Dela via


Defender för IoT-enhetsinventering

Defender for IoT:s enhetsinventering hjälper dig att identifiera information om specifika enheter, till exempel tillverkare, typ, serienummer, inbyggd programvara med mera. Genom att samla in information om dina enheter kan dina team proaktivt undersöka sårbarheter som kan äventyra dina mest kritiska tillgångar.

  • Hantera alla dina IoT/OT-enheter genom att skapa uppdaterad inventering som innehåller alla dina hanterade och ohanterade enheter

  • Skydda enheter med riskbaserad metod för att identifiera risker som saknade korrigeringar, sårbarheter och prioriteringskorrigeringar baserat på riskbedömning och automatiserad hotmodellering

  • Uppdatera ditt lager genom att ta bort irrelevanta enheter och lägga till organisationsspecifik information för att framhäva organisationens inställningar

Till exempel:

Screenshot of the Defender for IoT Device inventory page in the Azure portal.

Enheter som stöds

Defender för IoT:s enhetsinventering stöder följande enhetsklasser:

Enheter Till exempel ...
Tillverkning Industriella och operativa enheter, till exempel pneumatiska enheter, förpackningssystem, industriella förpackningssystem, industrirobotar
Byggnad Åtkomstpaneler, övervakningsenheter, HVAC-system, hissar, smarta belysningssystem
Hälsovård Glukosmätare, bildskärmar
Transport/Verktyg Vändkors, personräknare, rörelsesensorer, brand- och säkerhetssystem, intercoms
Energi och resurser DCS-styrenheter, PLC:er, historikerenheter, HMIs
Slutpunktsenheter Arbetsstationer, servrar eller mobila enheter
Enterprise Smarta enheter, skrivare, kommunikationsenheter eller ljud-/videoenheter
Retail Streckkodsskannrar, fuktighetssensor, stansklockor

En tillfällig enhetstyp anger en enhet som bara har identifierats under en kort tid. Vi rekommenderar att du undersöker dessa enheter noggrant för att förstå deras inverkan på nätverket.

Oklassificerade enheter är enheter som annars inte har definierat en out-of-the-box-kategori.

Alternativ för enhetshantering

Defender för IoT-enhetsinventering är tillgängligt på följande platser:

Plats beskrivning Extra lagerstöd
Azure-portalen OT-enheter har identifierats från alla molnanslutna OT-sensorer. – Om du även använder Microsoft Sentinel länkas incidenter i Microsoft Sentinel till relaterade enheter i Defender för IoT.

– Använd Defender för IoT-arbetsböcker för att få insyn i alla molnanslutna enhetsinventeringar, inklusive relaterade aviseringar och sårbarheter.

– Om du har en äldre Enterprise IoT-plan för din Azure-prenumeration innehåller Azure-portalen även enheter som identifierats av Microsoft Defender för Endpoint-agenter. Om du har en Enterprise IoT-sensor innehåller Azure-portalen även enheter som identifierats av Enterprise IoT-sensorn.
Microsoft Defender XDR Enterprise IoT-enheter har identifierats av Microsoft Defender för Endpoint-agenter Korrelera enheter mellan Microsoft Defender XDR i specialbyggda aviseringar, sårbarheter och rekommendationer.
OT-nätverkssensorkonsoler Enheter som identifierats av ot-sensorn – Visa alla identifierade enheter i en nätverksenhetskarta

– Visa relaterade händelser på händelsetidslinjen
En lokal hanteringskonsol Enheter som identifierats för alla anslutna OT-sensorer Förbättra enhetsdata genom att importera data manuellt eller via skript

Mer information finns i:

Automatiskt konsoliderade enheter

När du har distribuerat Defender för IoT i stor skala, med flera OT-sensorer, kan varje sensor identifiera olika aspekter av samma enhet. För att förhindra duplicerade enheter i enhetsinventeringen förutsätter Defender för IoT att alla enheter som finns i samma zon, med en logisk kombination av liknande egenskaper, är samma enhet. Defender for IoT konsoliderar automatiskt dessa enheter och visar dem bara en gång i enhetsinventeringen.

Till exempel konsolideras alla enheter med samma IP- och MAC-adress som identifieras i samma zon och identifieras som en enda enhet i enhetsinventeringen. Om du har separata enheter från återkommande IP-adresser som identifieras av flera sensorer vill du att var och en av dessa enheter ska identifieras separat. I sådana fall kan du registrera dina OT-sensorer i olika zoner så att varje enhet identifieras som en separat och unik enhet, även om de har samma IP-adress. Enheter som har samma MAC-adresser men olika IP-adresser sammanfogas inte och fortsätter att visas som unika enheter.

En tillfällig enhetstyp anger en enhet som bara har identifierats under en kort tid. Vi rekommenderar att du undersöker dessa enheter noggrant för att förstå deras inverkan på nätverket.

Oklassificerade enheter är enheter som annars inte har definierat en out-of-the-box-kategori.

Dricks

Definiera webbplatser och zoner i Defender för IoT för att förstärka den övergripande nätverkssäkerheten, följa principerna för Nolltillit och få klarhet i de data som identifieras av dina sensorer.

Obehöriga enheter

När du först arbetar med Defender för IoT identifieras alla enheter som auktoriserade enheter under inlärningsperioden strax efter distributionen av en sensor.

När inlärningsperioden är över anses alla nya enheter som identifierats vara obehöriga och nya enheter. Vi rekommenderar att du kontrollerar dessa enheter noggrant efter risker och sårbarheter. I Azure-portalen filtrerar du till exempel enhetsinventeringen för Authorization == **Unauthorized**. På sidan enhetsinformation ökar du detaljnivån och söker efter relaterade säkerhetsrisker, aviseringar och rekommendationer.

Den nya statusen tas bort så snart du redigerar någon av enhetsinformationen eller flyttar enheten på en ot-sensorenhetskarta. Däremot finns den obehöriga etiketten kvar tills du manuellt redigerar enhetsinformationen och markerar den som auktoriserad.

På en OT-sensor ingår även obehöriga enheter i följande rapporter:

  • Rapporter om attackvektorer: Enheter som markerats som obehöriga ingår i en attackvektorsimulering som misstänkta oseriösa enheter som kan vara ett hot mot nätverket.

  • Riskbedömningsrapporter: Enheter som markerats som obehöriga listas i riskbedömningsrapporter eftersom deras risker för nätverket kräver undersökning.

Viktiga OT-enheter

Markera OT-enheter som viktiga för att markera dem för extra spårning. På en OT-sensor ingår viktiga enheter i följande rapporter:

  • Rapporter om attackvektorer: Enheter som markerats som viktiga ingår i en attackvektorsimulering som möjliga attackmål.

  • Riskbedömningsrapporter: Enheter som markerats som viktiga räknas i riskbedömningsrapporter vid beräkning av säkerhetspoäng.

Kolumndata för enhetsinventering

I följande tabell visas de kolumner som är tillgängliga i Defender for IoT-enhetsinventeringen på Azure-portalen. Stjärnmärkta objekt (*) är också tillgängliga från OT-sensorn.

Kommentar

Angivna funktioner som anges nedan är i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller andra juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Name beskrivning
Auktorisering * Redigerbara. Avgör om enheten har markerats som auktoriserad eller inte. Det här värdet kan behöva ändras när enhetssäkerheten ändras.
Affärsfunktion Redigerbara. Beskriver enhetens affärsfunktion.
Klass Redigerbara. Enhetens klass.
Standard: IoT
Datakälla Datakällan, till exempel en mikroagent, OT-sensor eller Microsoft Defender för Endpoint.
Standard: MicroAgent
Beskrivning * Redigerbara. Enhetens beskrivning.
Enhets-ID Enhetens Azure-tilldelade ID-nummer.
Modell för inbyggd programvara Enhetens modell för inbyggd programvara.
Leverantör av inbyggd programvara Redigerbara. Leverantören av enhetens inbyggda programvara.
Version av inbyggd programvara * Redigerbara. Enhetens version av inbyggd programvara.
Först sett * Datum och tid då enheten först sågs. Visas i MM/DD/YYYY HH:MM:SS AM/PM format. På OT-sensorn visas som Upptäckt.
Betydelse Redigerbara. Enhetens viktiga nivå: Low, Mediumeller High.
IPv4-adress Enhetens IPv4-adress.
IPv6-adress Enhetens IPv6-adress.
Senaste aktivitet * Datum och tid då enheten senast skickade en händelse till Azure eller till OT-sensorn, beroende på var du visar enhetsinventeringen. Visas i MM/DD/YYYY HH:MM:SS AM/PM format.
Plats Redigerbara. Enhetens fysiska plats.
MAC-adress * Enhetens MAC-adress.
Modell * Redigerbar Enhetens maskinvarumodell.
Namn * Obligatorisk och redigerbar. Enhetens namn som sensorn upptäckte det, eller som angetts av användaren.
Nätverksplats (offentlig förhandsversion) Enhetens nätverksplats. Visar om enheten definieras som lokal eller dirigerad enligt de konfigurerade undernäten.
Operativsystemarkitektur Redigerbara. Enhetens operativsystemarkitektur.
OS-distribution Redigerbara. Enhetens operativsystemdistribution, till exempel Android, Linux och Haiku.
OS-plattform * Redigerbara. Enhetens operativsystem, om det identifieras. På OT-sensorn visas som Operativsystem.
OS-version Redigerbara. Enhetens operativsystemversion, till exempel Windows 10 eller Ubuntu 20.04.1.
PLC-läge * Enhetens PLC-driftläge, inklusive både nyckeltillståndet (fysiskt/logiskt) och körningstillståndet (logiskt). Om båda tillstånden är samma visas bara ett tillstånd.

- Möjliga nyckeltillstånd är: Run, Program, Remote, Stop, Invalidoch Programming Disabled.

– Möjliga körningstillstånd är Run, Program, Stop, Paused, Exception, Halted, Trapped, Idleeller Offline.
Programmeringsenhet * Redigerbara. Definierar om enheten definieras som en programmeringsenhet och utför programmeringsaktiviteter för PLC:er, RTU:er och styrenheter, som är relevanta för tekniska stationer.
Protokoll * De protokoll som enheten använder.
Purdue-nivå Redigerbara. Purdue-nivån där enheten finns.
Skannerenhet * Redigerbara. Definierar om enheten utför genomsökningsliknande aktiviteter i nätverket.
Sensor Sensorn som enheten är ansluten till.
Serienummer * Enhetens serienummer.
Plats Enhetens webbplats.

Alla Enterprise IoT-sensorer läggs automatiskt till på företagsnätverksplatsen.
Platser Antalet platser som enheten har.
Subtyp Redigerbara. Enhetens undertyp, till exempel Högtalare eller Smart TV.
Standard: Managed Device
Taggar Redigerbara. Enhetens taggar.
Typ * Redigerbara. Enhetstypen, till exempel Kommunikation eller Industriell.
Standard: Miscellaneous
Leverantör * Namnet på enhetens leverantör enligt definitionen i MAC-adressen.
VLAN * Enhetens VLAN.
Zon Enhetens zon.

Följande kolumner är endast tillgängliga på OT-sensorer:

  • Enhetens DHCP-adress
  • Enhetens FQDN-adress och FQDN senaste uppslagstid
  • Enhetsgrupper som innehåller enheten enligt definitionen på OT-sensorns enhetskarta
  • Enhetens moduladress
  • Enhetens rack och fack
  • Antalet aviseringar om obemärkta aviseringar som är associerade med enheten

Kommentar

De ytterligare kolumnerna Agenttyp och Agentversion används av enhetsbyggare. Mer information finns i dokumentationen om Microsoft Defender för IoT för enhetsbyggare.

Nästa steg

Mer information finns i: