Defender for IoT-eszközleltár
Az IoT-hez készült Defender eszközleltára segít azonosítani bizonyos eszközök részleteit, például a gyártót, a típust, a sorozatszámot, a belső vezérlőprogramot és egyebeket. Az eszközökkel kapcsolatos információk összegyűjtése segít a csapatoknak proaktívan kivizsgálni azokat a biztonsági réseket, amelyek veszélyeztethetik a legkritikusabb eszközöket.
Az összes IoT/OT-eszköz kezelése az összes felügyelt és nem felügyelt eszközt tartalmazó naprakész leltár létrehozásával
Az eszközök védelme kockázatalapú megközelítéssel olyan kockázatok azonosításához, mint a hiányzó javítások, a biztonsági rések és a javítások rangsorolása a kockázat pontozása és az automatizált fenyegetésmodellezés alapján
A leltár frissítése irreleváns eszközök törlésével és szervezetspecifikus információk hozzáadásával a szervezeti beállítások hangsúlyozása érdekében
Például:
Támogatott eszközök
Az IoT-hez készült Defender eszközleltára a következő eszközosztályokat támogatja:
| Devices | Például ... |
|---|---|
| Gyártóipar | Ipari és üzemeltetési eszközök, például pneumatikus eszközök, csomagolórendszerek, ipari csomagolórendszerek, ipari robotok |
| Épület | Beléptető panelek, megfigyelő eszközök, HVAC rendszerek, liftek, intelligens világítási rendszerek |
| Egészségügyi | Glükózmérők, monitorok |
| Közlekedés / Segédprogramok | Forgótűk, emberszámlálók, mozgásérzékelők, tűz- és biztonsági rendszerek, intercomok |
| Energia és erőforrások | DCS-vezérlők, PLC-k, történészi eszközök, HMI-k |
| Végponteszközök | Munkaállomások, kiszolgálók vagy mobileszközök |
| Enterprise | Intelligens eszközök, nyomtatók, kommunikációs eszközök vagy hang-/videoeszközök |
| Kiskereskedelem | Vonalkódolvasók, páratartalom-érzékelő, lyukasztóórák |
Az átmeneti eszköztípus olyan eszközt jelöl, amelyet csak rövid ideig észleltek. Javasoljuk, hogy gondosan vizsgálja meg ezeket az eszközöket, hogy tisztában legyen a hálózatra gyakorolt hatásukkal.
A nem besorolt eszközök olyan eszközök, amelyek máskülönben nem rendelkeznek beépített kategóriával.
Eszközfelügyeleti beállítások
Az IoT-hez készült Defender eszközleltár a következő helyeken érhető el:
| Location | Leírás | Extra készlettámogatás |
|---|---|---|
| Azure Portal | Az összes felhőalapú OT-érzékelőből észlelt OT-eszközök. | – Ha a Microsoft Sentinelt is használja, a Microsoft Sentinel incidensei a Defender for IoT kapcsolódó eszközeihez kapcsolódnak. – Használja a Defender for IoT-munkafüzeteket az összes felhőalapú eszközleltár láthatóságához, beleértve a kapcsolódó riasztásokat és biztonsági réseket. - Ha örökölt Nagyvállalati IoT-csomaggal rendelkezik az Azure-előfizetésében, az Azure Portal az Végponthoz készült Microsoft Defender ügynökök által észlelt eszközöket is tartalmazza. Ha nagyvállalati IoT-érzékelővel rendelkezik, az Azure Portal a Nagyvállalati IoT-érzékelő által észlelt eszközöket is tartalmazza. |
| Microsoft Defender XDR | Az Végponthoz készült Microsoft Defender ügynökök által észlelt vállalati IoT-eszközök | Az eszközök összekapcsolása a Microsoft Defender XDR-ben célalapú riasztásokban, biztonsági résekben és javaslatokban. |
| OT hálózati érzékelő konzolok | Az OT-érzékelő által észlelt eszközök | – Az összes észlelt eszköz megtekintése egy hálózati eszköztérképen – Kapcsolódó események megtekintése az esemény ütemtervében |
| Helyszíni felügyeleti konzol | Az összes csatlakoztatott OT-érzékelőn észlelt eszközök | Eszközadatok javítása az adatok manuális vagy parancsfájlon keresztüli importálásával |
For more information, see:
- Eszközleltár kezelése az Azure Portalról
- A Defender for Endpoint eszközfelderítése
- Ot-eszközleltár kezelése érzékelőkonzolról
- Az OT-eszközleltár kezelése egy helyszíni felügyeleti konzolról
Automatikusan konszolidált eszközök
Ha nagy léptékben telepítette a Defender for IoT-t több OT-érzékelővel, mindegyik érzékelő észlelheti ugyanannak az eszköznek a különböző aspektusait. A duplikált eszközök eszközleltárban való megakadályozása érdekében az IoT Defender feltételezi, hogy az ugyanabban a zónában található, hasonló jellemzők logikai kombinációjával rendelkező eszközök ugyanaz az eszköz. Az IoT Defender automatikusan összesíti ezeket az eszközöket, és csak egyszer listázza őket az eszközleltárban.
Az ugyanabban a zónában észlelt azonos IP- és MAC-címmel rendelkező eszközök például összevontak, és egyetlen eszközként vannak azonosítva az eszközleltárban. Ha a több érzékelő által észlelt ismétlődő IP-címektől különálló eszközökkel rendelkezik, akkor ezeket az eszközöket külön kell azonosítania. Ilyen esetekben az OT-érzékelőket különböző zónákba kell helyezni, hogy minden eszköz külön és egyedi eszközként legyen azonosítva, még akkor is, ha ugyanazzal az IP-címmel rendelkeznek. Az azonos MAC-címmel rendelkező, de eltérő IP-címmel rendelkező eszközök nem egyesülnek, és továbbra is egyedi eszközökként jelennek meg.
Az átmeneti eszköztípus olyan eszközt jelöl, amelyet csak rövid ideig észleltek. Javasoljuk, hogy gondosan vizsgálja meg ezeket az eszközöket, hogy tisztában legyen a hálózatra gyakorolt hatásukkal.
A nem besorolt eszközök olyan eszközök, amelyek máskülönben nem rendelkeznek beépített kategóriával.
Tipp.
A Defender for IoT-ben helyeket és zónákat határozhat meg a hálózat általános biztonságának megerősítéséhez, a Teljes felügyelet alapelveinek követéséhez és az érzékelők által észlelt adatok egyértelművé tételéhez.
Jogosulatlan eszközök
Amikor először dolgozik a Defender for IoT-vel, az érzékelő üzembe helyezését követő tanulási időszak alatt az összes észlelt eszköz engedélyezett eszközként lesz azonosítva.
A tanulási időszak leteltét követően az észlelt új eszközök jogosulatlannak és új eszközöknek minősülnek. Javasoljuk, hogy gondosan ellenőrizze ezeket az eszközöket a kockázatok és a biztonsági rések szempontjából. Az Azure Portalon például szűrje az eszközleltárat Authorization == **Unauthorized**. Az eszköz részletei lapon részletezheti és ellenőrizheti a kapcsolódó biztonsági réseket, riasztásokat és javaslatokat.
Az új állapot azonnal el lesz távolítva, amint szerkessze az eszköz bármely részletét, vagy áthelyezi az eszközt egy OT-érzékelő eszköztérképén. Ezzel szemben a jogosulatlan címke mindaddig megmarad, amíg manuálisan nem szerkeszti az eszköz adatait, és nem jelöli meg engedélyezettként.
Egy OT-érzékelőn a jogosulatlan eszközök is szerepelnek a következő jelentésekben:
Támadásvektor-jelentések: A jogosulatlanként megjelölt eszközök a támadási vektorszimulációban gyanús, a hálózatra veszélyt jelentő, feltételezett eszközökként szerepelnek.
Kockázatértékelési jelentések: A jogosulatlanként megjelölt eszközök szerepelnek a kockázatértékelési jelentésekben, mivel a hálózatra vonatkozó kockázatuk kivizsgálást igényel.
Fontos OT-eszközök
Jelölje meg az OT-eszközöket fontosként, hogy kiemelje őket a további nyomon követés érdekében. Egy OT-érzékelőn a fontos eszközök a következő jelentésekben szerepelnek:
Támadási vektorjelentések: A fontosként megjelölt eszközök a lehetséges támadási célpontokként szerepelnek a támadási vektorszimulációban.
Kockázatértékelési jelentések: A fontosként megjelölt eszközök a biztonsági pontszámok kiszámításakor a kockázatértékelési jelentésekbe kerülnek.
Eszközleltár oszlopadatai
Az alábbi táblázat az Azure Portalon található Defender for IoT-eszközleltárban elérhető oszlopokat sorolja fel. A csillagozott elemek (*) az OT-érzékelőből is elérhetők.
