Share via


Inventario dei dispositivi Defender per IoT

L'inventario dei dispositivi di Defender per IoT consente di identificare i dettagli relativi a dispositivi specifici, ad esempio produttore, tipo, numero di serie, firmware e altro ancora. La raccolta di dettagli sui dispositivi consente ai team di analizzare in modo proattivo le vulnerabilità che possono compromettere gli asset più critici.

  • Gestire tutti i dispositivi IoT/OT creando un inventario aggiornato che include tutti i dispositivi gestiti e non gestiti

  • Proteggere i dispositivi con un approccio basato sul rischio per identificare i rischi, ad esempio patch mancanti, vulnerabilità e definizione delle priorità delle correzioni in base al punteggio dei rischi e alla modellazione automatizzata delle minacce

  • Aggiornare l'inventario eliminando i dispositivi irrilevanti e aggiungendo informazioni specifiche dell'organizzazione per evidenziare le preferenze dell'organizzazione

Ad esempio:

Screenshot of the Defender for IoT Device inventory page in the Azure portal.

Dispositivi supportati

L'inventario dei dispositivi di Defender per IoT supporta le classi di dispositivi seguenti:

Dispositivi Per esempio...
Produzione Dispositivi industriali e operativi, come dispositivi pneumatici, sistemi di imballaggio, sistemi di imballaggio industriale, robot industriali
Edificio Pannelli di accesso, dispositivi di sorveglianza, sistemi HVAC, ascensori, sistemi di illuminazione intelligente
Assistenza sanitaria Misuratori di glucosio, monitoraggi
Trasporti/Servizi pubblici Turnstiles, contatori di persone, sensori di movimento, sistemi di incendio e sicurezza, intercom
Energia e risorse Controller DCS, PLCS, dispositivi storici, HMI
Dispositivi endpoint Workstation, server o dispositivi mobili
Funzionalità per le aziende Dispositivi intelligenti, stampanti, dispositivi di comunicazione o dispositivi audio/video
Vendita al dettaglio Scanner di codice a barre, sensore di umidità, orologi a pugni

Un tipo di dispositivo temporaneo indica un dispositivo rilevato solo per un breve periodo di tempo. È consigliabile esaminare attentamente questi dispositivi per comprenderne l'impatto sulla rete.

I dispositivi non classificati sono dispositivi che in caso contrario non hanno una categoria predefinita definita.

Opzioni di gestione dei dispositivi

L'inventario dei dispositivi Defender per IoT è disponibile nelle posizioni seguenti:

Titolo Descrizione Supporto aggiuntivo per l'inventario
Azure portal Dispositivi OT rilevati da tutti i sensori OT connessi al cloud. - Se si usa anche Microsoft Sentinel, gli eventi imprevisti in Microsoft Sentinel sono collegati ai dispositivi correlati in Defender per IoT.

- Usare le cartelle di lavoro di Defender per IoT per ottenere visibilità su tutti gli inventari dei dispositivi connessi al cloud, inclusi gli avvisi e le vulnerabilità correlati.

- Se si ha un piano IoT aziendale legacy nella sottoscrizione di Azure, il portale di Azure include anche i dispositivi rilevati dagli agenti Microsoft Defender per endpoint. Se si dispone di un sensore IoT aziendale, il portale di Azure include anche i dispositivi rilevati dal sensore Enterprise IoT.
Microsoft Defender XDR Dispositivi IoT aziendali rilevati dagli agenti di Microsoft Defender per endpoint Correlare i dispositivi in Microsoft Defender XDR in avvisi, vulnerabilità e raccomandazioni appositamente creati.
Console del sensore di rete OT Dispositivi rilevati dal sensore OT - Visualizzare tutti i dispositivi rilevati in una mappa dei dispositivi di rete

- Visualizzare gli eventi correlati nella sequenza temporale degli eventi
Console di gestione locale Dispositivi rilevati in tutti i sensori OT connessi Migliorare i dati del dispositivo importando i dati manualmente o tramite script

Per altre informazioni, vedi:

Dispositivi consolidati automaticamente

Dopo aver distribuito Defender per IoT su larga scala, con diversi sensori OT, ogni sensore potrebbe rilevare aspetti diversi dello stesso dispositivo. Per evitare dispositivi duplicati nell'inventario dei dispositivi, Defender per IoT presuppone che tutti i dispositivi presenti nella stessa zona, con una combinazione logica di caratteristiche simili, siano lo stesso dispositivo. Defender per IoT consolida automaticamente questi dispositivi e li elenca una sola volta nell'inventario dei dispositivi.

