Inventario dei dispositivi Defender per IoT
L'inventario dei dispositivi di Defender per IoT facilita l’identificazione dei dettagli relativi a dispositivi specifici, ad esempio produttore, tipo, numero di serie, firmware e altro. La raccolta di dettagli sui dispositivi facilita ai team l’analisi preventiva delle vulnerabilità che possono compromettere gli asset più critici.
Gestire tutti i dispositivi IoT/OT creando un inventario aggiornato che include tutti i dispositivi gestiti e non gestiti
Proteggere i dispositivi con approccio basato sul rischio per identificare rischi quali patch mancanti, vulnerabilità e correzioni in ordine di priorità in base all'assegnazione dei punteggi dei rischi e alla modellazione automatizzata delle minacce
Aggiornare l'inventario eliminando dispositivi irrilevanti e aggiungendo informazioni specifiche dell'organizzazione per evidenziare le preferenze dell'organizzazione
Ad esempio:
Dispositivi supportati
L'inventario dei dispositivi di Defender per IoT supporta le seguenti classi di dispositivi:
| Dispositivi | Ad esempio... |
|---|---|
| Produzione | Dispositivi industriali e operativi, come dispositivi pneumatici, sistemi di imballaggio, sistemi di imballaggio industriale, robot industriali |
| Edificio | Pannelli di accesso, dispositivi di sorveglianza, sistemi HVAC, ascensori, sistemi di illuminazione intelligente |
| Sanità | Misuratori di glucosio, monitoraggi |
| Trasporti/Servizi pubblici | Tornelli, contatori di persone, sensori di movimento, sistemi antincendio e di sicurezza, intercom |
| Energia e risorse | Controller DCS, PLCS, dispositivi historian, HMI |
| Dispositivi endpoint | Workstation, server o dispositivi mobili |
| Funzionalità per le aziende | Dispositivi intelligenti, stampanti, dispositivi di comunicazione o dispositivi audio/video |
| Vendita al dettaglio | Scanner di codici a barre, sensori di umidità, marcatempo |
Un tipo di dispositivo temporaneo indica un dispositivo rilevato solo per un breve periodo di tempo. È consigliabile esaminare attentamente questi dispositivi per comprendere il loro impatto sulla rete.
I dispositivi non classificati sono invece i dispositivi che non hanno una determinata categoria predefinita.
Opzioni di gestione dei dispositivi
L'inventario dei dispositivi Defender per IoT è disponibile nelle posizioni seguenti:
| Ufficio | Descrizione | Supporto aggiuntivo per l'inventario |
|---|---|---|
| Azure portal | Dispositivi OT rilevati da tutti i sensori OT connessi al cloud. | - Se si usa anche Microsoft Sentinel, gli eventi imprevisti in Microsoft Sentinel sono collegati ai dispositivi correlati in Defender per IoT. - Usare le cartelle di lavoro di Defender per IoT per ottenere visibilità su tutti gli inventari dei dispositivi connessi al cloud, inclusi gli avvisi e le vulnerabilità correlati. - Se si ha un piano IoT Enterprise legacy nella sottoscrizione di Azure, il portale di Azure include anche i dispositivi rilevati dagli agenti di Microsoft Defender per endpoint. Se si dispone di un sensore IoT Enterprise, il portale di Azure include anche i dispositivi rilevati dal sensore IoT Enterprise. |
| Microsoft Defender XDR | Dispositivi IoT Enterprise rilevati dagli agenti di Microsoft Defender per endpoint | Correlare i dispositivi in Microsoft Defender XDR in avvisi, vulnerabilità e consigli appositamente creati. |
| Console del sensore di rete OT | Dispositivi rilevati dal sensore OT | - Visualizzare tutti i dispositivi rilevati in una mappa dei dispositivi di rete - Visualizzare gli eventi correlati nella sequenza temporale degli eventi |
Per altre informazioni, vedi:
- Gestire l'inventario dei dispositivi dal portale di Azure
- Individuazione dei dispositivi Defender per endpoint
- Gestire l'inventario dei dispositivi OT da una console del sensore
Dispositivi consolidati automaticamente
Quando si distribuisce Defender per IoT su larga scala, con diversi sensori OT, ogni sensore potrebbe rilevare aspetti diversi dello stesso dispositivo. Per evitare dispositivi duplicati nell'inventario dei dispositivi, Defender per IoT presuppone che tutti i dispositivi presenti nella stessa zona, con una combinazione logica di caratteristiche simili, siano lo stesso dispositivo. Defender per IoT consolida automaticamente questi dispositivi e li elenca una sola volta nell'inventario dei dispositivi.
