Kom igång med företags-IoT-övervakning i Microsoft Defender XDR
Den här artikeln beskriver hur Microsoft Defender för Endpoint kunder kan övervaka företags-IoT-enheter i sin miljö med hjälp av ett extra säkerhetsvärde i Microsoft Defender XDR.
Även om IoT-enhetsinventering redan är tillgänglig för Defender för Endpoint P2-kunder lägger aktivering av företags-IoT-säkerhet till aviseringar, rekommendationer och sårbarhetsdata som är specialbyggda för IoT-enheter i företagsnätverket.
IoT-enheter omfattar skrivare, kameror, VOIP-telefoner, smarta TV-apparater med mera. Att aktivera enterprise IoT-säkerhet innebär till exempel att du kan använda en rekommendation i Microsoft Defender XDR för att öppna en enda IT-biljett för att korrigera sårbara program på både servrar och skrivare.
Förutsättningar
Innan du påbörjar procedurerna i den här artikeln läser du igenom Säkra IoT-enheter i företaget för att förstå mer om integreringen mellan Defender för Endpoint och Defender för IoT.
Kontrollera att du har:
IoT-enheter i nätverket, synliga i Microsoft Defender XDR-enhetsinventeringen
Åtkomst till Microsoft Defender-portalen som säkerhetsadministratör
Microsoft Defender för Endpoint agenter som distribueras i din miljö. Mer information finns i publicera Microsoft Defender för Endpoint.
En av följande licenser:
En Microsoft 365 E5-licens (ME5) eller E5 Security-licens
Microsoft Defender för Endpoint P2, med en extra fristående Microsoft Defender för IoT – EIoT-enhetslicens – tilläggslicens, tillgänglig för köp eller utvärderingsversion från Administrationscenter för Microsoft 365.
Dricks
Om du har en fristående licens behöver du inte växla på Enterprise IoT Security och kan hoppa direkt till Visa ytterligare säkerhetsvärde i Microsoft Defender XDR.
Mer information finns i Enterprise IoT-säkerhet i Microsoft Defender XDR.
Aktivera IoT-övervakning för företag
Den här proceduren beskriver hur du aktiverar företags-IoT-övervakning i Microsoft Defender XDR och är endast relevant för ME5/E5 Security-kunder.
Hoppa över den här proceduren om du har någon av följande typer av licensieringsplaner:
- Kunder med en äldre Enterprise IoT-prisplan och en ME5/E5-säkerhetslicens.
- Kunder med fristående licenser per enhet har lagts till i Microsoft Defender för Endpoint P2. I sådana fall är enterprise IoT-säkerhetsinställningen aktiverad som skrivskyddad.
Så här aktiverar du IoT-övervakning för företag:
- I Microsoft Defender XDR väljer du Inställningar>Device Discovery>Enterprise IoT.
Kommentar
Kontrollera att du har aktiverat Enhetsidentifiering i Inställningar>Slutpunkter>Avancerade funktioner.
Växla säkerhetsalternativet Enterprise IoT till På. Till exempel:
Visa ytterligare säkerhetsvärde i Microsoft Defender XDR
Den här proceduren beskriver hur du visar relaterade aviseringar, rekommendationer och sårbarheter för en specifik enhet i Microsoft Defender XDR när säkerhetsalternativet Enterprise IoT är aktiverat.
Så här visar du ett extra säkerhetsvärde:
I Microsoft Defender XDR väljer du Tillgångar>enheter för att öppna sidan Enhetsinventering.
Välj fliken IoT-enheter och välj en specifik enhets-IP för att öka detaljnivån för mer information. Till exempel:
På sidan enhetsinformation utforskar du följande flikar för att visa data som lagts till av företagets IoT-säkerhet för din enhet:
På fliken Aviseringar söker du efter aviseringar som utlöses av enheten. Simulera aviseringar i Microsoft 365 Defender for Enterprise IoT med hjälp av Raspberry Pi-scenariot som är tillgängligt på sidan Utvärdering och självstudier för Microsoft 365 Defender.
Du kan också konfigurera avancerade jaktfrågor för att skapa anpassade aviseringsregler. Mer information finns i exempel på avancerade jaktfrågor för Enterprise IoT-övervakning.
På fliken Säkerhetsrekommendationer söker du efter eventuella rekommendationer som är tillgängliga för enheten för att minska risken och upprätthålla en mindre attackyta.
På fliken Identifierade sårbarheter söker du efter kända CVE:er som är associerade med enheten. Kända CVE:er kan hjälpa dig att avgöra om du vill korrigera, ta bort eller innehålla enheten och minska risken för nätverket. Du kan också använda avancerade jaktfrågor för att samla in sårbarheter på alla dina enheter.
Så här jagar du hot:
På sidan Enhetsinventering väljer du Gå jaga för att fråga enheter med hjälp av tabeller som tabellen DeviceInfo . På sidan Avancerad jakt frågar du efter data med hjälp av andra scheman.
Exempel på avancerade jaktfrågor för Enterprise IoT
Det här avsnittet innehåller exempel på avancerade jaktfrågor som du kan använda i Microsoft 365 Defender för att hjälpa dig att övervaka och skydda dina IoT-enheter med Enterprise for IoT-säkerhet.
Hitta enheter efter specifik typ eller undertyp
Använd följande fråga för att identifiera enheter som finns i företagets nätverk efter typ av enhet, till exempel routrar:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
Hitta och exportera sårbarheter för dina IoT-enheter
Använd följande fråga för att lista alla säkerhetsrisker på dina IoT-enheter:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId
Mer information finns i Avancerad jakt och Förstå det avancerade jaktschemat.