Kuruluşlar için IoT için Microsoft Defender'daki yenilikler arşivi
Dekont
IoT için Azure Defender, IoT için Microsoft Defender olarak yeniden adlandırıldı.
Bu makale, dokuz aydan daha uzun bir süre önce kuruluşlar için IoT için Microsoft Defender'da yayımlanan özellikler ve geliştirmeler için arşiv görevi görür.
Daha yeni güncelleştirmeler için bkz . IoT için Microsoft Defender'daki yenilikler.
Aşağıda listelenen not edilen özellikler ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan diğer yasal koşulları içerir.
Aralık 2021
Algılayıcı yazılımı sürümü: 10.5.4
Microsoft Sentinel ile gelişmiş tümleştirme (Önizleme)
IoT için Defender ile yeni IoT OT Tehdit İzleme çözümü kullanılabilir ve Microsoft Sentinel ile IoT için Microsoft Defender tümleştirmesi için gelişmiş özellikler sağlar. IoT için Defender ile IoT OT Tehdit İzleme çözümü, özellikle IoT için Defender verileri için yapılandırılmış analiz kuralları, çalışma kitapları ve playbook'lar dahil olmak üzere paketlenmiş bir içerik kümesidir. Bu çözüm şu anda yalnızca İşletimSel Ağları (OT/ICS) desteklemektedir.
Microsoft Sentinel ile tümleştirme hakkında bilgi için bkz . Öğretici: IoT ve Sentinel için Defender'ı tümleştirme
Apache Log4j güvenlik açığı
IoT için Microsoft Defender'ın 10.5.4 sürümü Apache Log4j güvenlik açığını azaltır. Ayrıntılar için bkz . güvenlik önerisi güncelleştirmesi.
Uyarı
IoT için Microsoft Defender'ın 10.5.4 sürümü önemli uyarı geliştirmeleri sunar:
- Bazı küçük olaylar veya kenar olayları için uyarılar artık devre dışı bırakılmıştır.
- Belirli senaryolarda, benzer uyarılar tek bir uyarı iletisinde en aza indirilir.
Bu değişiklikler uyarı hacmini azaltır ve güvenlik ve işletimsel olayların daha verimli bir şekilde hedeflenmesine ve analizine olanak tanır.
Daha fazla bilgi için bkz . OT izleme uyarı türleri ve açıklamaları.
Uyarılar kalıcı olarak devre dışı bırakıldı
Aşağıda listelenen uyarılar sürüm 10.5.4 ile kalıcı olarak devre dışı bırakılmıştır. Algılama ve izleme, uyarılarla ilişkili trafik için hala desteklenmektedir.
İlke altyapısı uyarıları
- RPC Yordamı Çağırmaları
- Yetkisiz HTTP Sunucusu
- MAC Adreslerinin anormal kullanımı
Uyarılar varsayılan olarak devre dışı bırakıldı
Aşağıda listelenen uyarılar varsayılan olarak sürüm 10.5.4 ile devre dışı bırakılmıştır. Gerekirse uyarıları algılayıcı konsolunun Destek sayfasından yeniden etkinleştirebilirsiniz.
Anomali altyapısı uyarısı
- HTTP Üst Bilgisindeki Anormal Parametre Sayısı
- Anormal HTTP Üst Bilgi Uzunluğu
- Geçersiz HTTP Üst Bilgi İçeriği
İşletimsel altyapı uyarıları
- HTTP İstemci Hatası
- RPC İşlemi Başarısız Oldu
İlke altyapısı uyarıları
Bu uyarıların devre dışı bırakılması, ilgili trafiğin izlenmesini de devre dışı bırakır. Özellikle, bu trafik Veri Madenciliği raporlarında bildirilmeyecek.
- Geçersiz HTTP İletişim uyarısı ve HTTP Bağlan ions Veri Madenciliği trafiği
- Yetkisiz HTTP Kullanıcı Aracısı uyarısı ve HTTP Kullanıcı Aracıları Veri Madenciliği trafiği
- Yetkisiz HTTP SOAP Eylemi ve HTTP SOAP Eylemleri Veri Madenciliği trafiği
Güncelleştirilmiş uyarı işlevselliği
Yetkisiz Veritabanı İşlemi uyarısı Daha önce, bu uyarı DDL ve DML uyarılarını ve Veri Madenciliği raporlamasını kapsıyor. Nwo:
- DDL trafiği: uyarı ve izleme desteklenir.
- DML trafiği: İzleme desteklenir. Uyarı verme desteklenmez.
Yeni Varlık Algılandı uyarısı Bu uyarı, BT alt ağlarında algılanan yeni cihazlar için devre dışı bırakıldı. Ot alt ağlarında bulunan yeni cihazlar için Yeni Varlık Algılandı uyarısı tetikleniyor. OT alt ağları otomatik olarak algılanabilir ve gerekirse kullanıcılar tarafından güncelleştirilebilir.
Simge durumuna küçültülmüş uyarı
Belirli senaryolar için uyarı tetikleme, uyarı hacmini azaltmaya ve uyarı araştırmasını basitleştirmeye yardımcı olmak için simge durumuna küçültülmüştür. Bu senaryolarda, bir cihaz hedeflerde yinelenen etkinlik gerçekleştirirse bir kez uyarı tetiklenir. Daha önce, aynı etkinlik her gerçekleştirildiği zaman yeni bir uyarı tetiklendi.
Bu yeni işlev aşağıdaki uyarılarda kullanılabilir:
- Bağlantı Noktası Taraması Algılanan uyarılar, kaynak cihazın etkinliğine göre (Anomali altyapısı tarafından oluşturulur)
- Kaynak cihazın etkinliğine göre kötü amaçlı yazılım uyarıları. (Kötü Amaçlı Yazılım altyapısı tarafından oluşturulur).
- Hedef cihazın (Kötü Amaçlı Yazılım altyapısı tarafından oluşturulan) etkinliğine bağlı olarak Hizmet Reddi Saldırısı uyarıları şüphesi
Kasım 2021
Algılayıcı yazılımı sürümü: 10.5.3
Aşağıdaki özellik geliştirmeleri, IoT için Microsoft Defender'ın 10.5.3 sürümüyle kullanılabilir.
Şirket içi yönetim konsolu, ServiceNow tümleştirmemizi desteklemek için yeni bir API'ye sahiptir. Daha fazla bilgi için bkz . Şirket içi yönetim konsolları için Tümleştirme API'si başvurusu (Genel önizleme).
Birden çok OT ve ICS protokolü disektörünün ağ trafiği analizinde geliştirmeler yapılmıştır.
Otomatik bakım kapsamında, 90 günden eski arşivlenmiş uyarılar artık otomatik olarak silinecek.
Müşteri geri bildirimlerine dayalı olarak uyarı meta verilerinin dışarı aktarılmasında birçok geliştirme yapılmıştır.
Ekim 2021
Algılayıcı yazılımı sürümü: 10.5.2
Aşağıdaki özellik geliştirmeleri, IoT için Microsoft Defender'ın 10.5.2 sürümüyle kullanılabilir.
PLC işletim modu algılamaları (Genel Önizleme)
Kullanıcılar artık PLC çalışma modu durumlarını, değişikliklerini ve risklerini görüntüleyebilir. PLC çalışma modu, PLC'de fiziksel anahtar anahtarı varsa PLC mantıksal Çalıştırma durumundan ve fiziksel Anahtar durumundan oluşur.
Bu yeni özellik güvenli olmayan PLC'leri algılayarak güvenliği artırmaya yardımcı olur ve sonuç olarak PLC Programı İndirmeleri gibi kötü amaçlı saldırıları önler. 2017'de bir petrokimya tesisine yapılan Triton saldırısı, bu tür risklerin etkilerini göstermektedir. Bu bilgiler, operasyonel mühendislere kurumsal PLC'lerin işletimsel moduyla ilgili kritik görünürlük de sağlar.
Güvenli olmayan mod nedir?
Anahtar durumu Program olarak algılanırsa veya Çalıştırma durumu Uzak veya Program olarak algılanırsa PLC, IoT için Defender tarafından güvenli olmayan olarak tanımlanır.
Görünürlük ve risk değerlendirmesi
Kuruluş PLC'lerinin PLC durumunu ve bağlamsal cihaz bilgilerini görüntülemek için Cihaz Envanteri'ni kullanın. Bu sütunu Stok'a eklemek için Cihaz Envanteri Ayarlar iletişim kutusunu kullanın.
PLC güvenli durumunu ve PLC başına son değişiklik bilgilerini Cihaz Özellikleri ekranının Öznitelikler bölümünde görüntüleyin. Anahtar durumu Program olarak algılanırsa veya Çalıştırma durumu Uzak veya Program olarak algılanırsa PLC, IoT için Defender tarafından güvenli olmayan olarak tanımlanır. Cihaz Özellikleri PLC Güvenli seçeneği false değerini okur.
PLC çalışma modu bilgileriyle veri madenciliği oluşturarak tüm ağ PLC Çalıştırma ve Anahtar Durumu durumlarını görüntüleyin.
Güvenli olmayan modda ağ PLC'lerinin sayısını ve güvenli olmayan PLC risklerini azaltmak için kullanabileceğiniz ek bilgileri gözden geçirmek için Risk Değerlendirme Raporu'nu kullanın.
PCAP API'si
Yeni PCAP API'si, kullanıcının algılayıcıdan şirket içi yönetim konsolu aracılığıyla veya algılayıcının kendisine doğrudan erişim olmadan PCAP dosyalarını almasını sağlar.
Şirket İçi Yönetim Konsolu denetimi
Şirket içi yönetim konsolunun denetim günlükleri artık hangi değişikliklerin ve kimin tarafından yapıldığıyla ilgili araştırmayı kolaylaştırmak için dışarı aktarılabilir.
Web kancası genişletilmiş
Uç noktaya ek veri göndermek için genişletilmiş Web kancası kullanılabilir. Genişletilmiş özellik, Web kancası uyarısında yer alan tüm bilgileri içerir ve aşağıdaki bilgileri rapora ekler:
- sensorID
- sensorName
- zoneID
- Bölgeadı
- Siteıd
- Sitename
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- Işlenen
- additionalInformation
Sertifika parolaları için Unicode desteği
Artık algılayıcı sertifikası parolalarıyla çalışırken Unicode karakterler destekleniyor. Daha fazla bilgi için bkz . CA ile imzalanan sertifikaları hazırlama.
Nisan 2021
Otomatik tehdit bilgileri güncelleştirmeleriyle çalışma (Genel Önizleme)
Yeni tehdit bilgileri paketleri artık IoT için Microsoft Defender tarafından kullanıma sunulduklarında buluta bağlı algılayıcılara otomatik olarak gönderilebilir. Bu, tehdit bilgileri paketlerini indirmeye ve ardından algılayıcılara yüklemeye ek olarak yapılır.
Otomatik güncelleştirmelerle çalışmak, operasyonel çabaları azaltmaya ve daha fazla güvenlik sağlamaya yardımcı olur. IoT için Defender portalında Otomatik Tehdit Bilgileri Güncelleştirmeler iki durumlu düğmesi açık olarak buluta bağlı algılayıcınızı ekleyerek otomatik güncelleştirmeyi etkinleştirin.
Tehdit bilgileri verilerinizi güncelleştirmek için daha muhafazakar bir yaklaşım benimsemek isterseniz, paketleri IoT için Microsoft Defender portalından buluta bağlı algılayıcılara yalnızca gerekli olduğunu düşünüyorsanız el ile gönderebilirsiniz. Bu, bir paketin ne zaman yükleneceğini, indirmenize ve ardından algılayıcılarınıza yüklemenize gerek kalmadan denetlemenize olanak sağlar. IoT için Defender Siteleri ve Algılayıcılar sayfasından algılayıcılara güncelleştirmeleri el ile gönderin.
Tehdit bilgileri paketleri hakkında aşağıdaki bilgileri de gözden geçirebilirsiniz:
- Paket sürümü yüklü
- Tehdit bilgileri güncelleştirme modu
- Tehdit bilgileri güncelleştirme durumu
Buluta bağlı algılayıcı bilgilerini görüntüleme (Genel Önizleme)
Buluta bağlı algılayıcılar hakkındaki önemli operasyonel bilgileri Siteler ve Algılayıcılar sayfasında görüntüleyin.
- Algılayıcı sürümü yüklü
- Algılayıcının buluta bağlantı durumu.
- Algılayıcının buluta bağlandığını en son algılanması.
Uyarı API'si geliştirmeleri
Uyarı API'leriyle çalışan kullanıcılar için yeni alanlar kullanılabilir.
Şirket içi yönetim konsolu
- Kaynak ve hedef adres
- Düzeltme adımları
- Kullanıcı tarafından tanımlanan algılayıcının adı
- Algılayıcıyla ilişkilendirilmiş bölgenin adı
- Sensörle ilişkilendirilmiş sitenin adı
Sensör
- Kaynak ve hedef adres
- Düzeltme adımları
Yeni alanlarla çalışırken API sürüm 2 gereklidir.
Genel Kullanılabilir (GA) olarak sunulan özellikler
Aşağıdaki özellikler daha önce Genel Önizleme için kullanılabilirdi ve artık Genel Kullanıma Açık (GA) özelliklerdir:
- Algılayıcı - gelişmiş özel uyarı kuralları
- Şirket içi yönetim konsolu - uyarıları dışarı aktarma
- Şirket içi yönetim konsoluna ikinci ağ arabirimi ekleme
- Cihaz oluşturucu - yeni mikro aracı
Mart 2021
Algılayıcı - gelişmiş özel uyarı kuralları (Genel Önizleme)
Artık gün, gün grubu ve zaman aralığı ağ etkinliğinin algılandığı zamana göre özel uyarı kuralları oluşturabilirsiniz. Gün ve saat kuralı koşullarıyla çalışmak, örneğin uyarı önem derecesinin uyarı olayının gerçekleştiği zamana göre türetildiği durumlarda kullanışlıdır. Örneğin, bir hafta sonu veya akşam ağ etkinliği algılandığında yüksek önem derecesi uyarısı tetikleyen özel bir kural oluşturun.
Bu özellik, sürüm 10.2 ile sensörde kullanılabilir.
Şirket içi yönetim konsolu - uyarıları dışarı aktarma (Genel Önizleme)
Uyarı bilgileri artık şirket içi yönetim konsolundan bir .csv dosyasına aktarılabilir. Algılanan tüm uyarıların bilgilerini dışarı aktarabilir veya filtrelenmiş görünüme göre bilgileri dışarı aktarabilirsiniz.
Bu özellik, sürüm 10.2 ile birlikte şirket içi yönetim konsolunda kullanılabilir.
Şirket içi yönetim konsoluna ikinci ağ arabirimi ekleme (Genel Önizleme)
Artık şirket içi yönetim konsolunuza ikinci bir ağ arabirimi ekleyerek dağıtımınızın güvenliğini artırabilirsiniz. Bu özellik, şirket içi yönetiminizin bağlı algılayıcılarının tek bir güvenli ağda olmasını sağlarken, kullanıcılarınızın şirket içi yönetim konsoluna ikinci bir ayrı ağ arabirimi üzerinden erişmesine olanak tanır.
Bu özellik, sürüm 10.2 ile birlikte şirket içi yönetim konsolunda kullanılabilir.
Ocak 2021
Güvenlik
Bu sürüm için sertifika ve parola kurtarma geliştirmeleri yapıldı.
Sertifikalar
Bu sürüm şunları yapmanızı sağlar:
- TLS/SSL sertifikalarını doğrudan algılayıcılara ve şirket içi yönetim konsollarına yükleyin.
- Şirket içi yönetim konsolu ile bağlı algılayıcılar arasında ve bir yönetim konsolu ile Yüksek Kullanılabilirlik yönetim konsolu arasında doğrulama gerçekleştirin. Doğrulama süre sonu tarihlerini, kök CA orijinalliğini ve Sertifika İptal Listelerini temel alır. Doğrulama başarısız olursa oturum devam etmez.
Yükseltmeler için:
- Yükseltme sırasında TLS/SSL sertifikasında veya doğrulama işlevinde bir değişiklik yoktur.
- Algılayıcılarınızı ve şirket içi yönetim konsollarınızı güncelleştirdikten sonra, yönetim kullanıcıları TLS/SSL sertifikalarını değiştirebilir veya Sistem Ayarlar, TLS/SSL Sertifikası penceresinden TLS/SSL sertifika doğrulamasını etkinleştirebilir.
Yeni Yüklemeler için:
- İlk kez oturum açma sırasında kullanıcıların TLS/SSL Sertifikası (önerilen) veya yerel olarak oluşturulan otomatik olarak imzalanan sertifika (önerilmez) kullanmaları gerekir
- Yeni yüklemeler için sertifika doğrulaması varsayılan olarak açıktır.
Parola kurtarma
Algılayıcı ve şirket içi yönetim konsolu Yönetici istrative kullanıcıları artık IoT için Microsoft Defender portalından parolaları kurtarabilir. Daha önce parola kurtarma için destek ekibinin müdahalesi gerekiyordu.
Ekleme
Şirket içi yönetim konsolu - kaydedilmiş cihazlar
Şirket içi yönetim konsolunda ilk oturum açma işleminden sonra kullanıcıların artık bir etkinleştirme dosyası yüklemeleri gerekir. Dosya, kuruluş ağında izlenecek toplam cihaz sayısını içerir. Bu sayı, işlenen cihazların sayısı olarak adlandırılır. Kaydedilen cihazlar, etkinleştirme dosyasının oluşturulduğu IoT için Microsoft Defender portalında ekleme işlemi sırasında tanımlanır. Etkinleştirme dosyasını karşıya yüklemek için ilk kez yükselten kullanıcılar ve kullanıcılar gereklidir. İlk etkinleştirmeden sonra ağda algılanan cihaz sayısı, işlenen cihaz sayısını aşabilir. Bu olay, örneğin yönetim konsoluna daha fazla algılayıcı bağlarsanız gerçekleşebilir. Algılanan cihazların sayısı ile işlenen cihaz sayısı arasında bir tutarsızlık varsa, yönetim konsolunda bir uyarı görüntülenir. Bu olay oluşursa yeni bir etkinleştirme dosyası yüklemeniz gerekir.
Fiyatlandırma sayfası seçenekleri
Fiyatlandırma sayfası, IoT için Microsoft Defender'a yeni abonelikler eklemenizi ve ağınızda kaydedilmiş cihazları tanımlamanızı sağlar.
Ayrıca Fiyatlandırma sayfası artık algılayıcıyla ilişkili mevcut abonelikleri yönetmenize ve cihaz taahhüdünü güncelleştirmenize olanak tanır.
Eklenen algılayıcıları görüntüleme ve yönetme
Yeni Site ve Algılayıcılar portalı sayfası şunları yapmanızı sağlar:
- Algılayıcı hakkında açıklayıcı bilgiler ekleyin. Örneğin, algılayıcıyla ilişkilendirilmiş bir bölge veya serbest metin etiketleri.
- Algılayıcı bilgilerini görüntüleyin ve filtreleyin. Örneğin, buluta bağlı veya yerel olarak yönetilen algılayıcılar hakkındaki ayrıntıları veya belirli bir bölgedeki algılayıcılar hakkındaki bilgileri görüntüleyin.
Kullanılabilirlik
Azure Sentinel yeni bağlayıcı sayfası
Azure Sentinel'deki IoT için Microsoft Defender veri bağlayıcısı sayfası yeniden tasarlandı. Veri bağlayıcısı artık IoT Hubs yerine abonelikleri temel alır; müşterilerin Azure Sentinel'e olan yapılandırma bağlantılarını daha iyi yönetmesine olanak tanır.
Azure portalı izin güncelleştirmeleri
Güvenlik Okuyucusu ve Güvenlik Yönetici istrator desteği eklendi.
Diğer güncelleştirmeler
Erişim grubu - bölge izinleri
Şirket içi yönetim konsolu Erişim Grubu kuralları, belirli bir bölgeye erişim izni verme seçeneğini içermez. Siteleri, bölgeleri ve iş birimlerini kullanan kuralları tanımlamada bir değişiklik yoktur. Yükseltmeden sonra, belirli bölgelere erişime izin veren kurallar içeren Erişim Grupları, tüm bölgeleri dahil olmak üzere üst sitesine erişime izin verecek şekilde değiştirilecektir.
Terminoloji değişiklikleri
Varlık terimi algılayıcıda ve şirket içi yönetim konsolunda, raporlarda ve diğer çözüm arabirimlerinde cihaz olarak yeniden adlandırıldı. Algılayıcı ve şirket içi yönetim konsolu Uyarıları'nda Bu Olayı Yönet terimi Düzeltme Adımları olarak adlandırılmıştır.