Inventaire des appareils Defender pour IoT
L’inventaire des appareils de Defender pour IoT vous permet d’identifier des informations concernant des appareils spécifiques, notamment le fabricant, le type, le numéro de série, le microprogramme, etc. Tous ces détails sur vos appareils aident vos équipes à rechercher de manière proactive les vulnérabilités susceptibles de compromettre vos ressources les plus critiques.
Gérez tous vos appareils IoT/OT en constituant un inventaire à jour qui comprend tous vos appareils gérés et non gérés
Protégez les appareils selon une approche basée sur le risque pour identifier les risques (correctifs manquants, vulnérabilités, etc.) et hiérarchiser les correctifs en fonction de l’évaluation des risques et de la modélisation automatisée des menaces
Mettez à jour votre inventaire en supprimant les appareils superflus et en ajoutant des informations spécifiques qui soulignent les préférences de votre organisation
Par exemple :
Appareils pris en charge
L’inventaire des appareils de Defender pour IoT prend en charge les classes d’appareils suivantes :
| Appareils | Exemples |
|---|---|
| Fabrication | Dispositifs industriels et opérationnels, comme que les dispositifs pneumatiques, les systèmes d’emballage, les systèmes d’emballage industriels, les robots industriels |
| Immeuble | Panneaux d’accès, dispositifs de surveillance, systèmes HVAC, ascenseurs, systèmes d’éclairage intelligents |
| Santé | Glucomètres, moniteurs |
| Transport/Services publics | Tourniquets, compteurs de personnes, capteurs de mouvement, systèmes d’incendie et de sécurité, interphones |
| Energie et ressources | Contrôleurs DCS, automates programmables (PLC), appareils historiens, interfaces homme-machine |
| Appareils de point de terminaison | Stations de travail, serveurs ou appareils mobiles |
| Entreprise | Appareils intelligents, imprimantes, appareils de communication ou appareils audio/vidéo |
| Retail (Commerce) | Lecteurs de codes-barres, capteur d’humidité, pointeuses |
Un type d’appareil temporaire indique un appareil détecté pendant une courte durée uniquement. Nous vous recommandons d’investiguer attentivement ces appareils pour comprendre leur impact sur votre réseau.
Les appareils non classés sont des appareils qui n’ont pas de catégorie prête à l’emploi définie.
Options de gestion des appareils
L’inventaire d’appareils Defender pour IoT est disponible dans les emplacements suivants :
| Emplacement | Description | Prise en charge supplémentaire de l’inventaire |
|---|---|---|
| Azure portal | Appareils OT détectés à partir de tous les capteurs OT connectés au cloud. | - Si vous utilisez également Microsoft Sentinel, les incidents figurant dans Microsoft Sentinel sont liés aux appareils associés dans Defender pour IoT. - Utilisez des classeurs Defender pour IoT pour obtenir une visibilité sur l’ensemble de l’inventaire des appareils connectés au cloud, notamment les alertes et les vulnérabilités associées. - Si vous avez un plan IoT Entreprise hérité sur votre abonnement Azure, le portail Azure comprend également les appareils détectés par les agents Microsoft Defender for Endpoint. Si vous avez un capteur IoT Entreprise, le portail Azure comprend également les appareils détectés par le capteur IoT Entreprise. |
| Microsoft Defender XDR | Appareils IoT Entreprise détectés avec Microsoft Defender for Endpoint | Mettre en corrélation les appareils dans Microsoft Defender XDR dans des alertes, des vulnérabilités et des recommandations conçues à des fins. |
| Consoles de capteur réseau OT | Appareils détectés par ce capteur OT | - Affichez tous les appareils détectés dans une carte des appareils réseau. - Voir les événements associés dans la chronologie des événements |
| une console de gestion locale | Appareils détectés sur tous les capteurs OT connectés | Améliorez les données d’appareil en important des données manuellement ou par le biais d’un script. |
Pour plus d'informations, consultez les pages suivantes :
- Gérer l’inventaire de votre appareil à partir du Portail Azure
- Découverte des appareils Defender for Endpoint
- Gérer l’inventaire de votre appareil OT à partir d’une console de capteur
- Gérer l’inventaire de votre appareil OT à partir d’une console de gestion locale
Appareils consolidés automatiquement
Lorsque vous avez déployé Defender pour IoT à grande échelle, avec plusieurs capteurs OT, chaque capteur peut détecter différents aspects du même appareil. Pour empêcher les appareils dupliqués dans votre inventaire d’appareils, Defender pour IoT suppose que tous les appareils trouvés dans la même zone, avec une combinaison logique de caractéristiques similaires, sont le même appareil. Defender pour IoT consolide automatiquement ces appareils et ne les répertorie qu’une seule fois dans l’inventaire des appareils.
Par exemple, tous les appareils dotés de la même adresse IP et MAC détectés dans la même zone sont consolidés et identifiés en tant qu’appareil unique dans l’inventaire des appareils. Si vous avez des appareils distincts sur des adresses IP récurrentes qui sont détectés par plusieurs capteurs, vous devez identifier chacun d’entre eux séparément. Dans ce cas, intégrez vos capteurs OT à différentes zones pour que chaque appareil soit identifié comme un appareil distinct et unique, même s’ils ont la même adresse IP. Les appareils qui ont les mêmes adresses MAC, mais des adresses IP différentes ne sont pas fusionnés et continuent d’être listés comme des appareils uniques.
Un type d’appareil temporaire indique un appareil détecté pendant une courte durée uniquement. Nous vous recommandons d’investiguer attentivement ces appareils pour comprendre leur impact sur votre réseau.
Les appareils non classés sont des appareils qui n’ont pas de catégorie prête à l’emploi définie.
Conseil
Définissez des sites et des zones dans Defender pour IoT pour renforcer la sécurité réseau globale, suivre les principes de Confiance Zéro et améliorer la clarté des données détectées par vos capteurs.
Appareils non autorisés
La première fois que vous utilisez Defender pour IoT, pendant la période d’apprentissage qui vient juste après le déploiement d’un capteur, tous les appareils détectés sont identifiés comme des appareils autorisés.
À l’issue de la période d’apprentissage, tous les nouveaux appareils détectés sont considérés comme des appareils non autorisés et nouveaux. Nous vous recommandons de vérifier soigneusement ces appareils pour détecter d’éventuels risques et vulnérabilités. Par exemple, dans le portail Azure, filtrez l’inventaire des appareils sur Authorization == **Unauthorized**. Dans la page des détails, explorez et recherchez les éventuelles vulnérabilités, alertes et recommandations associées.
L’état nouveau est supprimé dès que vous modifiez l’un des détails de l’appareil ou que vous le déplacez sur une carte d’appareil de capteur OT. Par contre, l’étiquette d’un appareil non autorisé reste tant que vous n’avez pas modifié manuellement les détails de l’appareil et marqué l’appareil comme étant autorisé.
Sur un capteur OT, les appareils non autorisés sont également inclus dans les rapports suivants :
Rapports de vecteur d’attaque : Les appareils marqués comme non autorisés sont inclus dans une simulation de vecteurs d’attaque en tant qu’appareils suspects pouvant constituer une menace pour le réseau.
Rapports d’évaluation des risques : Les appareils marqués comme non autorisés sont listés dans les rapports d’évaluation des risques, car les risques qu’ils font courir à votre réseau nécessitent une investigation.
Appareils OT importants
Marquez les appareils OT comme importants pour les mettre en exergue à des fins de suivi supplémentaire. Sur un capteur OT, les appareils importants sont inclus dans les rapports suivants :
Rapports de vecteur d’attaque : Les appareils marqués comme importants sont inclus dans une simulation de vecteurs d’attaque en tant que cibles d’attaque possibles.
Rapports d’évaluation des risques : les appareils marqués comme importants sont comptabilisés dans les rapports d’évaluation des risques lors du calcul des scores de sécurité.
Données des colonnes d’inventaire des appareils
Le tableau suivant liste les colonnes disponibles dans l’inventaire des appareils Defender pour IoT sur le portail Azure. Les colonnes suivies d’un astérisque (*) sont également disponibles à partir du capteur OT.
Notes
Les fonctionnalités notées qui sont répertoriées ci-dessous sont disponibles en PRÉVERSION. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
| Nom | Description |
|---|---|
| Autorisation * | Modifiable. Détermine si l’appareil est marqué comme autorisé ou non. Cette valeur est susceptible de changer quand la sécurité de l’appareil change. |
| Fonction commerciale | Modifiable. Décrit la fonction métier de l’appareil. |
| Classe | Modifiable. Classe de l’appareil. Valeur par défaut : IoT |
| Source de données | Source des données, telle qu’un micro-agent, un capteur OT ou Microsoft Defender pour point de terminaison. Valeur par défaut : MicroAgent |
| Description * | Modifiable. Description de l’appareil. |
| ID de l’appareil | Numéro d’ID attribué par Azure à l’appareil. |
| Modèle de microprogramme | Modèle de microprogramme de l’appareil. |
| Fournisseur du microprogramme | Modifiable. Fournisseur du microprogramme de l’appareil. |
| Version du microprogramme * | Modifiable. Version du microprogramme de l’appareil. |
| Première consultation * | Date et heure auxquelles l’appareil a été consulté pour la première fois. Affichées au format MM/DD/YYYY HH:MM:SS AM/PM. Sur le capteur OT, affichées sous la forme Découvert. |
| Importance | Modifiable. Niveau d’importance de l’appareil : Low, Medium ou High. |
| Adresse IPv4 | Adresse IPv4 de l’appareil. |
| Adresse IPv6 | Adresse IPv6 de l’appareil. |
| Dernière activité * | Date et heure auxquelles l’appareil a envoyé un événement pour la dernière fois à Azure ou au capteur OT, selon l’emplacement à partir duquel vous consultez l’inventaire des appareils. Affichées au format MM/DD/YYYY HH:MM:SS AM/PM. |
| Lieu | Modifiable. Emplacement physique de l’appareil. |
| Adresse MAC * | Adresse MAC de l’appareil. |
| Modèle * | Modifiable. Modèle matériel de l’appareil. |
| Nom * | Obligatoire et modifiable. Nom de l’appareil, tel qu’il a été découvert par le capteur ou entré par l’utilisateur. |
| Emplacement réseau (préversion publique) | Emplacement réseau de l’appareil. Indique si l’appareil est défini comme local ou routé, en fonction des sous-réseaux configurés. |
| Architecture du système d’exploitation | Modifiable. Architecture du système d’exploitation de l’appareil. |
| Distribution du système d’exploitation | Modifiable. Distribution du système d’exploitation de l’appareil, comme Android, Linux et Haiku. |
| Plateforme du système d’exploitation * | Modifiable. Système d’exploitation de l’appareil, s’il est détecté. Sur le capteur OT, indiqué sous la forme Système d’exploitation. |
| Version du SE | Modifiable. Version du système d’exploitation de l’appareil, comme Windows 10 ou Ubuntu 20.04.1. |
| Mode PLC * | Mode d’opération PLC de l’appareil, qui inclut à la fois l’état de clé (physique/logique) et l’état d’exécution (logique). Si les deux états sont identiques, alors un seul état est listé. - Les états de clé possibles sont Run, Program, Remote, Stop, Invalid et Programming Disabled. - Les états d’exécution possibles sont Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle ou Offline. |
| Appareil de programmation * | Modifiable. Définit si l’appareil est défini en tant qu’appareil de programmation, effectuant des activités de programmation pour les automates programmables (PLC), les unités de téléconduite (RTU) et les contrôleurs, qui sont pertinentes pour les stations d’ingénierie. |
| Protocoles * | Protocoles utilisés par l’appareil. |
| Niveau Purdue | Modifiable. Niveau Purdue dans lequel l’appareil existe. |
| Appareil d’analyse * | Modifiable. Définit si l’appareil effectue des activités d’analyse dans le réseau. |
| Capteur | Capteur auquel l’appareil est connecté. |
| Numéro de série * | Numéro de série de l’appareil. |
| Site | Site de l’appareil. Tous les capteurs IoT Entreprise sont automatiquement ajoutés au site Réseau Entreprise. |
| Emplacements | Nombre d’emplacements de l’appareil. |
| Sous-type | Modifiable. Sous-type de l’appareil, comme Haut-parleur ou Smart TV. Par défaut : Managed Device |
| Balises | Modifiable. Étiquettes de l’appareil. |
| Type * | Modifiable. Type de l’appareil, comme Communication ou Industriel. Par défaut : Miscellaneous |
| Fournisseur * | Nom du fournisseur de l’appareil, tel que défini dans l’adresse MAC. |
| VLAN * | VLAN de l’appareil. |
| Zone | Zone de l’appareil. |
Les colonnes suivantes sont disponibles uniquement sur les capteurs OT :
- Adresse DHCP de l’appareil
- Adresse FQDN et Heure de la dernière recherche de nom de domaine complet de l’appareil
- Groupes d’appareils qui incluent l’appareil, comme définis sur la carte des appareils du capteur OT
- Adresse du module de l’appareil
- Rack et emplacement de l’appareil
- Nombre d’alertes sans accusé de réception associées à l’appareil
Notes
Les colonnes Type d’agent et Version de l’agent supplémentaires sont utilisées par les générateurs d’appareils. Pour plus d’informations, consultez la documentation sur Microsoft Defender pour IoT pour les fabricants d’appareils.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Gérer l’inventaire de votre appareil à partir du Portail Azure
- Gérer l’inventaire de votre appareil OT à partir d’une console de capteur
- Gérer l’inventaire de votre appareil OT à partir d’une console de gestion locale
- Microsoft Defender pour IoT - protocoles IoT, OT, ICS et SCADA pris en charge
- Investiguer les appareils sur une carte des appareils