Spis urządzeń usługi Defender for IoT
Spis urządzeń usługi Defender for IoT ułatwia identyfikowanie szczegółowych informacji o określonych urządzeniach, takich jak producent, typ, numer seryjny, oprogramowanie układowe i inne. Zbieranie szczegółowych informacji o urządzeniach pomaga zespołom aktywnie badać luki w zabezpieczeniach, które mogą naruszyć najbardziej krytyczne zasoby.
Zarządzanie wszystkimi urządzeniami IoT/OT przez utworzenie aktualnego spisu zawierającego wszystkie zarządzane i niezarządzane urządzenia
Ochrona urządzeń przy użyciu podejścia opartego na ryzyku w celu identyfikowania zagrożeń, takich jak brakujące poprawki, luki w zabezpieczeniach i ustalanie priorytetów poprawek na podstawie oceniania ryzyka i zautomatyzowanego modelowania zagrożeń
Aktualizowanie spisu przez usunięcie nieistotnych urządzeń i dodanie informacji specyficznych dla organizacji w celu podkreślenia preferencji organizacji
Na przykład:
Obsługiwane urządzenia
Spis urządzeń usługi Defender for IoT obsługuje następujące klasy urządzeń:
| Urządzenia | Na przykład... |
|---|---|
| Produkcja | Urządzenia przemysłowe i operacyjne, takie jak urządzenia pneumatyczne, systemy pakowania, systemy pakowania przemysłowego, roboty przemysłowe |
| Building | Panele dostępu, urządzenia nadzoru, systemy HVAC, windy, inteligentne systemy oświetleniowe |
| Opieka zdrowotna | Mierniki glukozy, monitory |
| Transport / narzędzia | Turntiles, liczniki ludzi, czujniki ruchu, systemy pożarowe i bezpieczeństwa, interkomy |
| Energia i zasoby | Kontrolery DCS, PLC, urządzenia historyk, HMI |
| Urządzenia z punktami końcowymi | Stacje robocze, serwery lub urządzenia przenośne |
| Przedsiębiorstwo | Urządzenia inteligentne, drukarki, urządzenia komunikacyjne lub urządzenia audio/wideo |
| Retail | Skanery kodów kreskowych, czujnik wilgotności, zegary punch |
Przejściowy typ urządzenia wskazuje urządzenie, które zostało wykryte tylko przez krótki czas. Zalecamy dokładne zbadanie tych urządzeń, aby zrozumieć ich wpływ na sieć.
Niesklasyfikowane urządzenia to urządzenia, które w przeciwnym razie nie mają zdefiniowanej gotowej kategorii.
Opcje zarządzania urządzeniami
Spis urządzeń usługi Defender for IoT jest dostępny w następujących lokalizacjach:
| Lokalizacja | opis | Dodatkowa obsługa spisu |
|---|---|---|
| Witryna Azure Portal | Urządzenia OT wykryte ze wszystkich czujników OT połączonych z chmurą. | — Jeśli używasz również usługi Microsoft Sentinel, zdarzenia w usłudze Microsoft Sentinel są połączone z powiązanymi urządzeniami w usłudze Defender dla IoT. — Użyj skoroszytów usługi Defender dla IoT, aby uzyskać wgląd we wszystkie spisy urządzeń połączonych z chmurą, w tym powiązane alerty i luki w zabezpieczeniach. — Jeśli masz starszy plan IoT przedsiębiorstwa w ramach subskrypcji platformy Azure, witryna Azure Portal obejmuje również urządzenia wykryte przez agentów Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli masz czujnik IoT przedsiębiorstwa, witryna Azure Portal zawiera również urządzenia wykryte przez czujnik IoT przedsiębiorstwa. |
| Microsoft Defender XDR | Urządzenia IoT w przedsiębiorstwie wykryte przez agentów Ochrona punktu końcowego w usłudze Microsoft Defender | Korelowanie urządzeń w usłudze Microsoft Defender XDR w specjalnie utworzonych alertach, lukach w zabezpieczeniach i zaleceniach. |
| Konsole czujników sieci OT | Urządzenia wykryte przez ten czujnik OT | — Wyświetlanie wszystkich wykrytych urządzeń na mapie urządzeń sieciowych - Wyświetlanie powiązanych zdarzeń na osi czasu zdarzenia |
| Lokalna konsola zarządzania | Urządzenia wykryte we wszystkich połączonych czujnikach OT | Ulepszanie danych urządzenia przez ręczne importowanie danych lub za pomocą skryptu |
Aby uzyskać więcej informacji, zobacz:
- Zarządzanie spisem urządzeń w witrynie Azure Portal
- Odnajdywanie urządzeń w usłudze Defender for Endpoint
- Zarządzanie spisem urządzeń OT z poziomu konsoli czujnika
- Zarządzanie spisem urządzeń OT z lokalnej konsoli zarządzania
Automatycznie skonsolidowane urządzenia
Podczas wdrażania usługi Defender dla IoT na dużą skalę z kilkoma czujnikami OT każdy czujnik może wykryć różne aspekty tego samego urządzenia. Aby zapobiec zduplikowanym urządzeniom w spisie urządzeń, usługa Defender dla IoT zakłada, że wszystkie urządzenia znajdujące się w tej samej strefie, z logiczną kombinacją podobnych cech, są tym samym urządzeniem. Usługa Defender dla IoT automatycznie konsoliduje te urządzenia i wyświetla je tylko raz w spisie urządzeń.
Na przykład wszystkie urządzenia z tym samym adresem IP i MAC wykrytym w tej samej strefie są konsolidowane i identyfikowane jako jedno urządzenie w spisie urządzeń. Jeśli masz oddzielne urządzenia od cyklicznych adresów IP, które są wykrywane przez wiele czujników, chcesz, aby każde z tych urządzeń zostało zidentyfikowane oddzielnie. W takich przypadkach dołącz czujniki OT do różnych stref, aby każde urządzenie było identyfikowane jako oddzielne i unikatowe urządzenie, nawet jeśli mają ten sam adres IP. Urządzenia, które mają te same adresy MAC, ale różne adresy IP nie są scalane i nadal są wyświetlane jako unikatowe urządzenia.
Przejściowy typ urządzenia wskazuje urządzenie, które zostało wykryte tylko przez krótki czas. Zalecamy dokładne zbadanie tych urządzeń, aby zrozumieć ich wpływ na sieć.
Niesklasyfikowane urządzenia to urządzenia, które w przeciwnym razie nie mają zdefiniowanej gotowej kategorii.
Napiwek
Zdefiniuj lokacje i strefy w usłudze Defender dla IoT, aby wzmocnić ogólne zabezpieczenia sieci, przestrzegać zasad zero trust i uzyskać przejrzystość danych wykrytych przez czujniki.
Nieautoryzowane urządzenia
Podczas pierwszej pracy z usługą Defender dla IoT podczas uczenia się tuż po wdrożeniu czujnika wszystkie wykryte urządzenia są identyfikowane jako autoryzowane urządzenia.
Po zakończeniu okresu nauki wszystkie wykryte nowe urządzenia są uznawane za nieautoryzowane i nowe urządzenia. Zalecamy dokładne sprawdzenie tych urządzeń pod kątem zagrożeń i luk w zabezpieczeniach. Na przykład w witrynie Azure Portal przefiltruj spis urządzeń pod kątem Authorization == **Unauthorized**. Na stronie szczegółów urządzenia przejdź do szczegółów i sprawdź powiązane luki w zabezpieczeniach, alerty i zalecenia.
Nowy stan zostanie usunięty natychmiast po zmodyfikowaniu dowolnego szczegółów urządzenia lub przeniesieniu urządzenia na mapie urządzenia czujnika OT. Z kolei etykieta nieautoryzowana pozostaje do momentu ręcznego edytowania szczegółów urządzenia i oznaczania jej jako autoryzowanej.
W czujniku OT urządzenia nieautoryzowane są również dostępne w następujących raportach:
Raporty wektorów ataków: urządzenia oznaczone jako nieautoryzowane są uwzględniane w symulacji wektorów ataków jako podejrzane nieautoryzowane urządzenia, które mogą być zagrożeniem dla sieci.
Raporty oceny ryzyka: urządzenia oznaczone jako nieautoryzowane są wyświetlane w raportach oceny ryzyka, ponieważ ich zagrożenia dla sieci wymagają badania.
Ważne urządzenia OT
Oznacz urządzenia OT jako ważne , aby wyróżnić je w celu dodatkowego śledzenia. W czujniku OT ważne urządzenia są uwzględniane w następujących raportach:
Raporty wektorów ataków: urządzenia oznaczone jako ważne są uwzględniane w symulacji wektorów ataków, jak to możliwe.
Raporty oceny ryzyka: urządzenia oznaczone jako ważne są liczone w raportach oceny ryzyka podczas obliczania ocen zabezpieczeń.
Dane kolumn spisu urządzeń
W poniższej tabeli wymieniono kolumny dostępne w spisie urządzeń usługi Defender for IoT w witrynie Azure Portal oraz czujnik OT, opis każdej kolumny oraz informacje o tym, czy i w której platformie jest edytowalna. Elementy oznaczone gwiazdką (*) są również dostępne z czujnika OT.
Uwaga
Zanotowane funkcje wymienione poniżej znajdują się w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
| Nazwa/nazwisko | opis | Edytowalne |
|---|---|---|
| Autoryzacja * | Określa, czy urządzenie jest oznaczone jako autoryzowane. Ta wartość może wymagać zmiany w miarę zmian zabezpieczeń urządzenia. Przełącz autoryzowane urządzenie. | Możliwość edycji na platformie Azure i czujniku OT |
| Funkcja biznesowa | Opisuje funkcję biznesową urządzenia. | Możliwość edycji na platformie Azure |
| Klasa | Klasa urządzenia. Domyślnie: IoT |
Możliwość edycji na platformie Azure |
| Źródło danych | Źródło danych, takich jak mikro agent, czujnik OT lub Ochrona punktu końcowego w usłudze Microsoft Defender. Domyślnie: MicroAgent |
Nie można edytować |
| Opis * | Opis urządzenia. | Możliwość edycji zarówno na platformie Azure, jak i w czujniku OT |
| Identyfikator urządzenia | Numer identyfikatora przypisanego przez platformę Azure urządzenia. | Nie można edytować |
| Model oprogramowania układowego | Model oprogramowania układowego urządzenia. | Możliwość edycji na platformie Azure |
| Dostawca oprogramowania układowego | Dostawca oprogramowania układowego urządzenia. | Nie można edytować |
| Wersja oprogramowania układowego * | Wersja oprogramowania układowego urządzenia. | Możliwość edycji na platformie Azure |
| Po raz pierwszy widziany * | Data i godzina pierwszego zobaczenia urządzenia. Pokazano w MM/DD/YYYY HH:MM:SS AM/PM formacie. Na czujniku OT wyświetlanym jako Odnaleziono. |
Nie można edytować |
| Znaczenie | Ważny poziom urządzenia: Low, lub MediumHigh. |
Możliwość edycji na platformie Azure |
| Adres IPv4 * | Adres IPv4 urządzenia. | Nie można edytować |
| Adres IPv6 | Adres IPv6 urządzenia. | Nie można edytować |
| Ostatnie działanie * | Data i godzina ostatniego wysłania zdarzenia przez urządzenie na platformę Azure lub do czujnika OT w zależności od miejsca wyświetlania spisu urządzeń. Pokazano w MM/DD/YYYY HH:MM:SS AM/PM formacie. |
Nie można edytować |
| Lokalizacja | Lokalizacja fizyczna urządzenia. | Możliwość edycji na platformie Azure |
| Adres MAC * | Adres MAC urządzenia. | Nie można edytować |
| Model * | Model sprzętowy urządzenia. | Możliwość edycji na platformie Azure |
| Nazwa/nazwisko * | Obowiązkowy. Nazwa urządzenia jako czujnik go wykrył lub została wprowadzona przez użytkownika. | Możliwość edycji na platformie Azure i czujniku OT |
| Lokalizacja sieciowa (publiczna wersja zapoznawcza) * | Lokalizacja sieciowa urządzenia. Wyświetla, czy urządzenie jest zdefiniowane jako lokalne , czy kierowane zgodnie ze skonfigurowanymi podsieciami. | Nie można edytować |
| Architektura systemu operacyjnego | Architektura systemu operacyjnego urządzenia. | Nie można edytować |
| Dystrybucja systemu operacyjnego | Dystrybucja systemu operacyjnego urządzenia, taka jak Android, Linux i Haiku. | Nie można edytować |
| Platforma systemu operacyjnego * | System operacyjny urządzenia, jeśli zostanie wykryty. Na czujniku OT wyświetlanym jako System operacyjny. | Edytowalne w czujniku OT |
| Wersja systemu operacyjnego | Wersja systemu operacyjnego urządzenia, taka jak Windows 10 lub Ubuntu 20.04.1. | Nie można edytować |
| Tryb PLC * | Tryb operacyjny PLC urządzenia, w tym stan klucza (fizyczny/ logiczny) i stan uruchomienia (logiczny). Jeśli oba stany są takie same, zostanie wyświetlony tylko jeden stan. - Możliwe stany klucza obejmują: Run, , Program, StopRemote, Invalid, i Programming Disabled. - Możliwe stany uruchomienia to Run, , StopProgramPausedHaltedException, TrappedIdlelub .Offline |
Edytowalne w czujniku OT |
| Urządzenie programistyczne * | Określa, czy urządzenie jest definiowane jako urządzenie programistyczne, wykonywanie działań programistycznych dla jednostek PLC, RTU i kontrolerów, które są istotne dla stacji inżynieryjnych. | Możliwość edycji na platformie Azure i czujniku OT |
| Protokoły * | Protokoły używane przez urządzenie. | Nie można edytować |
| Poziom purdue | Poziom purdue, w którym istnieje urządzenie. | Możliwość edycji w czujniku OT |
| Urządzenie skanera * | Określa, czy urządzenie wykonuje działania przypominające skanowanie w sieci. | Edytowalne w czujniku OT |
| Czujnik | Czujnik, z który urządzenie jest podłączone. | Nie można edytować |
| Numer seryjny * | Numer seryjny urządzenia. | Nie można edytować |
| Oddział | Witryna urządzenia. Wszystkie czujniki IoT przedsiębiorstwa są automatycznie dodawane do lokacji sieciowej przedsiębiorstwa. |
Nie można edytować |
| Slotów * | Liczba miejsc, które ma urządzenie. | Nie można edytować |
| Podtypu | Podtyp urządzenia, taki jak Głośnik lub Smart TV. Ustawienie domyślne: Managed Device |
Możliwość edycji na platformie Azure |
| Tagi | Tagi urządzenia. | Możliwość edycji na platformie Azure |
| Type * | Typ urządzenia, taki jak Komunikacja lub Industrial. Ustawienie domyślne: Miscellaneous |
Możliwość edycji na platformie Azure i czujniku OT |
| Dostawca * | Nazwa dostawcy urządzenia, zgodnie z definicją w adresie MAC. < Również niespójne — w spisie nazywanym dostawcą w okienku nazywanym dostawcą sprzętu> | Możliwość edycji na platformie Azure |
| Sieć VLAN * | Sieć VLAN urządzenia. | Nie można edytować |
| Strefa | Strefa urządzenia. | Nie można edytować |
Poniższe kolumny są dostępne tylko w czujnikach OT i nie są edytowalne.
- Adres DHCP urządzenia.
- Adres FQDN urządzenia i nazwa FQDN ostatniego czasu wyszukiwania.
- Grupy urządzeń, które zawierają urządzenie, zgodnie z definicją na mapie urządzenia czujnika OT.
- Adres modułu urządzenia.
- Stojak urządzenia.
- Liczba niezaznaczonych alertów skojarzonych z urządzeniem.
Uwaga
Dodatkowe kolumny Typ agenta i Wersja agenta są używane przez konstruktorów urządzeń. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Defender dla IoT dla konstruktorów urządzeń.
Następne kroki
Aby uzyskać więcej informacji, zobacz: