Defender for IoT-apparaatinventaris
De apparaatinventaris van Defender for IoT helpt u bij het identificeren van details over specifieke apparaten, zoals fabrikant, type, serienummer, firmware en meer. Door gegevens over uw apparaten te verzamelen, kunnen uw teams proactief beveiligingsproblemen onderzoeken die uw meest kritieke assets kunnen in gevaar komen.
Al uw IoT-/OT-apparaten beheren door up-to-date inventaris op te bouwen die al uw beheerde en onbeheerde apparaten bevat
Apparaten beveiligen met een risicogebaseerde benadering om risico's te identificeren, zoals ontbrekende patches, beveiligingsproblemen en prioriteit geven aan oplossingen op basis van risicoscores en geautomatiseerde bedreigingsmodellering
Werk uw inventaris bij door irrelevante apparaten te verwijderen en organisatiespecifieke informatie toe te voegen om de voorkeuren van uw organisatie te benadrukken
Voorbeeld:
Ondersteunde apparaten
De apparaatinventaris van Defender for IoT ondersteunt de volgende apparaatklassen:
| Apparaten | Bijvoorbeeld... |
|---|---|
| Productie | Industriële en operationele apparaten, zoals pneumatische apparaten, verpakkingssystemen, industriële verpakkingssystemen, industriële robots |
| Bouwen | Toegangspanelen, bewakingsapparaten, HVAC-systemen, liften, slimme verlichtingssystemen |
| Gezondheidszorg | Glucosemeters, monitors |
| Transport / Nutsvoorzieningen | Draaistikels, mensentellers, bewegingssensoren, brand- en veiligheidssystemen, intercoms |
| Energie en hulpbronnen | DCS-controllers, PLC's, historische apparaten, HMIs |
| Eindpuntapparaten | Werkstations, servers of mobiele apparaten |
| Enterprise | Slimme apparaten, printers, communicatieapparaten of audio-/videoapparaten |
| Handel | Streepjescodescanners, vochtigheidssensor, slagklokken |
Een tijdelijk apparaattype geeft een apparaat aan dat slechts een korte tijd is gedetecteerd. We raden u aan deze apparaten zorgvuldig te onderzoeken om de impact ervan op uw netwerk te begrijpen.
Niet-geclassificeerde apparaten zijn apparaten waarvoor anders geen out-of-the-box-categorie is gedefinieerd.
Opties voor apparaatbeheer
Defender for IoT-apparaatinventaris is beschikbaar op de volgende locaties:
| Locatie | Beschrijving | Ondersteuning voor extra inventaris |
|---|---|---|
| Azure-portal | OT-apparaten gedetecteerd op basis van alle met de cloud verbonden OT-sensoren. | - Als u ook Microsoft Sentinel gebruikt, zijn incidenten in Microsoft Sentinel gekoppeld aan gerelateerde apparaten in Defender for IoT. - Gebruik Defender for IoT-werkmappen voor inzicht in alle inventaris van apparaten die zijn verbonden met de cloud, inclusief gerelateerde waarschuwingen en beveiligingsproblemen. - Als u een verouderd Enterprise IoT-abonnement hebt voor uw Azure-abonnement, bevat Azure Portal ook apparaten die zijn gedetecteerd door Microsoft Defender voor Eindpunt agents. Als u een Enterprise IoT-sensor hebt, bevat Azure Portal ook apparaten die zijn gedetecteerd door de Enterprise IoT-sensor. |
| Microsoft Defender XDR | IoT-apparaten voor ondernemingen die zijn gedetecteerd door Microsoft Defender voor Eindpunt agents | Correleren van apparaten in Microsoft Defender XDR in speciaal gebouwde waarschuwingen, beveiligingsproblemen en aanbevelingen. |
| OT-netwerksensorconsoles | Apparaten gedetecteerd door die OT-sensor | - Alle gedetecteerde apparaten in een netwerkapparaattoewijzing weergeven - Gerelateerde gebeurtenissen weergeven op de tijdlijn van de gebeurtenis |
Zie voor meer informatie:
- Uw apparaatinventaris beheren vanuit Azure Portal
- Defender voor Eindpunt-apparaatdetectie
- Uw OT-apparaatinventaris beheren vanuit een sensorconsole
Automatisch geconsolideerde apparaten
Wanneer u Defender for IoT op schaal implementeert, met verschillende OT-sensoren, kan elke sensor verschillende aspecten van hetzelfde apparaat detecteren. Om gedupliceerde apparaten in uw apparaatinventaris te voorkomen, gaat Defender for IoT ervan uit dat alle apparaten in dezelfde zone, met een logische combinatie van vergelijkbare kenmerken, hetzelfde apparaat zijn. Defender for IoT consolideert deze apparaten automatisch en vermeldt ze slechts eenmaal in de apparaatinventaris.
Apparaten met hetzelfde IP- en MAC-adres dat in dezelfde zone is gedetecteerd, worden bijvoorbeeld geconsolideerd en geïdentificeerd als één apparaat in de apparaatinventaris. Als u afzonderlijke apparaten hebt van terugkerende IP-adressen die door meerdere sensoren worden gedetecteerd, wilt u dat elk van deze apparaten afzonderlijk wordt geïdentificeerd. In dergelijke gevallen moet u uw OT-sensoren onboarden naar verschillende zones, zodat elk apparaat wordt geïdentificeerd als een afzonderlijk en uniek apparaat, zelfs als ze hetzelfde IP-adres hebben. Apparaten met dezelfde MAC-adressen, maar verschillende IP-adressen worden niet samengevoegd en worden nog steeds weergegeven als unieke apparaten.
Een tijdelijk apparaattype geeft een apparaat aan dat slechts een korte tijd is gedetecteerd. We raden u aan deze apparaten zorgvuldig te onderzoeken om de impact ervan op uw netwerk te begrijpen.
Niet-geclassificeerde apparaten zijn apparaten waarvoor anders geen out-of-the-box-categorie is gedefinieerd.
Tip
Definieer sites en zones in Defender for IoT om de algehele netwerkbeveiliging te beveiligen, de principes van Zero Trust te volgen en duidelijkheid te krijgen in de gegevens die door uw sensoren worden gedetecteerd.
Niet-geautoriseerde apparaten
Wanneer u voor het eerst met Defender voor IoT werkt, worden tijdens de leerperiode vlak na het implementeren van een sensor alle gedetecteerde apparaten geïdentificeerd als geautoriseerde apparaten.
Nadat de leerperiode is verstreken, worden alle gedetecteerde nieuwe apparaten beschouwd als niet-geautoriseerd en nieuwe apparaten. We raden u aan deze apparaten zorgvuldig te controleren op risico's en beveiligingsproblemen. Filter bijvoorbeeld in Azure Portal de apparaatinventaris voor Authorization == **Unauthorized**. Op de pagina met apparaatdetails kunt u inzoomen en controleren op gerelateerde beveiligingsproblemen, waarschuwingen en aanbevelingen.
De nieuwe status wordt verwijderd zodra u de details van het apparaat bewerkt of het apparaat verplaatst op een OT-sensorapparaattoewijzing. Het niet-geautoriseerde label blijft daarentegen behouden totdat u de details van het apparaat handmatig bewerkt en markeert als geautoriseerd.
Op een OT-sensor worden niet-geautoriseerde apparaten ook opgenomen in de volgende rapporten:
Aanvalsvectorrapporten: apparaten die als niet-geautoriseerd zijn gemarkeerd, worden opgenomen in een aanvalsvectorsimulatie als vermoedelijke rogue apparaten die mogelijk een bedreiging voor het netwerk vormen.
Risicobeoordelingsrapporten: apparaten die als niet-geautoriseerd zijn gemarkeerd, worden vermeld in risicobeoordelingsrapporten als hun risico's voor uw netwerk onderzoek vereisen.
Belangrijke OT-apparaten
Markeer OT-apparaten als belangrijk om ze te markeren voor extra tracering. Op een OT-sensor worden belangrijke apparaten opgenomen in de volgende rapporten:
Aanvalsvectorrapporten: apparaten die als belangrijk zijn gemarkeerd, worden opgenomen in een aanvalsvectorsimulatie als mogelijke aanvalsdoelen.
Risicobeoordelingsrapporten: apparaten die als belangrijk zijn gemarkeerd, worden meegeteld in risicoanalyserapporten bij het berekenen van beveiligingsscores.
Kolomgegevens voor apparaatinventaris
De volgende tabel bevat de kolommen die beschikbaar zijn in de Defender for IoT-apparaatinventaris in Azure Portal en de OT-sensor, een beschrijving van elke kolom en of en in welk platform het bewerkbaar is. Starred items (*) zijn ook verkrijgbaar via de OT sensor.
Notitie
Genoteerde functies die hieronder worden vermeld, zijn beschikbaar in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten andere juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.
| Name | Beschrijving | Bewerkbaar |
|---|---|---|
| Autorisatie * | Bepaalt of het apparaat al dan niet is gemarkeerd als geautoriseerd. Deze waarde moet mogelijk worden gewijzigd wanneer de beveiliging van het apparaat verandert. Geautoriseerd apparaat in- of uitschakelen. | Bewerkbaar in Azure en OT Sensor |
| Bedrijfsfunctie | Beschrijft de bedrijfsfunctie van het apparaat. | Bewerkbaar in Azure |
| Klas | De klasse van het apparaat. Standaardwaarde: IoT |
Bewerkbaar in Azure |
| Gegevensbron | De bron van de gegevens, zoals een microagent, OT-sensor of Microsoft Defender voor Eindpunt. Standaardwaarde: MicroAgent |
Niet bewerkbaar |
| Beschrijving * | De beschrijving van het apparaat. | Bewerkbaar in zowel Azure als de OT-sensor |
| Apparaat-id | Het door Azure toegewezen id-nummer van het apparaat. | Niet bewerkbaar |
| Firmwaremodel | Het firmwaremodel van het apparaat. | Bewerkbaar in Azure |
| Firmwareleverancier | De leverancier van de firmware van het apparaat. | Niet bewerkbaar |
| Firmwareversie * | De firmwareversie van het apparaat. | Bewerkbaar in Azure |
| Eerst gezien * | De datum en tijd waarop het apparaat voor het eerst is gezien. Weergegeven in MM/DD/YYYY HH:MM:SS AM/PM indeling. Op de OT-sensor, weergegeven als Gedetecteerd. |
Niet bewerkbaar |
| Belang | Het belangrijke niveau van het apparaat: Low, Mediumof High. |
Bewerkbaar in Azure |
| IPv4-adres * | Het IPv4-adres van het apparaat. | Niet bewerkbaar |
| IPv6-adres | Het IPv6-adres van het apparaat. | Niet bewerkbaar |
| Laatste activiteit * | De datum en tijd waarop het apparaat het laatst een gebeurtenis heeft verzonden naar Azure of naar de OT-sensor, afhankelijk van waar u de apparaatinventaris bekijkt. Weergegeven in MM/DD/YYYY HH:MM:SS AM/PM indeling. |
Niet bewerkbaar |
| Location | De fysieke locatie van het apparaat. | Bewerkbaar in Azure |
| MAC-adres * | Het MAC-adres van het apparaat. | Niet bewerkbaar |
| Model * | Het hardwaremodel van het apparaat. | Bewerkbaar in Azure |
| Naam * | Verplicht. De naam van het apparaat als de sensor heeft het gedetecteerd of zoals ingevoerd door de gebruiker. | Bewerkbaar in Azure- en OT-sensor |
| Netwerklocatie (openbare preview) * | De netwerklocatie van het apparaat. Geeft weer of het apparaat is gedefinieerd als lokaal of gerouteerd, volgens de geconfigureerde subnetten. | Niet bewerkbaar |
| Architectuur van besturingssysteem | De architectuur van het besturingssysteem van het apparaat. | Niet bewerkbaar |
| Distributie van besturingssysteem | De distributie van het besturingssysteem van het apparaat, zoals Android, Linux en Haiku. | Niet bewerkbaar |
| Besturingssysteemplatform * | Het besturingssysteem van het apparaat, indien gedetecteerd. Op de OT-sensor, weergegeven als besturingssysteem. | Bewerkbaar in OT Sensor |
| Besturingssysteemversie | De versie van het besturingssysteem van het apparaat, zoals Windows 10 of Ubuntu 20.04.1. | Niet bewerkbaar |
| PLC-modus * | De PLC-bedrijfsmodus van het apparaat, inclusief zowel de sleutelstatus (fysiek/logisch) als de uitvoeringsstatus (logisch). Als beide statussen hetzelfde zijn, wordt er slechts één status weergegeven. - Mogelijke sleutelstatussen zijn: Run, Program, Remote, Stop, Invaliden Programming Disabled. - Mogelijke uitvoeringsstatussen zijn, , , Stop, PausedException, Halted, , Trappedof IdleOffline. ProgramRun |
Bewerkbaar in OT Sensor |
| Programmeerapparaat * | Definieert of het apparaat is gedefinieerd als een programmeerapparaat, het uitvoeren van programmeeractiviteiten voor PC's, RTU's en controllers, die relevant zijn voor technische stations. | Bewerkbaar in Azure- en OT-sensor |
| Protocollen * | De protocollen die door het apparaat worden gebruikt. | Niet bewerkbaar |
| Purdue-niveau | Het Purdue-niveau waarin het apparaat bestaat. | Bewerkbaar in OT-sensor |
| Scannerapparaat * | Hiermee bepaalt u of het apparaat scan-achtige activiteiten in het netwerk uitvoert. | Bewerkbaar in OT Sensor |
| Sensor | De sensor waar het apparaat mee is verbonden. | Niet bewerkbaar |
| Serienummer * | Het serienummer van het apparaat. | Niet bewerkbaar |
| Locatie | De site van het apparaat. Alle Enterprise IoT-sensoren worden automatisch toegevoegd aan de bedrijfsnetwerksite . |
Niet bewerkbaar |
| Slots * | Het aantal sleuven dat het apparaat heeft. | Niet bewerkbaar |
| Subtype | Het subtype van het apparaat, zoals Luidspreker of Smart TV. Standaard: Managed Device |
Bewerkbaar in Azure |
| Tags | De tags van het apparaat. | Bewerkbaar in Azure |
| Type * | Het apparaattype, zoals Communicatie of Industrieel. Standaard: Miscellaneous |
Bewerkbaar in Azure- en OT-sensor |
| Leverancier * | De naam van de leverancier van het apparaat, zoals gedefinieerd in het MAC-adres. < Ook inconsistent - in voorraad genaamd leverancier, in het deelvenster hardwareleverancier> | Bewerkbaar in Azure |
| VLAN * | Het VLAN van het apparaat. | Niet bewerkbaar |
| Zone | De zone van het apparaat. | Niet bewerkbaar |
De volgende kolommen zijn alleen beschikbaar in de OT-sensoren en kunnen niet worden bewerkt.
- Het DHCP-adres van het apparaat.
- Het FQDN-adres en de FQDN-naam van het apparaat laatst opzoektijd.
- De apparaatgroepen die het apparaat bevatten, zoals gedefinieerd op de apparaattoewijzing van de OT-sensor.
- Het moduleadres van het apparaat.
- Het rek van het apparaat.
- Het aantal niet-bekende waarschuwingen dat aan het apparaat is gekoppeld.
Notitie
De extra kolommen voor agenttypen en agentversies worden gebruikt door apparaatbouwers. Zie de documentatie van Microsoft Defender for IoT voor apparaatbouwers voor meer informatie.
Volgende stappen
Zie voor meer informatie: