何时使用 Microsoft Defender for IoT
了解什么是 Microsoft Defender for IoT 后,让我们讨论最适合此服务的方案。
何时选择 Defender for IoT
下表描述了 Defender for IoT 可能是组织的良好选择的业务需求和适用场景。
| 业务需求 | 说明 |
|---|---|
| 设备发现 | Defender for IoT 传感器控制台提供“设备清单”页和“设备映射”页。 这些页面提供有关网络中每个 OT/IoT 设备以及它们之间的连接的向下钻取数据。 |
| 管理网络风险和漏洞 | Defender for IoT 风险评估报告可从每个传感器控制台获取。 这些报告可帮助你识别网络中漏洞。 例如,报告可能包括未经授权的设备、未修补的系统、未经授权的 Internet 连接以及具有未使用的开放端口的设备。 |
| 了解最新的威胁情报 | 确保网络中传感器已安装最新的威胁情报 (TI) 包。 TI 包由 Defender for IoT 研究团队提供。 它们包括最近关注的事件、常见的漏洞和披露以及新的资产配置文件。 |
| 管理站点和传感器 | 在完全本地环境中,使用本地管理控制台批量管理 OT 传感器。 还可以将 OT 传感器载入到云中,并通过 Azure 门户的“站点和传感器”页对其进行管理。 |
| 针对 OT 实体运行引导调查 | SOC 团队可以使用随 IoT OT 威胁监视与 Defender for IoT 解决方案一起提供的 Microsoft Sentinel 工作簿。 使用它们根据未解决的事件、警报通知和 OT 资产活动进行调查。 这些工作簿还为 ICS 提供了跨 MITRE ATT&CK® 框架的搜寻体验。 它们旨在使分析人员、安全工程师和 MSSP 能够获得对 OT 安全态势的感知。 |
| 自动执行修正操作 | 使用随 IoT OT 威胁监视与 Defender for IoT 解决方案一起提供的 Microsoft Sentinel playbook,将自动修复操作作为例行程序运行。 |
何时不选择 Defender for IoT
Defender for IoT 不适用于未连接到网络的设备。 设备必须连接到网络,才能由 Defender for IoT 传感器发现,并对其流量进行分析,以发现安全风险。
Defender for IoT 是否是正确的选择?
让我们从第一单元重新考虑我们的智能建筑管理公司。 该场景的要点是:
- 用户包括安全和运营团队。 这两个团队的管理人员都需要访问安全数据。
- 用户必须能够查看在网络上运行的所有设备,以及子系统之间的通信路径。
- 用户必须收到有关网络上发生的未经授权的操作或计划外活动的警报。
- 用户需要工具来响应即时威胁,并执行正在进行的操作和网络安全任务。
Defender for IoT 可以支持所有这些场景,对于此组织来说是一个不错的选择。