Inventaire des appareils Defender pour IoT
L’inventaire des appareils de Defender pour IoT vous permet d’identifier des informations concernant des appareils spécifiques, notamment le fabricant, le type, le numéro de série, le microprogramme, etc. Tous ces détails sur vos appareils aident vos équipes à rechercher de manière proactive les vulnérabilités susceptibles de compromettre vos ressources les plus critiques.
Gérez tous vos appareils IoT/OT en constituant un inventaire à jour qui comprend tous vos appareils gérés et non gérés
Protéger les appareils selon une approche basée sur le risque pour identifier les risques (correctifs manquants, vulnérabilités, etc.) et prioriser les correctifs en fonction de l’évaluation des risques et de la modélisation automatisée des menaces
Mettez à jour votre inventaire en supprimant les appareils superflus et en ajoutant des informations spécifiques qui soulignent les préférences de votre organisation
Par exemple :
Appareils pris en charge
L’inventaire des appareils de Defender pour IoT prend en charge les classes d’appareils suivantes :
| Appareils | Exemples |
|---|---|
| Fabrication | Dispositifs industriels et opérationnels, comme que les dispositifs pneumatiques, les systèmes d’emballage, les systèmes d’emballage industriels, les robots industriels |
| Immeuble | Panneaux d’accès, dispositifs de surveillance, systèmes HVAC, ascenseurs, systèmes d’éclairage intelligents |
| Santé | Glucomètres, moniteurs |
| Transport/Services publics | Tourniquets, compteurs de personnes, capteurs de mouvement, systèmes d’incendie et de sécurité, interphones |
| Energie et ressources | Contrôleurs DCS, automates programmables (PLC), appareils historiens, interfaces homme-machine |
| Appareils de point de terminaison | Stations de travail, serveurs ou appareils mobiles |
| Entreprise | Appareils intelligents, imprimantes, appareils de communication ou appareils audio/vidéo |
| Retail (Commerce) | Lecteurs de codes-barres, capteur d’humidité, pointeuses |
Un type d’appareil temporaire indique un appareil détecté pendant une courte durée uniquement. Nous vous recommandons d’investiguer attentivement ces appareils pour comprendre leur impact sur votre réseau.
Les appareils non classés sont des appareils qui n’ont pas de catégorie prête à l’emploi définie.
Options de gestion des appareils
L’inventaire d’appareils Defender pour IoT est disponible dans les emplacements suivants :
| Emplacement | Description | Prise en charge supplémentaire de l’inventaire |
|---|---|---|
| Azure portal | Appareils OT détectés à partir de tous les capteurs OT connectés au cloud. | - Si vous utilisez également Microsoft Sentinel, les incidents figurant dans Microsoft Sentinel sont liés aux appareils associés dans Defender pour IoT. - Utilisez des classeurs Defender pour IoT pour obtenir une visibilité sur l’ensemble de l’inventaire des appareils connectés au cloud, notamment les alertes et les vulnérabilités associées. - Si vous avez un plan IoT Entreprise hérité sur votre abonnement Azure, le portail Azure comprend également les appareils détectés par les agents Microsoft Defender for Endpoint. Si vous avez un capteur IoT Entreprise, le portail Azure comprend également les appareils détectés par le capteur IoT Entreprise. |
| Microsoft Defender XDR | Appareils IoT Entreprise détectés avec Microsoft Defender for Endpoint | Mettez en corrélation les appareils dans Microsoft Defender XDR pour des alertes conçues spécialement, des vulnérabilités et des recommandations. |
| Consoles de capteur réseau OT | Appareils détectés par ce capteur OT | - Affichez tous les appareils détectés dans une carte des appareils réseau. - Voir les événements associés dans la chronologie des événements |
| une console de gestion locale | Appareils détectés sur tous les capteurs OT connectés | Améliorez les données d’appareil en important des données manuellement ou par le biais d’un script. |
Pour plus d'informations, consultez les pages suivantes :
- Gérer l’inventaire de votre appareil à partir du Portail Azure
- Découverte des appareils Defender for Endpoint
- Gérer l’inventaire de votre appareil OT à partir d’une console de capteur
- Gérer l’inventaire de votre appareil OT à partir d’une console de gestion locale
Appareils consolidés automatiquement
Lorsque vous déployez Defender pour IoT à grande échelle, avec plusieurs capteurs OT, chaque capteur peut détecter différents aspects du même appareil. Pour empêcher les appareils dupliqués dans votre inventaire d’appareils, Defender pour IoT suppose que tous les appareils trouvés dans la même zone, avec une combinaison logique de caractéristiques similaires, sont le même appareil. Defender pour IoT consolide automatiquement ces appareils et ne les répertorie qu’une seule fois dans l’inventaire des appareils.
Par exemple, tous les appareils dotés de la même adresse IP et MAC détectés dans la même zone sont consolidés et identifiés en tant qu’appareil unique dans l’inventaire des appareils. Si vous avez des appareils distincts sur des adresses IP récurrentes qui sont détectés par plusieurs capteurs, vous devez identifier chacun d’entre eux séparément. Dans ce cas, intégrez vos capteurs OT à différentes zones pour que chaque appareil soit identifié comme un appareil distinct et unique, même s’ils ont la même adresse IP. Les appareils qui ont les mêmes adresses MAC, mais des adresses IP différentes ne sont pas fusionnés et continuent d’être listés comme des appareils uniques.
Un type d’appareil temporaire indique un appareil détecté pendant une courte durée uniquement. Nous vous recommandons d’investiguer attentivement ces appareils pour comprendre leur impact sur votre réseau.
Les appareils non classés sont des appareils qui n’ont pas de catégorie prête à l’emploi définie.
Conseil
Définissez des sites et des zones dans Defender pour IoT pour renforcer la sécurité réseau globale, suivre les principes de Confiance Zéro et améliorer la clarté des données détectées par vos capteurs.
Appareils non autorisés
La première fois que vous utilisez Defender pour IoT, pendant la période d’apprentissage qui vient juste après le déploiement d’un capteur, tous les appareils détectés sont identifiés comme des appareils autorisés.
À l’issue de la période d’apprentissage, tous les nouveaux appareils détectés sont considérés comme des appareils non autorisés et nouveaux. Nous vous recommandons de vérifier soigneusement ces appareils pour détecter d’éventuels risques et vulnérabilités. Par exemple, dans le portail Azure, filtrez l’inventaire des appareils sur Authorization == **Unauthorized**. Dans la page des détails, explorez et recherchez les éventuelles vulnérabilités, alertes et recommandations associées.
L’état nouveau est supprimé dès que vous modifiez l’un des détails de l’appareil ou que vous le déplacez sur une carte d’appareil de capteur OT. Par contre, l’étiquette d’un appareil non autorisé reste tant que vous n’avez pas modifié manuellement les détails de l’appareil et marqué l’appareil comme étant autorisé.
Sur un capteur OT, les appareils non autorisés sont également inclus dans les rapports suivants :
Rapports de vecteur d’attaque : Les appareils marqués comme non autorisés sont inclus dans une simulation de vecteurs d’attaque en tant qu’appareils suspects pouvant constituer une menace pour le réseau.
Rapports d’évaluation des risques : Les appareils marqués comme non autorisés sont listés dans les rapports d’évaluation des risques, car les risques qu’ils font courir à votre réseau nécessitent une investigation.
Appareils OT importants
Marquez les appareils OT comme importants pour les mettre en exergue à des fins de suivi supplémentaire. Sur un capteur OT, les appareils importants sont inclus dans les rapports suivants :
Rapports de vecteur d’attaque : Les appareils marqués comme importants sont inclus dans une simulation de vecteurs d’attaque en tant que cibles d’attaque possibles.
Rapports d’évaluation des risques : les appareils marqués comme importants sont comptabilisés dans les rapports d’évaluation des risques lors du calcul des scores de sécurité.
Données des colonnes d’inventaire des appareils
Le tableau suivant répertorie les colonnes disponibles dans l’inventaire des appareils Defender pour IoT sur le portail Azure et le capteur OT, donne une description de chaque colonne et indique si elles sont modifiables et sur quelle plateforme. Les colonnes suivies d’un astérisque (*) sont également disponibles à partir du capteur OT.
Notes
Les fonctionnalités notées qui sont répertoriées ci-dessous sont disponibles en PRÉVERSION. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
| Nom | Description | Editable |
|---|---|---|
| Autorisation * | Détermine si l’appareil est marqué comme autorisé ou non. Cette valeur est susceptible de changer quand la sécurité de l’appareil change. Activer Appareil autorisé. | Modifiable dans Azure et le capteur OT |
| Fonction commerciale | Décrit la fonction métier de l’appareil. | Modifiable dans Azure |
| Classe | Classe de l’appareil. Valeur par défaut : IoT |
Modifiable dans Azure |
| Source de données | Source des données, telle qu’un micro-agent, un capteur OT ou Microsoft Defender pour point de terminaison. Valeur par défaut : MicroAgent |
Non modifiable |
| Description * | Description de l’appareil. | Modifiable dans Azure et le capteur OT |
| ID de l’appareil | Numéro d’ID attribué par Azure à l’appareil. | Non modifiable |
| Modèle de microprogramme | Modèle de microprogramme de l’appareil. | Modifiable dans Azure |
| Fournisseur du microprogramme | Fournisseur du microprogramme de l’appareil. | Non modifiable |
| Version du microprogramme * | Version du microprogramme de l’appareil. | Modifiable dans Azure |
