Microsoft Defender XDR'de kurumsal IoT izlemeyi kullanmaya başlama

  • Makale

Bu makalede, Uç Nokta için Microsoft Defender müşterilerin Microsoft Defender XDR'deki ek güvenlik değerini kullanarak ortamlarındaki kurumsal IoT cihazlarını nasıl izleyebildikleri açıklanmaktadır.

Uç Nokta P2 için Defender müşterileri için IoT cihaz envanteri zaten kullanılabilir olsa da, kurumsal IoT güvenliğinin açılması, kurumsal ağınızdaki IoT cihazları için amaca yönelik olarak oluşturulmuş uyarılar, öneriler ve güvenlik açığı verileri ekler.

IoT cihazları yazıcılar, kameralar, VOIP telefonlar, akıllı TV'ler ve daha fazlasını içerir. Örneğin, kurumsal IoT güvenliğini açmak, hem sunucularda hem de yazıcılarda güvenlik açığı bulunan uygulamalara düzeltme eki uygulamak için tek bir BT bileti açmak için Microsoft Defender XDR'deki bir öneriyi kullanabileceğiniz anlamına gelir.

Önkoşullar

Bu makaledeki yordamlara başlamadan önce Uç Nokta için Defender ile IoT için Defender arasındaki tümleştirme hakkında daha fazla bilgi edinmek için kuruluştaki Güvenli IoT cihazları bölümünü okuyun.

Bilgisayarınızda yüklü olduğundan emin olun:

  • Ağınızdaki Microsoft Defender XDR Cihaz envanterinde görünen IoT cihazları

  • Güvenlik yöneticisi olarak Microsoft Defender Portalı'na erişim

  • Aşağıdaki lisanslardan biri:

    • Microsoft 365 E5 (ME5) veya E5 Güvenlik lisansı

    • Uç Nokta için Microsoft Defender P2, ekstra, tek başına IoT için Microsoft Defender - EIoT Cihaz Lisansı - Microsoft 365 yönetim merkezi satın alınabilecek veya denenen eklenti lisansı.

    İpucu

    Tek başına lisansınız varsa Enterprise IoT Security'yi açmanız gerekmez ve Doğrudan Microsoft Defender XDR'de eklenen güvenlik değerini görüntüleme bölümüne atlayabilirsiniz.

    Daha fazla bilgi için bkz . Microsoft Defender XDR'de Kurumsal IoT güvenliği.

Kurumsal IoT izlemeyi açma

Bu yordam, Microsoft Defender XDR'de kurumsal IoT izlemenin nasıl açıldığını açıklar ve yalnızca ME5/E5 Güvenliği müşterileri için geçerlidir.

Aşağıdaki lisans planı türlerinden birine sahipseniz bu yordamı atlayın:

  • Eski Enterprise IoT fiyatlandırma planına ve ME5/E5 Güvenlik lisansına sahip müşteriler.
  • Uç Nokta için Microsoft Defender P2'ye tek başına, cihaz başına lisansları eklenen müşteriler. Böyle durumlarda Kurumsal IoT güvenlik ayarı salt okunur olarak açılır.

Kurumsal IoT izlemeyi açmak için:

  1. Microsoft Defender XDR'de Ayarlar> Cihaz Bulma>Kurumsal IoT'yi seçin.

Not

Ayarlar> Endpoints Gelişmiş Özellikleri'nde Cihaz Bulma özelliğini açtığınızdan>emin olun.

  1. Kurumsal IoT güvenlik seçeneğini Açık olarak değiştirin. Örneğin:

    Screenshot of Enterprise IoT toggled on in Microsoft Defender XDR.

Microsoft Defender XDR'de eklenen güvenlik değerini görüntüleme

Bu yordam, Kurumsal IoT güvenlik seçeneği açıkken Microsoft Defender XDR'de belirli bir cihaz için ilgili uyarıları, önerileri ve güvenlik açıklarını görüntülemeyi açıklar.

Eklenen güvenlik değerini görüntülemek için:

  1. Microsoft Defender XDR'de Varlık>Cihazları'nıseçerek Cihaz envanteri sayfasını açın.

  2. IoT cihazları sekmesini seçin ve daha fazla ayrıntı için detaya gitmek için belirli bir cihaz IP'sini seçin. Örneğin:

    Screenshot of the IoT devices tab in Microsoft Defender XDR.

  3. Cihaz ayrıntıları sayfasında, cihazınız için kurumsal IoT güvenliği tarafından eklenen verileri görüntülemek için aşağıdaki sekmeleri inceleyin:

    • Uyarılar sekmesinde cihaz tarafından tetiklenen uyarıları denetleyin. Microsoft 365 Defender Değerlendirme ve Öğreticiler sayfasında bulunan Raspberry Pi senaryosunu kullanarak Kurumsal IoT için Microsoft 365 Defender'da uyarıların simülasyonunu oluşturun .

      Özel uyarı kuralları oluşturmak için gelişmiş tehdit avcılığı sorguları da ayarlayabilirsiniz. Daha fazla bilgi için bkz . Kurumsal IoT izleme için örnek gelişmiş tehdit avcılığı sorguları.

    • Güvenlik önerileri sekmesinde, riski azaltmak ve daha küçük bir saldırı yüzeyini korumak için cihaz için sağlanan önerileri denetleyin.

    • Bulunan güvenlik açıkları sekmesinde, cihazla ilişkili bilinen CVE'leri denetleyin. Bilinen CVE'ler cihaza düzeltme eki uygulama, kaldırma veya cihazı kapsama ve ağınıza yönelik riski azaltma konusunda karar vermenize yardımcı olabilir. Alternatif olarak, tüm cihazlarınızda güvenlik açıklarını toplamak için gelişmiş tehdit avcılığı sorgularını kullanın.

Tehditleri avlamak için:

Cihaz envanteri sayfasında, DeviceInfo tablosu gibi tabloları kullanarak cihazları sorgulamak için Avlanmaya git'iseçin. Gelişmiş tehdit avcılığı sayfasında, diğer şemaları kullanarak verileri sorgular.

Enterprise IoT için örnek gelişmiş tehdit avcılığı sorguları

Bu bölümde, IoT güvenliği için Enterprise ile IoT cihazlarınızı izlemenize ve güvenliğini sağlamanıza yardımcı olmak için Microsoft 365 Defender'da kullanabileceğiniz örnek gelişmiş tehdit avcılığı sorguları listelenmektedir.

Cihazları belirli bir türe veya alt türe göre bulma

Şirket ağınızda bulunan cihazları yönlendiriciler gibi cihaz türüne göre tanımlamak için aşağıdaki sorguyu kullanın: 

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router" 

IoT cihazlarınız için güvenlik açıklarını bulma ve dışarı aktarma

IoT cihazlarınızdaki tüm güvenlik açıklarını listelemek için aşağıdaki sorguyu kullanın:

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

Daha fazla bilgi için bkz. Gelişmiş avcılık ve Gelişmiş tehdit avcılığı şemasını anlama.

Sonraki adımlar

Cihaz bulmaya genel bakış