Ad esempio, tutti i dispositivi con lo stesso indirizzo IP e MAC rilevati nella stessa zona vengono consolidati e identificati come un singolo dispositivo nell'inventario dei dispositivi. Se si dispone di dispositivi distinti con indirizzi IP ricorrenti rilevati da più sensori, è necessario che ognuno di questi dispositivi venga identificato separatamente. In questi casi, eseguire l'onboarding dei sensori OT in zone diverse in modo che ogni dispositivo venga identificato come un dispositivo separato e univoco, anche se hanno lo stesso indirizzo IP. I dispositivi con gli stessi indirizzi MAC, ma indirizzi IP diversi non vengono uniti e continuano a essere elencati come dispositivi univoci.
Un tipo di dispositivo temporaneo indica un dispositivo rilevato solo per un breve periodo di tempo. È consigliabile esaminare attentamente questi dispositivi per comprendere il loro impatto sulla rete.
I dispositivi non classificati sono invece i dispositivi che non hanno una determinata categoria predefinita.
Suggerimento
Definire siti e zone in Defender per IoT per rafforzare la sicurezza di rete complessiva, seguire i principi Zero Truste ottenere chiarezza nei dati rilevati dai sensori.
Dispositivi non autorizzati
Quando si usa Defender per IoT per la prima volta, durante il periodo di apprendimento subito dopo la distribuzione di un sensore, tutti i dispositivi rilevati vengono identificati come dispositivi autorizzati.
Dopo il periodo di apprendimento, tutti i nuovi dispositivi rilevati vengono considerati dispositivi non autorizzati e nuovi. È consigliabile controllare attentamente questi dispositivi per individuare rischi e vulnerabilità. Ad esempio, nel portale di Azure, filtrare l'inventario dei dispositivi per Authorization == **Unauthorized**. Nella pagina dei dettagli del dispositivo eseguire il drill-down e verificare la presenza di vulnerabilità, avvisi e consigli correlati.
Lo stato nuovo viene rimosso non appena si modifica uno dei dettagli del dispositivo o si sposta il dispositivo su una mappa dispositivi sensore OT. Al contrario, l'etichetta non autorizzato rimane finché non si modificano manualmente i dettagli del dispositivo e viene contrassegnato come autorizzato.
In un sensore OT, i dispositivi non autorizzati sono inclusi anche nei report seguenti:
Report sui vettori di attacco: i dispositivi contrassegnati come non autorizzati sono inclusi in una simulazione di vettori di attacco come dispositivi non autorizzati sospetti che potrebbero essere una minaccia per la rete.
Report di valutazione del rischio: i dispositivi contrassegnati come non autorizzati sono elencati nei report di valutazione del rischio perché i rischi per la rete richiedono un'indagine.
Dispositivi OT importanti
Contrassegnare i dispositivi OT come importanti per evidenziarli per un monitoraggio aggiuntivo. In un sensore OT, i dispositivi importanti sono inclusi nei report seguenti:
Report sui vettori di attacco: i dispositivi contrassegnati come importanti sono inclusi in una simulazione di vettori di attacco come possibile obiettivi per un attacco.
Report di valutazione del rischio: i dispositivi contrassegnati come importanti vengono conteggiati nei report di valutazione del rischio durante il calcolo dei punteggi di sicurezza.
Dati delle colonne di inventario dei dispositivi
Nella tabella seguente sono elencate le colonne disponibili nell'inventario dei dispositivi Defender per IoT nella portale di Azure e nel sensore OT, una descrizione di ogni colonna e se e in quale piattaforma è modificabile. Gli elementi contrassegnati con l'asterisco (*) sono disponibili anche nel sensore OT.
Nota
Le funzionalità elencate di seguito sono disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono altri termini legali che si applicano a funzionalità di Azure in versione beta, anteprima o altrimenti non ancora disponibili a livello generale.
| Nome | Descrizione | Modificabile |
|---|---|---|
| Autorizzazione * | Determina se il dispositivo è contrassegnato come autorizzato o meno. Questo valore potrebbe dover cambiare man mano che cambia la sicurezza del dispositivo. Attivare/Disattivare dispositivo autorizzato. | Modificabile in Azure e nel sensore OT |
| Funzione Business | Descrive la funzione Business del dispositivo. | Modificabile in Azure |
| Classe | Classe del dispositivo. Impostazione predefinita: IoT |
Modificabile in Azure |
| Origine dati | Origine dei dati, ad esempio un micro agente, un sensore OT o Microsoft Defender per endpoint. Impostazione predefinita: MicroAgent |
Non modificabile |
| Descrizione * | Descrizione del dispositivo. | Modificabile sia in Azure che nel sensore OT |
| ID dispositivo | Numero ID del dispositivo, assegnato da Azure. | Non modificabile |
| Modello firmware | Modello del firmware del dispositivo. | Modificabile in Azure |
| Fornitore firmware | Fornitore del firmware del dispositivo. | Non modificabile |
| Versione del firmware * | Versione del firmware del dispositivo. | Modificabile in Azure |
| Prima visualizzazione * | Data e ora in cui il dispositivo è stato visto per la prima volta. Visualizzato in formato MM/DD/YYYY HH:MM:SS AM/PM. Sul sensore OT, visualizzato come Individuato. |
Non modificabile |
| Priorità | Livello importanza del dispositivo: Low, Medium o High. |
Modificabile in Azure |
| Indirizzo IPv4 * | Indirizzo IPv4 del dispositivo. | Non modificabile |
| Indirizzo IPv6 | Indirizzo IPv6 del dispositivo. | Non modificabile |
| Ultima attività * | Data e ora dell'ultimo invio di un evento da parte del dispositivo ad Azure o al sensore OT, a seconda della posizione in cui si sta visualizzando l'inventario dei dispositivi. Visualizzato in formato MM/DD/YYYY HH:MM:SS AM/PM. |
Non modificabile |
| Location | Posizione fisica del dispositivo. | Modificabile in Azure |
| Indirizzo MAC * | Indirizzo MAC del dispositivo. | Non modificabile |
| Modello * | Modello hardware del dispositivo. | Modificabile in Azure |
| Nome * | Obbligatorio. Nome del dispositivo come rilevato dal sensore o come immesso dall'utente. | Modificabile nel sensore Azure e OT |
| Percorso di rete (anteprima pubblica) * | Percorso di rete del dispositivo. Mostra se il dispositivo è definito come locale o indirizzato, in base alle subnet configurate. | Non modificabile |
| Architettura del sistema operativo | Architettura del sistema operativo del dispositivo. | Non modificabile |
| Distribuzione dei sistemi operativi | Distribuzione del sistema operativo del dispositivo, ad esempio Android, Linux e Haiku. | Non modificabile |
| Piattaforma del sistema operativo * | Sistema operativo del dispositivo, se rilevato. Sul sensore OT, visualizzato come Sistema operativo. | Modificabile nel sensore OT |
| Versione sistema operativo | Versione del sistema operativo del dispositivo, ad esempio Windows 10 o Ubuntu 20.04.1. | Non modificabile |
| Modalità PLC * | La modalità operativa PLC del dispositivo, inclusi sia lo stato Chiave (fisico/logico) che lo stato di Esecuzione (logico). Se gli stati sono uguali, viene elencato un solo stato. - Possibili stati Chiave includono: Run, Program, Remote, Stop, Invalid e Programming Disabled. - I possibili stati di Esecuzione sono Run, Program, Stop, Paused, Exception, Halted, Trapped Idle o Offline. |
Modificabile nel sensore OT |
| Dispositivo di programmazione * | Indica se il dispositivo è definito come dispositivo di programmazione, eseguendo attività di programmazione per PLC, RUR e controller, rilevanti per le stazioni di progettazione. | Modificabile nel sensore Azure e OT |
| Protocolli * | Protocolli usati dal dispositivo. | Non modificabile |
| Livello di Purdue | Livello Purdue in cui è presente il dispositivo. | Modificabile nel sensore OT |
| Dispositivo scanner * | Definisce se il dispositivo esegue attività simili all'analisi nella rete. | Modificabile nel sensore OT |
| Sensor | Sensore a cui è connesso il dispositivo. | Non modificabile |
| Numero di serie * | Numero di serie del dispositivo. | Non modificabile |
| Sito | Sito del dispositivo. Tutti i sensori IoT Enterprise vengono aggiunti automaticamente al sito della rete Enterprise. |
Non modificabile |
| Slot * | Numero di slot di cui dispone il dispositivo. | Non modificabile |
| Sottotipo | Sottotipo del dispositivo, ad esempio Altoparlante o Smart TV. Predefinito: Managed Device |
Modificabile in Azure |
| Tag | Tag del dispositivo. | Modificabile in Azure |
| Type * | Tipo di dispositivo, ad esempio Comunicazione o Industriale. Predefinito: Miscellaneous |
Modificabile nel sensore Azure e OT |
| Fornitore * | Il nome del fornitore del dispositivo, come definito nell'indirizzo MAC. < Anche incoerente- nell'inventario denominato fornitore, nel riquadro denominato fornitore hardware> | Modificabile in Azure |
| VLAN * | VLAN del dispositivo. | Non modificabile |
| Zona | Zona del dispositivo. | Non modificabile |
Le colonne seguenti sono disponibili solo nei sensori OT e non sono modificabili.
- Indirizzo DHCP del dispositivo.
- Indirizzo FQDN del dispositivo e ora dell'ultima ricerca FQDN.
- Gruppi di dispositivi che includono il dispositivo, come definito nella mappa dispositivi del sensore OT.
- Indirizzo del modulo del dispositivo.
- Rack del dispositivo.
- Numero di avvisi non riconosciuti associati al dispositivo.
Nota
Le colonne aggiuntive Tipo agente e Versione agente vengono usate dai generatori di dispositivi. Per altre informazioni, vedere la documentazione di Microsoft Defender per IoT per gli sviluppatori di dispositivi.
Passaggi successivi
Per altre informazioni, vedi: