Začínáme s podnikovým monitorováním IoT v XDR v programu Microsoft Defender

  • Článek

Tento článek popisuje, jak můžou zákazníci v programu Microsoft Defender for Endpoint monitorovat podniková zařízení IoT ve svém prostředí pomocí přidané hodnoty zabezpečení v XDR v programu Microsoft Defender.

I když je inventář zařízení IoT již k dispozici pro zákazníky Defenderu for Endpoint P2, zapnutí podnikového zabezpečení IoT přidává výstrahy, doporučení a data ohrožení zabezpečení, účelově vytvořená pro zařízení IoT ve vaší podnikové síti.

Zařízení IoT zahrnují tiskárny, kamery, telefony VOIP, chytré televizory a další. Zapnutí podnikového zabezpečení IoT znamená například, že můžete použít doporučení v XDR v programu Microsoft Defender a otevřít jeden lístek IT pro opravy ohrožených aplikací na serverech i tiskárnách.

Požadavky

Než začnete s postupy v tomto článku, přečtěte si o zabezpečených zařízeních IoT v podniku , abyste pochopili další informace o integraci mezi defenderem for Endpoint a Defenderem pro IoT.

Ujistěte se, zda máte následující:

  • Zařízení IoT ve vaší síti viditelná v inventáři zařízení XDR v programu Microsoft Defender

  • Přístup k portálu Microsoft Defender jako správce zabezpečení

  • Jedna z následujících licencí:

    • Licence Microsoft 365 E5 (ME5) nebo E5 Security

    • Microsoft Defender for Endpoint P2 s dodatečnou samostatnou licencí Microsoft Defenderu pro IoT – licence zařízení EIoT – doplňková licence, která je k dispozici pro nákup nebo zkušební verzi z Centrum pro správu Microsoftu 365.

    Tip

    Pokud máte samostatnou licenci, nemusíte zapnout Enterprise IoT Security a můžete přeskočit přímo k zobrazení přidané hodnoty zabezpečení v XDR v programu Microsoft Defender.

    Další informace najdete v tématu Zabezpečení Enterprise IoT v XDR v programu Microsoft Defender.

Zapnutí podnikového monitorování IoT

Tento postup popisuje, jak zapnout podnikové monitorování IoT v XDR v programu Microsoft Defender a je relevantní jenom pro zákazníky se zabezpečením ME5/E5.

Tento postup přeskočte, pokud máte jeden z následujících typů licenčních plánů:

  • Zákazníci se starší verzí cenového plánu Enterprise IoT a licencí ME5/E5 Security.
  • Zákazníci se samostatnými licencemi na zařízení přidanými do programu Microsoft Defender for Endpoint P2 V takových případech je nastavení zabezpečení Enterprise IoT zapnuté jako jen pro čtení.

Zapnutí podnikového monitorování IoT:

  1. V XDR v programu Microsoft Defender vyberte Nastavení> Device Discovery>Enterprise IoT.

Poznámka:

Ujistěte se, že jste v rozšířených funkcích Nastavení> Endpoints>zapnuli zjišťování zařízení.

  1. Přepněte možnost zabezpečení Enterprise IoT na Zapnuto. Příklad:

    Screenshot of Enterprise IoT toggled on in Microsoft Defender XDR.

Zobrazení přidané hodnoty zabezpečení v XDR v programu Microsoft Defender

Tento postup popisuje, jak zobrazit související výstrahy, doporučení a ohrožení zabezpečení pro konkrétní zařízení v XDR v programu Microsoft Defender, když je zapnutá možnost zabezpečení Enterprise IoT.

Zobrazení přidané hodnoty zabezpečení:

  1. V programu Microsoft Defender XDR vyberte Zařízení prostředků>a otevřete stránku inventáře zařízení.

  2. Vyberte kartu zařízení IoT a vyberte konkrétní IP adresu zařízení, abyste mohli přejít k podrobnostem. Příklad:

    Screenshot of the IoT devices tab in Microsoft Defender XDR.

  3. Na stránce s podrobnostmi o zařízení prozkoumejte následující karty a zobrazte data přidaná podnikovým zabezpečením IoT pro vaše zařízení:

    • Na kartě Upozornění zkontrolujte všechna upozornění aktivovaná zařízením. Simulace upozornění v Programu Microsoft 365 Defender for Enterprise IoT s využitím scénáře Raspberry Pi, který je k dispozici na stránce Testování a kurzy v programu Microsoft 365 Defender.

      Můžete také nastavit pokročilé dotazy proaktivního vyhledávání pro vytvoření vlastních pravidel upozornění. Další informace najdete v ukázkových pokročilých dotazech proaktivního vyhledávání pro monitorování Enterprise IoT.

    • Na kartě Doporučení zabezpečení zkontrolujte všechna doporučení, která jsou pro zařízení dostupná, abyste snížili riziko a zachovali menší prostor pro útoky.

    • Na kartě Zjištěná ohrožení zabezpečení zkontrolujte všechny známé cves přidružené k zařízení. Známé cve vám můžou pomoct rozhodnout, jestli se mají zařízení opravit, odebrat nebo obsahují, a zmírnit rizika pro vaši síť. Případně můžete pomocí pokročilých dotazů proaktivního vyhledávání shromažďovat ohrožení zabezpečení na všech vašich zařízeních.

Vyhledávání hrozeb:

Na stránce inventáře zařízení vyberte Přejít proaktivní vyhledávání a dotazujte se na zařízení pomocí tabulek, jako je tabulka DeviceInfo. Na stránce Rozšířené proaktivní vyhledávání se dotazujte na data pomocí jiných schémat.

Ukázkové pokročilé proaktivní dotazy proaktivního vyhledávání pro Enterprise IoT

V této části jsou uvedeny ukázkové pokročilé dotazy proaktivního vyhledávání, které můžete použít v Programu Microsoft 365 Defender, abyste mohli monitorovat a zabezpečit zařízení IoT pomocí zabezpečení Enterprise for IoT.

Vyhledání zařízení podle konkrétního typu nebo podtypu

Pomocí následujícího dotazu identifikujte zařízení, která existují v podnikové síti, podle typu zařízení, jako jsou směrovače: 

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router" 

Vyhledání a export ohrožení zabezpečení pro vaše zařízení IoT

Pomocí následujícího dotazu vypíšete všechna ohrožení zabezpečení na vašich zařízeních IoT:

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

Další informace naleznete v tématu Rozšířené proaktivní vyhledávání a pochopení rozšířeného schématu proaktivního vyhledávání.

Další kroky

Přehled zjišťování zařízení