你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for IoT 设备清单

Defender for IoT 的设备清单可帮助你识别有关特定设备的详细信息,例如制造商、类型、序列号、固件等。 收集有关设备的详细信息可帮助你的团队主动调查可能危及最重要资产的漏洞。

  • 通过生成包括所有托管设备和非托管设备的最新清单来管理所有 IoT/OT 设备

  • 使用基于风险的方法保护设备,以根据风险评分和自动威胁建模识别缺少的修补程序、漏洞等风险,并确定修复的优先级

  • 通过删除不相关的设备并添加特定于组织的信息以强调组织偏好,来更新清单

例如:

Azure 门户中的“Defender for IoT 设备清单”页的屏幕截图。

支持的设备

Defender for IoT 的设备清单支持以下设备类别:

设备 示例
制造 工业和操作设备,如气动装置、包装系统、工业包装系统、工业机器人
建筑物 访问面板、监控设备、HVAC 系统、电梯、智能照明系统
健康保健 血糖仪、监视器
交通运输/公共事业设备 闸机、人工柜台、运动传感器、消防安全系统、对讲机
能源及资源 DCS 控制器、PLC、历史记录设备、HMIS
终结点设备 工作站、服务器或移动设备
企业 智能设备、打印机、通信设备或音频/视频设备
零售 条形码扫描仪、湿度传感器、打卡机

瞬态设备类型表示检测到的设备的存在时间很短。 建议仔细调查这些设备,了解它们对网络的影响。

未分类设备是指无法使用现成类别定义的设备。

设备管理选项

可在以下位置获取 Defender for IoT 设备清单:

位置 说明 额外清单支持
Azure 门户 从所有云连接的 OT 传感器检测到的 OT 设备。 - 如果还使用 Microsoft Sentinel,Microsoft Sentinel 中的事件将链接到 Defender for IoT 中的相关设备。

- 使用 Defender for IoT 工作簿查看所有连接云的设备清单,包括相关警报和漏洞。
Microsoft Defender XDR Microsoft Defender for Endpoint 代理检测到的企业 IoT 设备 在专门生成的警报、漏洞和建议中关联 Microsoft Defender XDR 中的设备。
OT 网络传感器控制台 该 OT 传感器检测到的设备 - 查看在网络设备映射中检测到的所有设备

- 在“事件时间线”上查看相关事件

有关详细信息,请参阅:

自动合并的设备

在为 Defender for IoT 大规模部署多个 OT 传感器后,每个传感器可以检测同一设备的不同方面。 为了防止设备清单中出现重复设备,Defender for IoT 假定在同一区域中发现的(逻辑上具有类似特征组合的)任何设备都是同一设备。 Defender for IoT 会自动合并这些设备,并在设备清单中仅列出一次。

例如,在同一区域中检测到具有相同 IP 和 MAC 地址的任何设备在设备清单中会被合并和标识为单个设备。 如有多台单独设备来自由多个传感器检测到的重复出现的 IP 地址,你会希望单独标识每台设备。 在这种情况下,请将 OT 传感器加入不同的区域,以便将每个设备标识为单独的唯一设备,即使它们具有相同的 IP 地址。 MAC 地址相同但 IP 地址不同的设备不会合并,并将继续列为唯一设备。

瞬态设备类型表示检测到的设备的存在时间很短。 建议仔细调查这些设备,了解它们对网络的影响。

未分类设备是指无法使用现成类别定义的设备。

提示

在 Defender for IoT 中定义站点和区域,以强化整体网络安全,遵循零信任原则,并明确传感器检测到的数据。

未授权设备

首次使用 Defender for IoT 时,在部署传感器之后的学习期间,检测到的所有设备都会被标识为已授权设备。

学习期结束后,检测到的任何新设备都被视为未授权设备和新设备。 建议仔细检查这些设备是否存在风险和漏洞。 例如,在 Azure 门户中筛选 Authorization == **Unauthorized** 的设备清单。 在设备详细信息页上,深入了解并检查相关漏洞、警报和建议。

编辑任何设备详细信息,或将设备移动到 OT 传感器设备映射上后,“新”状态会立即删除。 相反,在手动编辑设备详细信息并将其标记为已授权之前,“未授权”标签将一直保留。

在 OT 传感器上,未授权设备也包含在以下报告中:

  • 攻击途径报告:标记为未授权的设备包含在攻击途径模拟中,表示该设备是可能会对网络造成威胁的可疑恶意设备。

  • 风险评估报告:标记为未授权的设备会在风险评估报告中列出,表示这些设备对网络的风险需要调查。

重要 OT 设备

将 OT 设备标记为重要以突出显示,以便进行额外跟踪。 在 OT 传感器上,重要设备包含在以下报告中:

