия>скачать сведения о конечной точке", чтобы скачать JSON-файл. Например:
Дополнительные сведения см. в разделе:
- Руководство. Начало работы с Microsoft Defender для Интернета вещей для безопасности OT
- Управление датчиками с помощью Defender для Интернета вещей на портале Azure
- Требования к сети
Улучшения исследования с помощью сущностей устройств Интернета вещей в Microsoft Sentinel
Интеграция Defender для Интернета вещей с Microsoft Sentinel теперь поддерживает страницу сущности устройства Интернета вещей. При изучении инцидентов и мониторинге безопасности Интернета вещей в Microsoft Sentinel теперь можно определить наиболее конфиденциальные устройства и перейти непосредственно к дополнительным сведениям на каждой странице сущности устройства.
На странице сущности устройства Интернета вещей содержатся контекстные сведения об устройстве Интернета вещей с основными сведениями об устройстве и контактными данными владельца устройства. Владельцы устройств определяются сайтом на странице "Сайты и датчики " в Defender для Интернета вещей.
Страница сущности устройства Интернета вещей может помочь определить приоритеты исправления на основе важности устройства и влияния на бизнес, как на сайте, зоне и датчике каждого оповещения. Например:
Теперь вы можете охотиться на уязвимые устройства на странице поведения сущности Microsoft Sentinel. Например, просмотрите пять устройств Интернета вещей с наибольшим количеством оповещений или найдите устройство по IP-адресу или имени устройства:
Дополнительные сведения см. в статье "Дополнительные сведения о сущностях устройств Интернета вещей" и параметрах управления сайтами из портал Azure.
Обновления решения Microsoft Defender для Интернета вещей в центре содержимого Microsoft Sentinel
В этом месяце мы выпустили версию 2.0 решения Microsoft Defender для Интернета вещей в центре содержимого Microsoft Sentinel, ранее известной как мониторинг угроз IoT/OT с помощью решения Defender для Интернета вещей.
Обновления в этой версии решения включают:
Изменение имени. Если вы ранее установили решение IoT /OT Threat Monitoring с помощью Defender для Интернета вещей в рабочей области Microsoft Sentinel, решение автоматически переименовывается в Microsoft Defender для Интернета вещей, даже если решение не обновляется.
Улучшения книги : книга Defender для Интернета вещей теперь включает:
Новая панель мониторинга обзора с ключевыми метриками в инвентаризации устройств, обнаружении угроз и безопасности. Например:
Новая панель мониторинга уязвимостей с подробными сведениями о CVEs, отображаемых в сети и связанных с ними уязвимых устройствах. Например:
Улучшения на панели мониторинга инвентаризации устройств, включая доступ к рекомендациям устройств, уязвимостям и прямым ссылкам на страницы сведений об устройстве Defender для Интернета вещей. Панель мониторинга инвентаризации устройств в книге "Мониторинг угроз IoT/OT" с помощью Defender для Интернета вещей полностью соответствует данным инвентаризации устройств Defender для Интернета вещей.
Обновления сборников схем: решение Microsoft Defender для Интернета вещей теперь поддерживает следующие функции автоматизации SOC с новыми сборниками схем:
Автоматизация с сведениями CVE: используйте сборник схем AD4IoT-CVEAutoWorkflow для обогащения комментариев инцидентов с помощью CVEs связанных устройств на основе данных Defender для Интернета вещей. Инциденты рассматриваются, и если CVE является критически важным, владелец актива уведомляется об инциденте по электронной почте.
Автоматизация Уведомления по электронной почте владельцам устройств. Используйте сборник схем AD4IoT-SendEmailtoIoTOwner, чтобы автоматически отправлять уведомления владельцу устройства о новых инцидентах. Владельцы устройств могут ответить на сообщение электронной почты, чтобы обновить инцидент по мере необходимости. Владельцы устройств определяются на уровне сайта в Defender для Интернета вещей.
Автоматизация инцидентов с конфиденциальными устройствами: используйте сборник схем AD4IoT-AutoTriageIncident для автоматического обновления серьезности инцидента на основе устройств, участвующих в инциденте, и их уровня конфиденциальности или важности для вашей организации. Например, любой инцидент, связанный с конфиденциальным устройством, может быть автоматически переключен на более высокий уровень серьезности.
Дополнительные сведения см. в статье "Исследование инцидентов Microsoft Defender для Интернета вещей" с помощью Microsoft Sentinel.
Август 2022 г.
Область обслуживания | Обновления |
---|---|
Сети OT | Программное обеспечение датчика версии 22.2.5 — дополнительная версия с улучшениями стабильности Программное обеспечение датчика версии 22.2.4: новые столбцы оповещений с данными метки времени Программное обеспечение датчика версии 22.1.3: работоспособность датчика с портала Azure (общедоступная предварительная версия) |
Новые столбцы оповещений с данными метки времени
Начиная с датчика OT версии 22.2.4, оповещения Defender для Интернета вещей на портале Azure и консоли датчиков теперь отображают следующие столбцы и данные:
Последнее обнаружение. Определяет время последнего обнаружения оповещения в сети и заменяет столбец Время обнаружения.
Первое обнаружение. Определяет, когда оповещение было обнаружено в сети в первый раз.
Последнее действие. Определяет последний раз, когда оповещение было изменено, включая обновления вручную для серьезности или состояния, а также автоматические изменения для обновлений устройств или дедупликации устройств или оповещений.
Столбцы Первое обнаружение и Последнее действие не отображаются по умолчанию. При необходимости добавьте их на странице оповещений.
Совет
Если вы также являетесь пользователем Microsoft Sentinel, вы будете знакомы с аналогичными данными из запросов Log Analytics. Новые столбцы оповещений в Defender для Интернета вещей сопоставляются следующим образом:
- Время последнего обнаружения в Defender для Интернета вещей похоже на EndTime в Log Analytics.
- Время первого обнаружения в Defender для Интернета вещей похоже на StartTime в Log Analytics.
- Время последнего действия в Defender для Интернета вещей похоже на TimeGenerated в Log Analytics. Дополнительные сведения см. в следующих статьях:
- Просмотр оповещений на портале Defender для Интернета вещей
- Просмотр оповещений на датчике
- Мониторинг угроз OT в корпоративных SOCs
Работоспособность датчика на портале Azure (общедоступная предварительная версия)
Для датчиков OT версии 22.1.3 и выше можно использовать новые мини-приложения работоспособности датчиков и данные столбцов таблицы для мониторинга работоспособности датчиков непосредственно на странице Сайты и датчики на портал Azure.
Мы также добавили страницу сведений о датчиках, где вы детализируете определенный датчик на портал Azure. На странице Сайты и датчики выберите конкретное имя датчика. На странице сведений о датчике перечислены его основные данные, работоспособность датчика и все его примененные параметры.
Дополнительные сведения см. в разделе "Общие сведения о работоспособности датчика" и "Сведения о работоспособности датчика".
Июль 2022
Область обслуживания | Обновления |
---|---|
Корпоративные сети Интернета вещей | - Интеграция корпоративного Интернета вещей и Defender для конечной точки в общедоступной версии |
Сети OT | Программное обеспечение датчика версии 22.2.4: - Усовершенствования инвентаризации устройств - Усовершенствования API интеграции ServiceNow Версия программного обеспечения датчика 22.2.3: - Обновления профилей оборудования устройства OT - Доступ к PCAP с портала Azure - Двунаправленная синхронизация оповещений между датчиками и порталом Azure - Восстановление подключений датчиков после смены сертификата - Поддержка улучшений журнала диагностики - Отображение имен датчиков на вкладках браузера Программное обеспечение датчика версии 22.1.7: - Одинаковые пароли для пользователей cyberx_host и cyberx |
Функции, доступные только для облака | - Синхронизация инцидентов Microsoft Sentinel с оповещениями Defender для Интернета вещей |
Интеграция корпоративного Интернета вещей и Defender для конечной точки в общедоступной версии
Интеграция корпоративного Интернета вещей с Microsoft Defender для конечной точки теперь предоставляется в общедоступной версии. В этом обновлении мы внесли следующие изменения и улучшения.
Подключение плана корпоративного Интернета вещей непосредственно в Defender для конечной точки. Дополнительные сведения см. в разделе Управление подписками и в документации по Defender для конечной точки.
Простая интеграция с Microsoft Defender для конечной точки позволяет просматривать на портале безопасности Microsoft 365 обнаруженные устройства корпоративного Интернета вещей и связанные с ними оповещения, уязвимости и рекомендации. Дополнительные сведения см. в учебнике Начало работы с мониторингом корпоративного Интернета вещей и в документации по Microsoft Defender для конечной точки. Вы можете по-прежнему изучать обнаруженные устройства корпоративного Интернета вещей на странице Инвентаризация устройств для Defender для Интернета вещей на портале Azure.
Все датчики корпоративного Интернета вещей теперь автоматически добавляются на один сайт Корпоративная сеть в Defender для Интернета вещей. При подключении нового устройства корпоративного Интернета вещей вам останется только определить имя для датчика и выбрать подписку, и не нужно определять сайт или зону.
Примечание.
Сетевой датчик корпоративного Интернета вещей и все обнаружения по-прежнему предоставляются в режиме общедоступной предварительной версии.
Одинаковые пароли для пользователей cyberx_host и cyberx
Во время установки и обновлений программного обеспечения для мониторинга OT пользователю cyberx назначается случайный пароль. При обновлении с версии 10.x.x до версии 22.1.7 cyberx_host пароль назначается с идентичным паролем для пользователя cyberx.
Дополнительные сведения см. в статье Об установке программного обеспечения мониторинга без агента OT и программного обеспечения мониторинга Update Defender для Интернета вещей.
Усовершенствования инвентаризации устройств
Начиная с версии 22.2.4 датчика OT вы можете выполнять на странице инвентаризации устройств в консоли датчика следующие действия.
Объединение повторяющихся устройств. Может потребоваться объединить устройства, если датчик обнаружил отдельные сетевые сущности, связанные с одним уникальным устройством. Примерами этого сценария могут быть PLC с четырьмя сетевыми картами, ноутбуком с Wi-Fi и физической сетевой картой или одной рабочей станцией с несколькими сетевыми картами.
Удаление отдельных устройств. Теперь вы можете удалить одно устройство, от которого не поступают данные не менее 10 минут.
Удаление неактивных устройств пользователями с правами администратора. Теперь все пользователи с правами администратора, а не только пользователь cyberx, могут удалять неактивные устройства.
Кроме того, начиная с версии 22.2.4 на странице Инвентаризация устройств в консоли датчика вместо метки Последнее появление в области сведений об устройстве используется метка Последнее действие. Например:
Дополнительные сведения см. в статье Датчики обнаружения для данных инвентаризации.
Усовершенствования API интеграции ServiceNow
Датчик OT версии 22.2.4 предоставляет улучшения для API devicecves
, который получает сведения о CVE, обнаруженных для данного устройства.
Теперь вы можете добавить в запрос любой из следующих параметров, чтобы настроить результаты.
- sensorId — показывает результаты конкретного датчика, определяемого идентификатором датчика.
- "score" — определяет минимальную оценку CVE для извлечения. Все результаты имеют оценку CVE, равную или выше заданного значения. Значение по умолчанию: 0.
- "deviceIds" — разделенный запятыми список идентификаторов устройств, для которых вы хотите просмотреть результаты. Пример: 1232,34,2,456
Дополнительные сведения см. в справочнике по API интеграции для локальных консоль управления (общедоступная предварительная версия).
Обновления профилей оборудования устройства OT
Мы обновили соглашения об именовании для профилей оборудования устройства OT, чтобы повысить их прозрачность и ясность.
Новые имена отражают тип профиля (в том числе Корпоративны и Предприятие и Производственная линия), а также размер связанного с ним дискового хранилища.
Следующая таблица предоставляет сведения о сопоставлении устаревших имен профилей оборудования и новых имен, которые используются в обновленной установке программного обеспечения:
Устаревшее имя | Новое имя | Description |
---|---|---|
Корпоративный | C5600 | Корпоративная среда с: 16 ядер 32 ГБ ОЗУ Хранилище дисков 5,6 ТБ |
Функции корпоративного уровня | E1800 | Корпоративная среда с: Восемь ядер 32 ГБ ОЗУ 1.8 ТБ дискового хранилища |
SMB | L500 | Среда рабочей линии с: Четыре ядра 8 ГБ ОЗУ 500 ГБ дискового хранилища |
Office | L100 | Среда рабочей линии с: Четыре ядра 8 ГБ ОЗУ Хранилище дисков размером 100 ГБ |
Защищенный | L64 | Среда рабочей линии с: Четыре ядра 8 ГБ ОЗУ Хранилище дисков размером 64 ГБ |
Теперь мы также поддерживаем новые профили оборудования предприятия для датчиков, поддерживающих как 500 ГБ, так и размер диска размером 1 ТБ.
Дополнительные сведения см. в разделе Какие требуются устройства?
Доступ к PCAP на портале Azure (общедоступная предварительная версия)
Теперь вы можете использовать необработанные файлы данных о трафике (захвата пакетов) в формате PCAP прямо с портала Azure. Эта возможность поможет инженерам безопасности SOC или OT, которые хотят исследовать оповещения от Defender для Интернета вещей или Microsoft Sentinel без доступа к каждому датчику отдельно.
PCAP-файлы скачиваются в службу хранилища Azure.
Дополнительные сведения см. в статье Просмотр оповещений и управление ими на портале Azure.
Двунаправленная синхронизация оповещений между датчиками и порталом Azure (общедоступная предварительная версия)
Для датчиков, обновленных до версии 22.2.1, состояния оповещений и состояния обучения теперь полностью синхронизируются между консолью датчика и порталом Azure. В частности, это означает, что вы можете закрыть оповещение на портале Azure или в консоли датчика, при этом состояние оповещения обновляется в обоих расположениях.
Изучите оповещение на портале Azure или в консоли датчика, чтобы оно не активировалось повторно при следующем обнаружении того же сетевого трафика.
Также консоль датчика синхронизируется с локальной консолью управления, чтобы состояния оповещений и изученные сведения оставались актуальными во всех интерфейсах управления.
Дополнительные сведения см. в разделе:
- Просмотр оповещений и управление ими на портале Azure
- Просмотр оповещений на датчике и управление ими
- Работа с оповещениями в локальной консоль управления
Восстановление подключений датчиков после смены сертификата
Начиная с версии 22.2.3 после смены сертификатов, подключения датчиков автоматически восстанавливаются в локальной консоль управления, и вам не нужно повторно подключать их вручную.
Дополнительные сведения см. в разделе "Создание SSL/TLS-сертификатов для устройств OT" и "Управление сертификатами SSL/TLS".
Поддержка улучшений журнала диагностики (общедоступная предварительная версия)
Начиная с версии датчика 22.1.1 вы уже можете скачивать журнал диагностики из консоли датчика, чтобы отправить его в службу поддержки при открытии запроса.
Теперь вы можете отправить этот журнал диагностики для локально управляемых датчиков непосредственно на портале Azure.
Совет
Для подключенных к облаку датчиков начиная с версии 22.1.3 журнал диагностики автоматически предоставляется службе поддержки при создании запроса.
Дополнительные сведения см. в разделе:
- Скачивание журнала диагностики для службы поддержки
- Отправка журнала диагностики для службы поддержки
Отображение имен датчиков на вкладках браузера
Начиная с версии датчика 22.2.3 имя датчика отображается на вкладке браузера, что позволяет лучше понимать, с каким датчиком вы работаете.
Например:
Дополнительные сведения см. в разделе Управление отдельными датчиками.
Синхронизация инцидентов Microsoft Sentinel с оповещениями Defender для Интернета вещей
Решение мониторинга ОТ-угроз Интернета вещей с помощью Defender для Интернета вещей теперь гарантирует, что оповещения в Defender для Интернета вещей обновляются с любыми связанными изменениями состояния в инцидентах Microsoft Sentinel.
Эта синхронизация переопределяет любое состояние, определенное в Defender для Интернета вещей, на портале Azure или консоли датчика, чтобы состояния оповещений соответствовали состоянию связанного инцидента.
Обновите решение мониторинга ОТ-угроз Интернета вещей с помощью Defender для Интернета вещей, чтобы получить новые возможности для поддержки синхронизации, включая новый сборник схем AD4IoT-AutoAlertStatusSync. После обновления решения не забудьте выполнить необходимые действия, чтобы новый сборник работал правильно.
Дополнительные сведения см. в разделе:
- Руководство по интеграции Defender для Интернета вещей и Sentinel
- Просмотр оповещений и управление ими на портале Defender для Интернета вещей (предварительная версия)
- Просмотр оповещений на датчике
Июнь 2022 г.
Программное обеспечение датчика версии 22.1.6: дополнительная версия с обновлениями обслуживания для внутренних компонентов датчика
Программное обеспечение датчика версии 22.1.5: дополнительная версия с улучшениями пакетов установки TI и обновлениями программного обеспечения
Недавно мы оптимизировали и улучшили нашу документацию следующим образом:
- Обновленный каталог устройств для сред OT
- Реорганизация документации для организаций конечных пользователей
Обновленный каталог устройств для сред OT
Мы обновили каталог поддерживаемых устройств для мониторинга сред OT. Эти устройства поддерживают гибкие варианты развертывания для сред всех размеров и могут использоваться для размещения датчика мониторинга OT и локальных консолей управления.
Используйте новые страницы следующим образом:
Узнайте, какая модель оборудования лучше всего соответствует потребностям вашей организации. Дополнительные сведения см. в разделе Какие требуются устройства?
Сведения о предварительно настроенных аппаратных устройствах, доступных для приобретения, или требования к системе для виртуальных машин. Дополнительные сведения см. в разделе "Предварительно настроенные физические устройства" для мониторинга OT и мониторинга OT с виртуальными устройствами.
Для получения дополнительных сведений о каждом типе устройства используйте связанную справочную страницу или просмотрите новый раздел Эталонные > устройства мониторинга OT.
Справочные статьи по каждому типу устройства, включая виртуальные устройства, включают конкретные шаги по настройке устройства для мониторинга OT с помощью Defender для Интернета вещей. Процедуры установки и устранения неполадок универсального программного обеспечения по-прежнему описаны в статье Defender для установки ПО Интернета вещей.
Реорганизация документации для организаций конечных пользователей
Недавно мы реорганизовали документацию Defender для Интернета вещей для организаций конечных пользователей, выделяя более четкий путь для подключения и начала работы.
Ознакомьтесь с новой структурой для просмотра устройств и ресурсов, управления оповещениями, уязвимостями и угрозами, интеграции с другими службами, а также развертывания и обслуживания системы Defender для Интернета вещей.
Новые и обновленные статьи:
- Добро пожаловать в Microsoft Defender для Интернета вещей для организаций
- Архитектура Microsoft Defender для Интернета вещей
- Краткое руководство. Начало работы с Defender для Интернета вещей
- Руководство по настройке пробной версии Microsoft Defender для Интернета вещей
- Руководство. Начало работы с Корпоративным IoT
Примечание.
Чтобы отправить отзыв по документам с помощью GitHub, прокрутите страницу вниз и выберите параметр Обратная связь для Этой страницы. Мы будем рады получить ваш отзыв!
Апрель 2022 г.
Расширенные данные свойств устройства в инвентаризации устройств
Версия программного обеспечения датчика: 22.1.4
Начиная с датчиков, обновленных до версии 22.1.4, на странице инвентаризации устройств на портал Azure отображаются расширенные данные для следующих полей:
- Description
- Теги
- Протоколы
- Сканер
- Последнее действие
Дополнительные сведения см. в разделе "Управление инвентаризацией устройств" из портал Azure.
Март 2022 г.
Версия датчика: 22.1.3
- Использование книг Azure Monitor с Microsoft Defender для Интернета вещей
- Средство мониторинга угроз в среде Интернета вещей на уровне OT с Defender для Интернета вещей (общая доступность)
- Изменение и удаление устройств из портала Azure
- Обновления оповещений о состоянии ключа
- Выход из сеанса CLI
Использование книг Azure Monitor с Microsoft Defender для Интернета вещей (общедоступная предварительная версия)
В книгах Azure Monitor представлены графы и панели мониторинга, в которых визуально отображаются данные. Теперь они доступны непосредственно в Microsoft Defender для Интернета вещей вместе с данными из службы Azure Resource Graph.
Чтобы просмотреть готовые книги, созданные Майкрософт, или создать собственные книги, на портале Azure используйте новую страницу Книги Defender для Интернета вещей.
Дополнительные сведения см. в статье Использование книг Azure Monitor в Microsoft Defender для Интернета вещей.
Средство мониторинга угроз в среде Интернета вещей на уровне OT с Defender для Интернета вещей (общая доступность)
Средство мониторинга угроз в среде Интернета вещей на уровне OT с Defender для Интернета вещей в Microsoft Sentinel стало общедоступным. На портале Azure используйте это решение для защиты всей среды, если, например, необходимо защитить существующие устройства или обеспечить безопасность для новых решений уровня OT.
Дополнительные сведения см. в статьях Мониторинг угроз OT в корпоративных центрах информационной безопасности и Учебник. Интеграция Defender для Интернета вещей и Sentinel.
Изменение и удаление устройств из портала Azure (общедоступная предварительная версия)
На странице Инвентарь устройств на портале Azure теперь можно изменить сведений об устройстве: безопасность, классификация, расположение и т. д.
Дополнительные сведения см. в разделе Редактирование сведений об устройстве.
Удалить устройства из Defender для Интернета вещей можно только в том случае, если они неактивны более 14 дней. Дополнительные сведения см. в разделе Удаление устройства.
Обновления оповещений о состоянии ключа (общедоступная предварительная версия)
Defender для Интернета вещей поддерживает протокол Rockwell для обнаружения режима работы PLC.
Для протокола Rockwell на странице Инвентаризация устройств на портале Azure и на консоли датчика теперь отображается состояние ключа и состояние выполнения режима работы PLC, а также отражается безопасный режим устройства.
При переключении режима работы PLC устройства в небезопасный режим (например, Программа или Удаленный), создается оповещение Изменился режима работы PLC.
Дополнительные сведения см. в статье Управление устройствами Интернета вещей с помощью инвентаризации устройств для организаций.
Выход из сеанса CLI
Начиная с этой версии, если пользователь CLI не активен более 300 секунд выполняется автоматический выход из сеанса. Чтобы выйти вручную, используйте новую команду CLI logout
.
Дополнительные сведения см. в статье Работа с командами CLI в Defender для Интернета вещей.
2022 февраля
Версия программного обеспечения датчика: 22.1.1
- Мастер установки нового датчика
- Усовершенствование датчика и унифицированное взаимодействие с продуктом Майкрософт
- Улучшенная страница обзора датчика
- Новый журнал диагностики поддержки
- Обновления оповещений
- Обновления специальных оповещений
- Обновления команд CLI
- Обновление до версии 22.1.x
- Новые требования к модели подключения и брандмауэру
- Улучшения протокола
- Измененные, замененные или удаленные параметры и конфигурации
Мастер установки нового датчика
Ранее для отправки файла активации датчика, проверки конфигурации сети датчика и настройки сертификатов SSL/TLS приходилось использоваться отдельные диалоговые окна.
Теперь при установке нового датчика или новой версии датчика мастер установки предлагает упрощенный интерфейс, с помощью которого можно выполнить все задачи в одном месте.
Дополнительные сведения см. в статье Установка Defender для Интернета вещей.
Усовершенствование датчика и унифицированное взаимодействие с продуктом Майкрософт
Консоль датчика Defender для Интернета вещей была переработана, чтобы создать унифицированную среду взаимодействия Майкрософт с Azure, а также улучшить и упростить рабочие процессы.
Эти возможности стали общедоступными (GA). К обновлениям можно отнести общий интерфейс, детализированные панели, параметры поиска и действий, и многое другое. Например:
Упрощенные рабочие процессы:
Теперь на странице Инвентаризация устройств содержатся подробные сведения об устройстве. Выберите устройство в таблице и нажмите кнопку Просмотр полных сведений справа.
Свойства, обновленные из данных инвентаризации датчика, теперь автоматически обновляются в данных инвентаризации облачных устройств.
Страницы сведений об устройстве, доступ к которым можно получить из страниц Карты устройств или Инвентаризации устройств, открывается только для чтения. Чтобы изменить свойства устройства, выберите Изменить свойства в нижнем левом углу.
Страница Интеллектуальный анализ данных теперь включает функции создания отчетов. Страница Отчеты была удалена, но пользователи с доступом только для чтения могут просматривать обновления на странице Интеллектуальный анализ данных, не имея возможности изменять отчеты или параметры.
Если администратору нужно создать новый отчет, теперь можно включить параметр Отправить CM, чтобы отправить отчет в центральную консоль управления. Дополнительные сведения см. в разделе "Создание отчета"
Область Системные параметры была реорганизована в разделы: Основные параметры, параметров Мониторинга сетей, Управления датчиками, Интеграциии Импорта параметров.
Справка по датчику теперь содержит ссылки на ключевые статьи в документации Microsoft Defender для Интернета вещей.
Особенности Defender для Интернета вещей:
Теперь в оповещениях и на страницах со сведениями об устройстве отображается новое Представление карты, показывающее нахождение оповещения или устройства в вашей среде.
Щелкните правой кнопкой мыши устройство на карте, чтобы просмотреть контекстные сведения о нем, включая связанные оповещения, данные о временной шкале событий и подключенные устройства.
Выберите "Отключить отображение ИТ-сетей" , чтобы предотвратить сворачивание ИТ-сетей на карте. Этот вариант включен по умолчанию.
Параметр Упрощенное представление кары был удален.
Мы также реализовали функции глобальной готовности и специальных возможностей для соответствия стандартам Майкрософт. В локальной консоли датчика добавилась высокая контрастность, обычные темы экрана и локализация более чем на 15 языков.
Например:
Функции глобальной готовности и доступности доступны через значок Параметры в правом верхнем углу экрана:
Улучшенная страница обзора датчика
Страница Панель мониторинга в портале датчика Defender для Интернета вещей переименована в Обзор. Она содержит более подробные сведения о развертывании системы, критические показатели мониторинга сети, основные оповещения, важные тенденции и статистику.
Страница "Обзор" также выполняет функцию черного ящика для просмотра общего состояния датчика на случай, если отключатся исходящие подключения, например к порталу Azure.
Создайте дополнительные панели мониторинга с помощью страницы "Тенденции и статистика ", расположенной в меню "Анализ " слева.
Новый журнал диагностики поддержки
Теперь вам доступна сводка по журналам и системным сведениям, которые добавляются в запросы в службу поддержки. В диалоговом окне Резервное копирование и восстановление выберите пункт Диагностика запросов в службу поддержки.
Дополнительные сведения см. в разделе "Скачивание журнала диагностика для поддержки"
Обновления оповещений
На портале Azure.
Теперь оповещения доступны в Defender для Интернета вещей на портале Azure. Работа с оповещениями поможет повысить безопасность и работоспособность вашей сети IoT/OT.
Сейчас новая страница Оповещения находится в общедоступной предварительной версии и предлагает:
- Агрегирование представление угроз в режиме реального времени, обнаруженных датчиками сети.
- Действия по исправлению проблем для устройств и сетевых процессов.
- Потоковая передача оповещений в Microsoft Sentinel и расширение возможностей команды центра информационной безопасности.
- Хранилище оповещений за 90 дней с момента их первого обнаружения.
- Средства для изучения действия источника и назначения, серьезности оповещений и состояния, сведений mitRE ATT&CK и контекстной информации о оповещении.
Например:
В консоли датчика:
В консоли датчика на странице Оповещения теперь отображаются сведения об оповещениях датчиков, настроенными с помощью облачного подключения к Defender для Интернета вещей в Azure. Пользователи, обрабатывающие оповещения в Azure и локальной среде, должны понимать принципы управления оповещениями между порталом Azure и локальными компонентами.
Другие обновления оповещений:
Доступ к контекстно-зависимым данным для каждого оповещения, например к событиям, произошедшим в одно и то же время, или к картам подключенных устройств. Карты подключенных устройств доступны только для оповещений консоли датчика.
Обновления состояния оповещений, например, теперь они показывают состояние Закрыто вместо Подтверждено.
Хранилище оповещений за 90 дней с момента их первого обнаружения.
Резервное копирование с оповещением о подписях антивирусных программ. Новое оповещение срабатывает, если между исходным устройством и целевым сервером резервного копирования обнаружен трафик, который часто является допустимым действием резервного копирования. Критические или важные оповещения о вредоносных программах для таких действий больше не срабатывают.
Во время обновления удаляются архивные оповещения консоли датчика. Прекращена поддержка закрепленных оповещений, поэтому закрепления оповещений консоли датчика также удалены.
Дополнительные сведения см. в разделе Просмотр оповещений на датчике.
Обновления настраиваемых оповещений
На странице Настраиваемых правил генерации оповещений в консоли датчика появились новые возможности:
Информация о количестве обращений в таблице Настраиваемых правил генерации оповещений, содержащей краткие сведения о количестве сработавших оповещений за последнюю неделю для каждого созданного правила.
Возможность запланировать запуск настраиваемых правил генерации оповещений во внерабочее время.
Возможность оповещения по любому полю, которое можно извлечь из протокола с помощью технологии DPI.
Полная поддержка протокола при создании собственных правил и поддержка широкого спектра связанных переменных протокола.
Дополнительные сведения см. в разделе "Создание настраиваемых правил генерации оповещений" на датчике OT.
Обновления команд CLI
Установка программного обеспечения датчика Defender для Интернета вещей теперь контейнеризирована. С помощью контейнерного датчика можно использовать пользователя cyberx_host для изучения проблем с другими контейнерами или операционной системой или для отправки файлов через FTP.
Пользователь cyberx_host доступен по умолчанию и подключается к хост-компьютеру. При необходимости восстановите пароль для пользователя cyberx_host на странице Сайты и датчики в Defender для Интернета вещей.
В составе контейнерного датчика были изменены следующие команды интерфейса командной строки:
Устаревшее имя | Замена |
---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
Удалена команда CLI sudo cyberx-xsense-limit-interface-I eth0 -l value
. Эта команда использовалась для ограничения пропускной способности интерфейса, который датчик использует для повседневных процедур. Она больше не поддерживается.
Дополнительные сведения см. в разделе "Установка Defender для Интернета вещей", "Работа с командами Cli Defender для Интернета вещей" и справочник по командам CLI из сетевых датчиков OT.
Обновление до версии 22.1.x
Чтобы использовать новые функции Defender для Интернета вещей, обновите программное обеспечение датчика до версии 22.1.x.
Если вы используете устаревшую версию, может потребоваться выполнить ряд обновлений, чтобы получить последнюю версию. Вам также потребуется обновить правила брандмауэра и повторно активировать датчик с помощью нового файла активации.
После обновления до версии 22.1.x новый журнал обновления будет доступен через SSH для пользователя cyberx_host по следующему пути: /opt/sensor/logs/legacy-upgrade.log
.
Дополнительные сведения см. в статье Обновление программного обеспечения OT.
Примечание.
Обновление до версии 22.1.x довольно большое, поэтому для выполнения потребуется больше времени, чем обычно.
Новые требования к модели подключения и брандмауэру
Defender для Интернета вещей версии 22.1.x поддерживает новый набор методов подключения датчика, которые упрощают развертывание, улучшают безопасность, масштабируемость и гибкость подключения.
В дополнение к этапам миграциидля новой модели подключения необходимо открыть новое правило брандмауэра. Дополнительные сведения см. в разделе:
- Новые требования к брандмауэру: доступ датчика к порталу Azure.
- Архитектура: методы подключения датчика
- Процедуры подключения: подключение датчиков к Microsoft Defender для Интернета вещей
Улучшения протокола
В этой версии Defender для Интернета вещей улучшена поддержка:
- Profinet DCP
- Honeywell
- Обнаружение конечных точек в Windows
Дополнительные сведения см. в разделе Microsoft Defender для Интернета вещей: поддерживаемые протоколы Интернета вещей, OT, ICS и SCADA.
Измененные, замененные или удаленные параметры и конфигурации
Следующие параметры и конфигурации Defender для Интернета вещей были перемещены, удалены и/или заменены:
Отчеты на странице Отчеты теперь отображаются на странице Интеллектуальный анализ данных. По прежнему можно просматривать сведения интеллектуального анализа данных непосредственно из локальной консоли управления.
Теперь для изменения имени локально управляемого датчика необходимо подключить датчика к порталу Azure с новым именем. Имена датчиков нельзя теперь изменить непосредственно с самого датчика. Дополнительные сведения см. в статье "Отправка нового файла активации".