你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender XDR 中的企业 IoT 监视入门
本文介绍 Microsoft Defender for Endpoint 客户如何在环境中监视企业 IoT 设备,从而运用 Microsoft Defender XDR 中的附加安全价值。
虽然 IoT 设备清单已可供 Defender for Endpoint P2 客户使用,但启用企业 IoT 安全性可添加警报、建议和漏洞数据,这些数据专为企业网络中的 IoT 设备而构建。
IoT 设备包括打印机、相机、VOIP 电话、智能电视等。 启用企业 IoT 安全性有诸多优势,例如,你可以按照 Microsoft Defender XDR 中的建议打开单个 IT 票证,从而跨服务器和打印机修补易受攻击的应用程序。
先决条件
在开始本文中的过程之前,请阅读企业中的安全 IoT 设备,详细了解 Defender for Endpoint 与 Defender for IoT 之间的集成。
确保你有:
网络中的 IoT 设备,在 Microsoft Defender XDR 设备清单中可见
以安全管理员身份访问 Microsoft Defender 门户
环境中部署的 Microsoft Defender for Endpoint 代理。 有关详细信息,请参阅载入 Microsoft Defender for Endpoint。
以下许可证之一:
Microsoft 365 E5 (ME5) 或 E5 安全许可证
Microsoft Defender for Endpoint P2 带有额外的独立“Microsoft Defender for IoT - EIoT 设备许可证 - 加载项”许可证,可从 Microsoft 365 管理中心购买或试用。
提示
如果你有独立许可证,则无需启用“企业 IoT 安全性”,而是可直接跳到查看 Microsoft Defender XDR 中的附加安全价值。
有关详细信息,请参阅 Microsoft Defender XDR 中的企业 IoT 安全性。
启用企业 IoT 监视
此过程介绍如何在 Microsoft Defender XDR 中启用企业 IoT 监视,仅适用于 ME5/E5 安全客户。
如果你有下列类型的许可计划之一,请跳过此过程:
- 具有旧版企业 IoT 定价计划和 ME5/E5 安全许可证的客户。
- 具有 Microsoft Defender for Endpoint P2 附加的独立每设备许可证的客户。 在这种情况下,企业 IoT 安全性设置以只读方式打开。
若要启用企业 IoT 监视,请执行以下操作:
- 在 Microsoft Defender XDR中,选择“设置”>“设备发现”“企业 IoT”。>
注意
确保在“设置”>“终结点”>“高级功能”中启用设备发现。
将“企业 IoT 安全性”选项切换为“开”。 例如:
在 Microsoft Defender XDR 中查看增加的安全值
此过程介绍如何在“企业 IoT 安全性”选项打开的情况下,在 Microsoft Defender XDR 中查看特定设备的相关警报、建议和漏洞。
若要查看增加的安全值,请执行以下操作:
在 Microsoft Defender XDR中,选择“资产”>“设备”以打开“设备清单”页。
选择“IoT 设备”选项卡,然后选择特定设备 IP 以向下钻取更多详细信息。 例如:
在设备详细信息页上,浏览以下选项卡以查看企业 IoT 安全性为设备添加的数据:
在“警报”选项卡上,检查设备触发的任何警报。 使用 Microsoft 365 Defender 评估与教程页中提供的 Raspberry Pi 方案模拟 Microsoft 365 Defender for Enterprise IoT 中的警报。
你还可以设置高级搜寻查询以创建自定义警报规则。 有关详细信息,请参阅适用于 Enterprise IoT 监视的高级搜寻查询示例。
在“安全建议”选项卡上,检查是否有可用于设备的任何建议,以降低风险并保持较小的攻击面。
在“发现的漏洞”选项卡上,检查与设备关联的任何已知 CVE。 已知的 CES 可帮助决定是修补、删除还是包含设备,并减轻网络风险。 或者,使用高级搜寻查询收集所有设备上的漏洞。
要搜寻威胁:
在“设备清单”页上,选择“开始搜寻”以使用 DeviceInfo 等表查询设备。 在“高级搜寻”页上,使用其他架构查询数据。
适用于 Enterprise IoT 的高级搜寻查询示例
本部分列出了可在 Microsoft 365 Defender 中使用的高级搜寻查询示例,以帮助你使用 Enterprise for IoT 安全性监视和保护 IoT 设备。
按特定类型或子类型查找设备
使用以下查询按设备类型识别企业网络中存在的设备,例如路由器:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
查找和导出 IoT 设备的漏洞
使用以下查询列出 IoT 设备上的所有漏洞:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId