Introducción a la supervisión de IoT empresarial en Microsoft Defender XDR
En este artículo se describe cómo los clientes de Microsoft Defender para punto de conexión pueden supervisar dispositivos IoT empresariales en su entorno con un valor de seguridad agregado en Microsoft Defender XDR.
Aunque el inventario de dispositivos IoT ya está disponible para los clientes de Defender para punto de conexión P2, activar la seguridad de IoT empresarial agrega alertas, recomendaciones y datos de vulnerabilidades, diseñados específicamente para dispositivos IoT en la red empresarial.
Los dispositivos IoT incluyen impresoras, cámaras, teléfonos VOIP, televisores inteligentes, etc. Activar la seguridad de IoT empresarial significa, por ejemplo, que puede usar una recomendación en Microsoft Defender XDR para abrir un único vale de TI para aplicar revisiones a aplicaciones vulnerables en servidores e impresoras.
Requisitos previos
Antes de iniciar los procedimientos de este artículo, lea Dispositivos IoT seguros en la empresa para obtener más información sobre la integración entre Defender para punto de conexión y Defender para IoT.
Asegúrese de que tiene:
Dispositivos IoT en la red, visibles en el inventario de dispositivos de Microsoft Defender XDR
Acceso al portal de Microsoft Defender como administrador de seguridad
Agentes de Microsoft Defender para punto de conexión implementados en su entorno. Para más información, consulte Incorporación de Microsoft Defender para punto de conexión.
Una de las siguientes licencias:
Una licencia de seguridad de Microsoft 365 E5 (ME5) o E5
Microsoft Defender para punto de conexión P2, con una licencia adicional independiente Microsoft Defender para IoT - Licencia para dispositivos EIoT - Complemento, disponible para compra o prueba en el centro de administración de Microsoft 365.
Sugerencia
Si tiene una licencia independiente, no es necesario activar la Seguridad de IoT empresarial y puede ir directamente a Visualización del valor de seguridad agregado en Microsoft Defender XDR.
Para obtener más información, consulte Seguridad de IoT empresarial en Microsoft Defender XDR.
Activación de la supervisión de IoT empresarial
En este procedimiento se describe cómo activar la supervisión de IoT empresarial en Microsoft Defender XDR y solo es relevante para los clientes de seguridad ME5/E5.
Omita este procedimiento si tiene uno de los siguientes tipos de planes de licencia:
- Clientes con un plan de precios heredado de IoT empresarial y una licencia de seguridad ME5/E5.
- Los clientes con licencias independientes por dispositivo agregadas a Microsoft Defender para punto de conexión P2. En tales casos, la configuración de seguridad de IoT empresarial está activada como de solo lectura.
Para activar la supervisión de IoT empresarial:
- En Microsoft Defender XDR, seleccione Configuración>Detección de dispositivos>IoT empresarial.
Nota:
Asegúrese de que ha activado la Detección de dispositivos en Configuración>puntos de conexión>Características avanzadas.
Cambie la opción de seguridad de IoT empresarial a Activado. Por ejemplo:
Visualización del valor de seguridad agregado en Microsoft Defender XDR
En este procedimiento se describe cómo ver alertas, recomendaciones y vulnerabilidades relacionadas con un dispositivo específico en Microsoft Defender XDR cuando la opción Seguridad de IoT empresarial está activada.
Para ver el valor de seguridad añadido:
En Microsoft Defender XDR, seleccione Recursos>Dispositivos para abrir la página Inventario de dispositivos.
Seleccione la pestaña Dispositivos IoT y seleccione una dirección IP de dispositivo específica para obtener más detalles. Por ejemplo:
En la página de detalles del dispositivo, explore las pestañas siguientes para ver los datos agregados por la seguridad de IoT empresarial a su dispositivo:
En la pestaña Alertas, busque las alertas desencadenadas por el dispositivo. Simulación de alertas en Microsoft 365 Defender para Enterprise IoT mediante el escenario de Raspberry Pi disponible en la página Evaluación y tutoriales de Microsoft 365 Defender.
También puede configurar consultas de búsqueda avanzada para crear reglas de alerta personalizadas. Para obtener más información, consulte consultas de búsqueda avanzada de ejemplo para la supervisión de IoT empresarial.
En la pestaña Recomendaciones de seguridad, compruebe si hay recomendaciones disponibles para que el dispositivo reduzca el riesgo y mantenga una superficie de ataque más pequeña.
En la pestaña Vulnerabilidades detectadas, busque los CV conocidos asociados al dispositivo. Los CV conocidos pueden ayudar a decidir si aplicar revisiones, quitar o contener el dispositivo y mitigar el riesgo de la red. También puede usar consultas de búsqueda avanzada para recopilar vulnerabilidades en todos los dispositivos.
Buscar amenazas:
En la página Inventario de dispositivos, seleccione ir a Búsqueda para consultar dispositivos mediante tablas como la tabla DeviceInfo. En la página Búsqueda avanzada, consulte los datos mediante otros esquemas.
Consultas de búsqueda avanzada de ejemplo para IoT empresarial
En esta sección se enumeran las consultas de búsqueda avanzada de ejemplo que puede usar en Microsoft 365 Defender para ayudarle a supervisar y proteger los dispositivos IoT con la seguridad de IoT empresarial.
Buscar dispositivos por tipo o subtipo específicos
Use la consulta siguiente para identificar los dispositivos que existen en la red corporativa por tipo de dispositivo, como enrutadores:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
Búsqueda y exportación de vulnerabilidades para los dispositivos IoT
Use la consulta siguiente para enumerar todas las vulnerabilidades en los dispositivos IoT:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId
Para obtener más información, consulte Búsqueda avanzada y Descripción del esquema de búsqueda avanzada.