Инвентаризация устройств Defender для Интернета вещей
Инвентаризация устройств Defender для Интернета вещей помогает определить сведения о конкретных устройствах, таких как производитель, тип, серийный номер, встроенное ПО и многое другое. Сбор сведений об устройствах помогает командам заранее исследовать уязвимости, которые могут компрометации наиболее важных ресурсов.
Управление всеми устройствами Интернета вещей и OT путем создания актуальной инвентаризации, которая включает все управляемые и неуправляемые устройства.
Защита устройств с помощью подхода на основе рисков для выявления таких рисков, как отсутствие исправлений, уязвимостей и определение приоритетов на основе оценки рисков и автоматического моделирования угроз
Обновление инвентаризации путем удаления неуместных устройств и добавления сведений, относящихся к организации, чтобы подчеркнуть ваши предпочтения организации
Например:
Поддерживаемые устройства
Инвентаризация устройств Defender для Интернета вещей поддерживает следующие классы устройств:
. | Например... |
---|---|
Производство | Промышленные и операционные устройства, такие как пневматические устройства, системы упаковки, промышленные системы упаковки, промышленные роботы |
Дом | Панели доступа, устройства наблюдения, системы HVAC, лифты, интеллектуальные системы освещения |
Здравоохранения | Метры глюкозы, мониторы |
Транспорт / коммунальные услуги | Турникеты, счетчики людей, датчики движения, системы пожарной и безопасности, интеркомы |
Энергия и ресурсы | Контроллеры DCS, PLCs, историк устройства, HMIs |
Устройства конечных точек | Рабочие станции, серверы или мобильные устройства |
Функции корпоративного уровня | Интеллектуальные устройства, принтеры, устройства связи или аудио-видеоустройства |
Розничная торговля | Сканеры штрихкодов, датчик влажности, часы удара |
Временный тип устройства указывает на устройство, которое было обнаружено только в течение короткого времени. Мы рекомендуем тщательно исследовать эти устройства, чтобы понять их влияние на сеть.
Неклассифицированные устройства — это устройства, которые не имеют определенной категории вне поля.
Параметры управления устройствами
Инвентаризация устройств Defender для Интернета вещей доступна в следующих расположениях:
Расположение | Description | Дополнительная поддержка инвентаризации |
---|---|---|
Портал Azure | Устройства OT, обнаруженные на всех подключенных к облаку датчиках OT. | — Если вы также используете Microsoft Sentinel, инциденты в Microsoft Sentinel связаны с связанными устройствами в Defender для Интернета вещей. — Используйте книги Defender для Интернета вещей для видимости всех данных инвентаризации подключенных к облаку устройств, включая связанные оповещения и уязвимости. — Если у вас есть устаревший план Корпоративного Интернета вещей в подписке Azure, портал Azure также включает устройства, обнаруженные агентами Microsoft Defender для конечной точки. Если у вас есть датчик Enterprise IoT, портал Azure также включает устройства, обнаруженные датчиком Enterprise IoT. |
Microsoft Defender XDR | Устройства Enterprise IoT, обнаруженные агентами Microsoft Defender для конечной точки | Сопоставляйте устройства между XDR в Microsoft Defender в встроенных оповещениях, уязвимостях и рекомендациях. |
Консоли сетевых датчиков OT | Устройства, обнаруженные датчиком OT | — Просмотр всех обнаруженных устройств на карте сетевых устройств — Просмотр связанных событий в временная шкала события |
Локальная консоль управления | Устройства, обнаруженные во всех подключенных датчиках OT | Улучшение данных устройства путем импорта данных вручную или с помощью скрипта |
Дополнительные сведения см. в разделе:
- Просмотр сведений об инвентаризации устройств на портале Azure
- Обнаружение устройств Defender для конечной точки
- Управление инвентаризацией устройств OT из консоли датчика
- Управление инвентаризацией устройств ОТ в локальной консоли управления
Автоматически консолидированные устройства
При развертывании Defender для Интернета вещей в масштабе с несколькими датчиками OT каждый датчик может обнаруживать различные аспекты одного устройства. Чтобы предотвратить дублирование устройств в инвентаризации устройств, Defender для Интернета вещей предполагает, что все устройства, найденные в одной зоне, с логическим сочетанием аналогичных характеристик, совпадают. Defender для Интернета вещей автоматически объединяет эти устройства и перечисляет их только один раз в инвентаризации устройств.
Например, все устройства с одинаковым IP-адресом и MAC-адресом, обнаруженными в той же зоне, объединяются и определяются как одно устройство в инвентаризации устройств. Если у вас есть отдельные устройства от повторяющихся IP-адресов, обнаруженных несколькими датчиками, необходимо определить каждый из этих устройств отдельно. В таких случаях включите датчики OT в разные зоны, чтобы каждое устройство было идентифицировано как отдельное и уникальное устройство, даже если они имеют один и тот же IP-адрес. Устройства с одинаковыми MAC-адресами, но разные IP-адреса не объединяются и продолжают отображаться как уникальные устройства.
Временный тип устройства указывает на устройство, которое было обнаружено только в течение короткого времени. Мы рекомендуем тщательно исследовать эти устройства, чтобы понять их влияние на сеть.
Неклассифицированные устройства — это устройства, которые не имеют определенной категории вне поля.
Совет
Определите сайты и зоны в Defender для Интернета вещей, чтобы обеспечить общую безопасность сети, следовать принципам нулевого доверия и получить ясность в данных, обнаруженных датчиками.
Несанкционированные устройства
При первой работе с Defender для Интернета вещей во время обучения сразу после развертывания датчика все устройства определяются как авторизованные устройства.
После завершения периода обучения обнаруженные новые устройства считаются несанкционированными и новыми устройствами. Рекомендуется тщательно проверка этих устройств для рисков и уязвимостей. Например, в портал Azure отфильтруйте инвентаризацию устройств.Authorization == **Unauthorized**
На странице сведений об устройстве детализация и проверка для связанных уязвимостей, оповещений и рекомендаций.
Новое состояние удаляется сразу после изменения любой информации об устройстве или перемещения устройства на карте датчика OT. В отличие от этого, неавторизованная метка остается до тех пор, пока вы вручную не измените сведения об устройстве и помечаете его как авторизованные.
На датчике OT несанкционированные устройства также включаются в следующие отчеты:
Отчеты о векторах атак: устройства, помеченные как несанкционированные , включаются в имитацию вектора атаки как подозреваемые устройства-изгои, которые могут быть угрозой для сети.
Отчеты об оценке рисков: устройства, помеченные как несанкционированные, перечислены в отчетах об оценке рисков в качестве их рисков для вашей сети, требуют расследования.
Важные устройства OT
Помечайте устройства OT как важные , чтобы выделить их для дополнительного отслеживания. На датчике OT важные устройства включаются в следующие отчеты:
Отчеты о векторах атак: устройства, помеченные как важные , включаются в имитацию вектора атаки как возможные целевые объекты атаки.
Отчеты об оценке рисков: устройства, помеченные как важные, учитываются в отчетах об оценке рисков при вычислении показателей безопасности.
Данные столбца инвентаризации устройств
В следующей таблице перечислены столбцы, доступные в инвентаризации устройств Defender для Интернета вещей на портал Azure. Элементы с звездами (*) также доступны на датчике OT.
Примечание.
Приведенные ниже функции предоставляются в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
Имя | Описание |
---|---|
Авторизация * | Редактируемый параметр. Определяет, помечено ли устройство как авторизованное. Это значение может потребоваться изменить при изменении безопасности устройства. |
Бизнес-функция | Редактируемый параметр. Описывает бизнес-функцию устройства. |
Class | Редактируемый параметр. Класс устройства. По умолчанию: IoT |
Источник данных | Источник данных, например микроагент, датчик ОТ или Microsoft Defender для конечной точки. По умолчанию: MicroAgent |
Description * | Редактируемый параметр. Описание устройства. |
Идентификатор устройства | Назначаемый Azure идентификатор устройства. |
Модель встроенного ПО | Модель встроенного ПО устройства. |
Поставщик встроенного ПО | Редактируемый параметр. Поставщик встроенного ПО устройства. |
Версия встроенного ПО * | Редактируемый параметр. Версия встроенного ПО устройства. |
Первое появление * | Дата и время первого вида устройства. Отображается в MM/DD/YYYY HH:MM:SS AM/PM формате. На датчике OT отображается как обнаруженное. |
Важность | Редактируемый параметр. Важный уровень устройства: Low , Medium или High . |
Адрес IPv4 | IPv4-адрес устройства. |
Адрес IPv6 | IPv6-адрес устройства. |
Последнее действие * | Дата и время последнего отправки события на устройство в Azure или датчик OT в зависимости от того, где вы просматриваете инвентаризацию устройств. Отображается в MM/DD/YYYY HH:MM:SS AM/PM формате. |
Местонахождение | Редактируемый параметр. Физическое расположение устройства. |
MAC-адрес * | MAC-адрес устройства. |
Модель * | Редактируемая аппаратная модель устройства. |
Имя * | Обязательный и редактируемый параметр. Имя устройства в качестве датчика, обнаруженного пользователем, или как указано пользователем. |
Сетевое расположение (общедоступная предварительная версия) | Сетевое расположение устройства. Отображает, определено ли устройство как локальное или перенаправленное, в соответствии с настроенными подсетями. |
Архитектура ОС | Редактируемый параметр. Архитектура операционной системы устройства. |
Дистрибутив ОС | Редактируемый параметр. Распространение операционной системы устройства, например Android, Linux и Haiku. |
Платформа ОС * | Редактируемый параметр. Операционная система устройства, если обнаружена. На датчике OT отображается операционная система. |
Версия ОС | Редактируемый параметр. Версия операционной системы устройства, например Windows 10 или Ubuntu 20.04.1. |
Режим PLC * | Режим работы PLC устройства, включая состояние ключа (физическое или логическое) и состояние запуска (логический). Если оба состояния одинаковы, отображается только одно состояние. — Возможные ключевые состояния: Run , Program , Remote , Stop , Invalid и Programming Disabled . — Возможные состояния выполнения: Run , Stop Halted Program Exception Trapped Paused Idle или .Offline |
Программируемое устройство * | Редактируемый параметр. Определяет, определено ли устройство как устройство программирования, выполняя действия программирования для PLCs, RTUS и контроллеров, которые относятся к инженерным станциям. |
Протоколы * | Протоколы, используемые устройством. |
Уровень Пердью | Редактируемый параметр. Уровень Пердью, в котором находится устройство. |
Устройство сканера * | Редактируемый параметр. Определяет, выполняет ли устройство такие действия, как сканирование в сети. |
Датчик | Датчик, к которому подключено устройство. |
Серийный номер * | Серийный номер устройства. |
Сайт | Сайт устройства. Все датчики корпоративного Интернета вещей автоматически добавляются на сайт корпоративной сети. |
Слоты | Число слотов устройства. |
Подтип | Редактируемый параметр. Подтип устройства, например динамик или Smart TV. По умолчанию: Managed Device |
Теги | Редактируемый параметр. Теги устройства. |
Тип * | Редактируемый параметр. Тип устройства, например Связь или Промышленный. По умолчанию: Miscellaneous |
поставщик * | Имя поставщика устройства, определенное в MAC-адресе. |
VLAN * | Виртуальная локальная сеть устройства. |
Зона | Зона устройства. |
Следующие столбцы доступны только для датчиков OT:
- DHCP-адрес устройства
- Полное доменное имя устройства и полное доменное имя последнего поиска
- Группы устройств, которые включают устройство, как определено на карте устройства датчика OT
- Адрес модуля устройства
- Стойка и слот устройства
- Количество оповещений unacknowledged alerts , связанных с устройством
Примечание.
Дополнительные столбцы типов агента и версии агента используются построителями устройств. Дополнительные сведения см. в разделе Документация Microsoft Defender для Интернета вещей для построителей устройств.
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Просмотр сведений об инвентаризации устройств на портале Azure
- Управление инвентаризацией устройств OT из консоли датчика
- Управление инвентаризацией устройств ОТ в локальной консоли управления
- Microsoft Defender для Интернета вещей — поддерживаемые протоколы IoT, OT, ICS и SCADA
- Изучение устройств на карте устройств