Инвентаризация устройств Defender для Интернета вещей
Инвентаризация устройств Defender для Интернета вещей помогает определить сведения о конкретных устройствах, таких как производитель, тип, серийный номер, встроенное ПО и многое другое. Сбор сведений об устройствах помогает командам заранее исследовать уязвимости, которые могут компрометации наиболее важных ресурсов.
Управление всеми устройствами Интернета вещей и OT путем создания актуальной инвентаризации, которая включает все управляемые и неуправляемые устройства.
Защита устройств с помощью подхода на основе рисков для выявления таких рисков, как отсутствие исправлений, уязвимостей и определение приоритетов на основе оценки рисков и автоматического моделирования угроз
Обновление инвентаризации путем удаления неуместных устройств и добавления сведений, относящихся к организации, чтобы подчеркнуть ваши предпочтения организации
Например:
Поддерживаемые устройства
Инвентаризация устройств Defender для Интернета вещей поддерживает следующие классы устройств:
| . | Например... |
|---|---|
| Производство | Промышленные и операционные устройства, такие как пневматические устройства, системы упаковки, промышленные системы упаковки, промышленные роботы |
| Дом | Панели доступа, устройства наблюдения, системы HVAC, лифты, интеллектуальные системы освещения |
| Здравоохранение | Метры глюкозы, мониторы |
| Транспорт / коммунальные услуги | Турникеты, счетчики людей, датчики движения, системы пожарной и безопасности, интеркомы |
| Энергия и ресурсы | Контроллеры DCS, PLCs, историк устройства, HMIs |
| Устройства конечных точек | Рабочие станции, серверы или мобильные устройства |
| Функции корпоративного уровня | Интеллектуальные устройства, принтеры, устройства связи или аудио-видеоустройства |
| Розничная торговля | Сканеры штрихкодов, датчик влажности, часы удара |
Временный тип устройства указывает на устройство, которое было обнаружено только в течение короткого времени. Мы рекомендуем тщательно исследовать эти устройства, чтобы понять их влияние на сеть.
Неклассифицированные устройства — это устройства, которые не имеют определенной категории вне поля.
Параметры управления устройствами
Инвентаризация устройств Defender для Интернета вещей доступна в следующих расположениях:
| Расположение | Description | Дополнительная поддержка инвентаризации |
|---|---|---|
| Портал Azure | Устройства OT, обнаруженные на всех подключенных к облаку датчиках OT. | — Если вы также используете Microsoft Sentinel, инциденты в Microsoft Sentinel связаны с связанными устройствами в Defender для Интернета вещей. — Используйте книги Defender для Интернета вещей для видимости всех данных инвентаризации подключенных к облаку устройств, включая связанные оповещения и уязвимости. — Если у вас есть устаревший план Корпоративного Интернета вещей в подписке Azure, портал Azure также включает устройства, обнаруженные агентами Microsoft Defender для конечной точки. Если у вас есть датчик Enterprise IoT, портал Azure также включает устройства, обнаруженные датчиком Enterprise IoT. |
| Microsoft Defender XDR | Устройства Enterprise IoT, обнаруженные агентами Microsoft Defender для конечной точки | Сопоставляйте устройства между XDR в Microsoft Defender в встроенных оповещениях, уязвимостях и рекомендациях. |
| Консоли сетевых датчиков OT | Устройства, обнаруженные датчиком OT | — Просмотр всех обнаруженных устройств на карте сетевых устройств — Просмотр связанных событий на временной шкале событий |
| Локальная консоль управления | Устройства, обнаруженные во всех подключенных датчиках OT | Улучшение данных устройства путем импорта данных вручную или с помощью скрипта |
Дополнительные сведения см. в разделе:
- Просмотр сведений об инвентаризации устройств на портале Azure
- Обнаружение устройств Defender для конечной точки
- Управление инвентаризацией устройств OT из консоли датчика
- Управление инвентаризацией устройств ОТ в локальной консоли управления
Автоматически консолидированные устройства
При развертывании Defender для Интернета вещей в масштабе с несколькими датчиками OT каждый датчик может обнаруживать различные аспекты одного устройства. Чтобы предотвратить дублирование устройств в инвентаризации устройств, Defender для Интернета вещей предполагает, что все устройства, найденные в одной зоне, с логическим сочетанием аналогичных характеристик, совпадают. Defender для Интернета вещей автоматически объединяет эти устройства и перечисляет их только один раз в инвентаризации устройств.
Например, все устройства с одинаковым IP-адресом и MAC-адресом, обнаруженными в той же зоне, объединяются и определяются как одно устройство в инвентаризации устройств. Если у вас есть отдельные устройства от повторяющихся IP-адресов, обнаруженных несколькими датчиками, необходимо определить каждый из этих устройств отдельно. В таких случаях включите датчики OT в разные зоны, чтобы каждое устройство было идентифицировано как отдельное и уникальное устройство, даже если они имеют один и тот же IP-адрес. Устройства с одинаковыми MAC-адресами, но разные IP-адреса не объединяются и продолжают отображаться как уникальные устройства.
Временный тип устройства указывает на устройство, которое было обнаружено только в течение короткого времени. Мы рекомендуем тщательно исследовать эти устройства, чтобы понять их влияние на сеть.
Неклассифицированные устройства — это устройства, которые не имеют определенной категории вне поля.
Совет
Определите сайты и зоны в Defender для Интернета вещей, чтобы обеспечить общую безопасность сети, следовать принципам нулевого доверия и получить ясность в данных, обнаруженных датчиками.
Несанкционированные устройства
При первой работе с Defender для Интернета вещей во время обучения сразу после развертывания датчика все устройства определяются как авторизованные устройства.
После завершения периода обучения обнаруженные новые устройства считаются несанкционированными и новыми устройствами. Мы рекомендуем тщательно проверять эти устройства на наличие рисков и уязвимостей. Например, в портал Azure отфильтруйте инвентаризацию устройств.Authorization == **Unauthorized** На странице сведений об устройстве детализация и проверка связанных уязвимостей, оповещений и рекомендаций.
Новое состояние удаляется сразу после изменения любой информации об устройстве или перемещения устройства на карте датчика OT. В отличие от этого, неавторизованная метка остается до тех пор, пока вы вручную не измените сведения об устройстве и помечаете его как авторизованные.
На датчике OT несанкционированные устройства также включаются в следующие отчеты:
Отчеты о векторах атак: устройства, помеченные как несанкционированные , включаются в имитацию вектора атаки как подозреваемые устройства-изгои, которые могут быть угрозой для сети.
Отчеты об оценке рисков: устройства, помеченные как несанкционированные, перечислены в отчетах об оценке рисков в качестве их рисков для вашей сети, требуют расследования.
Важные устройства OT
Помечайте устройства OT как важные , чтобы выделить их для дополнительного отслеживания. На датчике OT важные устройства включаются в следующие отчеты:
Отчеты о векторах атак: устройства, помеченные как важные , включаются в имитацию вектора атаки как возможные целевые объекты атаки.
Отчеты об оценке рисков: устройства, помеченные как важные, учитываются в отчетах об оценке рисков при вычислении показателей безопасности.
Данные столбца инвентаризации устройств
В следующей таблице перечислены столбцы, доступные в инвентаризации устройств Defender для Интернета вещей на портал Azure и датчике OT, описание каждого столбца и возможность изменения платформы. Элементы с звездами (*) также доступны на датчике OT.
Примечание.
Приведенные ниже функции предоставляются в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
| Имя | Описание | Возможно изменение |
|---|---|---|
| Авторизация * | Определяет, помечено ли устройство как авторизованное. Это значение может потребоваться изменить при изменении безопасности устройства. Переключение авторизованного устройства. | Редактируемый в Azure и ДАТЧИКе OT |
| Бизнес-функция | Описывает бизнес-функцию устройства. | Редактируемый в Azure |
| Class | Класс устройства. По умолчанию: IoT |
Редактируемый в Azure |
| Источник данных | Источник данных, например микроагент, датчик ОТ или Microsoft Defender для конечной точки. По умолчанию: MicroAgent |
Не редактируемый |
| Description * | Описание устройства. | Редактируемое как в Azure, так и в датчике OT |
| Идентификатор устройства | Назначаемый Azure идентификатор устройства. | Не редактируемый |
| Модель встроенного ПО | Модель встроенного ПО устройства. | Редактируемый в Azure |
| Поставщик встроенного ПО | Поставщик встроенного ПО устройства. | Не редактируемый |
| Версия встроенного ПО * | Версия встроенного ПО устройства. | Редактируемый в Azure |
| Первое появление * | Дата и время первого вида устройства. Отображается в MM/DD/YYYY HH:MM:SS AM/PM формате. На датчике OT отображается как обнаруженное. |
Не редактируемый |
| Важность | Важный уровень устройства: Low, Mediumили High. |
Редактируемый в Azure |
| Адрес IPv4 * | IPv4-адрес устройства. | Не редактируемый |
| Адрес IPv6 | IPv6-адрес устройства. | Не редактируемый |
| Последнее действие * | Дата и время последнего отправки события на устройство в Azure или датчик OT в зависимости от того, где вы просматриваете инвентаризацию устройств. Отображается в MM/DD/YYYY HH:MM:SS AM/PM формате. |
Не редактируемый |
| Местонахождение | Физическое расположение устройства. | Редактируемый в Azure |
| MAC-адрес * | MAC-адрес устройства. | Не редактируемый |
| Модель * | Модель оборудования устройства. | Редактируемый в Azure |
| Имя * | Обязательно. Имя устройства в качестве датчика, обнаруженного пользователем, или как указано пользователем. | Редактируемый датчик Azure и OT |
| Сетевое расположение (общедоступная предварительная версия) * | Сетевое расположение устройства. Отображает, определено ли устройство как локальное или перенаправленное, в соответствии с настроенными подсетями. | Не редактируемый |
| Архитектура ОС | Архитектура операционной системы устройства. | Не редактируемый |
| Дистрибутив ОС | Распространение операционной системы устройства, например Android, Linux и Haiku. | Не редактируемый |
| Платформа ОС * | Операционная система устройства, если обнаружена. На датчике OT отображается операционная система. | Редактируемый в датчике OT |
| Версия ОС | Версия операционной системы устройства, например Windows 10 или Ubuntu 20.04.1. | Не редактируемый |
| Режим PLC * | Режим работы PLC устройства, включая состояние ключа (физическое или логическое) и состояние запуска (логический). Если оба состояния одинаковы, отображается только одно состояние. — Возможные ключевые состояния: Run, Program, Remote, Stop, Invalidи Programming Disabled. — Возможные состояния выполнения: Run, StopHaltedProgramExceptionTrappedPausedIdleили .Offline |
Редактируемый в датчике OT |
| Программируемое устройство * | Определяет, определено ли устройство как устройство программирования, выполняя действия программирования для PLCs, RTUS и контроллеров, которые относятся к инженерным станциям. | Редактируемый датчик Azure и OT |
| Протоколы * | Протоколы, используемые устройством. | Не редактируемый |
| Уровень Пердью | Уровень Пердью, в котором находится устройство. | Редактируемый в датчике OT |
| Устройство сканера * | Определяет, выполняет ли устройство такие действия, как сканирование в сети. | Редактируемый в датчике OT |
| Датчик | Датчик, к которому подключено устройство. | Не редактируемый |
| Серийный номер * | Серийный номер устройства. | Не редактируемый |
| Сайт | Сайт устройства. Все датчики корпоративного Интернета вещей автоматически добавляются на сайт корпоративной сети. |
Не редактируемый |
| Слоты * | Число слотов устройства. | Не редактируемый |
| Подтип | Подтип устройства, например динамик или Smart TV. По умолчанию: Managed Device |
Редактируемый в Azure |
| Теги | Теги устройства. | Редактируемый в Azure |
| Тип * | Тип устройства, например Связь или Промышленный. По умолчанию: Miscellaneous |
Редактируемый датчик Azure и OT |
| поставщик * | Имя поставщика устройства, определенное в MAC-адресе. < Кроме того, несогласованный — в инвентаризации, называемой поставщиком оборудования, в области> | Редактируемый в Azure |
| Виртуальная локальная сеть * | Виртуальная локальная сеть устройства. | Не редактируемый |
| Зона | Зона устройства. | Не редактируемый |
Следующие столбцы доступны только в датчиках OT и не редактируются.
- DHCP-адрес устройства.
- Полное доменное имя устройства и полное доменное имя последнего времени поиска.
- Группы устройств, которые включают устройство, как определено на карте устройства датчика OT.
- Адрес модуля устройства.
- Стойка устройства.
- Количество оповещений unacknowledged alerts , связанных с устройством.
Примечание.
Дополнительные столбцы типов агента и версии агента используются построителями устройств. Дополнительные сведения см. в разделе Документация Microsoft Defender для Интернета вещей для построителей устройств.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Просмотр сведений об инвентаризации устройств на портале Azure
- Управление инвентаризацией устройств OT из консоли датчика
- Управление инвентаризацией устройств ОТ в локальной консоли управления
- Microsoft Defender для Интернета вещей — поддерживаемые протоколы IoT, OT, ICS и SCADA
- Изучение устройств на карте устройств