Defender for IoT-Gerätebestand
Der Gerätebestand von Defender for IoT hilft Ihnen dabei, Details zu bestimmten Geräten wie Hersteller, Typ, Seriennummer, Firmware und Ähnliches zu ermitteln. Das Sammeln von Details zu Ihren Geräten hilft Ihren Teams dabei, proaktiv Sicherheitsrisiken zu untersuchen, die Ihre besonders kritischen Ressourcen kompromittieren können.
Verwalten Sie alle Ihre IoT/OT-Geräte, indem Sie einen aktuellen Bestand erstellen, der alle Ihre verwalteten und nicht verwalteten Geräte umfasst.
Schützen Sie Geräte mit einem risikobasierten Ansatz, um Risiken wie fehlende Patches und Sicherheitsrisiken zu identifizieren, und priorisieren Sie Fixes basierend auf Risikobewertungen und automatisierter Bedrohungsmodellierung.
Aktualisieren Sie Ihren Bestand, indem Sie irrelevante Geräte löschen und organisationsspezifische Informationen hinzufügen, um die Präferenzen Ihrer Organisation hervorzuheben.
Beispiel:
Unterstützte Geräte
Der Gerätebestand von Defender for IoT unterstützt die folgenden Geräteklassen:
| Geräte | Beispiele |
|---|---|
| Manufacturing | Industrielle und betriebliche Geräte (etwa pneumatische Geräte, Verpackungssysteme, industrielle Verpackungssysteme und Industrieroboter) |
| Building (Gebäude) | Zugangsklappen, Überwachungsgeräte, HLK-Systeme, Aufzüge, intelligente Beleuchtungssysteme |
| Gesundheitswesen | Blutzuckermessgeräte, Überwachungsgeräte |
| Transport-/Versorgungsunternehmen | Drehkreuze, Personenzähler, Bewegungssensoren, Brand- und Sicherheitssysteme, Gegensprechanlagen |
| Energie und Ressourcen | DCS-Controller, speicherprogrammierbare Steuerungen, Historian-Geräte, HMIs |
| Endpunktgeräte | Arbeitsstationen, Server oder mobile Geräte |
| Enterprise | Intelligente Geräte, Drucker, Kommunikationsgeräte oder Audio-/Videogeräte |
| Retail (Einzelhandel) | Barcodescanner, Feuchtigkeitssensoren, Stempeluhren |
Ein vorübergehendes Gerät ist ein Gerät, das nur für kurze Zeit erkannt wurde. Es wird empfohlen, diese Geräte sorgfältig zu untersuchen, um deren Auswirkungen auf Ihr Netzwerk zu verstehen.
Nicht klassifizierte Geräte sind Geräte, für die keine passende Standardkategorie definiert ist.
Optionen für die Geräteverwaltung
Defender für IoT-Geräteinventar ist an den folgenden Speicherorten verfügbar:
| Standort | Beschreibung | Zusätzliche Bestandsunterstützung |
|---|---|---|
| Azure portal | OT-Geräte, die von allen in der Cloud verbundenen OT-Sensoren erkannt wurden. | - Wenn Sie außerdem Microsoft Sentinel verwenden, werden Incidents in Microsoft Sentinel mit entsprechenden Geräten in Defender for IoT verknüpft. - Verwenden Sie Defender for IoT-Arbeitsmappen, um sich den gesamten mit der Cloud verbundenen Gerätebestand anzusehen (einschließlich zugehöriger Warnungen und Sicherheitsrisiken). – Wenn Sie über einen älteren Enterprise IoT-Plan in Ihrem Azure-Abonnement verfügen, enthält das Azure-Portal auch Geräte, die von Microsoft Defender für Endpunkt-Agents erkannt wurden. Wenn Sie über einen Enterprise IoT-Sensorverfügen, enthält das Azure-Portal auch Geräte, die vom Enterprise IoT-Sensor erkannt werden. |
| Microsoft Defender XDR | Von Microsoft Defender für Endpunkt-Agents erkannte Enterprise IoT-Geräte | Korrelieren Sie Geräte in Microsoft Defender XDR in speziellen Warnungen, Sicherheitsrisiken und Empfehlungen. |
| OT-Netzwerksensorkonsolen | Von diesem OT-Sensor erkannte Geräte | - Anzeigen aller erkannten Geräte innerhalb einer Netzwerkgerätezuordnung – Anzeigen von Ereignissen auf der Ereigniszeitachse |
| Eine lokale Verwaltungskonsole | Geräte, die von einem beliebigen verbundenen OT-Sensor erkannt wurden | Verbessern von Gerätedaten durch manuelles Importieren oder durch Importieren per Skript |
Weitere Informationen finden Sie unter
- Anzeigen des Gerätebestands im Azure-Portal
- Geräteermittlung von Defender for Endpoint
- Verwalten des OT-Gerätebestands über eine Sensorkonsole
- Verwalten Ihres OT-Gerätebestand über eine lokale Verwaltungskonsole
Automatisch konsolidierte Geräte
Wenn Sie Defender for IoT im großen Stil mit mehreren OT-Sensoren bereitgestellt haben, erkennt jeder Sensor möglicherweise unterschiedliche Aspekte desselben Geräts. Um duplizierte Geräte in Ihrem Gerätebestand zu vermeiden, geht Defender for IoT davon aus, dass alle Geräte in derselben Zone mit einer logischen Kombination ähnlicher Merkmale dasselbe Gerät sind. Defender for IoT konsolidiert diese Geräte automatisch und listet sie im Gerätebestand nur einmal auf.
Beispielsweise werden alle Geräte mit derselben IP- und MAC-Adresse, die in derselben Zone erkannt wurden, konsolidiert und als ein Gerät im Gerätebestand identifiziert. Wenn Sie über separate Geräte von wiederkehrenden IP-Adressen verfügen, die von mehreren Sensoren erkannt werden, sollte jedes dieser Geräte separat identifiziert werden. In solchen Fällen integrieren Sie Ihre OT-Sensoren in verschiedene Zonen, sodass jedes Gerät als separates und eindeutiges Gerät identifiziert wird, auch wenn es die gleiche IP-Adresse hat. Geräte mit denselben MAC-Adressen, aber unterschiedlichen IP-Adressen werden nicht zusammengeführt und weiterhin als eindeutige Geräte aufgeführt.
Ein vorübergehendes Gerät ist ein Gerät, das nur für kurze Zeit erkannt wurde. Es wird empfohlen, diese Geräte sorgfältig zu untersuchen, um deren Auswirkungen auf Ihr Netzwerk zu verstehen.
Nicht klassifizierte Geräte sind Geräte, für die keine passende Standardkategorie definiert ist.
Tipp
Definieren Sie Standorte und Zonen in Defender for IoT, um die gesamte Netzwerksicherheit zu verbessern, die Prinzipien der Zero Trust zu befolgen und Klarheit über die von Ihren Sensoren erkannten Daten zu erhalten.
Nicht autorisierte Geräte
Wenn Sie Defender for IoT zum ersten Mal verwenden, werden während des Lernzeitraums direkt nach der Bereitstellung eines Sensors alle erkannten Geräte als autorisierte Geräte identifiziert.
Nach dem Ende des Lernzeitraums gelten alle erkannten neuen Geräte als nicht autorisierte und neue Geräte. Es empfiehlt sich, diese Geräte sorgfältig auf (Sicherheits-)Risiken zu überprüfen. Filtern Sie beispielsweise im Azure-Portal den Gerätebestand nach Authorization == **Unauthorized**. Führen Sie auf der Seite mit den Gerätedetails einen Drilldown durch, und suchen Sie nach verwandten Sicherheitsrisiken, Warnungen und Empfehlungen.
Der Status Neu wird entfernt, sobald Sie Gerätedetails bearbeiten oder das Gerät in einer OT-Sensorgerätezuordnung verschieben. Im Gegensatz dazu bleibt die Bezeichnung Nicht autorisiert erhalten, bis Sie die Gerätedetails manuell bearbeiten und das Gerät als Autorisiert markieren.
Bei einem OT-Sensor werden nicht autorisierte Geräte auch in folgende Berichte eingeschlossen:
Berichte zu Angriffsvektoren: Als Nicht autorisiert gekennzeichnete Geräte werden in eine Angriffsvektorsimulation als mutmaßlich nicht autorisierte Geräte einbezogen, die ggf. eine Bedrohung für das Netzwerk darstellen.
Berichte zur Risikobewertung: Als Nicht autorisiert gekennzeichnete Geräte werden in Berichten zur Risikobewertung aufgeführt, da die mit ihnen verbundenen Risiken für Ihr Netzwerk untersucht werden müssen.
Wichtige OT-Geräte
Markieren Sie OT-Geräte als Wichtig, um sie für eine zusätzliche Nachverfolgung hervorzuheben. Bei einem OT-Sensor werden wichtige Geräte in folgende Berichte eingeschlossen:
Berichte zu Angriffsvektoren: Als Wichtig gekennzeichnete Geräte werden in eine Angriffsvektorsimulation als mögliche Angriffsziele einbezogen.
Berichte zur Risikobewertung: Als Wichtig markierte Geräte werden bei der Berechnung von Sicherheitsbewertungen in Risikobewertungsberichten berücksichtigt.
Daten der Spalte „Gerätebestand“
In der folgenden Tabelle sind die Spalten aufgeführt, die im Azure-Portal im Gerätebestand von Defender for IoT verfügbar sind. Mit einem Sternchen (*) gekennzeichnete Elemente sind auch über den OT-Sensor verfügbar.
Hinweis
Manche Features sind als Vorschauversion verfügbar. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
| Name | Beschreibung |
|---|---|
| Autorisierung * | Bearbeitbar. Bestimmt, ob das Gerät als Autorisiert markiert ist. Dieser Wert muss ggf. geändert werden, wenn sich die Gerätesicherheit ändert. |
| Geschäftsfunktion | Bearbeitbar. Beschreibt die Geschäftsfunktion des Geräts. |
| Klasse | Bearbeitbar. Die Klasse des Geräts. Standardwert: IoT |
| Datenquelle | Die Quelle der Daten, z. B. ein Micro-Agent, ein OT-Sensor oder Microsoft Defender für Endpoint. Standardwert: MicroAgent |
| Beschreibung * | Bearbeitbar. Die Beschreibung des Geräts. |
| Geräte-ID | Die von Azure zugewiesene ID-Nummer des Geräts. |
| Firmwaremodell | Das Firmwaremodell des Geräts. |
| Firmwareanbieter | Bearbeitbar. Der Hersteller der Firmware des Geräts. |
| Firmwareversion * | Bearbeitbar. Die Firmwareversion des Geräts. |
| Erstmals gesehen * | Der Zeitpunkt (Datum und Uhrzeit), zu dem das Gerät erstmals gesehen wurde. Angezeigt im Format MM/DD/YYYY HH:MM:SS AM/PM. Wird für den OT-Sensor als Erkannt angezeigt. |
| Wichtigkeit | Bearbeitbar. Die Wichtigkeit des Geräts: Low, Medium oder High. |
| IPv4-Adresse | Die IPv4-Adresse des Geräts. |
| IPv6-Adresse | Die IPv6-Adresse des Geräts. |
| Letzte Aktivität * | Der Zeitpunkt (Datum und Uhrzeit), zu dem das Gerät zuletzt ein Ereignis an Azure oder an den OT-Sensor gesendet hat (je nachdem, wo Sie den Gerätebestand anzeigen). Angezeigt im Format MM/DD/YYYY HH:MM:SS AM/PM. |
| Location | Bearbeitbar. Der physische Standort des Geräts. |
| MAC-Adresse * | Die MAC-Adresse des Geräts. |
| Modell * | Bearbeitbar. Das Hardwaremodell des Geräts. |
| Name * | Obligatorisch und editierbar. Der Name des Geräts, wie er vom Sensor erkannt oder vom Benutzer eingegeben wurde. |
| Netzwerkadresse (öffentliche Vorschau) | Der Netzwerkstandort des Geräts. Zeigt an, ob das Gerät gemäß den konfigurierten Subnetzen als lokal oder weitergeleitet definiert ist. |
| Betriebssystemarchitektur | Bearbeitbar. Die Betriebssystemarchitektur des Geräts. |
| Betriebssystem-Distribution | Bearbeitbar. Die Distribution des Betriebssystems (beispielsweise Android, Linux oder Haiku). |
| Betriebssystemplattform * | Bearbeitbar. Das Betriebssystem des Geräts (sofern erkannt). Wird für den OT-Sensor als Betriebssystem angezeigt. |
| Betriebssystemversion | Bearbeitbar. Die Betriebssystemversion des Geräts (beispielsweise Windows 10 oder Ubuntu 20.04.1). |
| PLC-Modus * | Der PLC-Betriebsmodus des Geräts. Umfasst sowohl den Schlüsselstatus (physisch oder logisch) als auch den Ausführungsstatus (logisch). Sind beide Statuswerte gleich, wird nur ein Status aufgeführt. - Mögliche Statuswerte für den Schlüssel: Run, Program, Remote, Stop, Invalid und Programming Disabled. - Mögliche Statuswerte für die Ausführung: Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle oder Offline. |
| Programmiergerät * | Bearbeitbar. Definiert, ob das Gerät als Programmiergerät definiert ist und Programmieraktivitäten für SPSs, RTUs und Controller ausführt, die für Engineeringstationen relevant sind. |
| Protokolle * | Die Protokolle, die vom Gerät verwendet werden |
| Purdue-Ebene | Bearbeitbar. Die Purdue-Ebene, auf der das Gerät vorhanden ist. |
| Scanner * | Bearbeitbar. Definiert, ob dieses Gerät scannerähnliche Aktivitäten im Netzwerk ausführt. |
| Sensor | Der Sensor, mit dem das Gerät verbunden ist. |
| Seriennummer * | Die Seriennummer des Geräts. |
| Website | Die Site des Geräts. Alle Enterprise IoT-Sensoren werden automatisch dem Standort Unternehmensnetzwerk hinzugefügt. |
| Slots | Die Anzahl der Slots, über die das Gerät verfügt. |
| Subtype | Bearbeitbar. Der Untertyp des Geräts (beispielsweise Lautsprecher oder Smart-TV). Standard: Managed Device |
| Tags | Bearbeitbar. Die Tags des Geräts. |
| Typ * | Bearbeitbar. Der Gerätetyp (beispielsweise Kommunikation oder Industriell). Standard: Miscellaneous |
| Hersteller * | Der Name des Herstellers des Geräts, wie in der MAC-Adresse angegeben |
| VLAN * | Das VLAN des Geräts. |
| Zone | Die Zone des Geräts. |
Die folgenden Spalten sind nur für OT-Sensoren verfügbar:
- Die DHCP-Adresse des Geräts.
- Die FQDN-Adresse des Geräts und der Zeitpunkt des letzten FQDN-Lookups.
- Die Gerätegruppen, die das Gerät enthalten, wie in der Gerätezuordnung des OT-Sensors definiert.
- Die Moduladresse des Geräts.
- Rack und Slot des Geräts.
- Die Anzahl der Warnungen vom Typ Nicht bestätigte Warnungen, die diesem Gerät zugeordnet sind.
Hinweis
Die zusätzlichen Spalten Agenttyp und Agentversion werden von Geräteherstellern verwendet. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Defender für IoT für Gerätehersteller.
Nächste Schritte
Weitere Informationen finden Sie unter
- Anzeigen des Gerätebestands im Azure-Portal
- Verwalten des OT-Gerätebestands über eine Sensorkonsole
- Verwalten Ihres OT-Gerätebestand über eine lokale Verwaltungskonsole
- Microsoft Defender für IoT: Unterstützte IoT-, OT-, ICS- und SCADA-Protokolle
- Investigate devices on a device map (Untersuchen von Geräten in einer Gerätezuordnung)