Inventario dei dispositivi Defender per IoT
L'inventario dei dispositivi di Defender per IoT consente di identificare i dettagli relativi a dispositivi specifici, ad esempio produttore, tipo, numero di serie, firmware e altro ancora. La raccolta di dettagli sui dispositivi consente ai team di analizzare in modo proattivo le vulnerabilità che possono compromettere gli asset più critici.
Gestire tutti i dispositivi IoT/OT creando un inventario aggiornato che include tutti i dispositivi gestiti e non gestiti
Proteggere i dispositivi con un approccio basato sul rischio per identificare i rischi, ad esempio patch mancanti, vulnerabilità e definizione delle priorità delle correzioni in base al punteggio dei rischi e alla modellazione automatizzata delle minacce
Aggiornare l'inventario eliminando i dispositivi irrilevanti e aggiungendo informazioni specifiche dell'organizzazione per evidenziare le preferenze dell'organizzazione
Ad esempio:
Dispositivi supportati
L'inventario dei dispositivi di Defender per IoT supporta le classi di dispositivi seguenti:
| Dispositivi | Per esempio... |
|---|---|
| Produzione | Dispositivi industriali e operativi, come dispositivi pneumatici, sistemi di imballaggio, sistemi di imballaggio industriale, robot industriali |
| Edificio | Pannelli di accesso, dispositivi di sorveglianza, sistemi HVAC, ascensori, sistemi di illuminazione intelligente |
| Assistenza sanitaria | Misuratori di glucosio, monitoraggi |
| Trasporti/Servizi pubblici | Turnstiles, contatori di persone, sensori di movimento, sistemi di incendio e sicurezza, intercom |
| Energia e risorse | Controller DCS, PLCS, dispositivi storici, HMI |
| Dispositivi endpoint | Workstation, server o dispositivi mobili |
| Funzionalità per le aziende | Dispositivi intelligenti, stampanti, dispositivi di comunicazione o dispositivi audio/video |
| Vendita al dettaglio | Scanner di codice a barre, sensore di umidità, orologi a pugni |
Un tipo di dispositivo temporaneo indica un dispositivo rilevato solo per un breve periodo di tempo. È consigliabile esaminare attentamente questi dispositivi per comprenderne l'impatto sulla rete.
I dispositivi non classificati sono dispositivi che in caso contrario non hanno una categoria predefinita definita.
Opzioni di gestione dei dispositivi
L'inventario dei dispositivi Defender per IoT è disponibile nelle posizioni seguenti:
| Titolo | Descrizione | Supporto aggiuntivo per l'inventario |
|---|---|---|
| Azure portal | Dispositivi OT rilevati da tutti i sensori OT connessi al cloud. | - Se si usa anche Microsoft Sentinel, gli eventi imprevisti in Microsoft Sentinel sono collegati ai dispositivi correlati in Defender per IoT. - Usare le cartelle di lavoro di Defender per IoT per ottenere visibilità su tutti gli inventari dei dispositivi connessi al cloud, inclusi gli avvisi e le vulnerabilità correlati. - Se si ha un piano IoT aziendale legacy nella sottoscrizione di Azure, il portale di Azure include anche i dispositivi rilevati dagli agenti Microsoft Defender per endpoint. Se si dispone di un sensore IoT aziendale, il portale di Azure include anche i dispositivi rilevati dal sensore Enterprise IoT. |
| Microsoft Defender XDR | Dispositivi IoT aziendali rilevati dagli agenti di Microsoft Defender per endpoint | Correlare i dispositivi in Microsoft Defender XDR in avvisi, vulnerabilità e raccomandazioni appositamente creati. |
| Console del sensore di rete OT | Dispositivi rilevati dal sensore OT | - Visualizzare tutti i dispositivi rilevati in una mappa dei dispositivi di rete - Visualizzare gli eventi correlati nella sequenza temporale degli eventi |
| Console di gestione locale | Dispositivi rilevati in tutti i sensori OT connessi | Migliorare i dati del dispositivo importando i dati manualmente o tramite script |
Per altre informazioni, vedi:
- Gestire l'inventario dei dispositivi dal portale di Azure
- Individuazione dei dispositivi defender per endpoint
- Gestire l'inventario dei dispositivi OT da una console del sensore
- Gestire l'inventario dei dispositivi OT da una console di gestione locale
Dispositivi consolidati automaticamente
Dopo aver distribuito Defender per IoT su larga scala, con diversi sensori OT, ogni sensore potrebbe rilevare aspetti diversi dello stesso dispositivo. Per evitare dispositivi duplicati nell'inventario dei dispositivi, Defender per IoT presuppone che tutti i dispositivi presenti nella stessa zona, con una combinazione logica di caratteristiche simili, siano lo stesso dispositivo. Defender per IoT consolida automaticamente questi dispositivi e li elenca una sola volta nell'inventario dei dispositivi.
Ad esempio, tutti i dispositivi con lo stesso indirizzo IP e MAC rilevati nella stessa zona vengono consolidati e identificati come un singolo dispositivo nell'inventario dei dispositivi. Se si dispone di dispositivi separati da indirizzi IP ricorrenti rilevati da più sensori, è necessario che ognuno di questi dispositivi venga identificato separatamente. In questi casi, eseguire l'onboarding dei sensori OT in zone diverse in modo che ogni dispositivo venga identificato come un dispositivo separato e univoco, anche se hanno lo stesso indirizzo IP. I dispositivi con gli stessi indirizzi MAC, ma gli indirizzi IP diversi non vengono uniti e continuano a essere elencati come dispositivi univoci.
Un tipo di dispositivo temporaneo indica un dispositivo rilevato solo per un breve periodo di tempo. È consigliabile esaminare attentamente questi dispositivi per comprenderne l'impatto sulla rete.
I dispositivi non classificati sono dispositivi che in caso contrario non hanno una categoria predefinita definita.
Suggerimento
Definire siti e zone in Defender per IoT per rafforzare la sicurezza di rete complessiva, seguire i principi zero trust e ottenere chiarezza nei dati rilevati dai sensori.
Dispositivi non autorizzati
Quando si usa Defender per IoT per la prima volta, durante il periodo di apprendimento subito dopo la distribuzione di un sensore, tutti i dispositivi rilevati vengono identificati come dispositivi autorizzati .
Dopo il periodo di apprendimento, tutti i nuovi dispositivi rilevati vengono considerati non autorizzati e nuovi dispositivi. È consigliabile controllare attentamente questi dispositivi per individuare rischi e vulnerabilità. Ad esempio, nel portale di Azure filtrare l'inventario dei dispositivi per Authorization == **Unauthorized**. Nella pagina dei dettagli del dispositivo eseguire il drill-down e verificare la presenza di vulnerabilità, avvisi e consigli correlati.
Il nuovo stato viene rimosso non appena si modifica uno dei dettagli del dispositivo o si sposta il dispositivo su una mappa del dispositivo sensore OT. Al contrario, l'etichetta non autorizzata rimane finché non si modificano manualmente i dettagli del dispositivo e lo contrassegnano come autorizzati.
In un sensore OT, i dispositivi non autorizzati sono inclusi anche nei report seguenti:
Report sui vettori di attacco: i dispositivi contrassegnati come non autorizzati sono inclusi in una simulazione di vettori di attacco come dispositivi non autorizzati sospetti che potrebbero essere una minaccia per la rete.
Report di valutazione dei rischi: i dispositivi contrassegnati come non autorizzati sono elencati nei report di valutazione dei rischi perché i rischi per la rete richiedono un'indagine.
Dispositivi OT importanti
Contrassegnare i dispositivi OT come importanti per evidenziarli per un monitoraggio aggiuntivo. In un sensore OT, i dispositivi importanti sono inclusi nei report seguenti:
Report del vettore di attacco: i dispositivi contrassegnati come importanti sono inclusi in una simulazione del vettore di attacco il più possibile obiettivi di attacco.
Report di valutazione dei rischi: i dispositivi contrassegnati come importanti vengono conteggiati nei report di valutazione dei rischi durante il calcolo dei punteggi di sicurezza.
Dati delle colonne di inventario dei dispositivi
La tabella seguente elenca le colonne disponibili nell'inventario dei dispositivi Defender per IoT nel portale di Azure. Gli elementi con stella (*) sono disponibili anche dal sensore OT.
Nota
Le funzionalità indicate di seguito sono disponibili in ANTEPRIMA. Le condizioni supplementari per l'anteprima di Azure includono altri termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
| Nome | Descrizione |
|---|---|
| Autorizzazione * | Modificabile. Determina se il dispositivo è contrassegnato come autorizzato o meno. Questo valore potrebbe dover cambiare man mano che cambia la sicurezza del dispositivo. |
| Funzione business | Modificabile. Descrive la funzione aziendale del dispositivo. |
| Classe | Modificabile. Classe del dispositivo. Impostazione predefinita: IoT |
| Origine dati | Origine dei dati, ad esempio un micro agente, un sensore OT o Microsoft Defender per endpoint. Impostazione predefinita: MicroAgent |
| Descrizione * | Modificabile. Descrizione del dispositivo. |
| ID dispositivo | Numero ID assegnato dal dispositivo. |
| Modello firmware | Modello del firmware del dispositivo. |
| Fornitore del firmware | Modificabile. Fornitore del firmware del dispositivo. |
| Versione del firmware * | Modificabile. Versione del firmware del dispositivo. |
| Primo visto * | Data e ora in cui il dispositivo è stato visto per la prima volta. Visualizzato in MM/DD/YYYY HH:MM:SS AM/PM formato . Sul sensore OT, visualizzato come Individuato. |
| Priorità | Modificabile. Livello importante del dispositivo: Low, Mediumo High. |
| Indirizzo IPv4 | Indirizzo IPv4 del dispositivo. |
| Indirizzo IPv6 | Indirizzo IPv6 del dispositivo. |
| Ultima attività * | Data e ora dell'ultimo invio di un evento da parte del dispositivo ad Azure o al sensore OT, a seconda della posizione in cui si sta visualizzando l'inventario dei dispositivi. Visualizzato in MM/DD/YYYY HH:MM:SS AM/PM formato . |
| Location | Modificabile. Posizione fisica del dispositivo. |
| Indirizzo MAC * | Indirizzo MAC del dispositivo. |
| Modello * | Modificabile Il modello hardware del dispositivo. |
| Nome * | Obbligatorio e modificabile. Il nome del dispositivo come il sensore lo ha individuato o come immesso dall'utente. |
| Percorso di rete (anteprima pubblica) | Percorso di rete del dispositivo. Visualizza se il dispositivo è definito come locale o indirizzato, in base alle subnet configurate. |
| Architettura del sistema operativo | Modificabile. Architettura del sistema operativo del dispositivo. |
| Distribuzione del sistema operativo | Modificabile. Distribuzione del sistema operativo del dispositivo, ad esempio Android, Linux e Haiku. |
| Piattaforma del sistema operativo * | Modificabile. Sistema operativo del dispositivo, se rilevato. Sul sensore OT, visualizzato come Sistema operativo. |
| Versione sistema operativo | Modificabile. Versione del sistema operativo del dispositivo, ad esempio Windows 10 o Ubuntu 20.04.1. |
| Modalità PLC * | La modalità operativa PLC del dispositivo, inclusi sia lo stato chiave (fisico/logico) che lo stato di esecuzione (logico). Se entrambi gli stati sono uguali, viene elencato un solo stato. - Possibili stati chiave includono: Run, Program, Remote, Stop, Invalide Programming Disabled. - I possibili stati di esecuzione sono Run, Program, Stop, Paused, Exception, Halted, TrappedIdle, o Offline. |
| Dispositivo di programmazione * | Modificabile. Definisce se il dispositivo è definito come dispositivo di programmazione, eseguendo attività di programmazione per PC, UR e controller, rilevanti per le stazioni di progettazione. |
| Protocolli * | Protocolli usati dal dispositivo. |
| Livello purdue | Modificabile. Livello Purdue in cui è presente il dispositivo. |
| Dispositivo scanner * | Modificabile. Definisce se il dispositivo esegue attività simili all'analisi nella rete. |
| Sensor | Il sensore a cui è connesso il dispositivo. |
| Numero di serie * | Numero di serie del dispositivo. |
| Sito | Sito del dispositivo. Tutti i sensori IoT aziendali vengono aggiunti automaticamente al sito di rete Aziendale. |
| Slot | Numero di slot di cui dispone il dispositivo. |
| Sottotipo | Modificabile. Sottotipo del dispositivo, ad esempio Altoparlante o Smart TV. Predefinito: Managed Device |
| Tag | Modificabile. Tag del dispositivo. |
| Type * | Modificabile. Tipo di dispositivo, ad esempio Comunicazione o Industriale. Predefinito: Miscellaneous |
| Fornitore * | Nome del fornitore del dispositivo, come definito nell'indirizzo MAC. |
| VLAN * | VLAN del dispositivo. |
| Zona | Zona del dispositivo. |
Le colonne seguenti sono disponibili solo nei sensori OT:
- Indirizzo DHCP del dispositivo
- L'indirizzo FQDN del dispositivo e l'ora dell'ultima ricerca FQDN del dispositivo
- Gruppi di dispositivi che includono il dispositivo, come definito nella mappa del dispositivo del sensore OT
- Indirizzo del modulo del dispositivo
- Rack e slot del dispositivo
- Numero di avvisi non riconosciuti associati al dispositivo
Nota
Le colonne aggiuntive Tipo agente e Versione agente vengono usate dai generatori di dispositivi. Per altre informazioni, vedere la documentazione di Microsoft Defender per IoT per gli sviluppatori di dispositivi.
Passaggi successivi
Per altre informazioni, vedi:
- Gestire l'inventario dei dispositivi dal portale di Azure
- Gestire l'inventario dei dispositivi OT da una console del sensore
- Gestire l'inventario dei dispositivi OT da una console di gestione locale
- Microsoft Defender per IoT: protocolli IoT, OT, ICS e SCADA supportati
- Esaminare i dispositivi in una mappa dei dispositivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per