Inventář zařízení Defender for IoT
Inventář zařízení v programu Defender for IoT pomáhá identifikovat podrobnosti o konkrétních zařízeních, jako je výrobce, typ, sériové číslo, firmware a další. Shromažďování podrobností o vašich zařízeních pomáhá týmům aktivně zkoumat ohrožení zabezpečení, která můžou ohrozit nejdůležitější prostředky.
Správa všech zařízení IoT/OT vytvořením aktuálního inventáře, který zahrnuje všechna spravovaná a nespravovaná zařízení
Ochrana zařízení pomocí přístupu založeného na riziku k identifikaci rizik, jako jsou chybějící opravy, ohrožení zabezpečení a stanovení priorit na základě vyhodnocování rizik a automatizovaného modelování hrozeb
Aktualizace inventáře odstraněním irelevantních zařízení a přidáním informací specifických pro organizaci, které zvýrazní předvolby vaší organizace
Příklad:
Podporovaná zařízení.
Inventář zařízení v programu Defender for IoT podporuje následující třídy zařízení:
| Zařízení | Příklad: ... |
|---|---|
| Výroba | Průmyslové a provozní zařízení, jako jsou pneumatická zařízení, obalové systémy, průmyslové obalové systémy, průmyslové roboty |
| Budovy | Přístupové panely, sledovací zařízení, systémy TVK, výtahy, inteligentní systémy osvětlení |
| Zdravotní péče | Měřiče glukózy, monitory |
| Doprava / Nástroje | Turnstily, čítače osob, pohybové senzory, požární a bezpečnostní systémy, interkomy |
| Energie a zdroje | Řadiče DCS, PLC, zařízení historie, HMI |
| Zařízení koncových bodů | Pracovní stanice, servery nebo mobilní zařízení |
| Enterprise | Inteligentní zařízení, tiskárny, komunikační zařízení nebo zvuková/videozařízení |
| Retail | Skenery čárových kódů, senzor vlhkosti, punčochové hodiny |
Přechodný typ zařízení označuje zařízení, které bylo zjištěno jen krátce. Doporučujeme pečlivě prošetřit tato zařízení, abyste pochopili jejich dopad na vaši síť.
Nezařazená zařízení jsou zařízení, která jinak nemají definovanou předem definovanou kategorii.
Možnosti správy zařízení
Inventář zařízení Defender for IoT je k dispozici v následujících umístěních:
| Umístění | Popis | Další podpora inventáře |
|---|---|---|
| Azure Portal | Zařízení OT zjistila ze všech senzorů OT připojených ke cloudu. | – Pokud používáte také Microsoft Sentinel, incidenty v Microsoft Sentinelu jsou propojené se souvisejícími zařízeními v defenderu pro IoT. – Pomocí sešitů Defenderu pro IoT můžete zobrazit veškerý inventář zařízení připojený ke cloudu, včetně souvisejících výstrah a ohrožení zabezpečení. – Pokud máte ve svém předplatném Azure starší plán Enterprise IoT, zahrnuje Azure Portal také zařízení zjištěná agenty Microsoft Defenderu pro koncové body. Pokud máte senzor Enterprise IoT, zahrnuje Azure Portal také zařízení zjištěná senzorem Enterprise IoT. |
| Microsoft Defender XDR | Podniková zařízení IoT zjištěná agenty Microsoft Defenderu for Endpoint | Korelace zařízení mezi XDR v programu Microsoft Defender v účelově vytvořených upozorněních, ohroženích zabezpečení a doporučeních |
| Konzoly síťových snímačů OT | Zařízení zjištěná tímto senzorem OT | – Zobrazení všech zjištěných zařízení na mapě síťových zařízení – Zobrazení souvisejících událostí na časové ose události |
| Místní konzola pro správu | Zařízení zjištěná napříč všemi připojenými senzory OT | Vylepšení dat zařízení ručním importem dat nebo pomocí skriptu |
Další informace naleznete v tématu:
- Správa inventáře zařízení na webu Azure Portal
- Zjišťování zařízení v defenderu for Endpoint
- Správa inventáře zařízení OT z konzoly senzoru
- Správa inventáře zařízení OT z místní konzoly pro správu
Automaticky konsolidovaná zařízení
Když nasadíte Defender pro IoT ve velkém měřítku s několika senzory OT, může každý senzor detekovat různé aspekty stejného zařízení. Aby se zabránilo duplikovaným zařízením v inventáři zařízení, defender pro IoT předpokládá, že všechna zařízení nalezená ve stejné zóně s logickou kombinací podobných charakteristik je stejné zařízení. Defender for IoT tato zařízení automaticky konsoliduje a v inventáři zařízení je vypíše jenom jednou.
Například všechna zařízení se stejnou IP adresou a adresou MAC zjištěnou ve stejné zóně se konsolidují a identifikují jako jedno zařízení v inventáři zařízení. Pokud máte samostatná zařízení od opakovaných IP adres, které detekuje několik senzorů, chcete, aby se všechna tato zařízení identifikovala samostatně. V takových případech připojte senzory OT do různých zón, aby se každé zařízení identifikovalo jako samostatné a jedinečné zařízení, i když mají stejnou IP adresu. Zařízení se stejnými adresami MAC, ale jiné IP adresy se nesloučí a budou dál uvedené jako jedinečná zařízení.
Přechodný typ zařízení označuje zařízení, které bylo zjištěno jen krátce. Doporučujeme pečlivě prošetřit tato zařízení, abyste pochopili jejich dopad na vaši síť.
Nezařazená zařízení jsou zařízení, která jinak nemají definovanou předem definovanou kategorii.
Tip
Definujte weby a zóny v defenderu pro IoT, abyste mohli posílit celkové zabezpečení sítě, dodržovat zásady nulová důvěra (Zero Trust) a získat přehled o datech zjištěných vašimi senzory.
Neautorizovaná zařízení
Když poprvé pracujete s Defenderem pro IoT, během výukového období těsně po nasazení senzoru se všechna zjištěná zařízení identifikují jako autorizovaná zařízení.
Po skončení období učení se všechna zjištěná nová zařízení považují za neautorizovaná a nová zařízení. Doporučujeme pečlivě zkontrolovat rizika a ohrožení zabezpečení těchto zařízení. Například na webu Azure Portal vyfiltrujte inventář zařízení pro Authorization == **Unauthorized**. Na stránce s podrobnostmi o zařízení přejděte k podrobnostem a zkontrolujte související ohrožení zabezpečení, výstrahy a doporučení.
Nový stav se odebere, jakmile upravíte jakékoli podrobnosti o zařízení nebo zařízení přesunete na mapě zařízení senzoru OT. Naproti tomu neoprávněný popisek zůstane, dokud ručně nespravíte podrobnosti o zařízení a neoznačíte ho jako autorizovaný.
Na senzoru OT jsou v následujících sestavách také zahrnuta neautorizovaná zařízení:
Sestavy vektorů útoku: Zařízení označená jako neautorizovaná jsou součástí simulace vektoru útoku jako podezřelá podvodná zařízení, která mohou být hrozbou pro síť.
Sestavy posouzení rizik: Zařízení označená jako neautorizovaná jsou uvedená v sestavách posouzení rizik jako jejich rizika pro vaši síť vyžadují šetření.
Důležitá zařízení OT
Označte zařízení OT jako důležitá , abyste je zvýraznili pro další sledování. Na senzoru OT jsou důležitá zařízení součástí následujících sestav:
Sestavy vektorů útoku: Zařízení označená jako důležitá jsou zahrnuta do simulace vektoru útoku jako možné cíle útoku.
Sestavy posouzení rizik: Zařízení označená jako důležitá se při výpočtu skóre zabezpečení započítávají do sestav posouzení rizik.
Data sloupců inventáře zařízení
Následující tabulka uvádí sloupce dostupné v inventáři zařízení Defenderu pro IoT na webu Azure Portal. Položky s hvězdičkou (*) jsou k dispozici také ze senzoru OT.
Poznámka:
Uvedené funkce jsou uvedené níže ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
| Název | Popis |
|---|---|
| Autorizace * | Upravitelné. Určuje, jestli je zařízení označené jako autorizované. Tato hodnota se může muset změnit při změně zabezpečení zařízení. |
| Obchodní funkce | Upravitelné. Popisuje obchodní funkci zařízení. |
| Třída | Upravitelné. Třída zařízení. Výchozí: IoT |
| Zdroj dat | Zdroj dat, jako je mikro agent, senzor OT nebo Microsoft Defender for Endpoint. Výchozí: MicroAgent |
| Popis * | Upravitelné. Popis zařízení. |
| ID zařízení | Číslo ID přiřazeného k Azure zařízení. |
| Model firmwaru | Model firmwaru zařízení. |
| Dodavatel firmwaru | Upravitelné. Dodavatel firmwaru zařízení. |
| Verze firmwaru * | Upravitelné. Verze firmwaru zařízení. |
| První vidět * | Datum a čas, kdy se zařízení poprvé zobrazilo. Zobrazuje se ve MM/DD/YYYY HH:MM:SS AM/PM formátu. Na senzoru OT se zobrazuje jako Zjištěno. |
| Význam | Upravitelné. Důležitá úroveň zařízení: Low, Mediumnebo High. |
| Adresa IPv4 | Adresa IPv4 zařízení. |
| Adresa IPv6 | Adresa IPv6 zařízení. |
| Poslední aktivita * | Datum a čas, kdy zařízení naposledy odeslalo událost do Azure nebo do senzoru OT v závislosti na tom, kde si prohlížíte inventář zařízení. Zobrazuje se ve MM/DD/YYYY HH:MM:SS AM/PM formátu. |
| Místo | Upravitelné. Fyzické umístění zařízení. |
| Adresa MAC * | Adresa MAC zařízení. |
| Model * | Upravitelný hardwarový model zařízení. |
| Název * | Povinné a upravitelné. Název zařízení, který ho zjistil, nebo jak ho uživatel zadal. |
| Síťové umístění (Public Preview) | Síťové umístění zařízení. Zobrazí, jestli je zařízení definované jako místní nebo směrované podle nakonfigurovaných podsítí. |
| Architektura operačního systému | Upravitelné. Architektura operačního systému zařízení. |
| Distribuce operačního systému | Upravitelné. Distribuce operačního systému zařízení, jako je Android, Linux a Haiku. |
| Platforma operačního systému * | Upravitelné. Pokud byl zjištěn operační systém zařízení. Na senzoru OT se zobrazuje jako operační systém. |
| Verze operačního systému | Upravitelné. Verze operačního systému zařízení, například Windows 10 nebo Ubuntu 20.04.1. |
| Režim PLC * | Provozní režim PLC zařízení, včetně stavu klíče (fyzický/ logický) i stavu spuštění (logický). Pokud jsou oba stavy stejné, zobrazí se jenom jeden stav. - Mezi možné klíčové stavy patří: Run, Program, Remote, Stop, Invalid, a Programming Disabled. - Možné stavy spuštění jsou Run, , StopHaltedProgramPausedException, Trapped, Idle, nebo .Offline |
| Programovací zařízení * | Upravitelné. Definuje, jestli je zařízení definováno jako programovací zařízení, provádí programovací aktivity pro počítače PC, RTU a kontrolery, které jsou relevantní pro technické stanice. |
| Protokoly * | Protokoly, které zařízení používá. |
| Purdue level | Upravitelné. Úroveň Purdue, ve které zařízení existuje. |
| Zařízení skeneru * | Upravitelné. Definuje, jestli zařízení provádí aktivity podobné kontrole v síti. |
| Senzor | Senzor, ke kterému je zařízení připojené. |
| Sériové číslo * | Sériové číslo zařízení. |
| Pracoviště | Web zařízení. Všechny podnikové senzory IoT se automaticky přidají do podnikové síťové lokality. |
| Sloty | Počet slotů, které má zařízení. |
| Podtypu | Upravitelné. Podtyp zařízení, například Reproduktor nebo Smart TV. Výchozí hodnota: Managed Device |
| Značky | Upravitelné. Značky zařízení. |
| Typ * | Upravitelné. Typ zařízení, například Komunikace nebo Průmyslové. Výchozí hodnota: Miscellaneous |
| Dodavatel * | Název dodavatele zařízení, jak je definováno v adrese MAC. |
| VLAN * | Síť VLAN zařízení. |
| Zóny | Zóna zařízení. |
Na senzorech OT jsou k dispozici pouze následující sloupce:
- Adresa DHCP zařízení
- Adresa plně kvalifikovaného názvu domény zařízení a čas posledního vyhledání plně kvalifikovaného názvu domény
- Skupiny zařízení, které zařízení obsahují, jak je definováno na mapě zařízení senzoru OT
- Adresa modulu zařízení
- Rack a slot zařízení
- Počet upozornění neoznačené výstrahy přidružené k zařízení
Poznámka:
Další sloupce typu agenta a verze agenta se používají pro tvůrce zařízení. Další informace najdete v dokumentaci k Microsoft Defenderu pro IoT pro tvůrce zařízení.
Další kroky
Další informace naleznete v tématu: