適用於 IoT 的 Defender 裝置詳細目錄
適用於 IoT 的 Defender 裝置詳細目錄可協助您識別特定裝置的相關詳細資料,例如製造商、類型、序號、韌體等。 收集關於您裝置的詳細資料可協助您的小組主動調查可能會危害您最重要資產的弱點。
透過建置包括所有受控及非受控裝置的最新詳細目錄來管理所有的 IoT/OT 裝置
採用風險型做法來保護裝置來識別出各種風險,例如遺失的修補檔和弱點,並根據風險評分和自動化威脅建模排定修正優先順序
透過刪除不相關的裝置來更新詳細目錄,並新增組織特定資訊來強調您的組織偏好
例如:
支援的裝置
適用於 IoT 的 Defender 裝置詳細目錄支援下列裝置類別:
| 裝置 | 例如 ... |
|---|---|
| 製造業 | 工業和作業裝置,如氣壓裝置、包裝系統、工業包裝系統、工業機器人 |
| 建築物 | 存取面板、監視裝置、HVAC 系統、電梯、智慧照明系統 |
| 健康照護 | 血糖計、監視器 |
| 運輸/公用事業 | 轉盤、人員計數器、運動感應器、消防和安全系統、內部通話系統 |
| 能源和資源 | DCS 控制器、PLC、歸檔工具裝置、HMIS |
| 端點裝置 | 工作站、伺服器或行動裝置 |
| 企業 | 智慧型裝置、印表機、通訊裝置或音訊/視訊裝置 |
| Retail | 條碼掃描器、濕度感應器、打卡機 |
暫時性裝置類型表示僅在短時間內偵測到的裝置。 建議仔細調查這些裝置,以了解其對您網路所帶來的影響。
未分類裝置是未定義現成類別的裝置。
裝置管理選項
適用於 IoT 的 Defender 裝置詳細目錄位於下列位置:
| Location | 描述 | 額外的詳細目錄支援 |
|---|---|---|
| Azure 入口網站 | 從所有雲端連線的 OT 感應器偵測到 OT 裝置。 | - 如果您也使用 Microsoft Sentinel,則 Microsoft Sentinel 中的事件會連結到適用於 IoT 的 Defender 中的相關裝置。 - 使用適用於 IoT 的 Defender 活頁簿來查看所有雲端連線裝置詳細目錄,包括相關的警示和弱點。 - 如果您的 Azure 訂用帳戶上有舊版企業 IoT 方案,Azure 入口網站也會包含適用於端點的 Microsoft Defender 代理程式偵測到的裝置。 如果您有 企業 IoT 感應器,Azure 入口網站也會包含企業 IoT 感測器偵測到的裝置。 |
| Microsoft Defender XDR | 適用於端點的 Microsoft Defender 代理程式偵測到的企業 IoT 裝置 | 將 Microsoft Defender XDR 中的裝置關聯到專門建置的警示、漏洞和建議。 |
| OT 網路感應器主控台 | 該 OT 感應器偵測到的裝置 | - 跨網路裝置對應檢視所有偵測到的裝置 - 檢視事件時間軸上的相關事件 |
| 內部部署管理主控台 | 在所有連線的 OT 感應器上偵測到的裝置 | 手動或透過指令碼匯入資料來增強裝置資料 |
如需詳細資訊,請參閱
自動合併的裝置
當您大規模部署適用於 IoT 的 Defender 時,具有數個 OT 感應器,每個感應器可能會偵測到相同裝置的不同層面。 為了防止裝置詳細目錄中重複的裝置,適用於 IoT 的 Defender 假設在相同區域中找到的任何具有類似特性邏輯組合的裝置,都是相同的裝置。 適用於 IoT 的 Defender 會自動合併這些裝置,並只在裝置詳細目錄中列出一次。
例如,在相同區域中偵測到相同 IP 和 MAC 位址的任何裝置,會合併並識別為裝置詳細目錄中的單一裝置。 如果您有個別的裝置與多個感應器偵測到的週期性 IP 位址,您希望個別識別這些裝置。 在這種情況下,將 OT 感應器上線到不同的區域,以便每個裝置都識別為單獨且唯一的裝置,即使它們具有相同的 IP 位址也是如此。 具有相同 MAC 位址,但不會合併不同 IP 位址的裝置,並繼續列為唯一裝置。
暫時性裝置類型表示僅在短時間內偵測到的裝置。 建議仔細調查這些裝置,以了解其對您網路所帶來的影響。
未分類裝置是未定義現成類別的裝置。
未經授權的裝置
當您第一次使用適用於 IoT 的 Defender 時,在部署感應器之後的學習期間,偵測到的所有裝置都會識別為已授權的裝置。
學習期間結束之後,偵測到的任何新裝置都會被視為未經授權且新的裝置。 建議您仔細檢查這些裝置是否有風險和弱點。 例如,在 Azure 入口網站中,篩選 Authorization == **Unauthorized** 的裝置詳細目錄。 在 [裝置詳細資料] 頁面上,向下切入並檢查是否有相關的弱點、警示和建議。
當您編輯任何裝置詳細資料或在 OT 感應器裝置地圖上移動裝置時,就會移除新的狀態。 相反地,未經授權的標籤會維持不變,直到您手動編輯裝置詳細資料,並將其標示為已授權。
在 OT 感應器上,未經授權的裝置也會包含在下列報告中:
重要 OT 裝置
將 OT 裝置標示為重要,來將這些裝置醒目提示以進行額外追蹤。 在 OT 感應器上,重要的裝置會包含在下列報告中:
裝置詳細目錄資料行資料
下表列出 Azure 入口網站上適用於 IoT 的 Defender 裝置詳細目錄中可用的資料行。 標示星號的項目 (*) 也可從 OT 感應器取得。
注意
下面所列出的已註明功能為預覽版。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
| 名稱 | 描述 |
|---|---|
| 授權 * | 可編輯。 確定裝置是否標示為已授權。 若裝置安全性發生變更時,則此值可能需要變更。 |
| 商務函式 | 可編輯。 說明裝置的商務功能。 |
| 類別 | 可編輯。 裝置的類別。 預設: IoT |
| 資料來源 | 資料來源,例如微代理程式、OT 感應器或適用於端點的 Microsoft Defender。 預設: MicroAgent |
| 說明 * | 可編輯。 裝置的描述。 |
| 裝置識別碼 | 裝置的 Azure 指派識別碼。 |
| 韌體型號 | 裝置的韌體型號。 |
| 韌體廠商 | 可編輯。 裝置韌體廠商。 |
| 韌體版本 * | 可編輯。 裝置的韌體版本。 |
| 第一次出現時間 * | 第一次看到裝置的日期和時間。 以 MM/DD/YYYY HH:MM:SS AM/PM 格式顯示。 在 OT 感應器上,顯示為探索。 |
| 重要性 | 可編輯。 裝置的重要層級:Low、Medium 或 High。 |
| IPv4 位址 | 裝置的 IPv4 位址。 |
| IPv6 位址 | 裝置的 IPv6 位址。 |
| 上次活動 * | 裝置上次將事件傳送到 Azure 或 OT 感應器的日期和時間,取決於您檢視裝置詳細目錄的位置而定。 以 MM/DD/YYYY HH:MM:SS AM/PM 格式顯示。 |
| 地點 | 可編輯。 裝置的實體位置。 |
| MAC 位址 * | 裝置的 MAC 位址。 |
| 模型 * | 可編輯。裝置的硬體型號。 |
| 名稱 * | 強制且可編輯。 感應器探索到的裝置名稱,或使用者輸入的裝置名稱。 |
| 網路位置 (公開預覽) | 裝置的網路位置。 顯示裝置是根據設定的子網路定義為本機或路由裝置。 |
| 作業系統架構 | 可編輯。 裝置的作業系統架構。 |
| OS 散發套件 | 可編輯。 裝置的作業系統散發套件,例如 Android、Linux 和 Haiku。 |
| 作業系統平台 * | 可編輯。 裝置的作業系統 (如果偵測到)。 在 OT 感應器上,顯示為作業系統。 |
| 作業系統版本 | 可編輯。 裝置的作業系統版本,例如 Windows 10 或 Ubuntu 20.04.1。 |
| PLC 模式 * | 裝置的 PLC 作業模式,包括金鑰狀態 (實體/邏輯) 和執行狀態 (邏輯)。 如果這兩種狀態都相同,則只會列出一種狀態。 - 可能的金鑰狀態包含: Run、Program、Remote、Stop、Invalid 和 Programming Disabled。 - 可能的執行狀態為 Run、Program、Stop、Paused、Exception、Halted、Trapped、Idle 或 Offline。 |
| 程式設計裝置 * | 可編輯。 定義裝置是否定義為程式設計裝置,針對與工程站相關的 PLC、RTU 和控制器執行程式設計活動。 |
| 通訊協定 * | 裝置所使用的通訊協定。 |
| Purdue 等級 | 可編輯。 裝置所在的 Purdue 等級。 |
| 掃描器裝置 * | 可編輯。 定義裝置是否在網路中執行掃描式活動。 |
| Sensor | 裝置所連接的感應器。 |
| 序號 * | 裝置的序號。 |
| 站台 | 裝置的站台。 所有企業 IoT 感應器全都會自動新增至商業網路網站。 |
| 位置 | 裝置擁有的插槽數目。 |
| 子類型 | 可編輯。 裝置的子類型,例如 Speaker 或 Smart TV。 預設值: Managed Device |
| Tags (標籤) | 可編輯。 裝置的標記。 |
| 類型 * | 可編輯。 裝置類型,例如通訊或產業。 預設值: Miscellaneous |
| 廠商 * | MAC 位址中所定義的裝置廠商名稱。 |
| VLAN * | 裝置的 VLAN。 |
| 區域 | 裝置的區域。 |
下列資料行僅適用於 OT 感應器:
- 裝置的 DHCP 位址
- 裝置的 FQDN 位址和 FQDN 上次查閱時間
- 包含裝置的裝置群組,如 OT 感應器裝置對應上所定義
- 裝置的模組位址
- 裝置的 Rack 和 Slot
- 與裝置相關聯的未確認警示數目
注意
裝置建立器會使用其他代理程式類型和代理程式版本資料行。 如需詳細資訊,請參閱適用於 IoT 的 Microsoft Defender 的裝置建立器文件。
下一步
如需詳細資訊,請參閱