Inventário de dispositivos do Defender para IoT

O inventário de dispositivos do Defender para IoT ajuda você a identificar detalhes sobre dispositivos específicos, como fabricante, tipo, número de série, firmware e muito mais. Reunir detalhes sobre seus dispositivos ajuda suas equipes a investigar proativamente vulnerabilidades que podem comprometer seus ativos mais críticos.

  • Gerencie todos os dispositivos IoT/OT criando um inventário atualizado que inclui todos os dispositivos gerenciados e não gerenciados

  • Proteja dispositivos com abordagem baseada em risco para identificar riscos como patches ausentes, vulnerabilidades e priorizar correções com base na pontuação de risco e na modelagem automatizada de ameaças

  • Atualize seu inventário excluindo dispositivos irrelevantes e adicionando informações específicas da organização para enfatizar as preferências da sua organização

Por exemplo:

Screenshot of the Defender for IoT Device inventory page in the Azure portal.

Dispositivos com suporte

O inventário de dispositivos do Defender para IoT é compatível com as seguintes classes de dispositivos:

Dispositivos Por exemplo...
Produção Dispositivos industriais e operacionais, como dispositivos pneumáticos, sistemas de embalagem, sistemas de embalagem industrial e robôs industriais
Prédio Painéis de acesso, dispositivos de vigilância, sistemas HVAC, elevadores, sistemas de iluminação inteligentes
Assistência médica Medidores de glicose e monitores
Transporte/utilitários Catracas, contadores de pessoas, sensores de movimento, sistemas de incêndio e segurança e interfones
Energia e recursos Controladores DCS, PLCs, dispositivos historiadores e IHMs
Dispositivos de ponto de extremidade Estações de trabalho, servidores ou dispositivos móveis
Empresa Dispositivos inteligentes, impressoras, dispositivos de comunicação ou dispositivos de áudio/vídeo
Varejo Scanners de código de barras, sensores de umidade e relógios de ponto

Um tipo de dispositivo transitório indica um dispositivo que foi detectado somente por um curto período de tempo. Recomenda-se investigar esses dispositivos cuidadosamente para entender o impacto deles na rede.

Dispositivos não classificados são aqueles que não têm uma categoria pronta para uso definida.

Opções de gerenciamento de dispositivo

O inventário de dispositivos do Defender para IoT está disponível nos seguintes locais:

Location Descrição Suporte adicional ao inventário
Portal do Azure Dispositivos do OT detectados de todos os sensores do OT conectados à nuvem. – Se você também usar o Microsoft Sentinel, os incidentes no Microsoft Sentinel serão vinculados a dispositivos relacionados no Defender para IoT.

– Use as pastas de trabalho do Defender para IoT a fim de obter visibilidade de todo o inventário de dispositivos conectados à nuvem, incluindo alertas e vulnerabilidades relacionados.

– Caso tenha um plano da IoT Enterprise herdado em assinatura do Azure, o portal do Azure também incluirá dispositivos detectados por agentes do Microsoft Defender para Ponto de Extremidade. Caso tenha um sensor da IoT Enterprise, o portal do Azure também incluirá dispositivos detectados pelo sensor da IoT Enterprise.
Microsoft Defender XDR Dispositivos da IoT Enterprise detectados pelos agentes do Microsoft Defender para Ponto de Extremidade Correlacione dispositivos no Microsoft Defender XDR em alertas, vulnerabilidades e recomendações criados especificamente para esse fim.
Consoles de sensor de rede de OT Dispositivos detectados por esse sensor OT – Veja todos os dispositivos detectados em um mapa de dispositivos de rede

– Exibir eventos relacionado na Linha do tempo do evento
Um console de gerenciamento local Dispositivos detectados em todos os sensores OT conectados Aprimorar os dados do dispositivo importando dados manualmente ou via script

Para obter mais informações, consulte:

Dispositivos consolidados automaticamente

Quando você implanta o Defender para IoT em grande escala, com vários sensores de OT, cada sensor pode detectar diferentes aspectos do mesmo dispositivo. Para evitar dispositivos duplicados no seu inventário de dispositivos, o Defender para IoT pressupõe que todos os dispositivos encontrados na mesma zona, com uma combinação lógica de características semelhantes, sejam o mesmo dispositivo. O Defender para IoT consolida automaticamente esses dispositivos e os lista apenas uma vez no inventário de dispositivos.

Por exemplo, todos os dispositivos com o mesmo endereço IP e endereço MAC detectados na mesma zona são consolidados e identificados como um único dispositivo no inventário de dispositivos. Caso tenha dispositivos separados de endereços IP recorrentes que são detectados por vários sensores, é desejável que cada um desses dispositivos seja identificado separadamente. Nesses casos, integre seus sensores de OT a zonas diferentes para que cada dispositivo seja identificado como um dispositivo separado e único, mesmo que todos tenham o mesmo endereço IP. Dispositivos que têm os mesmos endereços de MAC, mas endereços IP diferentes, não são mesclados e continuam listados como dispositivos únicos.

Um tipo de dispositivo transitório indica um dispositivo que foi detectado somente por um curto período de tempo. Recomenda-se investigar esses dispositivos cuidadosamente para entender o impacto deles na rede.

Dispositivos não classificados são aqueles que não têm uma categoria pronta para uso definida.

Dica

Defina sites e zonas no Defender para IoT para reforçar a segurança total da rede, siga os princípios de Confiança Zero e saiba com maior clareza quais dados são detectados pelos sensores.

Dispositivos não autorizados

Quando você trabalha pela primeira vez com o Defender para IoT, durante o período de aprendizagem posterior à implantação de um sensor, todos os dispositivos detectados são identificados como autorizados.

Após o término do período de aprendizagem, quaisquer novos dispositivos detectados são considerados não autorizados e novos dispositivos. Recomenda-se verificar cuidadosamente esses dispositivos quanto a riscos e vulnerabilidades. Por exemplo, no portal do Azure, filtre o inventário de dispositivos para Authorization == **Unauthorized**. Na página de detalhes do dispositivo, faça uma análise detalhada e verifique se há vulnerabilidades, alertas e recomendações relacionados.

O status novo é removido ao editar qualquer um dos detalhes do dispositivo ou mover o dispositivo em um mapa de dispositivos de sensor OT. No entanto, o rótulo não autorizado permanece até que você edite manualmente os detalhes do dispositivo e o marque como autorizado.

Em um sensor OT, os dispositivos não autorizados também são incluídos nos seguintes relatórios:

  • Relatórios de vetores de ataque: os dispositivos marcados como não autorizados são incluídos em uma simulação de vetor de ataque como suspeitos de serem dispositivos invasores que podem consistir em uma ameaça à rede.

  • Relatórios de avaliação de risco: os dispositivos marcados como não autorizados são listados nos relatórios de avaliação de risco, pois os riscos à rede exigem investigação.

Dispositivos OT importantes

Marque os dispositivos OT como importantes para realçá-los para acompanhamento adicional. Em um sensor OT, os dispositivos importantes são incluídos nos seguintes relatórios:

  • Relatórios de vetor de ataque: dispositivos marcados como importantes são incluídos em uma simulação de vetor de ataque como possíveis alvos de ataque.

  • Relatórios de avaliação de risco: os dispositivos marcados como importantes são contados nos relatórios de avaliação de risco ao calcular as pontuações de segurança.

Dados da coluna do inventário de dispositivos

A tabela a seguir lista as colunas disponíveis no inventário de dispositivos do Defender para IoT no portal do Azure. Itens com estrela (*) também estão disponíveis no sensor OT.

Observação

Os recursos indicados abaixo estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Nome Descrição
Autorização * Editável. Determina se o dispositivo está ou não marcado como autorizado. Pode ser necessário alterar esse valor em caso de alterações na segurança do dispositivo.
Função de negócios Editável. Descreve a função de negócios do dispositivo.
Classe Editável. A classe do dispositivo.
Padrão: IoT
Fonte de dados A fonte dos dados, como um microagente, sensor de OT ou Microsoft Defender para Ponto de Extremidade.
Padrão: MicroAgent
Description * Editável. A descrição do dispositivo.
ID do Dispositivo O número de ID atribuído pelo Azure ao dispositivo.
Modelo de firmware O modelo de firmware do dispositivo.
Fornecedor do firmware Editável. O fornecedor do firmware do dispositivo.
Versão de firmware * Editável. A versão do firmware do dispositivo.
Visto pela primeira vez * A data e a hora em que o dispositivo foi visto pela primeira vez. Mostrado no formato MM/DD/YYYY HH:MM:SS AM/PM. No sensor OT, mostrado como Descoberto.
Importância Editável. O nível de importância do dispositivo: Low, Medium ou High.
Endereço IPv4 O endereço IPv4 do dispositivo.
Endereço IPv6 O endereço IPv6 do dispositivo.
Última atividade * A data e a hora em que o dispositivo enviou um evento pela última vez ao Azure ou ao sensor OT, dependendo de onde você está exibindo o inventário de dispositivos. Mostrado no formato MM/DD/YYYY HH:MM:SS AM/PM.
Localidade Editável. O local físico do dispositivo.
Endereço MAC * O endereço MAC do dispositivo.
Modelo * Editável O modelo de hardware do dispositivo.
Nome * Obrigatório e editável. O nome do dispositivo conforme o sensor o descobriu ou conforme inserido pelo usuário.
Local de rede (Versão prévia pública) O local de rede do dispositivo. Exibe se o dispositivo é definido como local ou roteado, de acordo com as sub-redes configuradas.
Arquitetura do SO Editável. A arquitetura do sistema operacional do dispositivo.
Distribuição do SO Editável. A distribuição do sistema operacional do dispositivo, como Android, Linux e Haiku.
Plataforma do sistema operacional * Editável. O sistema operacional do dispositivo, se detectado. No sensor OT, mostrado como Sistema operacional.
Versão do SO Editável. A versão do sistema operacional do dispositivo, como Windows 10 ou Ubuntu 20.04.1.
Modo PLC * O modo de operação PLC do dispositivo, incluindo o estado Chave (físico/lógico) e o estado Executar (lógico). Se ambos os estados forem iguais, somente um será listado.

– Os estados Chave possíveis incluem: Run, Program, Remote, Stop, Invalid e Programming Disabled.

– Os estados Executar possíveis são Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle ou Offline.
Dispositivo de programação * Editável. Indica se o dispositivo está definido como um Dispositivo de programação, realizando atividades de programação para PLCs, RTUs e controladores, que são relevantes para estações de engenharia.
Protocolos * Os protocolos que o dispositivo usa.
Nível de Purdue Editável. O nível de Purdue no qual o dispositivo existe.
Dispositivo scanner * Editável. Define se o dispositivo executa atividades semelhantes à varredura na rede.
Sensor O sensor ao qual o dispositivo está conectado.
Número de série * Número de série do dispositivo.
Site Site do dispositivo.

Todos os sensores de IoT Enterprise são adicionados automaticamente ao site da rede Enterprise.
Slots O número de slots do dispositivo.
Subtipo Editável. O subtipo do dispositivo, como Alto-falante ou Smart TV.
Padrão: Managed Device
Marcas Editável. As marcas do dispositivo.
Tipo * Editável. O tipo de dispositivo, como Comunicação ou Industrial.
Padrão: Miscellaneous
Fornecedor * O nome do fornecedor do dispositivo, conforme definido no endereço MAC.
VLAN * A VLAN do dispositivo.
Zona A zona do dispositivo.

As seguintes colunas estão disponíveis somente em sensores OT:

  • Endereço DHCP do dispositivo
  • O endereço FQDN do dispositivo e o horário da última pesquisa do FQDN
  • Os Grupos de dispositivos que incluem o dispositivo, conforme definido no mapa de dispositivos do sensor OT
  • O Endereço do módulo do dispositivo
  • O Rack e o Slot do dispositivo
  • O número de alertas não reconhecidos associados ao dispositivo

Observação

As colunas adicionais Tipo de agente e Versão do agente são usadas pelos criadores de dispositivos. Para saber mais, confira Documentação do Microsoft Defender para IoT para construtores de dispositivos.

Próximas etapas

Para obter mais informações, consulte: