Defender for IoT-Gerätebestand
Der Gerätebestand von Defender for IoT hilft Ihnen dabei, Details zu bestimmten Geräten wie Hersteller, Typ, Seriennummer, Firmware und Ähnliches zu ermitteln. Das Sammeln von Details zu Ihren Geräten hilft Ihren Teams dabei, proaktiv Sicherheitsrisiken zu untersuchen, die Ihre besonders kritischen Ressourcen kompromittieren können.
Verwalten Sie alle Ihre IoT/OT-Geräte, indem Sie einen aktuellen Bestand erstellen, der alle Ihre verwalteten und nicht verwalteten Geräte umfasst.
Schützen Sie Geräte mit einem risikobasierten Ansatz, um Risiken wie fehlende Patches und Sicherheitsrisiken zu identifizieren, und priorisieren Sie Fixes basierend auf Risikobewertungen und automatisierter Bedrohungsmodellierung.
Aktualisieren Sie Ihren Bestand, indem Sie irrelevante Geräte löschen und organisationsspezifische Informationen hinzufügen, um die Präferenzen Ihrer Organisation hervorzuheben.
Beispiel:
Unterstützte Geräte
Der Gerätebestand von Defender for IoT unterstützt die folgenden Geräteklassen:
| Geräte | Beispiele |
|---|---|
| Manufacturing | Industrielle und betriebliche Geräte (etwa pneumatische Geräte, Verpackungssysteme, industrielle Verpackungssysteme und Industrieroboter) |
| Building (Gebäude) | Zugangsklappen, Überwachungsgeräte, HLK-Systeme, Aufzüge, intelligente Beleuchtungssysteme |
| Gesundheitswesen | Blutzuckermessgeräte, Überwachungsgeräte |
| Transport-/Versorgungsunternehmen | Drehkreuze, Personenzähler, Bewegungssensoren, Brand- und Sicherheitssysteme, Gegensprechanlagen |
| Energie und Ressourcen | DCS-Controller, speicherprogrammierbare Steuerungen, Historian-Geräte, HMIs |
| Endpunktgeräte | Arbeitsstationen, Server oder mobile Geräte |
| Enterprise | Intelligente Geräte, Drucker, Kommunikationsgeräte oder Audio-/Videogeräte |
| Retail (Einzelhandel) | Barcodescanner, Feuchtigkeitssensoren, Stempeluhren |
Ein vorübergehendes Gerät ist ein Gerät, das nur für kurze Zeit erkannt wurde. Es wird empfohlen, diese Geräte sorgfältig zu untersuchen, um deren Auswirkungen auf Ihr Netzwerk zu verstehen.
Nicht klassifizierte Geräte sind Geräte, für die keine passende Standardkategorie definiert ist.
Optionen für die Geräteverwaltung
Defender für IoT-Geräteinventar ist an den folgenden Speicherorten verfügbar:
| Standort | Beschreibung | Zusätzliche Bestandsunterstützung |
|---|---|---|
| Azure portal | OT-Geräte, die von allen in der Cloud verbundenen OT-Sensoren erkannt wurden. | - Wenn Sie außerdem Microsoft Sentinel verwenden, werden Incidents in Microsoft Sentinel mit entsprechenden Geräten in Defender for IoT verknüpft. - Verwenden Sie Defender for IoT-Arbeitsmappen, um sich den gesamten mit der Cloud verbundenen Gerätebestand anzusehen (einschließlich zugehöriger Warnungen und Sicherheitsrisiken). – Wenn Sie über einen älteren Enterprise IoT-Plan in Ihrem Azure-Abonnement verfügen, enthält das Azure-Portal auch Geräte, die von Microsoft Defender für Endpunkt-Agents erkannt wurden. Wenn Sie über einen Enterprise IoT-Sensorverfügen, enthält das Azure-Portal auch Geräte, die vom Enterprise IoT-Sensor erkannt werden. |
| Microsoft Defender XDR | Von Microsoft Defender für Endpunkt-Agents erkannte Enterprise IoT-Geräte | Korrelieren Sie Geräte in Microsoft Defender XDR in speziellen Warnungen, Sicherheitsrisiken und Empfehlungen. |
| OT-Netzwerksensorkonsolen | Von diesem OT-Sensor erkannte Geräte | - Anzeigen aller erkannten Geräte innerhalb einer Netzwerkgerätezuordnung – Anzeigen von Ereignissen auf der Ereigniszeitachse |
| Eine lokale Verwaltungskonsole | Geräte, die von einem beliebigen verbundenen OT-Sensor erkannt wurden | Verbessern von Gerätedaten durch manuelles Importieren oder durch Importieren per Skript |
Weitere Informationen finden Sie unter
- Anzeigen des Gerätebestands im Azure-Portal
- Geräteermittlung von Defender for Endpoint
- Verwalten des OT-Gerätebestands über eine Sensorkonsole
- Verwalten Ihres OT-Gerätebestand über eine lokale Verwaltungskonsole
Automatisch konsolidierte Geräte
Wenn Sie Defender for IoT im großen Stil mit mehreren OT-Sensoren bereitgestellt haben, erkennt jeder Sensor möglicherweise unterschiedliche Aspekte desselben Geräts. Um duplizierte Geräte in Ihrem Gerätebestand zu vermeiden, geht Defender for IoT davon aus, dass alle Geräte in derselben Zone mit einer logischen Kombination ähnlicher Merkmale dasselbe Gerät sind. Defender for IoT konsolidiert diese Geräte automatisch und listet sie im Gerätebestand nur einmal auf.
Beispielsweise werden alle Geräte mit derselben IP- und MAC-Adresse, die in derselben Zone erkannt wurden, konsolidiert und als ein Gerät im Gerätebestand identifiziert. Wenn Sie über separate Geräte von wiederkehrenden IP-Adressen verfügen, die von mehreren Sensoren erkannt werden, sollte jedes dieser Geräte separat identifiziert werden. In solchen Fällen integrieren Sie Ihre OT-Sensoren in verschiedene Zonen, sodass jedes Gerät als separates und eindeutiges Gerät identifiziert wird, auch wenn es die gleiche IP-Adresse hat. Geräte mit denselben MAC-Adressen, aber unterschiedlichen IP-Adressen werden nicht zusammengeführt und weiterhin als eindeutige Geräte aufgeführt.
Ein vorübergehendes Gerät ist ein Gerät, das nur für kurze Zeit erkannt wurde. Es wird empfohlen, diese Geräte sorgfältig zu untersuchen, um deren Auswirkungen auf Ihr Netzwerk zu verstehen.
Nicht klassifizierte Geräte sind Geräte, für die keine passende Standardkategorie definiert ist.
Tipp
Definieren Sie Standorte und Zonen in Defender for IoT, um die gesamte Netzwerksicherheit zu verbessern, die Prinzipien der Zero Trust zu befolgen und Klarheit über die von Ihren Sensoren erkannten Daten zu erhalten.
Nicht autorisierte Geräte
Wenn Sie Defender for IoT zum ersten Mal verwenden, werden während des Lernzeitraums direkt nach der Bereitstellung eines Sensors alle erkannten Geräte als autorisierte Geräte identifiziert.
Nach dem Ende des Lernzeitraums gelten alle erkannten neuen Geräte als nicht autorisierte und neue Geräte. Es empfiehlt sich, diese Geräte sorgfältig auf (Sicherheits-)Risiken zu überprüfen. Filtern Sie beispielsweise im Azure-Portal den Gerätebestand nach Authorization == **Unauthorized**. Führen Sie auf der Seite mit den Gerätedetails einen Drilldown durch, und suchen Sie nach verwandten Sicherheitsrisiken, Warnungen und Empfehlungen.
Der Status Neu wird entfernt, sobald Sie Gerätedetails bearbeiten oder das Gerät in einer OT-Sensorgerätezuordnung verschieben. Im Gegensatz dazu bleibt die Bezeichnung Nicht autorisiert erhalten, bis Sie die Gerätedetails manuell bearbeiten und das Gerät als Autorisiert markieren.
Bei einem OT-Sensor werden nicht autorisierte Geräte auch in folgende Berichte eingeschlossen:
Berichte zu Angriffsvektoren: Als Nicht autorisiert gekennzeichnete Geräte werden in eine Angriffsvektorsimulation als mutmaßlich nicht autorisierte Geräte einbezogen, die ggf. eine Bedrohung für das Netzwerk darstellen.
Berichte zur Risikobewertung: Als Nicht autorisiert gekennzeichnete Geräte werden in Berichten zur Risikobewertung aufgeführt, da die mit ihnen verbundenen Risiken für Ihr Netzwerk untersucht werden müssen.
Wichtige OT-Geräte
Markieren Sie OT-Geräte als Wichtig, um sie für eine zusätzliche Nachverfolgung hervorzuheben. Bei einem OT-Sensor werden wichtige Geräte in folgende Berichte eingeschlossen:
Berichte zu Angriffsvektoren: Als Wichtig gekennzeichnete Geräte werden in eine Angriffsvektorsimulation als mögliche Angriffsziele einbezogen.
Berichte zur Risikobewertung: Als Wichtig markierte Geräte werden bei der Berechnung von Sicherheitsbewertungen in Risikobewertungsberichten berücksichtigt.
Daten der Spalte „Gerätebestand“
In der folgenden Tabelle finden Sie die Spalten, die im Defender for IoT-Geräteinventar auf dem Azure-Portal und dem OT-Sensor verfügbar sind, eine Beschreibung jeder Spalte und ob und in welcher Plattform sie bearbeitet werden kann. Mit einem Sternchen (*) gekennzeichnete Elemente sind auch über den OT-Sensor verfügbar.
Hinweis
Manche Features sind als Vorschauversion verfügbar. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
| Name | Beschreibung | Bearbeitbar |
|---|---|---|
| Autorisierung * | Bestimmt, ob das Gerät als Autorisiert markiert ist. Dieser Wert muss ggf. geändert werden, wenn sich die Gerätesicherheit ändert. Schalten Sie Autorisiertes Gerät um. | Bearbeitbar in Azure und OT Sensor |
| Geschäftsfunktion | Beschreibt die Geschäftsfunktion des Geräts. | Bearbeitbar in Azure |
| Klasse | Die Klasse des Geräts. Standardwert: IoT |
Bearbeitbar in Azure |
| Datenquelle | Die Quelle der Daten, z. B. ein Micro-Agent, ein OT-Sensor oder Microsoft Defender für Endpoint. Standardwert: MicroAgent |
Nicht bearbeitbar |
| Beschreibung * | Die Beschreibung des Geräts. | Bearbeitbar in Azure und im OT-Sensor |
| Geräte-ID | Die von Azure zugewiesene ID-Nummer des Geräts. | Nicht bearbeitbar |
| Firmwaremodell | Das Firmwaremodell des Geräts. | Bearbeitbar in Azure |
| Firmwareanbieter | Der Hersteller der Firmware des Geräts. | Nicht bearbeitbar |
| Firmwareversion * | Die Firmwareversion des Geräts. | Bearbeitbar in Azure |
| Erstmals gesehen * | Der Zeitpunkt (Datum und Uhrzeit), zu dem das Gerät erstmals gesehen wurde. Angezeigt im Format MM/DD/YYYY HH:MM:SS AM/PM. Wird für den OT-Sensor als Erkannt angezeigt. |
Nicht bearbeitbar |
| Wichtigkeit | Die Wichtigkeit des Geräts: Low, Medium oder High. |
Bearbeitbar in Azure |
| IPv4-Adresse * | Die IPv4-Adresse des Geräts. | Nicht bearbeitbar |
| IPv6-Adresse | Die IPv6-Adresse des Geräts. | Nicht bearbeitbar |
| Letzte Aktivität * | Der Zeitpunkt (Datum und Uhrzeit), zu dem das Gerät zuletzt ein Ereignis an Azure oder an den OT-Sensor gesendet hat (je nachdem, wo Sie den Gerätebestand anzeigen). Angezeigt im Format MM/DD/YYYY HH:MM:SS AM/PM. |
Nicht bearbeitbar |
| Location | Der physische Standort des Geräts. | Bearbeitbar in Azure |
| MAC-Adresse * | Die MAC-Adresse des Geräts. | Nicht bearbeitbar |
| Modell * | Das Hardwaremodell des Geräts. | Bearbeitbar in Azure |
| Name * | Erforderlich. Der Name des Geräts, wie er vom Sensor erkannt oder vom Benutzer eingegeben wurde. | Bearbeitbar in Azure und im OT Sensor |
| Netzwerkadresse (öffentliche Vorschau) * | Der Netzwerkstandort des Geräts. Zeigt an, ob das Gerät gemäß den konfigurierten Subnetzen als lokal oder weitergeleitet definiert ist. | Nicht bearbeitbar |
| Betriebssystemarchitektur | Die Betriebssystemarchitektur des Geräts. | Nicht bearbeitbar |
| Betriebssystem-Distribution | Die Distribution des Betriebssystems (beispielsweise Android, Linux oder Haiku). | Nicht bearbeitbar |
| Betriebssystemplattform * | Das Betriebssystem des Geräts (sofern erkannt). Wird für den OT-Sensor als Betriebssystem angezeigt. | Bearbeitbar im OT-Sensor |
| Betriebssystemversion | Die Betriebssystemversion des Geräts (beispielsweise Windows 10 oder Ubuntu 20.04.1). | Nicht bearbeitbar |
| PLC-Modus * | Der PLC-Betriebsmodus des Geräts. Umfasst sowohl den Schlüsselstatus (physisch oder logisch) als auch den Ausführungsstatus (logisch). Sind beide Statuswerte gleich, wird nur ein Status aufgeführt. - Mögliche Statuswerte für den Schlüssel: Run, Program, Remote, Stop, Invalid und Programming Disabled. - Mögliche Statuswerte für die Ausführung: Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle oder Offline. |
Bearbeitbar im OT-Sensor |
| Programmiergerät * | Definiert, ob das Gerät als Programmiergerät definiert ist und Programmieraktivitäten für SPSs, RTUs und Controller ausführt, die für Engineeringstationen relevant sind. | Bearbeitbar in Azure und im OT Sensor |
| Protokolle * | Die Protokolle, die vom Gerät verwendet werden | Nicht bearbeitbar |
| Purdue-Ebene | Die Purdue-Ebene, auf der das Gerät vorhanden ist. | Bearbeitbar im OT-Sensor |
| Scanner * | Definiert, ob dieses Gerät scannerähnliche Aktivitäten im Netzwerk ausführt. | Bearbeitbar im OT-Sensor |
| Sensor | Der Sensor, mit dem das Gerät verbunden ist. | Nicht bearbeitbar |
| Seriennummer * | Die Seriennummer des Geräts. | Nicht bearbeitbar |
| Website | Die Site des Geräts. Alle Enterprise IoT-Sensoren werden automatisch dem Standort Unternehmensnetzwerk hinzugefügt. |
Nicht bearbeitbar |
| Slots * | Die Anzahl der Slots, über die das Gerät verfügt. | Nicht bearbeitbar |
| Subtype | Der Untertyp des Geräts (beispielsweise Lautsprecher oder Smart-TV). Standard: Managed Device |
Bearbeitbar in Azure |
| Tags | Die Tags des Geräts. | Bearbeitbar in Azure |
| Typ * | Der Gerätetyp (beispielsweise Kommunikation oder Industriell). Standard: Miscellaneous |
Bearbeitbar in Azure und im OT Sensor |
| Hersteller * | Der Name des Herstellers des Geräts, wie in der MAC-Adresse angegeben < Auch inkonsistent – im Inventar als Anbieter bezeichnet, im Bereich als Hardwareanbieter> | Bearbeitbar in Azure |
| VLAN * | Das VLAN des Geräts. | Nicht bearbeitbar |
| Zone | Die Zone des Geräts. | Nicht bearbeitbar |
Die folgenden Spalten sind nur in den OT-Sensoren verfügbar und sind nicht bearbeitbar.
- Die DHCP-Adresse des Geräts.
- Die FQDN-Adresse des Geräts und der Zeitpunkt des letzten FQDN-Lookups.
- Die Gerätegruppen, die das Gerät enthalten, wie in der Gerätezuordnung des OT-Sensors definiert.
- Die Moduladresse des Geräts.
- Das Rack des Geräts.
- Die Anzahl der Warnungen vom Typ Nicht bestätigte Warnungen, die diesem Gerät zugeordnet sind.
Hinweis
Die zusätzlichen Spalten Agenttyp und Agentversion werden von Geräteherstellern verwendet. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Defender für IoT für Gerätehersteller.
Nächste Schritte
Weitere Informationen finden Sie unter
- Anzeigen des Gerätebestands im Azure-Portal
- Verwalten des OT-Gerätebestands über eine Sensorkonsole
- Verwalten Ihres OT-Gerätebestand über eine lokale Verwaltungskonsole
- Microsoft Defender für IoT: Unterstützte IoT-, OT-, ICS- und SCADA-Protokolle
- Investigate devices on a device map (Untersuchen von Geräten in einer Gerätezuordnung)