| Première consultation * | Date et heure auxquelles l’appareil a été consulté pour la première fois. Affichées au format MM/DD/YYYY HH:MM:SS AM/PM. Sur le capteur OT, affichées sous la forme Découvert. |
Non modifiable |
| Importance | Niveau d’importance de l’appareil : Low, Medium ou High. |
Modifiable dans Azure |
| Adresse IPv4 * | Adresse IPv4 de l’appareil. | Non modifiable |
| Adresse IPv6 | Adresse IPv6 de l’appareil. | Non modifiable |
| Dernière activité * | Date et heure auxquelles l’appareil a envoyé un événement pour la dernière fois à Azure ou au capteur OT, selon l’emplacement à partir duquel vous consultez l’inventaire des appareils. Affichées au format MM/DD/YYYY HH:MM:SS AM/PM. |
Non modifiable |
| Emplacement | Emplacement physique de l’appareil. | Modifiable dans Azure |
| Adresse MAC * | Adresse MAC de l’appareil. | Non modifiable |
| Modèle * | Modèle matériel de l’appareil. | Modifiable dans Azure |
| Nom * | Mandatory. Nom de l’appareil, tel qu’il a été découvert par le capteur ou entré par l’utilisateur. | Modifiable dans Azure et le capteur OT |
| Emplacement réseau (préversion publique) * | Emplacement réseau de l’appareil. Indique si l’appareil est défini comme local ou routé, en fonction des sous-réseaux configurés. | Non modifiable |
| Architecture du système d’exploitation | Architecture du système d’exploitation de l’appareil. | Non modifiable |
| Distribution du système d’exploitation | Distribution du système d’exploitation de l’appareil, comme Android, Linux et Haiku. | Non modifiable |
| Plateforme de système d’exploitation * | Système d’exploitation de l’appareil, s’il est détecté. Sur le capteur OT, indiqué sous la forme Système d’exploitation. | Modifiable dans le capteur OT |
| Version du système d’exploitation | Version du système d’exploitation de l’appareil, comme Windows 10 ou Ubuntu 20.04.1. | Non modifiable |
| Mode PLC * | Mode d’opération PLC de l’appareil, qui inclut à la fois l’état de clé (physique/logique) et l’état d’exécution (logique). Si les deux états sont identiques, alors un seul état est listé. - Les états de clé possibles sont Run, Program, Remote, Stop, Invalid et Programming Disabled. - Les états d’exécution possibles sont Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle ou Offline. |
Modifiable dans le capteur OT |
| Appareil de programmation * | Définit si l’appareil est défini en tant qu’appareil de programmation, effectuant des activités de programmation pour les automates programmables (PLC), les unités de téléconduite (RTU) et les contrôleurs, qui sont pertinentes pour les stations d’ingénierie. | Modifiable dans Azure et le capteur OT |
| Protocoles * | Protocoles utilisés par l’appareil. | Non modifiable |
| Niveau Purdue | Niveau Purdue dans lequel l’appareil existe. | Modifiable dans le capteur OT |
| Appareil d’analyse * | Définit si l’appareil effectue des activités d’analyse dans le réseau. | Modifiable dans le capteur OT |
| Capteur | Capteur auquel l’appareil est connecté. | Non modifiable |
| Numéro de série * | Numéro de série de l’appareil. | Non modifiable |
| Site | Site de l’appareil. Tous les capteurs IoT Entreprise sont automatiquement ajoutés au site Réseau Entreprise. |
Non modifiable |
| Emplacements * | Nombre d’emplacements de l’appareil. | Non modifiable |
| Sous-type | Sous-type de l’appareil, comme Haut-parleur ou Smart TV. Par défaut : Managed Device |
Modifiable dans Azure |
| Balises | Étiquettes de l’appareil. | Modifiable dans Azure |
| Type * | Type de l’appareil, comme Communication ou Industriel. Par défaut : Miscellaneous |
Modifiable dans Azure et le capteur OT |
| Fournisseur * | Nom du fournisseur de l’appareil, tel que défini dans l’adresse MAC. <Également incohérent - appelé « fournisseur » dans l’inventaire et « fournisseur de matériel » dans le volet> | Modifiable dans Azure |
| VLAN * | VLAN de l’appareil. | Non modifiable |
| Zone | Zone de l’appareil. | Non modifiable |
Les colonnes suivantes sont disponibles uniquement dans les capteurs OT et ne sont pas modifiables.
- Adresse DHCP de l’appareil.
- Adresse FQDN et Heure de la dernière recherche de nom de domaine complet de l’appareil.
- Groupes de l’appareil qui incluent l’appareil, tels que définis sur la carte des appareils du capteur OT.
- Adresse du module de l’appareil.
- Rack de l’appareil.
- Nombre d’alertes non reconnues associées à l’appareil.
Remarque
Les colonnes Type d’agent et Version de l’agent supplémentaires sont utilisées par les générateurs d’appareils. Pour plus d’informations, consultez la documentation sur Microsoft Defender pour IoT pour les fabricants d’appareils.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Gérer l’inventaire de votre appareil à partir du Portail Azure
- Gérer l’inventaire de votre appareil OT à partir d’une console de capteur
- Gérer l’inventaire de votre appareil OT à partir d’une console de gestion locale
- Microsoft Defender pour IoT - protocoles IoT, OT, ICS et SCADA pris en charge
- Investiguer les appareils sur une carte des appareils