Inventário de dispositivos do Defender for IoT
O inventário de dispositivos do Defender for IoT ajuda a identificar detalhes sobre dispositivos específicos, como fabricante, tipo, número de série, firmware e muito mais. A recolha de detalhes sobre os seus dispositivos ajuda as suas equipas a investigar proativamente vulnerabilidades que podem comprometer os seus ativos mais críticos.
Gerencie todos os seus dispositivos IoT/OT criando um inventário atualizado que inclui todos os seus dispositivos gerenciados e não gerenciados
Proteja dispositivos com uma abordagem baseada em risco para identificar riscos, como patches ausentes, vulnerabilidades e priorizar correções com base na pontuação de risco e na modelagem automatizada de ameaças
Atualize seu inventário excluindo dispositivos irrelevantes e adicionando informações específicas da organização para enfatizar as preferências da organização
Por exemplo:
Dispositivos suportados
O inventário de dispositivos do Defender for IoT suporta as seguintes classes de dispositivos:
Dispositivos | Por exemplo... |
---|---|
Indústrias transformadoras | Dispositivos industriais e operacionais, tais como dispositivos pneumáticos, sistemas de embalagem, sistemas de embalagem industrial, robôs industriais |
Edifício | Painéis de acesso, dispositivos de vigilância, sistemas de AVAC, elevadores, sistemas de iluminação inteligentes |
Cuidados de saúde | Medidores de glicose, monitores |
Transporte / Serviços Públicos | Catracas, contadores de pessoas, sensores de movimento, sistemas de incêndio e segurança, intercomunicadores |
Energia e recursos | Controladores DCS, PLCs, dispositivos históricos, HMIs |
Dispositivos de ponto final | Estações de trabalho, servidores ou dispositivos móveis |
Enterprise | Dispositivos inteligentes, impressoras, dispositivos de comunicação ou dispositivos de áudio/vídeo |
Retail | Leitores de código de barras, sensor de humidade, relógios perfuradores |
Um tipo de dispositivo transitório indica um dispositivo que foi detetado por apenas um curto período de tempo. Recomendamos que investigue cuidadosamente estes dispositivos para compreender o seu impacto na sua rede.
Dispositivos não classificados são dispositivos que, de outra forma, não têm uma categoria pronta para uso definida.
Opções de gerenciamento de dispositivos
O inventário de dispositivos do Defender for IoT está disponível nos seguintes locais:
Localização | Description | Suporte de inventário extra |
---|---|---|
Portal do Azure | Dispositivos OT detetados de todos os sensores OT conectados à nuvem. | - Se você também usa o Microsoft Sentinel, os incidentes no Microsoft Sentinel são vinculados a dispositivos relacionados no Defender for IoT. - Use pastas de trabalho do Defender for IoT para visibilidade de todo o inventário de dispositivos conectados à nuvem, incluindo alertas e vulnerabilidades relacionados. - Se você tiver um plano Enterprise IoT herdado em sua assinatura do Azure, o portal do Azure também incluirá dispositivos detetados pelos agentes do Microsoft Defender for Endpoint. Se você tiver um sensor Enterprise IoT, o portal do Azure também incluirá dispositivos detetados pelo sensor Enterprise IoT. |
Microsoft Defender XDR | Dispositivos IoT corporativos detetados por agentes do Microsoft Defender for Endpoint | Correlacione dispositivos no Microsoft Defender XDR em alertas, vulnerabilidades e recomendações criados especificamente para esse fim. |
Consolas de sensores de rede OT | Dispositivos detetados por esse sensor OT | - Ver todos os dispositivos detetados em um mapa de dispositivo de rede - Ver eventos relacionados na cronologia do Evento |
Um console de gerenciamento local | Dispositivos detetados em todos os sensores OT conectados | Melhore os dados do dispositivo importando dados manualmente ou por meio de script |
Para obter mais informações, consulte:
- Gerir o inventário do seu dispositivo a partir do portal do Azure
- Defender for Endpoint device discovery
- Gerencie seu inventário de dispositivos OT a partir de um console de sensor
- Gerencie seu inventário de dispositivos OT a partir de um console de gerenciamento local
Dispositivos consolidados automaticamente
Quando você implanta o Defender for IoT em escala, com vários sensores OT, cada sensor pode detetar aspetos diferentes do mesmo dispositivo. Para evitar dispositivos duplicados no seu inventário de dispositivos, o Defender for IoT assume que todos os dispositivos encontrados na mesma zona, com uma combinação lógica de características semelhantes, são o mesmo dispositivo. O Defender for IoT consolida automaticamente esses dispositivos e os lista apenas uma vez no inventário de dispositivos.
Por exemplo, quaisquer dispositivos com o mesmo endereço IP e MAC detetados na mesma zona são consolidados e identificados como um único dispositivo no inventário de dispositivos. Se você tiver dispositivos separados de endereços IP recorrentes que são detetados por vários sensores, você deseja que cada um desses dispositivos seja identificado separadamente. Nesses casos, integre seus sensores OT em zonas diferentes para que cada dispositivo seja identificado como um dispositivo separado e único, mesmo que eles tenham o mesmo endereço IP. Dispositivos que têm os mesmos endereços MAC, mas endereços IP diferentes não são mesclados e continuam a ser listados como dispositivos exclusivos.
Um tipo de dispositivo transitório indica um dispositivo que foi detetado por apenas um curto período de tempo. Recomendamos que investigue cuidadosamente estes dispositivos para compreender o seu impacto na sua rede.
Dispositivos não classificados são dispositivos que, de outra forma, não têm uma categoria pronta para uso definida.
Gorjeta
Defina sites e zonas no Defender for IoT para fortalecer a segurança geral da rede, siga os princípios do Zero Trust e obtenha clareza nos dados detetados pelos seus sensores.
Dispositivos não autorizados
Quando você está trabalhando pela primeira vez com o Defender for IoT, durante o período de aprendizado logo após a implantação de um sensor, todos os dispositivos detetados são identificados como dispositivos autorizados .
Após o período de aprendizagem, quaisquer novos dispositivos detetados são considerados não autorizados e novos dispositivos. Recomendamos verificar cuidadosamente esses dispositivos quanto a riscos e vulnerabilidades. Por exemplo, no portal do Azure, filtre o inventário de dispositivos para Authorization == **Unauthorized**
. Na página de detalhes do dispositivo, faça uma busca detalhada e verifique se há vulnerabilidades, alertas e recomendações relacionadas.
O novo status é removido assim que você edita qualquer um dos detalhes do dispositivo ou move o dispositivo em um mapa do dispositivo do sensor OT. Por outro lado, a etiqueta não autorizada permanece até que você edite manualmente os detalhes do dispositivo e marque-a como autorizada.
Em um sensor OT, dispositivos não autorizados também são incluídos nos seguintes relatórios:
Relatórios de vetores de ataque: os dispositivos marcados como não autorizados são incluídos em uma simulação de vetor de ataque como dispositivos suspeitos de não autorizados que podem ser uma ameaça à rede.
Relatórios de avaliação de risco: os dispositivos marcados como não autorizados são listados nos relatórios de avaliação de risco, uma vez que os seus riscos para a sua rede requerem investigação.
Dispositivos OT importantes
Marque os dispositivos OT como importantes para destacá-los para rastreamento extra. Em um sensor OT, dispositivos importantes são incluídos nos seguintes relatórios:
Relatórios de vetores de ataque: Os dispositivos marcados como importantes são incluídos em uma simulação de vetor de ataque como possíveis alvos de ataque.
Relatórios de avaliação de risco: Os dispositivos marcados como importantes são contabilizados nos relatórios de avaliação de risco ao calcular as pontuações de segurança.
Dados da coluna de inventário do dispositivo
A tabela a seguir lista as colunas disponíveis no inventário de dispositivos do Defender for IoT no portal do Azure. Itens estrelados (*) também estão disponíveis no sensor OT.
Nota
Os recursos listados abaixo estão em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Nome | Descrição |
---|---|
Autorização * | Editável. Determina se o dispositivo está ou não marcado como autorizado. Esse valor pode precisar ser alterado à medida que a segurança do dispositivo muda. |
Função de negócio | Editável. Descreve a função comercial do dispositivo. |
Classe | Editável. A classe do dispositivo. Predefinição: IoT |
Origem de dados | A fonte dos dados, como um microagente, sensor OT ou Microsoft Defender for Endpoint. Predefinição: MicroAgent |
Descrição * | Editável. A descrição do dispositivo. |
ID do dispositivo | O número de ID atribuído ao Azure do dispositivo. |
Modelo de firmware | O modelo de firmware do dispositivo. |
Fornecedor de firmware | Editável. O fornecedor do firmware do dispositivo. |
Versão do firmware * | Editável. A versão de firmware do dispositivo. |
Visto pela primeira vez * | A data e a hora em que o dispositivo foi visto pela primeira vez. Mostrado no MM/DD/YYYY HH:MM:SS AM/PM formato. No sensor OT, mostrado como Descoberto. |
Importância | Editável. O nível importante do dispositivo: Low , , Medium ou High . |
Endereço IPv4 | O endereço IPv4 do dispositivo. |
Endereço IPv6 | O endereço IPv6 do dispositivo. |
Última atividade * | A data e a hora em que o dispositivo enviou um evento pela última vez para o Azure ou para o sensor OT, dependendo de onde você está exibindo o inventário do dispositivo. Mostrado no MM/DD/YYYY HH:MM:SS AM/PM formato. |
Localização | Editável. A localização física do dispositivo. |
Endereço MAC * | O endereço MAC do dispositivo. |
Modelo * | Editável O modelo de hardware do dispositivo. |
Nome * | Obrigatório e editável. O nome do dispositivo como o sensor o descobriu, ou como inserido pelo usuário. |
Local de rede (visualização pública) | A localização de rede do dispositivo. Exibe se o dispositivo é definido como local ou roteado, de acordo com as sub-redes configuradas. |
Arquitetura de SO | Editável. A arquitetura do sistema operacional do dispositivo. |
Distribuição do SO | Editável. A distribuição do sistema operacional do dispositivo, como Android, Linux e Haiku. |
Plataforma de SO * | Editável. O sistema operacional do dispositivo, se detetado. No sensor OT, mostrado como Sistema Operacional. |
Versão do Sistema Operativo | Editável. A versão do sistema operacional do dispositivo, como Windows 10 ou Ubuntu 20.04.1. |
Modo PLC * | O modo de funcionamento do PLC do dispositivo, incluindo o estado Key (físico/lógico) e o estado Run (lógico). Se ambos os estados são os mesmos, então apenas um estado é listado. - Os possíveis estados-chave incluem: Run , , , Program Stop Remote , Invalid e .Programming Disabled - Os estados de execução possíveis são , , , , , , , Exception Halted Idle , , Trapped Paused Program Stop ou .Offline Run |
Dispositivo de programação * | Editável. Define se o dispositivo é definido como um Dispositivo de Programação, executando atividades de programação para PLCs, RTUs e controladores, que são relevantes para estações de engenharia. |
Protocolos * | Os protocolos que o dispositivo usa. |
Nível de Purdue | Editável. O nível de Purdue em que o dispositivo existe. |
Dispositivo de scanner * | Editável. Define se o dispositivo executa atividades semelhantes à verificação na rede. |
Sensor | O sensor ao qual o dispositivo está ligado. |
Número de série * | O número de série do dispositivo. |
Sítio | O site do dispositivo. Todos os sensores Enterprise IoT são adicionados automaticamente ao site da rede Enterprise. |
Faixas horárias | O número de slots que o dispositivo tem. |
Subtipo | Editável. O subtipo do dispositivo, como alto-falante ou Smart TV. Padrão: Managed Device |
Etiquetas | Editável. As tags do dispositivo. |
Tipo * | Editável. O tipo de dispositivo, como Comunicação ou Industrial. Padrão: Miscellaneous |
Fornecedor * | O nome do fornecedor do dispositivo, conforme definido no endereço MAC. |
VLAN * | VLAN do dispositivo. |
Zona | A zona do dispositivo. |
As seguintes colunas estão disponíveis apenas em sensores OT:
- O endereço DHCP do dispositivo
- O endereço FQDN do dispositivo e a hora da última pesquisa do FQDN
- Os grupos de dispositivos que incluem o dispositivo, conforme definido no mapa do dispositivo do sensor OT
- Endereço do módulo do dispositivo
- Rack e Slot do dispositivo
- O número de alertas não reconhecidos associados ao dispositivo
Nota
As colunas adicionais Tipo de agente e Versão do agente são usadas pelos construtores de dispositivos. Para obter mais informações, consulte a documentação do Microsoft Defender for IoT for device builders.
Próximos passos
Para obter mais informações, consulte:
- Gerir o inventário do seu dispositivo a partir do portal do Azure
- Gerencie seu inventário de dispositivos OT a partir de um console de sensor
- Gerencie seu inventário de dispositivos OT a partir de um console de gerenciamento local
- Microsoft Defender para IoT - protocolos IoT, OT, ICS e SCADA suportados
- Investigar dispositivos em um mapa de dispositivo