Ad esempio, tutti i dispositivi con lo stesso indirizzo IP e MAC rilevati nella stessa zona vengono consolidati e identificati come un singolo dispositivo nell'inventario dei dispositivi. Se si dispone di dispositivi separati da indirizzi IP ricorrenti rilevati da più sensori, è necessario che ognuno di questi dispositivi venga identificato separatamente. In questi casi, eseguire l'onboarding dei sensori OT in zone diverse in modo che ogni dispositivo venga identificato come un dispositivo separato e univoco, anche se hanno lo stesso indirizzo IP. I dispositivi con gli stessi indirizzi MAC, ma gli indirizzi IP diversi non vengono uniti e continuano a essere elencati come dispositivi univoci.

Un tipo di dispositivo temporaneo indica un dispositivo rilevato solo per un breve periodo di tempo. È consigliabile esaminare attentamente questi dispositivi per comprenderne l'impatto sulla rete.

I dispositivi non classificati sono dispositivi che in caso contrario non hanno una categoria predefinita definita.

Suggerimento

Definire siti e zone in Defender per IoT per rafforzare la sicurezza di rete complessiva, seguire i principi zero trust e ottenere chiarezza nei dati rilevati dai sensori.

Dispositivi non autorizzati

Quando si usa Defender per IoT per la prima volta, durante il periodo di apprendimento subito dopo la distribuzione di un sensore, tutti i dispositivi rilevati vengono identificati come dispositivi autorizzati .

Dopo il periodo di apprendimento, tutti i nuovi dispositivi rilevati vengono considerati non autorizzati e nuovi dispositivi. È consigliabile controllare attentamente questi dispositivi per individuare rischi e vulnerabilità. Ad esempio, nel portale di Azure filtrare l'inventario dei dispositivi per Authorization == **Unauthorized**. Nella pagina dei dettagli del dispositivo eseguire il drill-down e verificare la presenza di vulnerabilità, avvisi e consigli correlati.

Il nuovo stato viene rimosso non appena si modifica uno dei dettagli del dispositivo o si sposta il dispositivo su una mappa del dispositivo sensore OT. Al contrario, l'etichetta non autorizzata rimane finché non si modificano manualmente i dettagli del dispositivo e lo contrassegnano come autorizzati.

In un sensore OT, i dispositivi non autorizzati sono inclusi anche nei report seguenti:

  • Report sui vettori di attacco: i dispositivi contrassegnati come non autorizzati sono inclusi in una simulazione di vettori di attacco come dispositivi non autorizzati sospetti che potrebbero essere una minaccia per la rete.

  • Report di valutazione dei rischi: i dispositivi contrassegnati come non autorizzati sono elencati nei report di valutazione dei rischi perché i rischi per la rete richiedono un'indagine.

Dispositivi OT importanti

Contrassegnare i dispositivi OT come importanti per evidenziarli per un monitoraggio aggiuntivo. In un sensore OT, i dispositivi importanti sono inclusi nei report seguenti:

  • Report del vettore di attacco: i dispositivi contrassegnati come importanti sono inclusi in una simulazione del vettore di attacco il più possibile obiettivi di attacco.

  • Report di valutazione dei rischi: i dispositivi contrassegnati come importanti vengono conteggiati nei report di valutazione dei rischi durante il calcolo dei punteggi di sicurezza.

Dati delle colonne di inventario dei dispositivi

La tabella seguente elenca le colonne disponibili nell'inventario dei dispositivi Defender per IoT nel portale di Azure. Gli elementi con stella (*) sono disponibili anche dal sensore OT.

Nota

Le funzionalità indicate di seguito sono disponibili in ANTEPRIMA. Le condizioni supplementari per l'anteprima di Azure includono altri termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Nome Descrizione
Autorizzazione * Modificabile. Determina se il dispositivo è contrassegnato come autorizzato o meno. Questo valore potrebbe dover cambiare man mano che cambia la sicurezza del dispositivo.
Funzione business Modificabile. Descrive la funzione aziendale del dispositivo.
Classe Modificabile. Classe del dispositivo.
Impostazione predefinita: IoT
Origine dati Origine dei dati, ad esempio un micro agente, un sensore OT o Microsoft Defender per endpoint.
Impostazione predefinita: MicroAgent
Descrizione * Modificabile. Descrizione del dispositivo.
ID dispositivo Numero ID assegnato dal dispositivo.
Modello firmware Modello del firmware del dispositivo.
Fornitore del firmware Modificabile. Fornitore del firmware del dispositivo.
Versione del firmware * Modificabile. Versione del firmware del dispositivo.
Primo visto * Data e ora in cui il dispositivo è stato visto per la prima volta. Visualizzato in MM/DD/YYYY HH:MM:SS AM/PM formato . Sul sensore OT, visualizzato come Individuato.
Priorità Modificabile. Livello importante del dispositivo: Low, Mediumo High.
Indirizzo IPv4 Indirizzo IPv4 del dispositivo.
Indirizzo IPv6 Indirizzo IPv6 del dispositivo.
Ultima attività * Data e ora dell'ultimo invio di un evento da parte del dispositivo ad Azure o al sensore OT, a seconda della posizione in cui si sta visualizzando l'inventario dei dispositivi. Visualizzato in MM/DD/YYYY HH:MM:SS AM/PM formato .
Location Modificabile. Posizione fisica del dispositivo.
Indirizzo MAC * Indirizzo MAC del dispositivo.
Modello * Modificabile Il modello hardware del dispositivo.
Nome * Obbligatorio e modificabile. Il nome del dispositivo come il sensore lo ha individuato o come immesso dall'utente.
Percorso di rete (anteprima pubblica) Percorso di rete del dispositivo. Visualizza se il dispositivo è definito come locale o indirizzato, in base alle subnet configurate.
Architettura del sistema operativo Modificabile. Architettura del sistema operativo del dispositivo.
Distribuzione del sistema operativo Modificabile. Distribuzione del sistema operativo del dispositivo, ad esempio Android, Linux e Haiku.
Piattaforma del sistema operativo * Modificabile. Sistema operativo del dispositivo, se rilevato. Sul sensore OT, visualizzato come Sistema operativo.
Versione sistema operativo Modificabile. Versione del sistema operativo del dispositivo, ad esempio Windows 10 o Ubuntu 20.04.1.
Modalità PLC * La modalità operativa PLC del dispositivo, inclusi sia lo stato chiave (fisico/logico) che lo stato di esecuzione (logico). Se entrambi gli stati sono uguali, viene elencato un solo stato.

- Possibili stati chiave includono: Run, Program, Remote, Stop, Invalide Programming Disabled.

- I possibili stati di esecuzione sono Run, Program, Stop, Paused, Exception, Halted, TrappedIdle, o Offline.
Dispositivo di programmazione * Modificabile. Definisce se il dispositivo è definito come dispositivo di programmazione, eseguendo attività di programmazione per PC, UR e controller, rilevanti per le stazioni di progettazione.
Protocolli * Protocolli usati dal dispositivo.
Livello purdue Modificabile. Livello Purdue in cui è presente il dispositivo.
Dispositivo scanner * Modificabile. Definisce se il dispositivo esegue attività simili all'analisi nella rete.
Sensor Il sensore a cui è connesso il dispositivo.
Numero di serie * Numero di serie del dispositivo.
Sito Sito del dispositivo.

Tutti i sensori IoT aziendali vengono aggiunti automaticamente al sito di rete Aziendale.
Slot Numero di slot di cui dispone il dispositivo.
Sottotipo Modificabile. Sottotipo del dispositivo, ad esempio Altoparlante o Smart TV.
Predefinito:Managed Device
Tag Modificabile. Tag del dispositivo.
Type * Modificabile. Tipo di dispositivo, ad esempio Comunicazione o Industriale.
Predefinito:Miscellaneous
Fornitore * Nome del fornitore del dispositivo, come definito nell'indirizzo MAC.
VLAN * VLAN del dispositivo.
Zona Zona del dispositivo.

Le colonne seguenti sono disponibili solo nei sensori OT:

  • Indirizzo DHCP del dispositivo
  • L'indirizzo FQDN del dispositivo e l'ora dell'ultima ricerca FQDN del dispositivo
  • Gruppi di dispositivi che includono il dispositivo, come definito nella mappa del dispositivo del sensore OT
  • Indirizzo del modulo del dispositivo
  • Rack e slot del dispositivo
  • Numero di avvisi non riconosciuti associati al dispositivo

Nota

Le colonne aggiuntive Tipo agente e Versione agente vengono usate dai generatori di dispositivi. Per altre informazioni, vedere la documentazione di Microsoft Defender per IoT per gli sviluppatori di dispositivi.

Passaggi successivi

Per altre informazioni, vedi: