Inventário de dispositivos do Defender for IoT
O inventário de dispositivos do Defender for IoT ajuda a identificar detalhes sobre dispositivos específicos, como fabricante, tipo, número de série, firmware e muito mais. A recolha de detalhes sobre os seus dispositivos ajuda as suas equipas a investigar proativamente vulnerabilidades que podem comprometer os seus ativos mais críticos.
Gerencie todos os seus dispositivos IoT/OT criando um inventário atualizado que inclui todos os seus dispositivos gerenciados e não gerenciados
Proteja dispositivos com uma abordagem baseada em risco para identificar riscos, como patches ausentes, vulnerabilidades e priorizar correções com base na pontuação de risco e na modelagem automatizada de ameaças
Atualize seu inventário excluindo dispositivos irrelevantes e adicionando informações específicas da organização para enfatizar as preferências da organização
Por exemplo:
Dispositivos suportados
O inventário de dispositivos do Defender for IoT suporta as seguintes classes de dispositivos:
| Dispositivos | Por exemplo... |
|---|---|
| Indústrias transformadoras | Dispositivos industriais e operacionais, tais como dispositivos pneumáticos, sistemas de embalagem, sistemas de embalagem industrial, robôs industriais |
| Edifício | Painéis de acesso, dispositivos de vigilância, sistemas de AVAC, elevadores, sistemas de iluminação inteligentes |
| Cuidados de saúde | Medidores de glicose, monitores |
| Transporte / Serviços Públicos | Catracas, contadores de pessoas, sensores de movimento, sistemas de incêndio e segurança, intercomunicadores |
| Energia e recursos | Controladores DCS, PLCs, dispositivos historiadores, HMIs |
| Dispositivos de ponto final | Estações de trabalho, servidores ou dispositivos móveis |
| Enterprise | Dispositivos inteligentes, impressoras, dispositivos de comunicação ou dispositivos de áudio/vídeo |
| Retail | Leitores de código de barras, sensor de humidade, relógios perfurados |
Um tipo de dispositivo transitório indica um dispositivo que foi detetado por apenas um curto período de tempo. Recomendamos que investigue cuidadosamente estes dispositivos para compreender o seu impacto na sua rede.
Dispositivos não classificados são dispositivos que, de outra forma, não têm uma categoria pronta para uso definida.
Opções de gerenciamento de dispositivos
O inventário de dispositivos do Defender for IoT está disponível nos seguintes locais:
| Location | Description | Suporte de inventário extra |
|---|---|---|
| Portal do Azure | Dispositivos OT detetados de todos os sensores OT conectados à nuvem. | - Se você também usa o Microsoft Sentinel, os incidentes no Microsoft Sentinel são vinculados a dispositivos relacionados no Defender for IoT. - Use pastas de trabalho do Defender for IoT para visibilidade de todo o inventário de dispositivos conectados à nuvem, incluindo alertas e vulnerabilidades relacionadas. - Se você tiver um plano Enterprise IoT herdado em sua assinatura do Azure, o portal do Azure também incluirá dispositivos detetados pelos agentes do Microsoft Defender for Endpoint. Se você tiver um sensor Enterprise IoT, o portal do Azure também incluirá dispositivos detetados pelo sensor Enterprise IoT. |
| Microsoft Defender XDR | Dispositivos IoT corporativos detetados por agentes do Microsoft Defender for Endpoint | Correlacione dispositivos no Microsoft Defender XDR em alertas, vulnerabilidades e recomendações criados especificamente para esse fim. |
| Consolas de sensores de rede OT | Dispositivos detetados por esse sensor OT | - Ver todos os dispositivos detetados em um mapa de dispositivo de rede - Ver eventos relacionados na cronologia do Evento |
| Um console de gerenciamento local | Dispositivos detetados em todos os sensores OT conectados | Melhore os dados do dispositivo importando dados manualmente ou por meio de script |
Para obter mais informações, consulte:
- Gerir o inventário do seu dispositivo a partir do portal do Azure
- Defender for Endpoint device discovery
- Gerencie seu inventário de dispositivos OT a partir de um console de sensor
- Gerencie seu inventário de dispositivos OT a partir de um console de gerenciamento local
Dispositivos consolidados automaticamente
Quando você implanta o Defender for IoT em escala, com vários sensores OT, cada sensor pode detetar aspetos diferentes do mesmo dispositivo. Para evitar dispositivos duplicados no seu inventário de dispositivos, o Defender for IoT assume que todos os dispositivos encontrados na mesma zona, com uma combinação lógica de características semelhantes, são o mesmo dispositivo. O Defender for IoT consolida automaticamente esses dispositivos e os lista apenas uma vez no inventário de dispositivos.
Por exemplo, quaisquer dispositivos com o mesmo endereço IP e MAC detetados na mesma zona são consolidados e identificados como um único dispositivo no inventário de dispositivos. Se você tiver dispositivos separados de endereços IP recorrentes que são detetados por vários sensores, você deseja que cada um desses dispositivos seja identificado separadamente. Nesses casos, integre seus sensores OT em zonas diferentes para que cada dispositivo seja identificado como um dispositivo separado e único, mesmo que eles tenham o mesmo endereço IP. Dispositivos que têm os mesmos endereços MAC, mas endereços IP diferentes não são mesclados e continuam a ser listados como dispositivos exclusivos.
Um tipo de dispositivo transitório indica um dispositivo que foi detetado por apenas um curto período de tempo. Recomendamos que investigue cuidadosamente estes dispositivos para compreender o seu impacto na sua rede.
Dispositivos não classificados são dispositivos que, de outra forma, não têm uma categoria pronta para uso definida.
Gorjeta
Defina sites e zonas no Defender for IoT para fortalecer a segurança geral da rede, siga os princípios do Zero Trust e obtenha clareza nos dados detetados pelos seus sensores.
Dispositivos não autorizados
Quando você está trabalhando pela primeira vez com o Defender for IoT, durante o período de aprendizado logo após a implantação de um sensor, todos os dispositivos detetados são identificados como dispositivos autorizados .
Após o período de aprendizagem, quaisquer novos dispositivos detetados são considerados não autorizados e novos dispositivos. Recomendamos verificar cuidadosamente esses dispositivos quanto a riscos e vulnerabilidades. Por exemplo, no portal do Azure, filtre o inventário de dispositivos para Authorization == **Unauthorized**. Na página de detalhes do dispositivo, faça uma busca detalhada e verifique vulnerabilidades, alertas e recomendações relacionadas.
O novo status é removido assim que você edita qualquer um dos detalhes do dispositivo ou move o dispositivo em um mapa do dispositivo do sensor OT. Por outro lado, a etiqueta não autorizada permanece até que você edite manualmente os detalhes do dispositivo e marque-a como autorizada.
Em um sensor OT, dispositivos não autorizados também são incluídos nos seguintes relatórios:
Relatórios de vetores de ataque: os dispositivos marcados como não autorizados são incluídos em uma simulação de vetor de ataque como dispositivos suspeitos de não autorizados que podem ser uma ameaça à rede.
Relatórios de avaliação de risco: os dispositivos marcados como não autorizados são listados nos relatórios de avaliação de risco, uma vez que os seus riscos para a sua rede requerem investigação.
Dispositivos OT importantes
Marque os dispositivos OT como importantes para destacá-los para rastreamento extra. Em um sensor OT, dispositivos importantes são incluídos nos seguintes relatórios:
Relatórios de vetores de ataque: Os dispositivos marcados como importantes são incluídos em uma simulação de vetor de ataque como possíveis alvos de ataque.
Relatórios de avaliação de risco: Os dispositivos marcados como importantes são contabilizados nos relatórios de avaliação de risco ao calcular as pontuações de segurança.
Dados da coluna de inventário do dispositivo
A tabela a seguir lista as colunas disponíveis no inventário de dispositivos do Defender for IoT no portal do Azure e no sensor OT, uma descrição de cada coluna e se e em qual plataforma ela é editável. Itens estrelados (*) também estão disponíveis no sensor OT.
Nota
Os recursos listados abaixo estão em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
| Nome | Descrição | Editável |
|---|---|---|
| Autorização * | Determina se o dispositivo está ou não marcado como autorizado. Esse valor pode precisar ser alterado à medida que a segurança do dispositivo muda. Alternar dispositivo autorizado. | Editável no Azure e no Sensor OT |
| Função de negócio | Descreve a função comercial do dispositivo. | Editável no Azure |
| Classe | A classe do dispositivo. Predefinição: IoT |
Editável no Azure |
| Origem de dados | A fonte dos dados, como um microagente, sensor OT ou Microsoft Defender for Endpoint. Predefinição: MicroAgent |
Não editável |
| Descrição * | A descrição do dispositivo. | Editável no Azure e no Sensor OT |
| ID do dispositivo | O número de ID atribuído ao Azure do dispositivo. | Não editável |
| Modelo de firmware | O modelo de firmware do dispositivo. | Editável no Azure |
| Fornecedor de firmware | O fornecedor do firmware do dispositivo. | Não editável |
| Versão do firmware * | A versão de firmware do dispositivo. | Editável no Azure |
| Visto pela primeira vez * | A data e a hora em que o dispositivo foi visto pela primeira vez. Mostrado no MM/DD/YYYY HH:MM:SS AM/PM formato. No sensor OT, mostrado como Descoberto. |
Não editável |
| Importância | O nível importante do dispositivo: Low, Medium, ou High. |
Editável no Azure |
| Endereço IPv4 * | O endereço IPv4 do dispositivo. | Não editável |
| Endereço IPv6 | O endereço IPv6 do dispositivo. | Não editável |
| Última atividade * | A data e a hora em que o dispositivo enviou um evento pela última vez para o Azure ou para o sensor OT, dependendo de onde você está exibindo o inventário do dispositivo. Mostrado no MM/DD/YYYY HH:MM:SS AM/PM formato. |
Não editável |
| Location | A localização física do dispositivo. | Editável no Azure |
| Endereço MAC * | O endereço MAC do dispositivo. | Não editável |
| Modelo * | O modelo de hardware do dispositivo. | Editável no Azure |
| Nome * | Obrigatório. O nome do dispositivo como o sensor o descobriu, ou como inserido pelo usuário. | Editável no Azure e no sensor OT |
| Localização de rede (Pré-visualização pública) * | A localização de rede do dispositivo. Exibe se o dispositivo é definido como local ou roteado, de acordo com as sub-redes configuradas. | Não editável |
| Arquitetura de SO | A arquitetura do sistema operacional do dispositivo. | Não editável |
| Distribuição do SO | A distribuição do sistema operacional do dispositivo, como Android, Linux e Haiku. | Não editável |
| Plataforma de SO * | O sistema operacional do dispositivo, se detetado. No sensor OT, mostrado como Sistema Operacional. | Editável no sensor OT |
| Versão do Sistema Operativo | A versão do sistema operacional do dispositivo, como Windows 10 ou Ubuntu 20.04.1. | Não editável |
| Modo PLC * | O modo de funcionamento do PLC do dispositivo, incluindo o estado Key (físico/lógico) e o estado Run (lógico). Se ambos os estados são os mesmos, então apenas um estado é listado. - Os possíveis estados-chave incluem: Run, Program, Remote, Stop, Invalide Programming Disabled. - Os estados de execução possíveis são Run, Program, Stop, , Paused, ExceptionHalted, Trapped, Idle, , ou Offline. |
Editável no sensor OT |
| Dispositivo de programação * | Define se o dispositivo é definido como um Dispositivo de Programação, executando atividades de programação para PLCs, RTUs e controladores, que são relevantes para estações de engenharia. | Editável no Azure e no sensor OT |
| Protocolos * | Os protocolos que o dispositivo usa. | Não editável |
| Nível de Purdue | O nível de Purdue em que o dispositivo existe. | Editável no sensor OT |
| Dispositivo de scanner * | Define se o dispositivo executa atividades semelhantes à verificação na rede. | Editável no sensor OT |
| Sensor | O sensor ao qual o dispositivo está ligado. | Não editável |
| Número de série * | O número de série do dispositivo. | Não editável |
| Sítio | O site do dispositivo. Todos os sensores Enterprise IoT são adicionados automaticamente ao site da rede Enterprise. |
Não editável |
| Faixas horárias * | O número de slots que o dispositivo tem. | Não editável |
| Subtipo | O subtipo do dispositivo, como alto-falante ou Smart TV. Padrão: Managed Device |
Editável no Azure |
| Etiquetas | As tags do dispositivo. | Editável no Azure |
| Tipo * | O tipo de dispositivo, como Comunicação ou Industrial. Padrão: Miscellaneous |
Editável no Azure e no sensor OT |
| Fornecedor * | O nome do fornecedor do dispositivo, conforme definido no endereço MAC. < Também inconsistente - no inventário chamado fornecedor, no painel chamado fornecedor de hardware> | Editável no Azure |
| VLAN * | VLAN do dispositivo. | Não editável |
| Zona | A zona do dispositivo. | Não editável |
As colunas a seguir estão disponíveis apenas nos sensores OT e não são editáveis.
- O endereço DHCP do dispositivo.
- O endereço FQDN do dispositivo e a Hora da Última Pesquisa do FQDN.
- Os grupos de dispositivos que incluem o dispositivo, conforme definido no mapa do dispositivo do sensor OT.
- O endereço do módulo do dispositivo.
- O rack do dispositivo.
- O número de alertas não reconhecidos associados ao dispositivo.
Nota
As colunas adicionais Tipo de agente e Versão do agente são usadas pelos construtores de dispositivos. Para obter mais informações, consulte a documentação do Microsoft Defender for IoT for device builders.
Próximos passos
Para obter mais informações, consulte:
- Gerir o inventário do seu dispositivo a partir do portal do Azure
- Gerencie seu inventário de dispositivos OT a partir de um console de sensor
- Gerencie seu inventário de dispositivos OT a partir de um console de gerenciamento local
- Microsoft Defender para IoT - protocolos IoT, OT, ICS e SCADA suportados
- Investigar dispositivos em um mapa de dispositivo