你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
欢迎使用适用于组织的 Microsoft Defender for IoT
注意
Microsoft Defender for IoT 的 OT 监视现在可凭借在 Microsoft 365 管理中心上购买的基于站点的许可证进行购买。
物联网 (IoT) 支持数十亿个使用操作技术 (OT) 和 IoT 网络的连接设备。 IoT/OT 设备和网络通常使用专用协议构建,并且可能优先考虑操作挑战,而不是安全性。
当 IoT/OT 设备无法通过传统安全监视系统进行保护时,每一波新的创新浪潮都会增加这些 IoT 设备和 OT 网络的风险和可能的受攻击面。
Microsoft Defender for IoT 是一种统一的安全解决方案,专门为识别 IoT 和 OT 设备、漏洞和威胁而构建。 使用 Defender for IoT 保护整个 IoT/OT 环境,包括可能没有内置安全代理的现有设备。
Defender for IoT 提供无代理网络层监视,并与工业设备和安全运营中心 (SOC) 工具集成。
无代理设备监视
如果 IoT 和 OT 设备没有嵌入式安全代理,则它们可能仍然未得到修补、配置错误且对 IT 和安全团队不可见。 对于想要深入透视企业网络的威胁参与者,这些无监视的设备会成为软目标。
Defender for IoT 使用无代理监视在整个网络中提供可见性和安全性,并识别专用协议、设备或机器对机器 (M2M) 行为。
在网络中发现 IoT/OT 设备、其详细信息及其通信方式。 从网络传感器、Microsoft Defender for Endpoint 和第三方源收集数据。
使用机器学习、威胁情报和行为分析评估风险和管理漏洞。 例如:
识别未修补的设备、开放端口、未经授权的应用程序、未经授权的连接、设备配置更改、PLC 代码、固件等。
跨所有相关维度和协议在历史流量中运行搜索。 访问完全保真 PCAP 以进一步向下钻取。
检测静态威胁指示器 (IOC) 可能错过的高级威胁,例如零时差恶意软件、无文件恶意软件和离地攻击策略。
通过与 Microsoft 服务(如 Microsoft Sentinel)、其他合作伙伴系统和 API 集成来应对威胁。 与安全信息和事件管理 (SIEM) 服务、安全运营和响应 (SOAR) 服务、扩展的检测和响应 (XDR) 服务等集成。
Defender for IoT 在 Azure 门户中提供集中的用户体验,让安全和 OT 监视团队能够可视化并保护他们的所有 IT、IoT 和 OT 设备,无论这些设备位于何处。
支持云、本地和混合 OT 网络
在本地网络的策略位置安装 OT 网络传感器,以检测整个 OT 环境中的设备。 然后,使用以下任何配置查看设备和安全值:
云服务:
虽然 OT 网络传感器具有自己的 UI 控制台(用于显示检测到的设备的详细信息和安全数据),但请将传感器连接到 Azure 以延长云之旅。
在 Azure 门户中,查看中心位置中所有连接的传感器的数据,并与其他 Microsoft 服务(如 Microsoft Sentinel)集成。
气隙和本地服务:
如果你有一个气隙环境,并希望将所有 OT 网络数据完全保留在本地,请将 OT 网络传感器连接到本地管理控制台,以便集中查看和控制。
继续在每个传感器控制台中查看详细的设备数据和安全值。
混合服务:
你可能有混合网络要求,需要将一些数据传送到云,而其他数据必须保留在本地。
在这种情况下,请将系统设置为符合需求的灵活且可缩放的配置。 将一些 OT 传感器连接到云并查看Azure 门户上的数据,仅在本地管理其他传感器。
有关详细信息,请参阅 OT 系统监视的系统体系结构。
保护企业 IoT 网络
通过将企业 IoT 安全性与 Microsoft Defender for Endpoint 配合使用,将 Defender for IoT 的无代理安全功能扩展到企业 IoT 设备,并查看 Microsoft Defender XDR 中 IoT 设备的相关警报、漏洞和建议。
企业 IoT 设备可以包括打印机、智能电视和会议系统等设备以及专用的专有设备。
有关详细信息,请参阅保护企业中的 IoT 设备。
适用于设备生成器的 Defender for IoT
Defender for IoT 还提供轻量级安全微代理,可用于将安全性直接构建到新的 IoT 创新中。
有关详细信息,请参阅适用于设备生成器的 Microsoft Defender for IoT 文档。
支持的服务区域
Defender for IoT 将所有欧洲区域的所有流量路由到西欧区域的数据中心。 它将其余所有地区的流量路由到美国东部区域的数据中心。