  • 攻击途径报告:标记为重要的设备包含在攻击途径模拟中,表示该设备可能是攻击目标。

  • 风险评估报告:在计算安全分数时,标记为重要的设备将计入风险评估报告中。

设备清单列数据

下表列出了 Azure 门户和 OT 传感器上的 Defender for IoT 设备清单中可用的列、每列的描述以及它是否可编辑以及在哪个平台上可编辑。 带星标的项 (*) 也可从 OT 传感器获取。

注意

下列标记功能为预览版。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

名称 说明 可编辑
授权 * 确定设备是否标记为已授权。 如果设备安全性发生更改,则此值可能需要更改。 切换授权设备 在 Azure 和 OT 传感器中可编辑
业务功能 描述设备的业务功能。 在 Azure 中可编辑
设备类别。
默认值:IoT
在 Azure 中可编辑
数据源 数据源,例如微代理、OT 传感器或 Microsoft Defender for Endpoint。
默认值:MicroAgent
不可编辑
描述 * 设备说明。 在 Azure 和 OT 传感器中可编辑
设备 ID 设备的 Azure 分配 ID 号。 不可编辑
固件型号 设备的固件型号。 在 Azure 中可编辑
固件供应商 设备固件的供应商。 不可编辑
固件版本 设备的固件版本。 在 Azure 中可编辑
第一次出现时间 首次看到该设备的日期和时间。 以 MM/DD/YYYY HH:MM:SS AM/PM 格式显示。 在 OT 传感器上,显示为“已发现”。 不可编辑
重要性 设备的重要级别:LowMediumHigh 在 Azure 中可编辑
IPv4 地址 * 设备的 IPv4 地址。 不可编辑
IPv6 地址 设备的 IPv6 地址。 不可编辑
上次活动 设备上次将事件发送到 Azure 或 OT 传感器的日期和时间,具体取决于查看设备清单的位置。 以 MM/DD/YYYY HH:MM:SS AM/PM 格式显示。 不可编辑
位置 设备的物理位置。 在 Azure 中可编辑
MAC 地址 设备的 MAC 地址。 不可编辑
型号 * 设备的硬件模型。 在 Azure 中可编辑
名称* * 必需。 传感器发现的设备名称,或用户输入的设备名称。 在 Azure 和 OT 传感器中可编辑
网络位置(公共预览版)* 设备的网络位置。 显示设备是根据配置的子网定义为本地设备还是路由设备。 不可编辑
OS 体系结构 设备的操作系统体系结构。 不可编辑
OS 分发 设备的操作系统分发,如 Android、Linux 和 Haiku。 不可编辑
OS 平台 设备的操作系统(如果检测到)。 在 OT 传感器上,显示为“操作系统”。 在 OT 传感器中可编辑
OS 版本 设备的操作系统版本,例如 Windows 10 或 Ubuntu 20.04.1。 不可编辑
PLC 模式 设备的 PLC 操作模式,包括键状态(物理或逻辑)和运行状态(逻辑)。 如果这两种状态相同,则只会列出一种状态。

- 可能的键状态包括:RunProgramRemoteStopInvalid

可能的运行状态为 RunProgramStopPausedExceptionHaltedTrappedIdle
在 OT 传感器中可编辑
编程设备 定义设备是否定义为编程设备,执行与工程站相关的 PLC、RTU 和控制器的编程活动。 在 Azure 和 OT 传感器中可编辑
协议 * 设备使用的协议。 不可编辑
Purdue 级别 设备存在的 Purdue 级别。 在 OT 传感器中可编辑
扫描仪设备 定义设备是否在网络中执行类似于扫描的活动。 在 OT 传感器中可编辑
传感器 设备连接到的传感器。 不可编辑
序列号 设备的序列号。 不可编辑
站点 设备的站点。

所有企业 IoT 传感器都会自动添加到企业网络站点。
不可编辑
* 设备具有的槽数。 不可编辑
子类型 设备的子类型,例如扬声器或智能电视。
默认Managed Device
在 Azure 中可编辑
标记 设备的标记。 在 Azure 中可编辑
类型 * 设备类型,例如通信或工业。
默认Miscellaneous
在 Azure 和 OT 传感器中可编辑
供应商 MAC 地址中定义的设备供应商的名称。 < 同样不一致 - 在称为供应商的清单中,在称为硬件供应商的窗格中> 在 Azure 中可编辑
VLAN 设备的 VLAN。 不可编辑
区域 设备的区域。 不可编辑

以下列仅在 OT 传感器中可用,且不可编辑。

  • 设备的 DHCP 地址
  • 设备的 FQDN 地址和 FQDN 上次查找时间
  • 该设备所在的设备组,如 OT 传感器的设备映射所定义
  • 设备的模块地址
  • 设备的机架。
  • 与设备关联的未确认警报数

注意

其他“代理类型”和“代理版本”列由设备生成器使用。 有关详细信息,请参阅适用于设备生成器的 Microsoft Defender for IoT 文档

后续步骤

有关详细信息,请参阅: