Bevezetés a nagyvállalati IoT-monitorozásba a Microsoft Defender XDR-ben

  • Cikk

Ez a cikk azt ismerteti, hogy Végponthoz készült Microsoft Defender ügyfelek hogyan figyelhetik a vállalati IoT-eszközöket a környezetükben a Microsoft Defender XDR hozzáadott biztonsági értékének használatával.

Bár az IoT-eszközleltár már elérhető a Defender for Endpoint P2-ügyfelek számára, a vállalati IoT-biztonság bekapcsolása riasztásokat, javaslatokat és biztonságirés-adatokat ad hozzá a vállalati hálózat IoT-eszközeihez.

Az IoT-eszközök közé tartoznak a nyomtatók, a kamerák, a VOIP-telefonok, az intelligens tévék és egyebek. A vállalati IoT-biztonság bekapcsolása például azt jelenti, hogy a Microsoft Defender XDR egyik javaslatával egyetlen informatikai jegyet nyithat meg a sebezhető alkalmazások kiszolgálókon és nyomtatókon történő javításához.

Előfeltételek

Mielőtt elkezdené a cikkben szereplő eljárásokat, olvassa el a vállalati Biztonságos IoT-eszközökön, hogy többet tudjon meg a Defender for Endpoint és a Defender for IoT integrációjáról.

Győződjön meg arról, hogy rendelkezik:

  • IoT-eszközök a hálózaton, a Microsoft Defender XDR eszközleltárában látható

  • Hozzáférés a Microsoft Defender portálhoz biztonsági rendszergazdaként

  • Az alábbi licencek egyike:

    • Microsoft 365 E5 (ME5) vagy E5 biztonsági licenc

    • Végponthoz készült Microsoft Defender P2, egy extra, önálló Microsoft Defender for IoT – EIoT-eszközlicenc – bővítménylicenc, amely megvásárolható vagy kipróbálható a Microsoft 365 Felügyeleti központ.

    Tipp.

    Ha önálló licenccel rendelkezik, nem kell váltania a Nagyvállalati IoT Security szolgáltatásban, és közvetlenül a Hozzáadott biztonsági érték megtekintése a Microsoft Defender XDR-ben elemre ugorhat.

    További információ: Vállalati IoT-biztonság a Microsoft Defender XDR-ben.

A vállalati IoT-monitorozás bekapcsolása

Ez az eljárás bemutatja, hogyan kapcsolhatja be a vállalati IoT-monitorozást a Microsoft Defender XDR-ben, és csak a ME5/E5 Security ügyfelei számára releváns.

Hagyja ki ezt az eljárást, ha az alábbi licencelési csomagok egyikével rendelkezik:

  • Régi nagyvállalati IoT-díjszabási csomaggal és ME5/E5 Security-licenccel rendelkező ügyfelek.
  • A P2 Végponthoz készült Microsoft Defender különálló, eszközönkénti licenccel rendelkező ügyfelek. Ilyen esetekben a Vállalati IoT biztonsági beállítás írásvédettként van bekapcsolva.

A vállalati IoT-monitorozás bekapcsolása:

  1. A Microsoft Defender XDR-ben válassza a Gépház> Device Discovery>Enterprise IoT lehetőséget.

Feljegyzés

Győződjön meg arról, hogy bekapcsolta az eszközfelderítést a Gépház> Endpoints>speciális funkcióiban.

  1. Állítsa be a Vállalati IoT biztonsági beállítást Be értékre. Példa:

    Screenshot of Enterprise IoT toggled on in Microsoft Defender XDR.

Hozzáadott biztonsági érték megtekintése a Microsoft Defender XDR-ben

Ez az eljárás azt ismerteti, hogyan tekintheti meg egy adott eszköz kapcsolódó riasztásait, javaslatait és biztonsági réseit a Microsoft Defender XDR-ben, amikor a Nagyvállalati IoT biztonsági beállítás be van kapcsolva.

A hozzáadott biztonsági érték megtekintése:

  1. A Microsoft Defender XDR-ben válassza az Eszközök>eszközök lehetőséget az Eszközleltár lap megnyitásához.

  2. Válassza az IoT-eszközök lapot, és válasszon ki egy adott eszköz IP-címét a további részletekért. Példa:

    Screenshot of the IoT devices tab in Microsoft Defender XDR.

  3. Az eszköz részleteinek lapján tekintse meg az eszköz vállalati IoT-biztonsága által hozzáadott adatokat:

    • A Riasztások lapon ellenőrizze az eszköz által aktivált riasztásokat. Riasztások szimulálása a Microsoft 365 Defender vállalati IoT-ben a Microsoft 365 Defender kiértékelési és oktatóanyagok oldalán elérhető Raspberry Pi-forgatókönyv használatával.

      Speciális keresési lekérdezéseket is beállíthat egyéni riasztási szabályok létrehozásához. További információkért tekintse meg a nagyvállalati IoT-monitorozáshoz használt speciális keresési lekérdezések mintáját.

    • A Biztonsági javaslatok lapon ellenőrizze, hogy vannak-e az eszköz számára elérhető javaslatok a kockázat csökkentése és a kisebb támadási felület fenntartása érdekében.

    • A Felderített biztonsági rések lapon ellenőrizze, hogy vannak-e az eszközhöz társított ismert CVE-k. Az ismert CVE-k segíthetnek eldönteni, hogy kijavítják, eltávolítják vagy tartalmazzák-e az eszközt, és mérsékelik a hálózatra vonatkozó kockázatokat. Alternatív megoldásként speciális keresési lekérdezésekkel gyűjtsön biztonsági réseket az összes eszközén.

Fenyegetések keresése:

Az Eszközleltár lapon válassza a Go hunt lehetőséget az eszközök lekérdezéséhez olyan táblák használatával, mint a DeviceInfo tábla. A Speciális vadászlapon adatokat kérdezhet le más sémák használatával.

Speciális keresési lekérdezések minta nagyvállalati IoT-hez

Ez a szakasz a Microsoft 365 Defenderben használható speciális keresési lekérdezések mintáit sorolja fel, amelyek segítenek az IoT-eszközök monitorozásában és védelmében az Enterprise for IoT security szolgáltatással.

Eszközök keresése adott típus vagy altípus szerint

A következő lekérdezéssel azonosíthatja a vállalati hálózaton található eszközöket eszköztípus, például útválasztók szerint: 

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router" 

Biztonsági rések keresése és exportálása az IoT-eszközökhöz

Az alábbi lekérdezéssel listázhatja az IoT-eszközök összes biztonsági rését:

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

További információt a Speciális vadászat és a speciális vadászati séma ismertetése című témakörben talál.

Következő lépések

Eszközfelderítés áttekintése