Megjegyzés:
Az alább felsorolt funkciók előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei olyan egyéb jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
| Name | Leírás |
|---|---|
| Authorization * | Szerkeszthető. Meghatározza, hogy az eszköz engedélyezettként van-e megjelölve. Ez az érték változhat az eszköz biztonsági változásainak megfelelően. |
| Üzleti függvény | Szerkeszthető. Az eszköz üzleti funkcióját ismerteti. |
| Osztály | Szerkeszthető. Az eszköz osztálya. Alapértelmezett: IoT |
| Adatforrás | Az adatok forrása, például mikroügynök, OT-érzékelő vagy Végponthoz készült Microsoft Defender. Alapértelmezett: MicroAgent |
| Ismertetés * | Szerkeszthető. Az eszköz leírása. |
| Eszközazonosító | Az eszköz Azure-beli azonosítószáma. |
| Belső vezérlőprogram-modell | Az eszköz belső vezérlőprogram-modellje. |
| Belső vezérlőprogram szállítója | Szerkeszthető. Az eszköz belső vezérlőprogramjának szállítója. |
| Belső vezérlőprogram verziója * | Szerkeszthető. Az eszköz belső vezérlőprogramjának verziója. |
| Elsőként látható * | Az eszköz első látható dátuma és időpontja. Formátumként MM/DD/YYYY HH:MM:SS AM/PM jelenik meg. Az OT-érzékelőn felderítettként jelenik meg. |
| Fontos | Szerkeszthető. Az eszköz fontos szintje: Low, Mediumvagy High. |
| IPv4-cím | Az eszköz IPv4-címe. |
| IPv6-cím | Az eszköz IPv6-címe. |
| Utolsó tevékenység * | Attól függően, hogy az eszköz mikor és mikor küldött utoljára eseményt az Azure-nak vagy az OT-érzékelőnek, attól függően, hogy hol tekinti meg az eszközleltárat. Formátumként MM/DD/YYYY HH:MM:SS AM/PM jelenik meg. |
| Helyen | Szerkeszthető. Az eszköz fizikai helye. |
| MAC-cím * | Az eszköz MAC-címe. |
| Modell * | Szerkeszthető az eszköz hardvermodellje. |
| Név * | Kötelező és szerkeszthető. Az eszköz neve, ahogy az érzékelő felfedezte, vagy a felhasználó által megadott módon. |
| Hálózati hely (nyilvános előzetes verzió) | Az eszköz hálózati helye. Megjeleníti, hogy az eszköz a konfigurált alhálózatoknak megfelelően helyi vagy irányítottként van-e definiálva. |
| Operációs rendszer architektúrája | Szerkeszthető. Az eszköz operációsrendszer-architektúrája. |
| Operációsrendszer-disztribúció | Szerkeszthető. Az eszköz operációs rendszerének disztribúciója, például Android, Linux és Haiku. |
| Operációsrendszer-platform * | Szerkeszthető. Ha észleli, az eszköz operációs rendszere. Az OT-érzékelőn operációs rendszerként jelenik meg. |
| Operációs rendszer verziója | Szerkeszthető. Az eszköz operációsrendszer-verziója, például a Windows 10 vagy az Ubuntu 20.04.1. |
| PLC mód * | Az eszköz PLC működési módja, beleértve a kulcsállapotot (fizikai/logikai) és a futtatási állapotot (logikai). Ha mindkét állapot megegyezik, akkor csak egy állapot szerepel a listában. - Lehetséges kulcsállapotok : Run, Program, Remote, Stop, Invalidés Programming Disabled. - Lehetséges futtatási állapotok: Run, Program, Stop, PausedException, Halted, Trapped, , Idlevagy Offline. |
| Programozási eszköz * | Szerkeszthető. Meghatározza, hogy az eszköz programozási eszközként van-e definiálva, és programozási tevékenységeket végez-e PLC-k, RTU-k és vezérlők számára, amelyek a mérnöki állomásokra vonatkoznak. |
| Protokollok * | Az eszköz által használt protokollok. |
| Purdue szint | Szerkeszthető. Az eszköz purdue-szintje. |
| Képolvasó eszköz * | Szerkeszthető. Meghatározza, hogy az eszköz végez-e vizsgálatszerű tevékenységeket a hálózaton. |
| Érzékelő | Az az érzékelő, amelyhez az eszköz csatlakoztatva van. |
| Sorszám * | Az eszköz sorozatszáma. |
| Oldalon | Az eszköz webhelye. A rendszer automatikusan hozzáadja az összes vállalati IoT-érzékelőt az Enterprise hálózati helyéhez. |
| Bővítőhely | Az eszköz által használt tárolóhelyek száma. |
| Altípus | Szerkeszthető. Az eszköz altípusa, például a Speaker vagy az Smart TV. Alapértelmezett: Managed Device |
| Címkék | Szerkeszthető. Az eszköz címkéi. |
| Típus * | Szerkeszthető. Az eszköz típusa, például kommunikáció vagy ipari. Alapértelmezett: Miscellaneous |
| Szállító * | Az eszköz szállítójának neve a MAC-címben meghatározottak szerint. |
| VLAN * | Az eszköz VLAN-azonosítója. |
| Zóna | Az eszköz zónája. |
A következő oszlopok csak az OT-érzékelőkön érhetők el:
- Az eszköz DHCP-címe
- Az eszköz teljes tartománynevének címe és a teljes tartománynév utolsó keresési ideje
- Az eszközt tartalmazó eszközcsoportok az OT-érzékelő eszköztérképén meghatározottak szerint
- Az eszköz modulcíme
- Az eszköz állványa és nyílása
- Az eszközhöz társított nem ismert riasztások száma
Megjegyzés:
A további ügynöktípus - és ügynökverzió-oszlopokat az eszközkészítők használják. További információkért tekintse meg a Microsoft Defender for IoT for Device Builders dokumentációját.
További lépések
For more information, see: