Introduzione al monitoraggio IoT aziendale in Microsoft Defender XDR

  • Articolo

Questo articolo descrive come Microsoft Defender per endpoint i clienti possono monitorare i dispositivi IoT aziendali nel proprio ambiente, usando un valore aggiunto per la sicurezza in Microsoft Defender XDR.

Mentre l'inventario dei dispositivi IoT è già disponibile per i clienti di Defender per Endpoint P2, l'attivazione della sicurezza IoT aziendale aggiunge avvisi, raccomandazioni e dati sulle vulnerabilità, creati appositamente per i dispositivi IoT nella rete aziendale.

I dispositivi IoT includono stampanti, fotocamere, telefoni VOIP, televisori intelligenti e altro ancora. L'attivazione della sicurezza IoT aziendale significa, ad esempio, che è possibile usare una raccomandazione in Microsoft Defender XDR per aprire un singolo ticket IT per applicare patch alle applicazioni vulnerabili su server e stampanti.

Prerequisiti

Prima di iniziare le procedure descritte in questo articolo, leggere i dispositivi IoT sicuri nell'organizzazione per comprendere meglio l'integrazione tra Defender per endpoint e Defender per IoT.

Assicurarsi di disporre degli elementi seguenti:

  • Dispositivi IoT nella rete, visibili nell'inventario dei dispositivi XDR di Microsoft Defender

  • Accesso al portale di Microsoft Defender come amministratore della sicurezza

  • Una delle licenze seguenti:

    • Una licenza di Microsoft 365 E5 (ME5) o E5 Security

    • Microsoft Defender per endpoint P2, con un componente aggiuntivo autonomo Microsoft Defender per IoT - Licenza del dispositivo EIoT - Licenza del componente aggiuntivo, disponibile per l'acquisto o la versione di valutazione dal interfaccia di amministrazione di Microsoft 365.

    Suggerimento

    Se si ha una licenza autonoma, non è necessario attivare La sicurezza IoT aziendale e passare direttamente a Visualizza valore di sicurezza aggiunto in Microsoft Defender XDR.

    Per altre informazioni, vedere Sicurezza IoT aziendale in Microsoft Defender XDR.

Attivare il monitoraggio IoT aziendale

Questa procedura descrive come attivare il monitoraggio IoT aziendale in Microsoft Defender XDR ed è rilevante solo per i clienti me5/E5 Security.

Ignorare questa procedura se si dispone di uno dei tipi di piani di licenza seguenti:

  • Clienti con piano tariffario Enterprise IoT legacy e una licenza ME5/E5 Security.
  • I clienti con licenze autonome per dispositivo aggiunte a Microsoft Defender per endpoint P2. In questi casi, l'impostazione di sicurezza Enterprise IoT è attivata come di sola lettura.

Per attivare il monitoraggio IoT aziendale:

  1. In Microsoft Defender XDR selezionare Impostazioni> Device Discovery>Enterprise IoT.

Nota

Assicurarsi di aver attivato l'individuazione dei dispositivi in Impostazioni Endpoints Advanced Features (Funzionalità avanzate di Endpoint).>>

  1. Attivare o disattivare l'opzione di sicurezza IoT aziendale su . Ad esempio:

    Screenshot of Enterprise IoT toggled on in Microsoft Defender XDR.

Visualizzare il valore di sicurezza aggiunto in Microsoft Defender XDR

Questa procedura descrive come visualizzare avvisi, raccomandazioni e vulnerabilità correlati per un dispositivo specifico in Microsoft Defender XDR, quando l'opzione di sicurezza Enterprise IoT è attivata.

Per visualizzare il valore di sicurezza aggiunto:

  1. In Microsoft Defender XDR selezionare Asset>Dispositivi per aprire la pagina Inventario dispositivi.

  2. Selezionare la scheda Dispositivi IoT e selezionare un indirizzo IP del dispositivo specifico per eseguire il drill-down per altri dettagli. Ad esempio:

    Screenshot of the IoT devices tab in Microsoft Defender XDR.

  3. Nella pagina dei dettagli del dispositivo esplorare le schede seguenti per visualizzare i dati aggiunti dalla sicurezza IoT aziendale per il dispositivo:

    • Nella scheda Avvisi verificare la presenza di avvisi attivati dal dispositivo. Simulare gli avvisi in Microsoft 365 Defender for Enterprise IoT usando lo scenario Raspberry Pi disponibile nella pagina Valutazione e esercitazioni di Microsoft 365 Defender.

      È anche possibile configurare query di ricerca avanzate per creare regole di avviso personalizzate. Per altre informazioni, vedere Esempi di query di ricerca avanzata per il monitoraggio IoT aziendale.

    • Nella scheda Raccomandazioni sulla sicurezza verificare la presenza di eventuali raccomandazioni disponibili per il dispositivo per ridurre i rischi e mantenere una superficie di attacco più piccola.

    • Nella scheda Vulnerabilità individuate verificare la presenza di eventuali CVE note associate al dispositivo. Le CVE note possono aiutare a decidere se applicare patch, rimuovere o contenere il dispositivo e ridurre i rischi per la rete. In alternativa, usare query di ricerca avanzate per raccogliere vulnerabilità in tutti i dispositivi.

Per cercare minacce:

Nella pagina Inventario dispositivi selezionare Vai alla ricerca per eseguire query sui dispositivi usando tabelle come la tabella DeviceInfo . Nella pagina Ricerca avanzata eseguire query sui dati usando altri schemi.

Esempi di query di ricerca avanzata per Enterprise IoT

Questa sezione elenca le query di ricerca avanzata di esempio che è possibile usare in Microsoft 365 Defender per monitorare e proteggere i dispositivi IoT con la sicurezza Enterprise per IoT.

Trovare i dispositivi per tipo o sottotipo specifico

Usare la query seguente per identificare i dispositivi presenti nella rete aziendale per tipo di dispositivo, ad esempio i router: 

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router" 

Individuare ed esportare vulnerabilità per i dispositivi IoT

Usare la query seguente per elencare tutte le vulnerabilità nei dispositivi IoT:

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

Per altre informazioni, vedere Ricerca avanzata e Informazioni sullo schema di ricerca avanzata.

Passaggi successivi

Panoramica dell'individuazione dei dispositivi