Introdução ao monitoramento de IoT empresarial no Microsoft Defender XDR
Este artigo descreve como os clientes do Microsoft Defender for Endpoint podem monitorar dispositivos IoT corporativos em seu ambiente, usando valor de segurança agregado no Microsoft Defender XDR.
Embora o inventário de dispositivos IoT já esteja disponível para clientes do Defender for Endpoint P2, ativar a segurança corporativa de IoT adiciona alertas, recomendações e dados de vulnerabilidade, criados especificamente para dispositivos IoT em sua rede corporativa.
Os dispositivos IoT incluem impressoras, câmeras, telefones VOIP, smart TVs e muito mais. Ativar a segurança de IoT corporativa significa, por exemplo, que você pode usar uma recomendação no Microsoft Defender XDR para abrir um único tíquete de TI para aplicar patches em aplicativos vulneráveis em servidores e impressoras.
Pré-requisitos
Antes de iniciar os procedimentos neste artigo, leia os dispositivos Secure IoT na empresa para entender mais sobre a integração entre o Defender for Endpoint e o Defender for IoT.
Certifique-se de que tem:
Dispositivos IoT na sua rede, visíveis no inventário de dispositivos XDR do Microsoft Defender
Acesso ao Portal do Microsoft Defender como administrador de segurança
Agentes do Microsoft Defender for Endpoint implantados em seu ambiente. Para obter mais informações, consulte Microsoft Defender for Endpoint integrado.
Uma das seguintes licenças:
Uma licença de segurança do Microsoft 365 E5 (ME5) ou E5
Microsoft Defender for Endpoint P2, com uma licença de complemento extra e autônoma do Microsoft Defender for IoT - EIoT Device License - disponível para compra ou avaliação no centro de administração do Microsoft 365.
Gorjeta
Se você tiver uma licença autônoma, não precisará ativar o Enterprise IoT Security e poderá pular diretamente para Exibir valor de segurança agregado no Microsoft Defender XDR.
Para obter mais informações, consulte Segurança de IoT empresarial no Microsoft Defender XDR.
Ativar o monitoramento de IoT corporativo
Este procedimento descreve como ativar o monitoramento de IoT empresarial no Microsoft Defender XDR e é relevante apenas para clientes de segurança ME5/E5.
Ignore este procedimento se tiver um dos seguintes tipos de planos de licenciamento:
- Clientes com plano de preços Enterprise IoT herdado e uma licença de segurança ME5/E5.
- Clientes com licenças autônomas por dispositivo adicionadas ao Microsoft Defender for Endpoint P2. Nesses casos, a configuração de segurança do Enterprise IoT é ativada como somente leitura.
Para ativar o monitoramento de IoT empresarial:
- No Microsoft Defender XDR, selecione Settings>Device Discovery>Enterprise IoT.
Nota
Certifique-se de ter ativado a Deteção de Dispositivos em Definições,>Pontos de Extremidade>, Funcionalidades Avançadas.
Alterne a opção de segurança Enterprise IoT para Ativado. Por exemplo:
Veja o valor de segurança agregado no Microsoft Defender XDR
Este procedimento descreve como exibir alertas, recomendações e vulnerabilidades relacionados para um dispositivo específico no Microsoft Defender XDR, quando a opção de segurança Enterprise IoT está ativada.
Para ver o valor acrescentado em termos de segurança:
No Microsoft Defender XDR, selecione Dispositivos de ativos> para abrir a página Inventário de dispositivos.
Selecione a guia Dispositivos IoT e selecione um IP de dispositivo específico para detalhar para obter mais detalhes. Por exemplo:
Na página de detalhes do dispositivo, explore as seguintes guias para exibir os dados adicionados pela segurança IoT corporativa para seu dispositivo:
Na guia Alertas, verifique se há alertas acionados pelo dispositivo. Simule alertas no Microsoft 365 Defender for Enterprise IoT usando o cenário do Raspberry Pi disponível na página Microsoft 365 Defender Evaluation & Tutorials .
Você também pode configurar consultas de caça avançadas para criar regras de alerta personalizadas. Para obter mais informações, consulte Exemplos de consultas de caça avançada para monitoramento de IoT empresarial.
Na guia Recomendações de segurança, verifique se há recomendações disponíveis para o dispositivo para reduzir o risco e manter uma superfície de ataque menor.
Na guia Vulnerabilidades descobertas, verifique se há CVEs conhecidas associadas ao dispositivo. CVEs conhecidos podem ajudar a decidir se devem corrigir, remover ou conter o dispositivo e reduzir o risco para sua rede. Como alternativa, use consultas de caça avançadas para coletar vulnerabilidades em todos os seus dispositivos.
Para caçar ameaças:
Na página Inventário de dispositivos, selecione Ir caçar para consultar dispositivos usando tabelas como a tabela DeviceInfo. Na página Caça avançada, consulte dados usando outros esquemas.
Exemplos de consultas de caça avançada para Enterprise IoT
Esta seção lista exemplos de consultas de caça avançada que você pode usar no Microsoft 365 Defender para ajudá-lo a monitorar e proteger seus dispositivos IoT com segurança Enterprise for IoT.
Localizar dispositivos por tipo ou subtipo específico
Use a consulta a seguir para identificar dispositivos que existem em sua rede corporativa por tipo de dispositivo, como roteadores:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
Encontre e exporte vulnerabilidades para seus dispositivos IoT
Use a seguinte consulta para listar todas as vulnerabilidades em seus dispositivos IoT:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId
Para obter mais informações, consulte Caça avançada e Compreender o esquema de caça avançada.