Bevezetés a nagyvállalati IoT-monitorozásba a Microsoft Defender XDR-ben
Ez a cikk azt ismerteti, hogy Végponthoz készült Microsoft Defender ügyfelek hogyan figyelhetik a vállalati IoT-eszközöket a környezetükben a Microsoft Defender XDR hozzáadott biztonsági értékének használatával.
Bár az IoT-eszközleltár már elérhető a Defender for Endpoint P2-ügyfelek számára, a vállalati IoT-biztonság bekapcsolása riasztásokat, javaslatokat és biztonságirés-adatokat ad hozzá a vállalati hálózat IoT-eszközeihez.
Az IoT-eszközök közé tartoznak a nyomtatók, a kamerák, a VOIP-telefonok, az intelligens tévék és egyebek. A vállalati IoT-biztonság bekapcsolása például azt jelenti, hogy a Microsoft Defender XDR egyik javaslatával egyetlen informatikai jegyet nyithat meg a sebezhető alkalmazások kiszolgálókon és nyomtatókon történő javításához.
Előfeltételek
Mielőtt elkezdené a cikkben szereplő eljárásokat, olvassa el a vállalati Biztonságos IoT-eszközökön, hogy többet tudjon meg a Defender for Endpoint és a Defender for IoT integrációjáról.
Győződjön meg arról, hogy rendelkezik:
IoT-eszközök a hálózaton, a Microsoft Defender XDR eszközleltárában látható
Hozzáférés a Microsoft Defender portálhoz biztonsági rendszergazdaként
Az alábbi licencek egyike:
Microsoft 365 E5 (ME5) vagy E5 biztonsági licenc
Végponthoz készült Microsoft Defender P2, egy extra, önálló Microsoft Defender for IoT – EIoT-eszközlicenc – bővítménylicenc, amely megvásárolható vagy kipróbálható a Microsoft 365 Felügyeleti központ.
Tipp.
Ha önálló licenccel rendelkezik, nem kell váltania a Nagyvállalati IoT Security szolgáltatásban, és közvetlenül a Hozzáadott biztonsági érték megtekintése a Microsoft Defender XDR-ben elemre ugorhat.
További információ: Vállalati IoT-biztonság a Microsoft Defender XDR-ben.
A vállalati IoT-monitorozás bekapcsolása
Ez az eljárás bemutatja, hogyan kapcsolhatja be a vállalati IoT-monitorozást a Microsoft Defender XDR-ben, és csak a ME5/E5 Security ügyfelei számára releváns.
Hagyja ki ezt az eljárást, ha az alábbi licencelési csomagok egyikével rendelkezik:
- Régi nagyvállalati IoT-díjszabási csomaggal és ME5/E5 Security-licenccel rendelkező ügyfelek.
- A P2 Végponthoz készült Microsoft Defender különálló, eszközönkénti licenccel rendelkező ügyfelek. Ilyen esetekben a Vállalati IoT biztonsági beállítás írásvédettként van bekapcsolva.
A vállalati IoT-monitorozás bekapcsolása:
- A Microsoft Defender XDR-ben válassza a Gépház> Device Discovery>Enterprise IoT lehetőséget.
Feljegyzés
Győződjön meg arról, hogy bekapcsolta az eszközfelderítést a Gépház> Endpoints>speciális funkcióiban.
Állítsa be a Vállalati IoT biztonsági beállítást Be értékre. Példa:
Hozzáadott biztonsági érték megtekintése a Microsoft Defender XDR-ben
Ez az eljárás azt ismerteti, hogyan tekintheti meg egy adott eszköz kapcsolódó riasztásait, javaslatait és biztonsági réseit a Microsoft Defender XDR-ben, amikor a Nagyvállalati IoT biztonsági beállítás be van kapcsolva.
A hozzáadott biztonsági érték megtekintése:
A Microsoft Defender XDR-ben válassza az Eszközök>eszközök lehetőséget az Eszközleltár lap megnyitásához.
Válassza az IoT-eszközök lapot, és válasszon ki egy adott eszköz IP-címét a további részletekért. Példa:
Az eszköz részleteinek lapján tekintse meg az eszköz vállalati IoT-biztonsága által hozzáadott adatokat:
A Riasztások lapon ellenőrizze az eszköz által aktivált riasztásokat. Riasztások szimulálása a Microsoft 365 Defender vállalati IoT-ben a Microsoft 365 Defender kiértékelési és oktatóanyagok oldalán elérhető Raspberry Pi-forgatókönyv használatával.
Speciális keresési lekérdezéseket is beállíthat egyéni riasztási szabályok létrehozásához. További információkért tekintse meg a nagyvállalati IoT-monitorozáshoz használt speciális keresési lekérdezések mintáját.
A Biztonsági javaslatok lapon ellenőrizze, hogy vannak-e az eszköz számára elérhető javaslatok a kockázat csökkentése és a kisebb támadási felület fenntartása érdekében.
A Felderített biztonsági rések lapon ellenőrizze, hogy vannak-e az eszközhöz társított ismert CVE-k. Az ismert CVE-k segíthetnek eldönteni, hogy kijavítják, eltávolítják vagy tartalmazzák-e az eszközt, és mérsékelik a hálózatra vonatkozó kockázatokat. Alternatív megoldásként speciális keresési lekérdezésekkel gyűjtsön biztonsági réseket az összes eszközén.
Fenyegetések keresése:
Az Eszközleltár lapon válassza a Go hunt lehetőséget az eszközök lekérdezéséhez olyan táblák használatával, mint a DeviceInfo tábla. A Speciális vadászlapon adatokat kérdezhet le más sémák használatával.
Speciális keresési lekérdezések minta nagyvállalati IoT-hez
Ez a szakasz a Microsoft 365 Defenderben használható speciális keresési lekérdezések mintáit sorolja fel, amelyek segítenek az IoT-eszközök monitorozásában és védelmében az Enterprise for IoT security szolgáltatással.
Eszközök keresése adott típus vagy altípus szerint
A következő lekérdezéssel azonosíthatja a vállalati hálózaton található eszközöket eszköztípus, például útválasztók szerint:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
Biztonsági rések keresése és exportálása az IoT-eszközökhöz
Az alábbi lekérdezéssel listázhatja az IoT-eszközök összes biztonsági rését:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId
További információt a Speciális vadászat és a speciális vadászati séma ismertetése című témakörben talál.