Kom igång med företags-IoT-övervakning i Microsoft Defender XDR

  • Artikel

Den här artikeln beskriver hur Microsoft Defender för Endpoint-kunder kan övervaka företags-IoT-enheter i sin miljö med hjälp av ett extra säkerhetsvärde i Microsoft Defender XDR.

Även om IoT-enhetsinventering redan är tillgänglig för Defender för Endpoint P2-kunder lägger aktivering av företags-IoT-säkerhet till aviseringar, rekommendationer och sårbarhetsdata som är specialbyggda för IoT-enheter i företagsnätverket.

IoT-enheter omfattar skrivare, kameror, VOIP-telefoner, smarta TV-apparater med mera. Att aktivera enterprise IoT-säkerhet innebär till exempel att du kan använda en rekommendation i Microsoft Defender XDR för att öppna en enda IT-biljett för att korrigera sårbara program på både servrar och skrivare.

Förutsättningar

Innan du påbörjar procedurerna i den här artikeln läser du igenom Säkra IoT-enheter i företaget för att förstå mer om integreringen mellan Defender för Endpoint och Defender för IoT.

Kontrollera att du har:

  • IoT-enheter i nätverket, synliga i Microsoft Defender XDR-enhetsinventeringen

  • Åtkomst till Microsoft Defender-portalen som säkerhetsadministratör

  • En av följande licenser:

    • En Microsoft 365 E5-licens (ME5) eller E5 Security-licens

    • Microsoft Defender för Endpoint P2, med en extra fristående Microsoft Defender för IoT – EIoT-enhetslicens – tilläggslicens, tillgänglig för köp eller utvärderingsversion från Administrationscenter för Microsoft 365.

    Dricks

    Om du har en fristående licens behöver du inte växla på Enterprise IoT Security och kan hoppa direkt till Visa ytterligare säkerhetsvärde i Microsoft Defender XDR.

    Mer information finns i Enterprise IoT-säkerhet i Microsoft Defender XDR.

Aktivera IoT-övervakning för företag

Den här proceduren beskriver hur du aktiverar företags-IoT-övervakning i Microsoft Defender XDR och är endast relevant för ME5/E5 Security-kunder.

Hoppa över den här proceduren om du har någon av följande typer av licensieringsplaner:

  • Kunder med en äldre Enterprise IoT-prisplan och en ME5/E5-säkerhetslicens.
  • Kunder med fristående licenser per enhet har lagts till i Microsoft Defender för Endpoint P2. I sådana fall är enterprise IoT-säkerhetsinställningen aktiverad som skrivskyddad.

Så här aktiverar du IoT-övervakning för företag:

  1. I Microsoft Defender XDR väljer du Inställningar> Enhetsidentifiering>enterprise-IoT.

Kommentar

Kontrollera att du har aktiverat Enhetsidentifiering i Inställningar> Endpoints Advanced Features.>

  1. Växla säkerhetsalternativet Enterprise IoT till . Till exempel:

    Screenshot of Enterprise IoT toggled on in Microsoft Defender XDR.

Visa ytterligare säkerhetsvärde i Microsoft Defender XDR

Den här proceduren beskriver hur du visar relaterade aviseringar, rekommendationer och sårbarheter för en specifik enhet i Microsoft Defender XDR när säkerhetsalternativet Enterprise IoT är aktiverat.

Så här visar du ett extra säkerhetsvärde:

  1. I Microsoft Defender XDR väljer du Tillgångar>enheter för att öppna sidan Enhetsinventering.

  2. Välj fliken IoT-enheter och välj en specifik enhets-IP för att öka detaljnivån för mer information. Till exempel:

    Screenshot of the IoT devices tab in Microsoft Defender XDR.

  3. På sidan enhetsinformation utforskar du följande flikar för att visa data som lagts till av företagets IoT-säkerhet för din enhet:

    • På fliken Aviseringar söker du efter aviseringar som utlöses av enheten. Simulera aviseringar i Microsoft 365 Defender for Enterprise IoT med hjälp av Raspberry Pi-scenariot som är tillgängligt på sidan Utvärdering och självstudier för Microsoft 365 Defender.

      Du kan också konfigurera avancerade jaktfrågor för att skapa anpassade aviseringsregler. Mer information finns i exempel på avancerade jaktfrågor för Enterprise IoT-övervakning.

    • På fliken Säkerhetsrekommendationer söker du efter eventuella rekommendationer som är tillgängliga för enheten för att minska risken och upprätthålla en mindre attackyta.

    • På fliken Identifierade sårbarheter söker du efter kända CVE:er som är associerade med enheten. Kända CVE:er kan hjälpa dig att avgöra om du vill korrigera, ta bort eller innehålla enheten och minska risken för nätverket. Du kan också använda avancerade jaktfrågor för att samla in sårbarheter på alla dina enheter.

Så här jagar du hot:

På sidan Enhetsinventering väljer du Gå jaga för att fråga enheter med hjälp av tabeller som tabellen DeviceInfo . På sidan Avancerad jakt frågar du efter data med hjälp av andra scheman.

Exempel på avancerade jaktfrågor för Enterprise IoT

Det här avsnittet innehåller exempel på avancerade jaktfrågor som du kan använda i Microsoft 365 Defender för att hjälpa dig att övervaka och skydda dina IoT-enheter med Enterprise for IoT-säkerhet.

Hitta enheter efter specifik typ eller undertyp

Använd följande fråga för att identifiera enheter som finns i företagets nätverk efter typ av enhet, till exempel routrar: 

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router" 

Hitta och exportera sårbarheter för dina IoT-enheter

Använd följande fråga för att lista alla säkerhetsrisker på dina IoT-enheter:

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

Mer information finns i Avancerad jakt och Förstå det avancerade jaktschemat.

Nästa steg

Översikt över enhetsidentifiering