管理企业 IoT 安全性
企业 IoT 安全性改进了对网络中 IoT 设备的监视和保护,例如打印机、智能电视、Internet 协议语音 (VoIP) 设备、会议系统和专用的专有设备。
激活企业 IoT 后,建议和漏洞的数据将显示在Microsoft Defender门户中。
在 Defender 门户中查看企业 IoT 数据
查看企业 IoT 安全数据:
在Microsoft Defender门户中,选择“资产>设备”以打开“设备清单”页。
选择“ IoT 设备 ”选项卡,然后选择特定设备 IP 以向下钻取更多详细信息。 例如:
选择特定设备时,将打开设备详细信息页。 浏览以下选项卡,查看企业 IoT 安全性为设备添加的数据:
在“警报”选项卡上,检查设备触发的任何警报。 使用 Microsoft 365 Defender 评估 & 教程 页中提供的 Raspberry Pi 方案在 Microsoft 365 Defender for Enterprise IoT 中模拟警报。
还可以设置高级搜寻查询以创建自定义警报规则。 有关详细信息,请参阅 企业 IoT 安全性的高级搜寻查询。
在“安全建议”选项卡上,检查适用于设备的任何建议,以降低风险并保持较小的攻击面。
在“发现漏洞”选项卡上,检查与设备关联的任何已知 CVE。 已知 CVE 可帮助确定是修补、删除还是包含设备,并缓解网络风险。 或者,使用 高级搜寻查询 来收集所有设备的漏洞。
在“设备清单”页上搜寻威胁
在 “设备清单 ”页上,选择“ 转到搜寻 ”,使用 DeviceInfo 表等表查询设备。 在 “高级搜寻 ”页上,使用其他架构查询数据。
企业 IoT 的高级搜寻查询
本部分列出了可在 Microsoft 365 Defender 中使用的高级搜寻查询示例,以帮助使用企业 IoT 安全性监视和保护 IoT 设备。
按特定类型或子类型查找设备
使用以下查询按设备类型(例如路由器)标识企业网络中存在的设备:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
查找和导出 IoT 设备的漏洞
使用以下查询列出 IoT 设备上的所有漏洞:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId
关闭企业 IoT 安全性
拥有 ME5/E5 安全计划且不再需要 企业 IoT 安全 服务的客户可以关闭该功能。
若要关闭企业 IoT 安全性,请:
在Microsoft Defender门户中,选择“设置>设备发现>企业 IoT”。
将选项切换为 “关”。
你不再在 Defender 门户中获取安全值,包括专门构建的警报、漏洞和建议。
具有 Microsoft Defender for Endpoint P2 许可证的客户在试用结束时未添加独立许可证、自动取消试用版并失去对企业 IoT 安全功能的访问权限。 有关详细信息,请参阅 购买独立许可证。