Инвентаризация устройств Defender для Интернета вещей
Инвентаризация устройств Defender для Интернета вещей помогает определить сведения о конкретных устройствах, таких как производитель, тип, серийный номер, встроенное ПО и многое другое. Сбор сведений об устройствах помогает командам заранее исследовать уязвимости, которые могут компрометации наиболее важных ресурсов.
Управление всеми устройствами Интернета вещей и OT путем создания актуальной инвентаризации, которая включает все управляемые и неуправляемые устройства.
Защита устройств с помощью подхода на основе рисков для выявления таких рисков, как отсутствие исправлений, уязвимостей и определение приоритетов на основе оценки рисков и автоматического моделирования угроз
Обновление инвентаризации путем удаления неуместных устройств и добавления сведений, относящихся к организации, чтобы подчеркнуть ваши предпочтения организации
Например:
Поддерживаемые устройства
Инвентаризация устройств Defender для Интернета вещей поддерживает следующие классы устройств:
| . | Например... |
|---|---|
| Производство | Промышленные и операционные устройства, такие как пневматические устройства, системы упаковки, промышленные системы упаковки, промышленные роботы |
| Дом | Панели доступа, устройства наблюдения, системы HVAC, лифты, интеллектуальные системы освещения |
| Здравоохранения | Метры глюкозы, мониторы |
| Транспорт / коммунальные услуги | Турникеты, счетчики людей, датчики движения, системы пожарной и безопасности, интеркомы |
| Энергия и ресурсы | Контроллеры DCS, PLCs, историк устройства, HMIs |
| Устройства конечных точек | Рабочие станции, серверы или мобильные устройства |
| Функции корпоративного уровня | Интеллектуальные устройства, принтеры, устройства связи или аудио-видеоустройства |
| Розничная торговля | Сканеры штрихкодов, датчик влажности, часы удара |
Временный тип устройства указывает на устройство, которое было обнаружено только в течение короткого времени. Мы рекомендуем тщательно исследовать эти устройства, чтобы понять их влияние на сеть.
Неклассифицированные устройства — это устройства, которые не имеют определенной категории вне поля.
Параметры управления устройствами
Инвентаризация устройств Defender для Интернета вещей доступна в следующих расположениях:
| Расположение | Description | Дополнительная поддержка инвентаризации |
|---|---|---|
| Портал Azure | Устройства OT, обнаруженные на всех подключенных к облаку датчиках OT. | — Если вы также используете Microsoft Sentinel, инциденты в Microsoft Sentinel связаны с связанными устройствами в Defender для Интернета вещей. — Используйте книги Defender для Интернета вещей для видимости всех данных инвентаризации подключенных к облаку устройств, включая связанные оповещения и уязвимости. — Если у вас есть устаревший план Корпоративного Интернета вещей в подписке Azure, портал Azure также включает устройства, обнаруженные агентами Microsoft Defender для конечной точки. Если у вас есть датчик Enterprise IoT, портал Azure также включает устройства, обнаруженные датчиком Enterprise IoT. |
| Microsoft Defender XDR | Устройства Enterprise IoT, обнаруженные агентами Microsoft Defender для конечной точки | Сопоставляйте устройства между XDR в Microsoft Defender в встроенных оповещениях, уязвимостях и рекомендациях. |
| Консоли сетевых датчиков OT | Устройства, обнаруженные датчиком OT | — Просмотр всех обнаруженных устройств на карте сетевых устройств — Просмотр связанных событий в временная шкала события |
| Локальная консоль управления | Устройства, обнаруженные во всех подключенных датчиках OT | Улучшение данных устройства путем импорта данных вручную или с помощью скрипта |
Дополнительные сведения см. в разделе:
- Просмотр сведений об инвентаризации устройств на портале Azure
- Обнаружение устройств Defender для конечной точки
- Управление инвентаризацией устройств OT из консоли датчика
- Управление инвентаризацией устройств ОТ в локальной консоли управления
Автоматически консолидированные устройства
При развертывании Defender для Интернета вещей в масштабе с несколькими датчиками OT каждый датчик может обнаруживать различные аспекты одного устройства. Чтобы предотвратить дублирование устройств в инвентаризации устройств, Defender для Интернета вещей предполагает, что все устройства, найденные в одной зоне, с логическим сочетанием аналогичных характеристик, совпадают. Defender для Интернета вещей автоматически объединяет эти устройства и перечисляет их только один раз в инвентаризации устройств.
Например, все устройства с одинаковым IP-адресом и MAC-адресом, обнаруженными в той же зоне, объединяются и определяются как одно устройство в инвентаризации устройств. Если у вас есть отдельные устройства от повторяющихся IP-адресов, обнаруженных несколькими датчиками, необходимо определить каждый из этих устройств отдельно. В таких случаях включите датчики OT в разные зоны, чтобы каждое устройство было идентифицировано как отдельное и уникальное устройство, даже если они имеют один и тот же IP-адрес. Устройства с одинаковыми MAC-адресами, но разные IP-адреса не объединяются и продолжают отображаться как уникальные устройства.
Временный тип устройства указывает на устройство, которое было обнаружено только в течение короткого времени. Мы рекомендуем тщательно исследовать эти устройства, чтобы понять их влияние на сеть.
Неклассифицированные устройства — это устройства, которые не имеют определенной категории вне поля.
Совет
Определите сайты и зоны в Defender для Интернета вещей, чтобы обеспечить общую безопасность сети, следовать принципам нулевого доверия и получить ясность в данных, обнаруженных датчиками.
Несанкционированные устройства
При первой работе с Defender для Интернета вещей во время обучения сразу после развертывания датчика все устройства определяются как авторизованные устройства.
После завершения периода обучения обнаруженные новые устройства считаются несанкционированными и новыми устройствами. Рекомендуется тщательно проверка этих устройств для рисков и уязвимостей. Например, в портал Azure отфильтруйте инвентаризацию устройств.Authorization == **Unauthorized** На странице сведений об устройстве детализация и проверка для связанных уязвимостей, оповещений и рекомендаций.
Новое состояние удаляется сразу после изменения любой информации об устройстве или перемещения устройства на карте датчика OT. В отличие от этого, неавторизованная метка остается до тех пор, пока вы вручную не измените сведения об устройстве и помечаете его как авторизованные.
На датчике OT несанкционированные устройства также включаются в следующие отчеты:
Отчеты о векторах атак: устройства, помеченные как несанкционированные , включаются в имитацию вектора атаки как подозреваемые устройства-изгои, которые могут быть угрозой для сети.
Отчеты об оценке рисков: устройства, помеченные как несанкционированные, перечислены в отчетах об оценке рисков в качестве их рисков для вашей сети, требуют расследования.
Важные устройства OT
Помечайте устройства OT как важные , чтобы выделить их для дополнительного отслеживания. На датчике OT важные устройства включаются в следующие отчеты:
Отчеты о векторах атак: устройства, помеченные как важные , включаются в имитацию вектора атаки как возможные целевые объекты атаки.
Отчеты об оценке рисков: устройства, помеченные как важные, учитываются в отчетах об оценке рисков при вычислении показателей безопасности.
Данные столбца инвентаризации устройств
В следующей таблице перечислены столбцы, доступные в инвентаризации устройств Defender для Интернета вещей на портал Azure. Элементы с звездами (*) также доступны на датчике OT.
Примечание.
Приведенные ниже функции предоставляются в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
| Имя | Описание |
|---|---|
| Авторизация * | Редактируемый параметр. Определяет, помечено ли устройство как авторизованное. Это значение может потребоваться изменить при изменении безопасности устройства. |
| Бизнес-функция | Редактируемый параметр. Описывает бизнес-функцию устройства. |
| Class | Редактируемый параметр. Класс устройства. По умолчанию: IoT |
| Источник данных | Источник данных, например микроагент, датчик ОТ или Microsoft Defender для конечной точки. По умолчанию: MicroAgent |
| Description * | Редактируемый параметр. Описание устройства. |
| Идентификатор устройства | Назначаемый Azure идентификатор устройства. |
| Модель встроенного ПО | Модель встроенного ПО устройства. |
| Поставщик встроенного ПО | Редактируемый параметр. Поставщик встроенного ПО устройства. |
| Версия встроенного ПО * | Редактируемый параметр. Версия встроенного ПО устройства. |
| Первое появление * | Дата и время первого вида устройства. Отображается в MM/DD/YYYY HH:MM:SS AM/PM формате. На датчике OT отображается как обнаруженное. |
| Важность | Редактируемый параметр. Важный уровень устройства: Low, Mediumили High. |
| Адрес IPv4 | IPv4-адрес устройства. |
| Адрес IPv6 | IPv6-адрес устройства. |
| Последнее действие * | Дата и время последнего отправки события на устройство в Azure или датчик OT в зависимости от того, где вы просматриваете инвентаризацию устройств. Отображается в MM/DD/YYYY HH:MM:SS AM/PM формате. |
| Местонахождение | Редактируемый параметр. Физическое расположение устройства. |
| MAC-адрес * | MAC-адрес устройства. |
| Модель * | Редактируемая аппаратная модель устройства. |
| Имя * | Обязательный и редактируемый параметр. Имя устройства в качестве датчика, обнаруженного пользователем, или как указано пользователем. |
| Сетевое расположение (общедоступная предварительная версия) | Сетевое расположение устройства. Отображает, определено ли устройство как локальное или перенаправленное, в соответствии с настроенными подсетями. |
| Архитектура ОС | Редактируемый параметр. Архитектура операционной системы устройства. |
| Дистрибутив ОС | Редактируемый параметр. Распространение операционной системы устройства, например Android, Linux и Haiku. |
| Платформа ОС * | Редактируемый параметр. Операционная система устройства, если обнаружена. На датчике OT отображается операционная система. |
| Версия ОС | Редактируемый параметр. Версия операционной системы устройства, например Windows 10 или Ubuntu 20.04.1. |
| Режим PLC * | Режим работы PLC устройства, включая состояние ключа (физическое или логическое) и состояние запуска (логический). Если оба состояния одинаковы, отображается только одно состояние. — Возможные ключевые состояния: Run, Program, Remote, Stop, Invalidи Programming Disabled. — Возможные состояния выполнения: Run, StopHaltedProgramExceptionTrappedPausedIdleили .Offline |
| Программируемое устройство * | Редактируемый параметр. Определяет, определено ли устройство как устройство программирования, выполняя действия программирования для PLCs, RTUS и контроллеров, которые относятся к инженерным станциям. |
| Протоколы * | Протоколы, используемые устройством. |
| Уровень Пердью | Редактируемый параметр. Уровень Пердью, в котором находится устройство. |
| Устройство сканера * | Редактируемый параметр. Определяет, выполняет ли устройство такие действия, как сканирование в сети. |
| Датчик | Датчик, к которому подключено устройство. |
| Серийный номер * | Серийный номер устройства. |
| Сайт | Сайт устройства. Все датчики корпоративного Интернета вещей автоматически добавляются на сайт корпоративной сети. |
| Слоты | Число слотов устройства. |
| Подтип | Редактируемый параметр. Подтип устройства, например динамик или Smart TV. По умолчанию: Managed Device |
| Теги | Редактируемый параметр. Теги устройства. |
| Тип * | Редактируемый параметр. Тип устройства, например Связь или Промышленный. По умолчанию: Miscellaneous |
| поставщик * | Имя поставщика устройства, определенное в MAC-адресе. |
| VLAN * | Виртуальная локальная сеть устройства. |
| Зона | Зона устройства. |
Следующие столбцы доступны только для датчиков OT:
- DHCP-адрес устройства
- Полное доменное имя устройства и полное доменное имя последнего поиска
- Группы устройств, которые включают устройство, как определено на карте устройства датчика OT
- Адрес модуля устройства
- Стойка и слот устройства
- Количество оповещений unacknowledged alerts , связанных с устройством
Примечание.
Дополнительные столбцы типов агента и версии агента используются построителями устройств. Дополнительные сведения см. в разделе Документация Microsoft Defender для Интернета вещей для построителей устройств.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Просмотр сведений об инвентаризации устройств на портале Azure
- Управление инвентаризацией устройств OT из консоли датчика
- Управление инвентаризацией устройств ОТ в локальной консоли управления
- Microsoft Defender для Интернета вещей — поддерживаемые протоколы IoT, OT, ICS и SCADA
- Изучение устройств на карте устройств