你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
欢迎使用 Microsoft Defender for IoT
注意
本文讨论 Microsoft Azure 门户中的 Microsoft Defender for IoT。
如果你是 Microsoft Defender 客户,并且希望获得统一的 IT/OT 体验,请参阅 Microsoft Defender 门户中的 Microsoft Defender for IoT(预览版)文档。
详细了解 Defender for IoT 管理门户。
物联网 (IoT) 支持数十亿个使用操作技术 (OT) 和 IoT 网络的连接设备。 IoT/OT 设备和网络通常使用专用协议构建,并且可能优先考虑操作挑战,而不是安全性。
当 IoT/OT 设备无法通过传统安全监视系统进行保护时,每一波新的创新浪潮都会增加这些 IoT 设备和 OT 网络的风险和可能的受攻击面。
Microsoft Defender for IoT 是一种统一的安全解决方案,专门为识别 IoT 和 OT 设备、漏洞和威胁而构建。 使用 Defender for IoT 保护整个 IoT/OT 环境,包括可能没有内置安全代理的现有设备。
Defender for IoT 提供无代理网络层监视,并与工业设备和安全运营中心 (SOC) 工具集成。
无代理设备监视
如果 IoT 和 OT 设备没有嵌入式安全代理,则它们可能仍然未得到修补、配置错误且对 IT 和安全团队不可见。 对于想要深入透视企业网络的威胁参与者,这些无监视的设备会成为软目标。
Defender for IoT 使用无代理监视在整个网络中提供可见性和安全性,并识别专用协议、设备或机器对机器 (M2M) 行为。
在网络中发现 IoT/OT 设备、其详细信息及其通信方式。 从网络传感器、Microsoft Defender for Endpoint 和第三方源收集数据。
使用机器学习、威胁情报和行为分析评估风险和管理漏洞。 例如:
识别未修补的设备、开放端口、未经授权的应用程序、未经授权的连接、设备配置更改、PLC 代码、固件等。
跨所有相关维度和协议在历史流量中运行搜索。 访问完全保真 PCAP 以进一步向下钻取。
检测静态威胁指示器 (IOC) 可能错过的高级威胁,例如零时差恶意软件、无文件恶意软件和离地攻击策略。
通过与 Microsoft 服务(如 Microsoft Sentinel)、其他合作伙伴系统和 API 集成来应对威胁。 与安全信息和事件管理 (SIEM) 服务、安全运营和响应 (SOAR) 服务、扩展的检测和响应 (XDR) 服务等集成。
Defender for IoT 在 Azure 门户中提供集中的用户体验,让安全和 OT 监视团队能够可视化并保护他们的所有 IT、IoT 和 OT 设备,无论这些设备位于何处。
支持云、本地和混合 OT 网络
在本地网络的策略位置安装 OT 网络传感器,以检测整个 OT 环境中的设备。 然后,使用以下任何配置查看设备和安全值:
云服务:
虽然 OT 网络传感器具有自己的 UI 控制台(用于显示检测到的设备的详细信息和安全数据),但请将传感器连接到 Azure 以延长云之旅。
在 Azure 门户中,查看中心位置中所有连接的传感器的数据,并与其他 Microsoft 服务(如 Microsoft Sentinel)集成。
气隙和本地服务:
如果你有一个气隙环境,并希望将所有 OT 网络数据完全保留在本地,请将 OT 网络传感器连接到本地管理控制台,以便集中查看和控制。
继续在每个传感器控制台中查看详细的设备数据和安全值。
混合服务:
你可能有混合网络要求,需要将一些数据传送到云,而其他数据必须保留在本地。
在这种情况下,请将系统设置为符合需求的灵活且可缩放的配置。 将一些 OT 传感器连接到云并查看Azure 门户上的数据,仅在本地管理其他传感器。
有关详细信息,请参阅 OT 系统监视的系统体系结构。
保护企业 IoT 网络
通过将企业 IoT 安全性与 Microsoft Defender for Endpoint 结合使用,可以将 Defender for IoT 的无代理安全功能从 OT 环境扩展到企业 IoT 设备,并在 Microsoft Defender XDR 中查看 IoT 设备的相关警报、漏洞和建议。
企业 IoT 设备可以包括打印机、智能电视和会议系统等设备以及专用的专有设备。
有关详细信息,请参阅保护企业中的 IoT 设备。
支持的服务区域
Defender for IoT 将所有欧洲区域的所有流量路由到西欧区域的数据中心。 它将其余所有地区的流量路由到美国东部区域的数据中心。