Informazioni di base sul monitoraggio IoT dell’organizzazione in Microsoft Defender XDR
Questo articolo descrive in che modo i clienti di Microsoft Defender per endpoint possono monitorare i dispositivi IoT dell’organizzazione nel loro ambiente, usando il valore di sicurezza aggiunto in Microsoft Defender XDR.
Mentre l'inventario dei dispositivi IoT è già disponibile per i clienti di Defender per Endpoint P2, l'attivazione della sicurezza per IoT nell’organizzazione aggiunge avvisi, consigli e dati sulle vulnerabilità, creati appositamente per i dispositivi IoT nella rete aziendale.
I dispositivi IoT includono stampanti, fotocamere, telefoni VOIP, TV intelligenti e altro ancora. L'attivazione della sicurezza per IoT nell’organizzazione significa, ad esempio, che è possibile usare una raccomandazione in Microsoft Defender XDR per aprire un singolo ticket IT al fine di applicare patch alle applicazioni vulnerabili su server e stampanti.
Prerequisiti
Prima di avviare le procedure descritte in questo articolo, leggere Dispositivi IoT sicuri nell'organizzazione per comprendere meglio l'integrazione tra Defender per endpoint e Defender per IoT.
Assicurarsi di disporre degli elementi seguenti:
Dispositivi IoT nella rete, visibili nell'inventario dei dispositivi di Microsoft Defender XDR
Accedere al portale di Microsoft Defender come Amministratore della sicurezza
Agenti di Microsoft Defender per endpoint distribuiti nell'ambiente in uso. Per altre informazioni, vedere Eseguire l'onboarding di Microsoft Defender per endpoint.
Una delle licenze seguenti:
Una licenza di Microsoft 365 E5 (ME5) o E5 Security
Microsoft Defender per endpoint P2, con una licenza aggiuntiva autonoma di Microsoft Defender per IoT - Licenza dispositivo EIoT- componente aggiuntivo disponibile per l'acquisto o in versione di valutazione dall'interfaccia di amministrazione di Microsoft 365.
Suggerimento
Se si dispone di una licenza autonoma, non è necessario attivare Sicurezza IoT Enterprise ed è possibile passare direttamente a Visualizza valore di sicurezza aggiunto in Microsoft Defender XDR.
Per altre informazioni, vedere Sicurezza IoT aziendale in Microsoft Defender XDR.
Attivare il monitoraggio IoT dell’organizzazione
Questa procedura descrive come attivare il monitoraggio IoT dell’organizzazione in Microsoft Defender XDR, ed è rilevante solo per i clienti ME5/E5 Security.
Ignorare questa procedura se si dispone di uno dei tipi di piani di licenza seguenti:
- Clienti con piano tariffario IoT Enterprise legacy e una licenza ME5/E5 Security.
- I clienti con licenze autonome per dispositivo aggiunte a Microsoft Defender per endpoint P2. In questi casi, l'impostazione di sicurezza per IoT Enterprise è attivata come di sola lettura.
Per attivare il monitoraggio IoT aziendale:
- In Microsoft Defender XDR, selezionare Impostazioni>Individuazione dei dispositivi>IoT Enterprise.
Nota
Assicurarsi di aver attivato l'individuazione dei dispositivi in Impostazioni>Endpoint>Funzionalità avanzate.
Attivare o disattivare l'opzione di sicurezza IoT Enterprise su Sì. Ad esempio:
Visualizzare il valore di sicurezza aggiunto in Microsoft Defender XDR
Questa procedura descrive come visualizzare gli avvisi, i consigli e le vulnerabilità correlati per un dispositivo specifico in Microsoft Defender XDR, quando è attivata l'opzione Sicurezza IoT Enterprise.
Per visualizzare il valore di sicurezza aggiunto:
In Microsoft Defender XDR, selezionare Risorse>Dispositivi per aprire la pagina Inventario dispositivi.
Selezionare la scheda Dispositivi IoT e selezionare un IP del dispositivo specifico per eseguire il drill-down per altri dettagli. Ad esempio:
Nella pagina dei dettagli del dispositivo, esplorare le schede seguenti per visualizzare i dati aggiunti da sicurezza per IoT dell’organizzazione per il dispositivo:
Nella scheda Avvisi, verificare la presenza di avvisi attivati dal dispositivo. Simulare gli avvisi in Microsoft 365 Defender for IoT Enterprise usando lo scenario Raspberry Pi disponibile nella pagina Valutazione e esercitazioni di Microsoft 365 Defender.
Inoltre è possibile configurare query di rilevazione avanzata per creare regole di avviso personalizzate. Per altre informazioni, vedere Query campione di rilevazione avanzata per il monitoraggio IoT Enterprise.
Nella scheda Consigli sulla sicurezza verificare la presenza di eventuali consigli disponibili per il dispositivo, al fine di ridurre i rischi e mantenere una superficie di attacco ridotta.
Nella scheda Vulnerabilità individuate verificare la presenza di eventuali CVE conosciute, associate al dispositivo. Le CVE note possono aiutare a decidere se applicare patch, rimuovere o contenere il dispositivo e ridurre i rischi per la rete. In alternativa, usare query di rilevazione avanzata per raccogliere vulnerabilità in tutti i dispositivi.
Rilevare le minacce:
Nella pagina Inventario dispositivi selezionare Vai alla rilevazione per eseguire query sui dispositivi usando tabelle quali la tabellaDeviceInfo. Nella pagina Rilevazione avanzata eseguire query sui dati usando altri schemi.
Esempi di query di rilevazione avanzata per IoT Enterprise
Questa sezione elenca le query campione di rilevazione avanzata che è possibile usare in Microsoft 365 Defender per monitorare e proteggere i dispositivi IoT con sicurezza per IoT di Enterprise.
Trovare i dispositivi per tipo o sottotipo specifico
Usare la query seguente per identificare i dispositivi presenti nella rete aziendale per tipo di dispositivo, ad esempio i router:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
Individuare ed esportare vulnerabilità per i dispositivi IoT
Usare la query seguente per elencare tutte le vulnerabilità nei dispositivi IoT:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId
Per altre informazioni, vedere Rilevazione avanzata e Spiega lo schema di rilevazione avanzata.