Aan de slag met Enterprise IoT-bewaking in Microsoft Defender XDR

In dit artikel wordt beschreven hoe Microsoft Defender voor Eindpunt klanten zakelijke IoT-apparaten in hun omgeving kunnen bewaken met behulp van een toegevoegde beveiligingswaarde in Microsoft Defender XDR.

Hoewel ioT-apparaatinventaris al beschikbaar is voor Klanten van Defender voor Eindpunt P2, voegt het inschakelen van IoT-beveiliging waarschuwingen, aanbevelingen en gegevens over beveiligingsproblemen toe, die speciaal zijn gebouwd voor IoT-apparaten in uw bedrijfsnetwerk.

IoT-apparaten omvatten printers, camera's, VOIP-telefoons, smart-tv's en meer. Als u bedrijfs-IoT-beveiliging inschakelt, kunt u bijvoorbeeld een aanbeveling in Microsoft Defender XDR gebruiken om één IT-ticket te openen voor het patchen van kwetsbare toepassingen op zowel servers als printers.

Vereisten

Lees voordat u de procedures in dit artikel start via Beveiligde IoT-apparaten in de onderneming voor meer informatie over de integratie tussen Defender voor Eindpunt en Defender for IoT.

Zorg ervoor dat u het volgende hebt:

  • IoT-apparaten in uw netwerk, zichtbaar in de Microsoft Defender XDR-apparaatinventaris

  • Toegang tot de Microsoft Defender-portal als beveiligingsbeheerder

  • Een van de volgende licenties:

    • Een Microsoft 365 E5 (ME5) of E5-beveiligingslicentie

    • Microsoft Defender voor Eindpunt P2, met een extra zelfstandige versie Microsoft Defender for IoT - EIoT-apparaatlicentie: uitbreidingslicentie, beschikbaar voor aankoop of proefversie van de Microsoft 365-beheercentrum.

    Tip

    Als u een zelfstandige licentie hebt, hoeft u niet in te schakelen op Enterprise IoT Security en kunt u direct doorgaan naar De toegevoegde beveiligingswaarde weergeven in Microsoft Defender XDR.

    Zie Enterprise IoT-beveiliging in Microsoft Defender XDR voor meer informatie.

IoT-bewaking voor ondernemingen inschakelen

In deze procedure wordt beschreven hoe u Enterprise IoT-bewaking inschakelt in Microsoft Defender XDR en alleen relevant is voor KLANTEN met ME5/E5-beveiliging.

Sla deze procedure over als u een van de volgende typen licentieabonnementen hebt:

  • Klanten met een verouderd Enterprise IoT-abonnement en een ME5/E5-beveiligingslicentie.
  • Klanten met zelfstandige licenties per apparaat toegevoegd aan Microsoft Defender voor Eindpunt P2. In dergelijke gevallen is de beveiligingsinstelling Enterprise IoT ingeschakeld als alleen-lezen.

Bedrijfs-IoT-bewaking inschakelen:

  1. Selecteer in Microsoft Defender XDR Instellingen> Device Discovery>Enterprise IoT.

Notitie

Zorg ervoor dat u Apparaatdetectie hebt ingeschakeld in Instellingen> Geavanceerde functies vanEndpoints.>

  1. Schakel de optie Enterprise IoT-beveiliging in op Aan. Voorbeeld:

    Screenshot of Enterprise IoT toggled on in Microsoft Defender XDR.

Toegevoegde beveiligingswaarde weergeven in Microsoft Defender XDR

In deze procedure wordt beschreven hoe u gerelateerde waarschuwingen, aanbevelingen en beveiligingsproblemen voor een specifiek apparaat in Microsoft Defender XDR kunt weergeven wanneer de optie Enterprise IoT-beveiliging is ingeschakeld.

De toegevoegde beveiligingswaarde weergeven:

  1. Selecteer in Microsoft Defender XDR Assets>Devices om de pagina Apparaatinventaris te openen.

  2. Selecteer het tabblad IoT-apparaten en selecteer een specifiek IP-adres van het apparaat om in te zoomen voor meer informatie. Voorbeeld:

    Screenshot of the IoT devices tab in Microsoft Defender XDR.

  3. Bekijk op de pagina met apparaatdetails de volgende tabbladen om gegevens weer te geven die zijn toegevoegd door de IoT-beveiliging van uw bedrijf voor uw apparaat:

    • Controleer op het tabblad Waarschuwingen op eventuele waarschuwingen die door het apparaat worden geactiveerd. Simuleer waarschuwingen in Microsoft 365 Defender voor Enterprise IoT met behulp van het Raspberry Pi-scenario dat beschikbaar is op de pagina Microsoft 365 Defender-evaluatie en zelfstudies .

      U kunt ook geavanceerde opsporingsquery's instellen om aangepaste waarschuwingsregels te maken. Zie voorbeeld van geavanceerde opsporingsquery's voor Enterprise IoT-bewaking voor meer informatie.

    • Controleer op het tabblad Beveiligingsaankopen op eventuele aanbevelingen die beschikbaar zijn voor het apparaat om het risico te verminderen en een kleiner kwetsbaarheid voor aanvallen te behouden.

    • Controleer op het tabblad Gedetecteerde beveiligingsproblemen of er bekende CV's zijn gekoppeld aan het apparaat. Bekende CVE's kunnen helpen bepalen of u het apparaat wilt patchen, verwijderen of bevatten en risico's voor uw netwerk wilt beperken. U kunt ook geavanceerde opsporingsquery's gebruiken om beveiligingsproblemen op al uw apparaten te verzamelen.

Bedreigingen opsporen:

Selecteer op de pagina Apparaatinventaris go om een query uit te voeren op apparaten met behulp van tabellen zoals de tabel DeviceInfo. Voer op de pagina Geavanceerde opsporing een query uit op gegevens met behulp van andere schema's.

Voorbeeld van geavanceerde opsporingsquery's voor Enterprise IoT

In deze sectie vindt u voorbeelden van geavanceerde opsporingsquery's die u in Microsoft 365 Defender kunt gebruiken om uw IoT-apparaten te bewaken en te beveiligen met Enterprise for IoT-beveiliging.

Apparaten zoeken op specifiek type of subtype

Gebruik de volgende query om apparaten te identificeren die zich in uw bedrijfsnetwerk bevinden op type apparaat, zoals routers:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"  

Beveiligingsproblemen voor uw IoT-apparaten zoeken en exporteren

Gebruik de volgende query om alle beveiligingsproblemen op uw IoT-apparaten weer te geven:

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

Zie Geavanceerde opsporing en inzicht in het geavanceerde opsporingsschema voor meer informatie.

Volgende stappen