Defender for IoT-apparaatinventaris
De apparaatinventaris van Defender for IoT helpt u bij het identificeren van details over specifieke apparaten, zoals fabrikant, type, serienummer, firmware en meer. Door gegevens over uw apparaten te verzamelen, kunnen uw teams proactief beveiligingsproblemen onderzoeken die uw meest kritieke assets kunnen in gevaar komen.
Al uw IoT-/OT-apparaten beheren door up-to-date inventaris op te bouwen die al uw beheerde en onbeheerde apparaten bevat
Apparaten beschermen met een risicogebaseerde benadering om risico's te identificeren, zoals ontbrekende patches, beveiligingsproblemen en prioriteiten stellen op basis van risicoscores en geautomatiseerde bedreigingsmodellering
Werk uw inventaris bij door irrelevante apparaten te verwijderen en organisatiespecifieke informatie toe te voegen om de voorkeuren van uw organisatie te benadrukken
Voorbeeld:
Ondersteunde apparaten
De apparaatinventaris van Defender for IoT ondersteunt de volgende apparaatklassen:
| Apparaten | Bijvoorbeeld... |
|---|---|
| Productie | Industriële en operationele apparaten, zoals pneumatische apparaten, verpakkingssystemen, industriële verpakkingssystemen, industriële robots |
| Bouwen | Toegangspanelen, bewakingsapparaten, HVAC-systemen, liften, slimme verlichtingssystemen |
| Gezondheidszorg | Glucosemeters, monitors |
| Transport / Nutsvoorzieningen | Draaistikels, mensentellers, bewegingssensoren, brand- en veiligheidssystemen, intercoms |
| Energie en hulpbronnen | DCS-controllers, PLC's, historische apparaten, HMIs |
| Eindpuntapparaten | Werkstations, servers of mobiele apparaten |
| Enterprise | Slimme apparaten, printers, communicatieapparaten of audio-/videoapparaten |
| Handel | Streepjescodescanners, vochtigheidssensor, slagklokken |
Een tijdelijk apparaattype geeft een apparaat aan dat slechts een korte tijd is gedetecteerd. We raden u aan deze apparaten zorgvuldig te onderzoeken om de impact ervan op uw netwerk te begrijpen.
Niet-geclassificeerde apparaten zijn apparaten waarvoor anders geen out-of-the-box-categorie is gedefinieerd.
Opties voor apparaatbeheer
Defender for IoT-apparaatinventaris is beschikbaar op de volgende locaties:
| Locatie | Beschrijving | Ondersteuning voor extra inventaris |
|---|---|---|
| Azure-portal | OT-apparaten gedetecteerd op basis van alle met de cloud verbonden OT-sensoren. | - Als u ook Microsoft Sentinel gebruikt, zijn incidenten in Microsoft Sentinel gekoppeld aan gerelateerde apparaten in Defender for IoT. - Gebruik Defender for IoT-werkmappen voor inzicht in alle inventaris van apparaten die zijn verbonden met de cloud, inclusief gerelateerde waarschuwingen en beveiligingsproblemen. - Als u een verouderd Enterprise IoT-abonnement hebt voor uw Azure-abonnement, bevat Azure Portal ook apparaten die zijn gedetecteerd door Microsoft Defender voor Eindpunt agents. Als u een Enterprise IoT-sensor hebt, bevat Azure Portal ook apparaten die zijn gedetecteerd door de Enterprise IoT-sensor. |
| Microsoft Defender XDR | IoT-apparaten voor ondernemingen die zijn gedetecteerd door Microsoft Defender voor Eindpunt agents | Correleren van apparaten in Microsoft Defender XDR in speciaal gebouwde waarschuwingen, beveiligingsproblemen en aanbevelingen. |
| OT-netwerksensorconsoles | Apparaten gedetecteerd door die OT-sensor | - Alle gedetecteerde apparaten in een netwerkapparaattoewijzing weergeven - Gerelateerde gebeurtenissen weergeven op de tijdlijn van de gebeurtenis |
| Een on-premises beheerconsole | Apparaten gedetecteerd voor alle verbonden OT-sensoren | Apparaatgegevens verbeteren door gegevens handmatig of via een script te importeren |
Zie voor meer informatie:
- Uw apparaatinventaris beheren vanuit Azure Portal
- Defender voor Eindpunt-apparaatdetectie
- Uw OT-apparaatinventaris beheren vanuit een sensorconsole
- Uw OT-apparaatinventaris beheren vanuit een on-premises beheerconsole
Automatisch geconsolideerde apparaten
Wanneer u Defender for IoT op schaal hebt geïmplementeerd, met verschillende OT-sensoren, kan elke sensor verschillende aspecten van hetzelfde apparaat detecteren. Om gedupliceerde apparaten in uw apparaatinventaris te voorkomen, gaat Defender for IoT ervan uit dat alle apparaten in dezelfde zone, met een logische combinatie van vergelijkbare kenmerken, hetzelfde apparaat zijn. Defender for IoT consolideert deze apparaten automatisch en vermeldt ze slechts eenmaal in de apparaatinventaris.
Apparaten met hetzelfde IP- en MAC-adres dat in dezelfde zone is gedetecteerd, worden bijvoorbeeld geconsolideerd en geïdentificeerd als één apparaat in de apparaatinventaris. Als u afzonderlijke apparaten hebt van terugkerende IP-adressen die door meerdere sensoren worden gedetecteerd, wilt u dat elk van deze apparaten afzonderlijk wordt geïdentificeerd. In dergelijke gevallen moet u uw OT-sensoren onboarden naar verschillende zones, zodat elk apparaat wordt geïdentificeerd als een afzonderlijk en uniek apparaat, zelfs als ze hetzelfde IP-adres hebben. Apparaten met dezelfde MAC-adressen, maar verschillende IP-adressen worden niet samengevoegd en worden nog steeds weergegeven als unieke apparaten.
Een tijdelijk apparaattype geeft een apparaat aan dat slechts een korte tijd is gedetecteerd. We raden u aan deze apparaten zorgvuldig te onderzoeken om de impact ervan op uw netwerk te begrijpen.
Niet-geclassificeerde apparaten zijn apparaten waarvoor anders geen out-of-the-box-categorie is gedefinieerd.
Tip
Definieer sites en zones in Defender for IoT om de algehele netwerkbeveiliging te beveiligen, de principes van Zero Trust te volgen en duidelijkheid te krijgen in de gegevens die door uw sensoren worden gedetecteerd.
Niet-geautoriseerde apparaten
Wanneer u voor het eerst met Defender voor IoT werkt, worden tijdens de leerperiode vlak na het implementeren van een sensor alle gedetecteerde apparaten geïdentificeerd als geautoriseerde apparaten.
Nadat de leerperiode is verstreken, worden alle gedetecteerde nieuwe apparaten beschouwd als niet-geautoriseerd en nieuwe apparaten. We raden u aan deze apparaten zorgvuldig te controleren op risico's en beveiligingsproblemen. Filter bijvoorbeeld in Azure Portal de apparaatinventaris voor Authorization == **Unauthorized**. Op de pagina met apparaatdetails kunt u inzoomen en controleren op gerelateerde beveiligingsproblemen, waarschuwingen en aanbevelingen.
De nieuwe status wordt verwijderd zodra u de details van het apparaat bewerkt of het apparaat verplaatst op een OT-sensorapparaattoewijzing. Het niet-geautoriseerde label blijft daarentegen behouden totdat u de details van het apparaat handmatig bewerkt en markeert als geautoriseerd.
Op een OT-sensor worden niet-geautoriseerde apparaten ook opgenomen in de volgende rapporten:
Aanvalsvectorrapporten: apparaten die als niet-geautoriseerd zijn gemarkeerd, worden opgenomen in een aanvalsvectorsimulatie als vermoedelijke rogue apparaten die mogelijk een bedreiging voor het netwerk vormen.
Risicobeoordelingsrapporten: apparaten die als niet-geautoriseerd zijn gemarkeerd, worden vermeld in risicobeoordelingsrapporten als hun risico's voor uw netwerk onderzoek vereisen.
Belangrijke OT-apparaten
Markeer OT-apparaten als belangrijk om ze te markeren voor extra tracering. Op een OT-sensor worden belangrijke apparaten opgenomen in de volgende rapporten:
Aanvalsvectorrapporten: apparaten die als belangrijk zijn gemarkeerd, worden opgenomen in een aanvalsvectorsimulatie als mogelijke aanvalsdoelen.
Risicobeoordelingsrapporten: apparaten die als belangrijk zijn gemarkeerd, worden meegeteld in risicoanalyserapporten bij het berekenen van beveiligingsscores.
Kolomgegevens voor apparaatinventaris
De volgende tabel bevat de kolommen die beschikbaar zijn in de Defender for IoT-apparaatinventaris in Azure Portal. Starred items (*) zijn ook verkrijgbaar via de OT sensor.
Notitie
Genoteerde functies die hieronder worden vermeld, zijn beschikbaar in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten andere juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.
| Name | Beschrijving |
|---|---|
| Autorisatie * | Bewerkbare. Bepaalt of het apparaat al dan niet is gemarkeerd als geautoriseerd. Deze waarde moet mogelijk worden gewijzigd wanneer de beveiliging van het apparaat verandert. |
| Bedrijfsfunctie | Bewerkbare. Beschrijft de bedrijfsfunctie van het apparaat. |
| Klasse | Bewerkbare. De klasse van het apparaat. Standaardwaarde: IoT |
| Gegevensbron | De bron van de gegevens, zoals een microagent, OT-sensor of Microsoft Defender voor Eindpunt. Standaardwaarde: MicroAgent |
| Beschrijving * | Bewerkbare. De beschrijving van het apparaat. |
| Apparaat-id | Het door Azure toegewezen id-nummer van het apparaat. |
| Firmwaremodel | Het firmwaremodel van het apparaat. |
| Firmwareleverancier | Bewerkbare. De leverancier van de firmware van het apparaat. |
| Firmwareversie * | Bewerkbare. De firmwareversie van het apparaat. |
| Eerst gezien * | De datum en tijd waarop het apparaat voor het eerst is gezien. Weergegeven in MM/DD/YYYY HH:MM:SS AM/PM indeling. Op de OT-sensor, weergegeven als Gedetecteerd. |
| Belang | Bewerkbare. Het belangrijke niveau van het apparaat: Low, Mediumof High. |
| IPv4-adres | Het IPv4-adres van het apparaat. |
| IPv6-adres | Het IPv6-adres van het apparaat. |
| Laatste activiteit * | De datum en tijd waarop het apparaat het laatst een gebeurtenis heeft verzonden naar Azure of naar de OT-sensor, afhankelijk van waar u de apparaatinventaris bekijkt. Weergegeven in MM/DD/YYYY HH:MM:SS AM/PM indeling. |
| Location | Bewerkbare. De fysieke locatie van het apparaat. |
| MAC-adres * | Het MAC-adres van het apparaat. |
| Model * | Bewerkbaar het hardwaremodel van het apparaat. |
| Naam * | Verplicht en bewerkbaar. De naam van het apparaat als de sensor heeft het gedetecteerd of zoals ingevoerd door de gebruiker. |
| Netwerklocatie (openbare preview) | De netwerklocatie van het apparaat. Geeft weer of het apparaat is gedefinieerd als lokaal of gerouteerd, volgens de geconfigureerde subnetten. |
| Architectuur van besturingssysteem | Bewerkbare. De architectuur van het besturingssysteem van het apparaat. |
| Distributie van besturingssysteem | Bewerkbare. De distributie van het besturingssysteem van het apparaat, zoals Android, Linux en Haiku. |
| Besturingssysteemplatform * | Bewerkbare. Het besturingssysteem van het apparaat, indien gedetecteerd. Op de OT-sensor, weergegeven als besturingssysteem. |
| Besturingssysteemversie | Bewerkbare. De versie van het besturingssysteem van het apparaat, zoals Windows 10 of Ubuntu 20.04.1. |
| PLC-modus * | De PLC-bedrijfsmodus van het apparaat, inclusief zowel de sleutelstatus (fysiek/logisch) als de uitvoeringsstatus (logisch). Als beide statussen hetzelfde zijn, wordt er slechts één status weergegeven. - Mogelijke sleutelstatussen zijn: Run, Program, Remote, Stop, Invaliden Programming Disabled. - Mogelijke uitvoeringsstatussen zijn, , , Stop, PausedException, Halted, , Trappedof IdleOffline. ProgramRun |
| Programmeerapparaat * | Bewerkbare. Definieert of het apparaat is gedefinieerd als een programmeerapparaat, het uitvoeren van programmeeractiviteiten voor PC's, RTU's en controllers, die relevant zijn voor technische stations. |
| Protocollen * | De protocollen die door het apparaat worden gebruikt. |
| Purdue-niveau | Bewerkbare. Het Purdue-niveau waarin het apparaat bestaat. |
| Scannerapparaat * | Bewerkbare. Hiermee bepaalt u of het apparaat scan-achtige activiteiten in het netwerk uitvoert. |
| Sensor | De sensor waar het apparaat mee is verbonden. |
| Serienummer * | Het serienummer van het apparaat. |
| Locatie | De site van het apparaat. Alle Enterprise IoT-sensoren worden automatisch toegevoegd aan de bedrijfsnetwerksite . |
| Slots | Het aantal sleuven dat het apparaat heeft. |
| Subtype | Bewerkbare. Het subtype van het apparaat, zoals Luidspreker of Smart TV. Standaard: Managed Device |
| Tags | Bewerkbare. De tags van het apparaat. |
| Type * | Bewerkbare. Het apparaattype, zoals Communicatie of Industrieel. Standaard: Miscellaneous |
| Leverancier * | De naam van de leverancier van het apparaat, zoals gedefinieerd in het MAC-adres. |
| VLAN * | Het VLAN van het apparaat. |
| Zone | De zone van het apparaat. |
De volgende kolommen zijn alleen beschikbaar voor OT-sensoren:
- Het DHCP-adres van het apparaat
- Het FQDN-adres en de FQDN-naam van het apparaat laatst opzoektijd
- De apparaatgroepen die het apparaat bevatten, zoals gedefinieerd op de apparaattoewijzing van de OT-sensor
- Het moduleadres van het apparaat
- Het rek en de sleuf van het apparaat
- Het aantal niet-bekende waarschuwingen dat is gekoppeld aan het apparaat
Notitie
De extra kolommen voor agenttypen en agentversies worden gebruikt door apparaatbouwers. Zie de documentatie van Microsoft Defender for IoT voor apparaatbouwers voor meer informatie.
Volgende stappen
Zie voor meer informatie:
- Uw apparaatinventaris beheren vanuit Azure Portal
- Uw OT-apparaatinventaris beheren vanuit een sensorconsole
- Uw OT-apparaatinventaris beheren vanuit een on-premises beheerconsole
- Microsoft Defender for IoT - ondersteunde IoT-, OT-, ICS- en SCADA-protocollen
- Apparaten onderzoeken op een apparaatoverzicht
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor