Inventário de dispositivos do Defender para IoT
O inventário de dispositivos do Defender para IoT ajuda você a identificar detalhes sobre dispositivos específicos, como fabricante, tipo, número de série, firmware e muito mais. Reunir detalhes sobre seus dispositivos ajuda suas equipes a investigar proativamente vulnerabilidades que podem comprometer seus ativos mais críticos.
Gerencie todos os dispositivos IoT/OT criando um inventário atualizado que inclui todos os dispositivos gerenciados e não gerenciados
Proteja dispositivos com uma abordagem baseada em risco para identificar riscos como patches ausentes, vulnerabilidades e priorizar correções com base na pontuação de risco e modelagem automatizada de ameaças
Atualize seu inventário excluindo dispositivos irrelevantes e adicionando informações específicas da organização para enfatizar as preferências da sua organização
Por exemplo:
Dispositivos com suporte
O inventário de dispositivos do Defender para IoT é compatível com as seguintes classes de dispositivos:
| Dispositivos | Por exemplo... |
|---|---|
| Produção | Dispositivos industriais e operacionais, como dispositivos pneumáticos, sistemas de embalagem, sistemas de embalagem industrial e robôs industriais |
| Prédio | Painéis de acesso, dispositivos de vigilância, sistemas HVAC, elevadores, sistemas de iluminação inteligentes |
| Assistência médica | Medidores de glicose e monitores |
| Transporte/utilitários | Catracas, contadores de pessoas, sensores de movimento, sistemas de incêndio e segurança e interfones |
| Energia e recursos | Controladores DCS, PLCs, dispositivos historiadores e IHMs |
| Dispositivos de ponto de extremidade | Estações de trabalho, servidores ou dispositivos móveis |
| Empresa | Dispositivos inteligentes, impressoras, dispositivos de comunicação ou dispositivos de áudio/vídeo |
| Varejo | Scanners de código de barras, sensores de umidade e relógios de ponto |
Um tipo de dispositivo transitório indica um dispositivo que foi detectado somente por um curto período de tempo. Recomenda-se investigar esses dispositivos cuidadosamente para entender o impacto deles na rede.
Dispositivos não classificados são aqueles que não têm uma categoria pronta para uso definida.
Opções de gerenciamento de dispositivo
O inventário de dispositivos do Defender para IoT está disponível nos seguintes locais:
| Location | Descrição | Suporte adicional ao inventário |
|---|---|---|
| Portal do Azure | Dispositivos do OT detectados de todos os sensores do OT conectados à nuvem. | – Se você também usar o Microsoft Sentinel, os incidentes no Microsoft Sentinel serão vinculados a dispositivos relacionados no Defender para IoT. – Use as pastas de trabalho do Defender para IoT a fim de obter visibilidade de todo o inventário de dispositivos conectados à nuvem, incluindo alertas e vulnerabilidades relacionados. – Caso tenha um plano da IoT Enterprise herdado em assinatura do Azure, o portal do Azure também incluirá dispositivos detectados por agentes do Microsoft Defender para Ponto de Extremidade. Caso tenha um sensor da IoT Enterprise, o portal do Azure também incluirá dispositivos detectados pelo sensor da IoT Enterprise. |
| Microsoft Defender XDR | Dispositivos da IoT Enterprise detectados pelos agentes do Microsoft Defender para Ponto de Extremidade | Correlacione dispositivos no Microsoft Defender XDR em alertas, vulnerabilidades e recomendações criados especificamente. |
| Consoles de sensor de rede de OT | Dispositivos detectados por esse sensor OT | – Veja todos os dispositivos detectados em um mapa de dispositivos de rede – Exibir eventos relacionado na Linha do tempo do evento |
| Um console de gerenciamento local | Dispositivos detectados em todos os sensores OT conectados | Aprimorar os dados do dispositivo importando dados manualmente ou via script |
Para obter mais informações, consulte:
- Gerenciar o inventário de dispositivos no portal do Azure
- Descoberta de dispositivos do Defender para Ponto de Extremidade
- Gerenciar o inventário de dispositivos OT de um console de sensor
- Gerenciar o inventário de dispositivos OT usando um console de gerenciamento local
Dispositivos consolidados automaticamente
Ao implantar o Defender para IoT em escala, com vários sensores de OT, cada sensor pode detectar diferentes aspectos do mesmo dispositivo. Para evitar dispositivos duplicados no seu inventário de dispositivos, o Defender para IoT pressupõe que todos os dispositivos encontrados na mesma zona, com uma combinação lógica de características semelhantes, sejam o mesmo dispositivo. O Defender para IoT consolida automaticamente esses dispositivos e os lista apenas uma vez no inventário de dispositivos.
