Defender for IoT-Gerätebestand

Der Gerätebestand von Defender for IoT hilft Ihnen dabei, Details zu bestimmten Geräten wie Hersteller, Typ, Seriennummer, Firmware und Ähnliches zu ermitteln. Das Sammeln von Details zu Ihren Geräten hilft Ihren Teams dabei, proaktiv Sicherheitsrisiken zu untersuchen, die Ihre besonders kritischen Ressourcen kompromittieren können.

  • Verwalten Sie alle Ihre IoT/OT-Geräte, indem Sie einen aktuellen Bestand erstellen, der alle Ihre verwalteten und nicht verwalteten Geräte umfasst.

  • Schützen Sie Geräte mit einem risikobasierten Ansatz, um Risiken wie fehlende Patches und Sicherheitsrisiken zu identifizieren, und priorisieren Sie Fixes basierend auf Risikobewertungen und automatisierter Bedrohungsmodellierung.

  • Aktualisieren Sie Ihren Bestand, indem Sie irrelevante Geräte löschen und organisationsspezifische Informationen hinzufügen, um die Präferenzen Ihrer Organisation hervorzuheben.

Beispiel:

Screenshot: Gerätebestandsseite von Defender for IoT im Azure-Portal

Unterstützte Geräte

Der Gerätebestand von Defender for IoT unterstützt die folgenden Geräteklassen:

Geräte Beispiele
Manufacturing Industrielle und betriebliche Geräte (etwa pneumatische Geräte, Verpackungssysteme, industrielle Verpackungssysteme und Industrieroboter)
Building (Gebäude) Zugangsklappen, Überwachungsgeräte, HLK-Systeme, Aufzüge, intelligente Beleuchtungssysteme
Gesundheitswesen Blutzuckermessgeräte, Überwachungsgeräte
Transport-/Versorgungsunternehmen Drehkreuze, Personenzähler, Bewegungssensoren, Brand- und Sicherheitssysteme, Gegensprechanlagen
Energie und Ressourcen DCS-Controller, speicherprogrammierbare Steuerungen, Historian-Geräte, HMIs
Endpunktgeräte Arbeitsstationen, Server oder mobile Geräte
Enterprise Intelligente Geräte, Drucker, Kommunikationsgeräte oder Audio-/Videogeräte
Retail (Einzelhandel) Barcodescanner, Feuchtigkeitssensoren, Stempeluhren

Ein vorübergehendes Gerät ist ein Gerät, das nur für kurze Zeit erkannt wurde. Es wird empfohlen, diese Geräte sorgfältig zu untersuchen, um deren Auswirkungen auf Ihr Netzwerk zu verstehen.

Nicht klassifizierte Geräte sind Geräte, für die keine passende Standardkategorie definiert ist.

Optionen für die Geräteverwaltung

Defender für IoT-Geräteinventar ist an den folgenden Speicherorten verfügbar:

Standort Beschreibung Zusätzliche Bestandsunterstützung
Azure portal OT-Geräte, die von allen in der Cloud verbundenen OT-Sensoren erkannt wurden. - Wenn Sie außerdem Microsoft Sentinel verwenden, werden Incidents in Microsoft Sentinel mit entsprechenden Geräten in Defender for IoT verknüpft.

- Verwenden Sie Defender for IoT-Arbeitsmappen, um sich den gesamten mit der Cloud verbundenen Gerätebestand anzusehen (einschließlich zugehöriger Warnungen und Sicherheitsrisiken).

– Wenn Sie über einen älteren Enterprise IoT-Plan in Ihrem Azure-Abonnement verfügen, enthält das Azure-Portal auch Geräte, die von Microsoft Defender für Endpunkt-Agents erkannt wurden. Wenn Sie über einen Enterprise IoT-Sensorverfügen, enthält das Azure-Portal auch Geräte, die vom Enterprise IoT-Sensor erkannt werden.
Microsoft Defender XDR Von Microsoft Defender für Endpunkt-Agents erkannte Enterprise IoT-Geräte Korrelieren Sie Geräte in Microsoft Defender XDR in speziellen Warnungen, Sicherheitsrisiken und Empfehlungen.
OT-Netzwerksensorkonsolen Von diesem OT-Sensor erkannte Geräte - Anzeigen aller erkannten Geräte innerhalb einer Netzwerkgerätezuordnung

– Anzeigen von Ereignissen auf der Ereigniszeitachse
Eine lokale Verwaltungskonsole Geräte, die von einem beliebigen verbundenen OT-Sensor erkannt wurden Verbessern von Gerätedaten durch manuelles Importieren oder durch Importieren per Skript

Weitere Informationen finden Sie unter

Automatisch konsolidierte Geräte

Wenn Sie Defender for IoT im großen Stil mit mehreren OT-Sensoren bereitgestellt haben, erkennt jeder Sensor möglicherweise unterschiedliche Aspekte desselben Geräts. Um duplizierte Geräte in Ihrem Gerätebestand zu vermeiden, geht Defender for IoT davon aus, dass alle Geräte in derselben Zone mit einer logischen Kombination ähnlicher Merkmale dasselbe Gerät sind. Defender for IoT konsolidiert diese Geräte automatisch und listet sie im Gerätebestand nur einmal auf.

Beispielsweise werden alle Geräte mit derselben IP- und MAC-Adresse, die in derselben Zone erkannt wurden, konsolidiert und als ein Gerät im Gerätebestand identifiziert. Wenn Sie über separate Geräte von wiederkehrenden IP-Adressen verfügen, die von mehreren Sensoren erkannt werden, sollte jedes dieser Geräte separat identifiziert werden. In solchen Fällen integrieren Sie Ihre OT-Sensoren in verschiedene Zonen, sodass jedes Gerät als separates und eindeutiges Gerät identifiziert wird, auch wenn es die gleiche IP-Adresse hat. Geräte mit denselben MAC-Adressen, aber unterschiedlichen IP-Adressen werden nicht zusammengeführt und weiterhin als eindeutige Geräte aufgeführt.

Ein vorübergehendes Gerät ist ein Gerät, das nur für kurze Zeit erkannt wurde. Es wird empfohlen, diese Geräte sorgfältig zu untersuchen, um deren Auswirkungen auf Ihr Netzwerk zu verstehen.

Nicht klassifizierte Geräte sind Geräte, für die keine passende Standardkategorie definiert ist.

Tipp

Definieren Sie Standorte und Zonen in Defender for IoT, um die gesamte Netzwerksicherheit zu verbessern, die Prinzipien der Zero Trust zu befolgen und Klarheit über die von Ihren Sensoren erkannten Daten zu erhalten.

Nicht autorisierte Geräte

Wenn Sie Defender for IoT zum ersten Mal verwenden, werden während des Lernzeitraums direkt nach der Bereitstellung eines Sensors alle erkannten Geräte als autorisierte Geräte identifiziert.

Nach dem Ende des Lernzeitraums gelten alle erkannten neuen Geräte als nicht autorisierte und neue Geräte. Es empfiehlt sich, diese Geräte sorgfältig auf (Sicherheits-)Risiken zu überprüfen. Filtern Sie beispielsweise im Azure-Portal den Gerätebestand nach Authorization == **Unauthorized**. Führen Sie auf der Seite mit den Gerätedetails einen Drilldown durch, und suchen Sie nach verwandten Sicherheitsrisiken, Warnungen und Empfehlungen.

Der Status Neu wird entfernt, sobald Sie Gerätedetails bearbeiten oder das Gerät in einer OT-Sensorgerätezuordnung verschieben. Im Gegensatz dazu bleibt die Bezeichnung Nicht autorisiert erhalten, bis Sie die Gerätedetails manuell bearbeiten und das Gerät als Autorisiert markieren.

Bei einem OT-Sensor werden nicht autorisierte Geräte auch in folgende Berichte eingeschlossen:

  • Berichte zu Angriffsvektoren: Als Nicht autorisiert gekennzeichnete Geräte werden in eine Angriffsvektorsimulation als mutmaßlich nicht autorisierte Geräte einbezogen, die ggf. eine Bedrohung für das Netzwerk darstellen.

  • Berichte zur Risikobewertung: Als Nicht autorisiert gekennzeichnete Geräte werden in Berichten zur Risikobewertung aufgeführt, da die mit ihnen verbundenen Risiken für Ihr Netzwerk untersucht werden müssen.

Wichtige OT-Geräte

Markieren Sie OT-Geräte als Wichtig, um sie für eine zusätzliche Nachverfolgung hervorzuheben. Bei einem OT-Sensor werden wichtige Geräte in folgende Berichte eingeschlossen:

  • Berichte zu Angriffsvektoren: Als Wichtig gekennzeichnete Geräte werden in eine Angriffsvektorsimulation als mögliche Angriffsziele einbezogen.

  • Berichte zur Risikobewertung: Als Wichtig markierte Geräte werden bei der Berechnung von Sicherheitsbewertungen in Risikobewertungsberichten berücksichtigt.

Daten der Spalte „Gerätebestand“

In der folgenden Tabelle finden Sie die Spalten, die im Defender for IoT-Geräteinventar auf dem Azure-Portal und dem OT-Sensor verfügbar sind, eine Beschreibung jeder Spalte und ob und in welcher Plattform sie bearbeitet werden kann. Mit einem Sternchen (*) gekennzeichnete Elemente sind auch über den OT-Sensor verfügbar.

Hinweis

Manche Features sind als Vorschauversion verfügbar. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Name Beschreibung Bearbeitbar
Autorisierung * Bestimmt, ob das Gerät als Autorisiert markiert ist. Dieser Wert muss ggf. geändert werden, wenn sich die Gerätesicherheit ändert. Schalten Sie Autorisiertes Gerät um. Bearbeitbar in Azure und OT Sensor
Geschäftsfunktion Beschreibt die Geschäftsfunktion des Geräts. Bearbeitbar in Azure
Klasse Die Klasse des Geräts.
Standardwert: IoT
Bearbeitbar in Azure
Datenquelle Die Quelle der Daten, z. B. ein Micro-Agent, ein OT-Sensor oder Microsoft Defender für Endpoint.
Standardwert: MicroAgent
Nicht bearbeitbar
Beschreibung * Die Beschreibung des Geräts. Bearbeitbar in Azure und im OT-Sensor
Geräte-ID Die von Azure zugewiesene ID-Nummer des Geräts. Nicht bearbeitbar
Firmwaremodell Das Firmwaremodell des Geräts. Bearbeitbar in Azure
Firmwareanbieter Der Hersteller der Firmware des Geräts. Nicht bearbeitbar
Firmwareversion * Die Firmwareversion des Geräts. Bearbeitbar in Azure
Erstmals gesehen * Der Zeitpunkt (Datum und Uhrzeit), zu dem das Gerät erstmals gesehen wurde. Angezeigt im Format MM/DD/YYYY HH:MM:SS AM/PM. Wird für den OT-Sensor als Erkannt angezeigt. Nicht bearbeitbar
Wichtigkeit Die Wichtigkeit des Geräts: Low, Medium oder High. Bearbeitbar in Azure
IPv4-Adresse * Die IPv4-Adresse des Geräts. Nicht bearbeitbar
IPv6-Adresse Die IPv6-Adresse des Geräts. Nicht bearbeitbar
Letzte Aktivität * Der Zeitpunkt (Datum und Uhrzeit), zu dem das Gerät zuletzt ein Ereignis an Azure oder an den OT-Sensor gesendet hat (je nachdem, wo Sie den Gerätebestand anzeigen). Angezeigt im Format MM/DD/YYYY HH:MM:SS AM/PM. Nicht bearbeitbar
Location Der physische Standort des Geräts. Bearbeitbar in Azure
MAC-Adresse * Die MAC-Adresse des Geräts. Nicht bearbeitbar
Modell * Das Hardwaremodell des Geräts. Bearbeitbar in Azure
Name * Erforderlich. Der Name des Geräts, wie er vom Sensor erkannt oder vom Benutzer eingegeben wurde. Bearbeitbar in Azure und im OT Sensor
Netzwerkadresse (öffentliche Vorschau) * Der Netzwerkstandort des Geräts. Zeigt an, ob das Gerät gemäß den konfigurierten Subnetzen als lokal oder weitergeleitet definiert ist. Nicht bearbeitbar
Betriebssystemarchitektur Die Betriebssystemarchitektur des Geräts. Nicht bearbeitbar
Betriebssystem-Distribution Die Distribution des Betriebssystems (beispielsweise Android, Linux oder Haiku). Nicht bearbeitbar
Betriebssystemplattform * Das Betriebssystem des Geräts (sofern erkannt). Wird für den OT-Sensor als Betriebssystem angezeigt. Bearbeitbar im OT-Sensor
Betriebssystemversion Die Betriebssystemversion des Geräts (beispielsweise Windows 10 oder Ubuntu 20.04.1). Nicht bearbeitbar
PLC-Modus * Der PLC-Betriebsmodus des Geräts. Umfasst sowohl den Schlüsselstatus (physisch oder logisch) als auch den Ausführungsstatus (logisch). Sind beide Statuswerte gleich, wird nur ein Status aufgeführt.

- Mögliche Statuswerte für den Schlüssel: Run, Program, Remote, Stop, Invalid und Programming Disabled.

- Mögliche Statuswerte für die Ausführung: Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle oder Offline.
Bearbeitbar im OT-Sensor
Programmiergerät * Definiert, ob das Gerät als Programmiergerät definiert ist und Programmieraktivitäten für SPSs, RTUs und Controller ausführt, die für Engineeringstationen relevant sind. Bearbeitbar in Azure und im OT Sensor
Protokolle * Die Protokolle, die vom Gerät verwendet werden Nicht bearbeitbar
Purdue-Ebene Die Purdue-Ebene, auf der das Gerät vorhanden ist. Bearbeitbar im OT-Sensor
Scanner * Definiert, ob dieses Gerät scannerähnliche Aktivitäten im Netzwerk ausführt. Bearbeitbar im OT-Sensor
Sensor Der Sensor, mit dem das Gerät verbunden ist. Nicht bearbeitbar
Seriennummer * Die Seriennummer des Geräts. Nicht bearbeitbar
Website Die Site des Geräts.

Alle Enterprise IoT-Sensoren werden automatisch dem Standort Unternehmensnetzwerk hinzugefügt.
Nicht bearbeitbar
Slots * Die Anzahl der Slots, über die das Gerät verfügt. Nicht bearbeitbar
Subtype Der Untertyp des Geräts (beispielsweise Lautsprecher oder Smart-TV).
Standard: Managed Device
Bearbeitbar in Azure
Tags Die Tags des Geräts. Bearbeitbar in Azure
Typ * Der Gerätetyp (beispielsweise Kommunikation oder Industriell).
Standard: Miscellaneous
Bearbeitbar in Azure und im OT Sensor
Hersteller * Der Name des Herstellers des Geräts, wie in der MAC-Adresse angegeben < Auch inkonsistent – im Inventar als Anbieter bezeichnet, im Bereich als Hardwareanbieter> Bearbeitbar in Azure
VLAN * Das VLAN des Geräts. Nicht bearbeitbar
Zone Die Zone des Geräts. Nicht bearbeitbar

Die folgenden Spalten sind nur in den OT-Sensoren verfügbar und sind nicht bearbeitbar.

  • Die DHCP-Adresse des Geräts.
  • Die FQDN-Adresse des Geräts und der Zeitpunkt des letzten FQDN-Lookups.
  • Die Gerätegruppen, die das Gerät enthalten, wie in der Gerätezuordnung des OT-Sensors definiert.
  • Die Moduladresse des Geräts.
  • Das Rack des Geräts.
  • Die Anzahl der Warnungen vom Typ Nicht bestätigte Warnungen, die diesem Gerät zugeordnet sind.

Hinweis

Die zusätzlichen Spalten Agenttyp und Agentversion werden von Geräteherstellern verwendet. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Defender für IoT für Gerätehersteller.

Nächste Schritte

Weitere Informationen finden Sie unter