在 Microsoft Defender XDR 中開始使用企業 IoT 監視

  • 發行項

本文說明適用於端點的 Microsoft Defender 客戶如何使用 Microsoft Defender XDR 中增加的安全性價值,監視其環境中的企業 IoT 裝置。

儘管適用於端點的 Defender P2 客戶已經可以使用 IoT 裝置清查,但開啟企業 IoT 安全性會新增警示、建議及弱點資料,這些都專為您企業網路中的 IoT 裝置所建置。

IoT 裝置包括印表機、相機、VOIP 手機、智慧型電視等等。 例如,開啟企業 IoT 安全性表示您可以使用 Microsoft Defender XDR 中的建議來開啟單一 IT 票證,以修補伺服器和印表機之間易受攻擊的應用程式。

必要條件

開始此文章中的程序之前,請先閱讀企業中的安全 IoT 裝置,以深入了解適用於端點的 Defender 與適用於 IoT 的 Defender 之間的整合。

請確定您已符合下列條件:

  • 網路中的 IoT 裝置,顯示於 Microsoft Defender XDR 裝置清查

  • 安全性管理員身分存取 Microsoft Defender 入口網站的存取權

  • 下列其中一個授權:

    • Microsoft 365 E5 (ME5) 或 E5 安全性授權

    • 適用於端點的 Microsoft Defender P2 具有額外、獨立的適用於 IoT 的 Microsoft Defender - EIoT 裝置授權 - 附加元件授權,可從 Microsoft 365 管理中心購買或試用。

    提示

    如果您有獨立授權,則不需要將 [Enterprise IoT 安全性] 開啟為開啟,而且可直接跳至在 Microsoft Defender XDR 中檢視增加的安全性價值

    如需詳細資訊,請參閱 Microsoft Defender XDR 的企業 IoT 安全性

開啟企業 IoT 監視

此程序說明如何在 Microsoft Defender XDR 中開啟企業 IoT 監視,而且僅與 ME5/E5 安全性客戶相關。

如果您有下列其中一種類型的授權方案,請略過此程序:

  • 具有舊版企業 IoT 定價方案和 ME5/E5 安全性授權的客戶。
  • 擁有附加至適用於端點的 Microsoft Defender P2 的獨立、每部裝置授權的客戶。 在這種情況下,企業 IoT 安全性設定會以唯讀形式開啟。

若要開啟企業 IoT 監視

  1. Microsoft Defender XDR 中,選取 [設定]>[裝置探索]>[企業 IoT]

注意

請確定您已在 [設定]>[端點]>[進階功能] 中開啟 [裝置探索]。

  1. 將 [企業 IoT 安全性] 選項切換為 [開啟]。 例如:

    Screenshot of Enterprise IoT toggled on in Microsoft Defender XDR.

在 Microsoft Defender XDR 中檢視新增的安全性價值

此程序描述如何在開啟 [Enterprise IoT 安全性] 選項時,檢視 Microsoft Defender XDR 中特定裝置的相關警示、建議和弱點。

檢視新增的安全性價值

  1. Microsoft Defender XDR,選取 [資產]> [裝置],開啟 [裝置清查] 頁面。

  2. 選取 [IoT 裝置] 索引標籤,然後選取特定裝置 IP,向下切入以取得更多詳細資料。 例如:

    Screenshot of the IoT devices tab in Microsoft Defender XDR.

  3. 在 [裝置詳細資料] 頁面上,探索下列索引標籤,以檢視企業 IoT 方案為您的裝置所新增的資料:

    • 在 [警示] 索引標籤上,檢查裝置所觸發的任何警示。 使用 Microsoft 365 Defender 的評估與教學課程頁面中提供的 Raspberry Pi 案例,在適用於企業 IoT 的 Microsoft 365 Defender 中模擬警示。

      您也可設定進階搜捕查詢,以建立自訂警示規則。 如需詳細資訊,請參閱企業 IoT 監視的進階搜捕查詢範例

    • 在 [安全性建議] 索引標籤上,檢查是否有任何適用於裝置的建議,以降低風險並保有較小的受攻擊面。

    • 在 [探索到的弱點] 索引標籤上,檢查是否有任何與裝置相關聯的已知 CVE。 已知的 CVE 可協助您決定是否要修補、移除或包含裝置,並降低網路的風險。 或者,使用進階搜捕查詢來收集所有裝置上的弱點。

若要搜尋威脅

在 [裝置清查] 頁面上,選取 [進行搜捕] 以使用 DeviceInfo 資料表之類的資料表來查詢裝置。 在 [進階搜捕] 頁面上,使用其他結構描述查詢資料。

企業 IoT 的進階搜捕查詢範例

本節列出可在 Microsoft 365 Defender 中使用的進階搜捕查詢範例,協助您使用企業版 IoT 安全性來監視及保護 IoT 裝置。

依特定類型或子類型尋找裝置

使用下列查詢,依裝置類型識別公司網路中存在的裝置,例如路由器:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router" 

尋找及匯出 IoT 裝置的弱點

使用下列查詢來列出 IoT 裝置上的所有弱點:

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

如需詳細資訊,請參閱進階搜捕瞭解進階搜捕結構描述

下一步

裝置探索概觀