Por exemplo, todos os dispositivos com o mesmo endereço IP e endereço MAC detectados na mesma zona são consolidados e identificados como um único dispositivo no inventário de dispositivos. Caso tenha dispositivos separados de endereços IP recorrentes que são detectados por vários sensores, é desejável que cada um desses dispositivos seja identificado separadamente. Nesses casos, integre seus sensores de OT a zonas diferentes para que cada dispositivo seja identificado como um dispositivo separado e único, mesmo que todos tenham o mesmo endereço IP. Dispositivos que têm os mesmos endereços de MAC, mas endereços IP diferentes, não são mesclados e continuam listados como dispositivos únicos.
Um tipo de dispositivo transitório indica um dispositivo que foi detectado somente por um curto período de tempo. Recomenda-se investigar esses dispositivos cuidadosamente para entender o impacto deles na rede.
Dispositivos não classificados são aqueles que não têm uma categoria pronta para uso definida.
Dica
Defina sites e zonas no Defender para IoT para reforçar a segurança total da rede, siga os princípios de Confiança Zero e saiba com maior clareza quais dados são detectados pelos sensores.
Dispositivos não autorizados
Quando você trabalha pela primeira vez com o Defender para IoT, durante o período de aprendizagem posterior à implantação de um sensor, todos os dispositivos detectados são identificados como autorizados.
Após o término do período de aprendizagem, quaisquer novos dispositivos detectados são considerados não autorizados e novos dispositivos. Recomenda-se verificar cuidadosamente esses dispositivos quanto a riscos e vulnerabilidades. Por exemplo, no portal do Azure, filtre o inventário de dispositivos para Authorization == **Unauthorized**. Na página de detalhes do dispositivo, faça uma análise detalhada e verifique se há vulnerabilidades, alertas e recomendações relacionados.
O status novo é removido ao editar qualquer um dos detalhes do dispositivo ou mover o dispositivo em um mapa de dispositivos de sensor OT. No entanto, o rótulo não autorizado permanece até que você edite manualmente os detalhes do dispositivo e o marque como autorizado.
Em um sensor OT, os dispositivos não autorizados também são incluídos nos seguintes relatórios:
Relatórios de vetores de ataque: os dispositivos marcados como não autorizados são incluídos em uma simulação de vetor de ataque como suspeitos de serem dispositivos invasores que podem consistir em uma ameaça à rede.
Relatórios de avaliação de risco: os dispositivos marcados como não autorizados são listados nos relatórios de avaliação de risco, pois os riscos à rede exigem investigação.
Dispositivos OT importantes
Marque os dispositivos OT como importantes para realçá-los para acompanhamento adicional. Em um sensor OT, os dispositivos importantes são incluídos nos seguintes relatórios:
Relatórios de vetor de ataque: dispositivos marcados como importantes são incluídos em uma simulação de vetor de ataque como possíveis alvos de ataque.
Relatórios de avaliação de risco: os dispositivos marcados como importantes são contados nos relatórios de avaliação de risco ao calcular as pontuações de segurança.
Dados da coluna do inventário de dispositivos
A tabela a seguir lista as colunas disponíveis no inventário de dispositivos do Defender para IoT no portal do Azure e no sensor OT, uma descrição de cada coluna e se e em qual plataforma ela é editável. Itens com estrela (*) também estão disponíveis no sensor OT.
Observação
Os recursos indicados abaixo estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
| Nome | Descrição | Editable |
|---|---|---|
| Autorização * | Determina se o dispositivo está ou não marcado como autorizado. Pode ser necessário alterar esse valor em caso de alterações na segurança do dispositivo. Alternar Dispositivo autorizado. | Editável no Azure e no OT Sensor |
| Função de negócios | Descreve a função de negócios do dispositivo. | Editável no Azure |
| Classe | A classe do dispositivo. Padrão: IoT |
Editável no Azure |
| Fonte de dados | A fonte dos dados, como um microagente, sensor de OT ou Microsoft Defender para Ponto de Extremidade. Padrão: MicroAgent |
Não editável |
| Descrição * | A descrição do dispositivo. | Editável em ambos Azure e no OT Sensor |
| ID do Dispositivo | O número de ID atribuído pelo Azure ao dispositivo. | Não editável |
| Modelo de firmware | O modelo de firmware do dispositivo. | Editável no Azure |
| Fornecedor do firmware | O fornecedor do firmware do dispositivo. | Não editável |
| Versão de firmware * | A versão do firmware do dispositivo. | Editável no Azure |
| Visto pela primeira vez * | A data e a hora em que o dispositivo foi visto pela primeira vez. Mostrado no formato MM/DD/YYYY HH:MM:SS AM/PM. No sensor OT, mostrado como Descoberto. |
Não editável |
| Importância | O nível de importância do dispositivo: Low, Medium ou High. |
Editável no Azure |
| Endereço IPv4 * | O endereço IPv4 do dispositivo. | Não editável |
| Endereço IPv6 | O endereço IPv6 do dispositivo. | Não editável |
| Última atividade * | A data e a hora em que o dispositivo enviou um evento pela última vez ao Azure ou ao sensor OT, dependendo de onde você está exibindo o inventário de dispositivos. Mostrado no formato MM/DD/YYYY HH:MM:SS AM/PM. |
Não editável |
| Localidade | O local físico do dispositivo. | Editável no Azure |
| Endereço MAC * | O endereço MAC do dispositivo. | Não editável |
| Modelo * | O modelo de hardware do dispositivo. | Editável no Azure |
| Nome * | Mandatory. O nome do dispositivo conforme o sensor o descobriu ou conforme inserido pelo usuário. | Editável no Azure e sensor OT |
| Localização da rede (Visualização pública) * | O local de rede do dispositivo. Exibe se o dispositivo é definido como local ou roteado, de acordo com as sub-redes configuradas. | Não editável |
| Arquitetura do SO | A arquitetura do sistema operacional do dispositivo. | Não editável |
| Distribuição do SO | A distribuição do sistema operacional do dispositivo, como Android, Linux e Haiku. | Não editável |
| Plataforma do SO * | O sistema operacional do dispositivo, se detectado. No sensor OT, mostrado como Sistema operacional. | Editável no OT Sensor |
| Versão do SO | A versão do sistema operacional do dispositivo, como Windows 10 ou Ubuntu 20.04.1. | Não editável |
| Modo PLC * | O modo de operação PLC do dispositivo, incluindo o estado Chave (físico/lógico) e o estado Executar (lógico). Se ambos os estados forem iguais, somente um será listado. – Os estados Chave possíveis incluem: Run, Program, Remote, Stop, Invalid e Programming Disabled. – Os estados Executar possíveis são Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle ou Offline. |
Editável no OT Sensor |
| Dispositivo de programação * | Indica se o dispositivo está definido como um Dispositivo de programação, realizando atividades de programação para PLCs, RTUs e controladores, que são relevantes para estações de engenharia. | Editável no Azure e sensor OT |
| Protocolos * | Os protocolos que o dispositivo usa. | Não editável |
| Nível de Purdue | O nível de Purdue no qual o dispositivo existe. | Editável no sensor OT |
| Dispositivo scanner * | Define se o dispositivo executa atividades semelhantes à varredura na rede. | Editável no OT Sensor |
| Sensor | O sensor ao qual o dispositivo está conectado. | Não editável |
| Número de série * | Número de série do dispositivo. | Não editável |
| Site | Site do dispositivo. Todos os sensores de IoT Enterprise são adicionados automaticamente ao site da rede Enterprise. |
Não editável |
| Slots * | O número de slots do dispositivo. | Não editável |
| Subtipo | O subtipo do dispositivo, como Alto-falante ou Smart TV. Padrão: Managed Device |
Editável no Azure |
| Marcas | As marcas do dispositivo. | Editável no Azure |
| Tipo * | O tipo de dispositivo, como Comunicação ou Industrial. Padrão: Miscellaneous |
Editável no Azure e sensor OT |
| Fornecedor * | O nome do fornecedor do dispositivo, conforme definido no endereço MAC. < Também inconsistente - no inventário chamado fornecedor, no painel chamado fornecedor de hardware> | Editável no Azure |
| VLAN * | A VLAN do dispositivo. | Não editável |
| Zona | A zona do dispositivo. | Não editável |
As colunas a seguir estão disponíveis apenas nos sensores OT e não são editáveis.
- Endereço DHCP do dispositivo.
- Endereço FQDN do dispositivo e hora da última pesquisa do FQDN.
- O dispositivo Grupos que incluem o dispositivo, conforme definido no mapa de dispositivos do sensor OT.
- Endereço do módulo do dispositivo.
- O Rack do dispositivo.
- O número de Alertas não reconhecidos alertas associados ao dispositivo.
Observação
As colunas adicionais Tipo de agente e Versão do agente são usadas pelos criadores de dispositivos. Para saber mais, confira Documentação do Microsoft Defender para IoT para construtores de dispositivos.
Próximas etapas
Para obter mais informações, consulte:
- Gerenciar o inventário de dispositivos no portal do Azure
- Gerenciar o inventário de dispositivos OT de um console de sensor
- Gerenciar o inventário de dispositivos OT usando um console de gerenciamento local
- Microsoft Defender para IoT-protocolos IoT, OT, ICS e SCADA com suporte
- Investigar dispositivos em um mapa de dispositivos