Spis urządzeń usługi Defender for IoT
Spis urządzeń usługi Defender for IoT ułatwia identyfikowanie szczegółowych informacji o określonych urządzeniach, takich jak producent, typ, numer seryjny, oprogramowanie układowe i inne. Zbieranie szczegółowych informacji o urządzeniach pomaga zespołom aktywnie badać luki w zabezpieczeniach, które mogą naruszyć najbardziej krytyczne zasoby.
Zarządzanie wszystkimi urządzeniami IoT/OT przez utworzenie aktualnego spisu zawierającego wszystkie zarządzane i niezarządzane urządzenia
Ochrona urządzeń przy użyciu podejścia opartego na ryzyku w celu identyfikowania zagrożeń, takich jak brakujące poprawki, luki w zabezpieczeniach i ustalanie priorytetów na podstawie oceniania ryzyka i zautomatyzowanego modelowania zagrożeń
Aktualizowanie spisu przez usunięcie nieistotnych urządzeń i dodanie informacji specyficznych dla organizacji w celu podkreślenia preferencji organizacji
Na przykład:
Obsługiwane urządzenia
Spis urządzeń usługi Defender for IoT obsługuje następujące klasy urządzeń:
| Urządzenia | Na przykład ... |
|---|---|
| Produkcja | Urządzenia przemysłowe i operacyjne, takie jak urządzenia pneumatyczne, systemy pakowania, systemy pakowania przemysłowego, roboty przemysłowe |
| Building | Panele dostępu, urządzenia nadzoru, systemy HVAC, windy, inteligentne systemy oświetleniowe |
| Opieka zdrowotna | Mierniki glukozy, monitory |
| Transport / narzędzia | Turntiles, liczniki ludzi, czujniki ruchu, systemy pożarowe i bezpieczeństwa, interkomy |
| Energia i zasoby | Kontrolery DCS, PLC, urządzenia historyk, HMI |
| Urządzenia z punktami końcowymi | Stacje robocze, serwery lub urządzenia przenośne |
| Przedsiębiorstwo | Urządzenia inteligentne, drukarki, urządzenia komunikacyjne lub urządzenia audio/wideo |
| Retail | Skanery kodów kreskowych, czujnik wilgotności, zegary punch |
Przejściowy typ urządzenia wskazuje urządzenie, które zostało wykryte tylko przez krótki czas. Zalecamy dokładne zbadanie tych urządzeń, aby zrozumieć ich wpływ na sieć.
Niesklasyfikowane urządzenia to urządzenia, które w przeciwnym razie nie mają zdefiniowanej gotowej kategorii.
Opcje zarządzania urządzeniami
Spis urządzeń usługi Defender for IoT jest dostępny w następujących lokalizacjach:
| Lokalizacja | opis | Dodatkowa obsługa spisu |
|---|---|---|
| Witryna Azure Portal | Urządzenia OT wykryte ze wszystkich czujników OT połączonych z chmurą. | — Jeśli używasz również usługi Microsoft Sentinel, zdarzenia w usłudze Microsoft Sentinel są połączone z powiązanymi urządzeniami w usłudze Defender dla IoT. — Użyj skoroszytów usługi Defender dla IoT, aby uzyskać wgląd we wszystkie spisy urządzeń połączonych z chmurą, w tym powiązane alerty i luki w zabezpieczeniach. — Jeśli masz starszy plan IoT przedsiębiorstwa w ramach subskrypcji platformy Azure, witryna Azure Portal obejmuje również urządzenia wykryte przez agentów Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli masz czujnik IoT przedsiębiorstwa, witryna Azure Portal zawiera również urządzenia wykryte przez czujnik IoT przedsiębiorstwa. |
| Microsoft Defender XDR | Urządzenia IoT w przedsiębiorstwie wykryte przez agentów Ochrona punktu końcowego w usłudze Microsoft Defender | Korelowanie urządzeń w usłudze Microsoft Defender XDR w specjalnie utworzonych alertach, lukach w zabezpieczeniach i zaleceniach. |
| Konsole czujników sieci OT | Urządzenia wykryte przez ten czujnik OT | — Wyświetlanie wszystkich wykrytych urządzeń na mapie urządzeń sieciowych - Wyświetlanie powiązanych zdarzeń na osi czasu zdarzenia |
| Lokalna konsola zarządzania | Urządzenia wykryte we wszystkich połączonych czujnikach OT | Ulepszanie danych urządzenia przez ręczne importowanie danych lub za pomocą skryptu |
Aby uzyskać więcej informacji, zobacz:
- Zarządzanie spisem urządzeń w witrynie Azure Portal
- Odnajdywanie urządzeń w usłudze Defender for Endpoint
- Zarządzanie spisem urządzeń OT z poziomu konsoli czujnika
- Zarządzanie spisem urządzeń OT z lokalnej konsoli zarządzania
Automatycznie skonsolidowane urządzenia
Po wdrożeniu usługi Defender dla IoT na dużą skalę z kilkoma czujnikami OT każdy czujnik może wykryć różne aspekty tego samego urządzenia. Aby zapobiec zduplikowanym urządzeniom w spisie urządzeń, usługa Defender dla IoT zakłada, że wszystkie urządzenia znajdujące się w tej samej strefie, z logiczną kombinacją podobnych cech, są tym samym urządzeniem. Usługa Defender dla IoT automatycznie konsoliduje te urządzenia i wyświetla je tylko raz w spisie urządzeń.
Na przykład wszystkie urządzenia z tym samym adresem IP i MAC wykrytym w tej samej strefie są konsolidowane i identyfikowane jako jedno urządzenie w spisie urządzeń. Jeśli masz oddzielne urządzenia od cyklicznych adresów IP, które są wykrywane przez wiele czujników, chcesz, aby każde z tych urządzeń zostało zidentyfikowane oddzielnie. W takich przypadkach dołącz czujniki OT do różnych stref, aby każde urządzenie było identyfikowane jako oddzielne i unikatowe urządzenie, nawet jeśli mają ten sam adres IP. Urządzenia, które mają te same adresy MAC, ale różne adresy IP nie są scalane i nadal są wyświetlane jako unikatowe urządzenia.
Przejściowy typ urządzenia wskazuje urządzenie, które zostało wykryte tylko przez krótki czas. Zalecamy dokładne zbadanie tych urządzeń, aby zrozumieć ich wpływ na sieć.
Niesklasyfikowane urządzenia to urządzenia, które w przeciwnym razie nie mają zdefiniowanej gotowej kategorii.
Napiwek
Zdefiniuj lokacje i strefy w usłudze Defender dla IoT, aby wzmocnić ogólne zabezpieczenia sieci, przestrzegać zasad zero trust i uzyskać przejrzystość danych wykrytych przez czujniki.
Nieautoryzowane urządzenia
Podczas pierwszej pracy z usługą Defender dla IoT podczas uczenia się tuż po wdrożeniu czujnika wszystkie wykryte urządzenia są identyfikowane jako autoryzowane urządzenia.
Po zakończeniu okresu nauki wszystkie wykryte nowe urządzenia są uznawane za nieautoryzowane i nowe urządzenia. Zalecamy dokładne sprawdzenie tych urządzeń pod kątem zagrożeń i luk w zabezpieczeniach. Na przykład w witrynie Azure Portal przefiltruj spis urządzeń pod kątem Authorization == **Unauthorized**. Na stronie szczegółów urządzenia przejdź do szczegółów i sprawdź powiązane luki w zabezpieczeniach, alerty i zalecenia.
Nowy stan zostanie usunięty natychmiast po zmodyfikowaniu dowolnego szczegółów urządzenia lub przeniesieniu urządzenia na mapie urządzenia czujnika OT. Z kolei etykieta nieautoryzowana pozostaje do momentu ręcznego edytowania szczegółów urządzenia i oznaczania jej jako autoryzowanej.
W czujniku OT urządzenia nieautoryzowane są również dostępne w następujących raportach:
Raporty wektorów ataków: urządzenia oznaczone jako nieautoryzowane są uwzględniane w symulacji wektorów ataków jako podejrzane nieautoryzowane urządzenia, które mogą być zagrożeniem dla sieci.
Raporty oceny ryzyka: urządzenia oznaczone jako nieautoryzowane są wyświetlane w raportach oceny ryzyka, ponieważ ich zagrożenia dla sieci wymagają badania.
Ważne urządzenia OT
Oznacz urządzenia OT jako ważne , aby wyróżnić je w celu dodatkowego śledzenia. W czujniku OT ważne urządzenia są uwzględniane w następujących raportach:
Raporty wektorów ataków: urządzenia oznaczone jako ważne są uwzględniane w symulacji wektorów ataków, jak to możliwe.
Raporty oceny ryzyka: urządzenia oznaczone jako ważne są liczone w raportach oceny ryzyka podczas obliczania ocen zabezpieczeń.
Dane kolumn spisu urządzeń
W poniższej tabeli wymieniono kolumny dostępne w spisie urządzeń usługi Defender for IoT w witrynie Azure Portal. Elementy oznaczone gwiazdką (*) są również dostępne z czujnika OT.
Uwaga
Zanotowane funkcje wymienione poniżej znajdują się w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
| Nazwa/nazwisko | opis |
|---|---|
| Autoryzacja * | Edytowalne. Określa, czy urządzenie jest oznaczone jako autoryzowane. Ta wartość może wymagać zmiany w miarę zmian zabezpieczeń urządzenia. |
| Funkcja biznesowa | Edytowalne. Opisuje funkcję biznesową urządzenia. |
| Klasa | Edytowalne. Klasa urządzenia. Domyślnie: IoT |
| Źródło danych | Źródło danych, takich jak mikro agent, czujnik OT lub Ochrona punktu końcowego w usłudze Microsoft Defender. Domyślnie: MicroAgent |
| Opis * | Edytowalne. Opis urządzenia. |
| Identyfikator urządzenia | Numer identyfikatora przypisanego przez platformę Azure urządzenia. |
| Model oprogramowania układowego | Model oprogramowania układowego urządzenia. |
| Dostawca oprogramowania układowego | Edytowalne. Dostawca oprogramowania układowego urządzenia. |
| Wersja oprogramowania układowego * | Edytowalne. Wersja oprogramowania układowego urządzenia. |
| Po raz pierwszy widziany * | Data i godzina pierwszego zobaczenia urządzenia. Pokazano w MM/DD/YYYY HH:MM:SS AM/PM formacie. Na czujniku OT wyświetlanym jako Odnaleziono. |
| Znaczenie | Edytowalne. Ważny poziom urządzenia: Low, lub MediumHigh. |
| Adres IPv4 | Adres IPv4 urządzenia. |
| Adres IPv6 | Adres IPv6 urządzenia. |
| Ostatnie działanie * | Data i godzina ostatniego wysłania zdarzenia przez urządzenie na platformę Azure lub do czujnika OT w zależności od miejsca wyświetlania spisu urządzeń. Pokazano w MM/DD/YYYY HH:MM:SS AM/PM formacie. |
| Lokalizacja | Edytowalne. Lokalizacja fizyczna urządzenia. |
| Adres MAC * | Adres MAC urządzenia. |
| Model * | Edytowalny model sprzętowy urządzenia. |
| Nazwa/nazwisko * | Obowiązkowe i edytowalne. Nazwa urządzenia jako czujnik go wykrył lub została wprowadzona przez użytkownika. |
| Lokalizacja sieciowa (publiczna wersja zapoznawcza) | Lokalizacja sieciowa urządzenia. Wyświetla, czy urządzenie jest zdefiniowane jako lokalne , czy kierowane zgodnie ze skonfigurowanymi podsieciami. |
| Architektura systemu operacyjnego | Edytowalne. Architektura systemu operacyjnego urządzenia. |
| Dystrybucja systemu operacyjnego | Edytowalne. Dystrybucja systemu operacyjnego urządzenia, taka jak Android, Linux i Haiku. |
| Platforma systemu operacyjnego * | Edytowalne. System operacyjny urządzenia, jeśli zostanie wykryty. Na czujniku OT wyświetlanym jako System operacyjny. |
| Wersja systemu operacyjnego | Edytowalne. Wersja systemu operacyjnego urządzenia, taka jak Windows 10 lub Ubuntu 20.04.1. |
| Tryb PLC * | Tryb operacyjny PLC urządzenia, w tym stan klucza (fizyczny/ logiczny) i stan uruchomienia (logiczny). Jeśli oba stany są takie same, zostanie wyświetlony tylko jeden stan. - Możliwe stany klucza obejmują: Run, , Program, StopRemote, Invalid, i Programming Disabled. - Możliwe stany uruchomienia to Run, , StopProgramPausedHaltedException, TrappedIdlelub .Offline |
| Urządzenie programistyczne * | Edytowalne. Określa, czy urządzenie jest definiowane jako urządzenie programistyczne, wykonywanie działań programistycznych dla jednostek PLC, RTU i kontrolerów, które są istotne dla stacji inżynieryjnych. |
| Protokoły * | Protokoły używane przez urządzenie. |
| Poziom purdue | Edytowalne. Poziom purdue, w którym istnieje urządzenie. |
| Urządzenie skanera * | Edytowalne. Określa, czy urządzenie wykonuje działania przypominające skanowanie w sieci. |
| Czujnik | Czujnik, z który urządzenie jest podłączone. |
| Numer seryjny * | Numer seryjny urządzenia. |
| Oddział | Witryna urządzenia. Wszystkie czujniki IoT przedsiębiorstwa są automatycznie dodawane do lokacji sieciowej przedsiębiorstwa. |
| Slotów | Liczba miejsc, które ma urządzenie. |
| Podtypu | Edytowalne. Podtyp urządzenia, taki jak Głośnik lub Smart TV. Ustawienie domyślne: Managed Device |
| Tagi | Edytowalne. Tagi urządzenia. |
| Type * | Edytowalne. Typ urządzenia, taki jak Komunikacja lub Industrial. Ustawienie domyślne: Miscellaneous |
| Dostawca * | Nazwa dostawcy urządzenia, zgodnie z definicją w adresie MAC. |
| Sieci vlan * | Sieć VLAN urządzenia. |
| Strefa | Strefa urządzenia. |
Następujące kolumny są dostępne tylko w czujnikach OT:
- Adres DHCP urządzenia
- Adres FQDN urządzenia i czas ostatniego wyszukiwania nazw FQDN urządzenia
- Grupy urządzeń, które zawierają urządzenie zgodnie z definicją na mapie urządzenia czujnika OT
- Adres modułu urządzenia
- Stojak i gniazdo urządzenia
- Liczba niezaznaczonych alertów skojarzonych z urządzeniem
Uwaga
Dodatkowe kolumny Typ agenta i Wersja agenta są używane przez konstruktorów urządzeń. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Defender dla IoT dla konstruktorów urządzeń.
Następne kroki
Aby uzyskać więcej informacji, zobacz: