Compartilhar via


Inventário de dispositivos do Defender para IoT

O inventário de dispositivos do Defender para IoT ajuda você a identificar detalhes sobre dispositivos específicos, como fabricante, tipo, número de série, firmware e muito mais. Reunir detalhes sobre seus dispositivos ajuda suas equipes a investigar proativamente vulnerabilidades que podem comprometer seus ativos mais críticos.

  • Gerencie todos os dispositivos IoT/OT criando um inventário atualizado que inclui todos os dispositivos gerenciados e não gerenciados

  • Proteja dispositivos com uma abordagem baseada em risco para identificar riscos como patches ausentes, vulnerabilidades e priorizar correções com base na pontuação de risco e modelagem automatizada de ameaças

  • Atualize seu inventário excluindo dispositivos irrelevantes e adicionando informações específicas da organização para enfatizar as preferências da sua organização

Por exemplo:

Captura de tela da página do inventário de dispositivos do Defender para IoT no portal do Azure.

Dispositivos com suporte

O inventário de dispositivos do Defender para IoT é compatível com as seguintes classes de dispositivos:

Dispositivos Por exemplo...
Produção Dispositivos industriais e operacionais, como dispositivos pneumáticos, sistemas de embalagem, sistemas de embalagem industrial e robôs industriais
Prédio Painéis de acesso, dispositivos de vigilância, sistemas HVAC, elevadores, sistemas de iluminação inteligentes
Assistência médica Medidores de glicose e monitores
Transporte/utilitários Catracas, contadores de pessoas, sensores de movimento, sistemas de incêndio e segurança e interfones
Energia e recursos Controladores DCS, PLCs, dispositivos historiadores e IHMs
Dispositivos de ponto de extremidade Estações de trabalho, servidores ou dispositivos móveis
Empresa Dispositivos inteligentes, impressoras, dispositivos de comunicação ou dispositivos de áudio/vídeo
Varejo Scanners de código de barras, sensores de umidade e relógios de ponto

Um tipo de dispositivo transitório indica um dispositivo que foi detectado somente por um curto período de tempo. Recomenda-se investigar esses dispositivos cuidadosamente para entender o impacto deles na rede.

Dispositivos não classificados são aqueles que não têm uma categoria pronta para uso definida.

Opções de gerenciamento de dispositivo

O inventário de dispositivos do Defender para IoT está disponível nos seguintes locais:

Location Descrição Suporte adicional ao inventário
Portal do Azure Dispositivos do OT detectados de todos os sensores do OT conectados à nuvem. – Se você também usar o Microsoft Sentinel, os incidentes no Microsoft Sentinel serão vinculados a dispositivos relacionados no Defender para IoT.

– Use as pastas de trabalho do Defender para IoT a fim de obter visibilidade de todo o inventário de dispositivos conectados à nuvem, incluindo alertas e vulnerabilidades relacionados.

– Caso tenha um plano da IoT Enterprise herdado em assinatura do Azure, o portal do Azure também incluirá dispositivos detectados por agentes do Microsoft Defender para Ponto de Extremidade. Caso tenha um sensor da IoT Enterprise, o portal do Azure também incluirá dispositivos detectados pelo sensor da IoT Enterprise.
Microsoft Defender XDR Dispositivos da IoT Enterprise detectados pelos agentes do Microsoft Defender para Ponto de Extremidade Correlacione dispositivos no Microsoft Defender XDR em alertas, vulnerabilidades e recomendações criados especificamente.
Consoles de sensor de rede de OT Dispositivos detectados por esse sensor OT – Veja todos os dispositivos detectados em um mapa de dispositivos de rede

– Exibir eventos relacionado na Linha do tempo do evento
Um console de gerenciamento local Dispositivos detectados em todos os sensores OT conectados Aprimorar os dados do dispositivo importando dados manualmente ou via script

Para obter mais informações, consulte:

Dispositivos consolidados automaticamente

Ao implantar o Defender para IoT em escala, com vários sensores de OT, cada sensor pode detectar diferentes aspectos do mesmo dispositivo. Para evitar dispositivos duplicados no seu inventário de dispositivos, o Defender para IoT pressupõe que todos os dispositivos encontrados na mesma zona, com uma combinação lógica de características semelhantes, sejam o mesmo dispositivo. O Defender para IoT consolida automaticamente esses dispositivos e os lista apenas uma vez no inventário de dispositivos.

Por exemplo, todos os dispositivos com o mesmo endereço IP e endereço MAC detectados na mesma zona são consolidados e identificados como um único dispositivo no inventário de dispositivos. Caso tenha dispositivos separados de endereços IP recorrentes que são detectados por vários sensores, é desejável que cada um desses dispositivos seja identificado separadamente. Nesses casos, integre seus sensores de OT a zonas diferentes para que cada dispositivo seja identificado como um dispositivo separado e único, mesmo que todos tenham o mesmo endereço IP. Dispositivos que têm os mesmos endereços de MAC, mas endereços IP diferentes, não são mesclados e continuam listados como dispositivos únicos.

Um tipo de dispositivo transitório indica um dispositivo que foi detectado somente por um curto período de tempo. Recomenda-se investigar esses dispositivos cuidadosamente para entender o impacto deles na rede.

Dispositivos não classificados são aqueles que não têm uma categoria pronta para uso definida.

Dica

Defina sites e zonas no Defender para IoT para reforçar a segurança total da rede, siga os princípios de Confiança Zero e saiba com maior clareza quais dados são detectados pelos sensores.

Dispositivos não autorizados

Quando você trabalha pela primeira vez com o Defender para IoT, durante o período de aprendizagem posterior à implantação de um sensor, todos os dispositivos detectados são identificados como autorizados.

Após o término do período de aprendizagem, quaisquer novos dispositivos detectados são considerados não autorizados e novos dispositivos. Recomenda-se verificar cuidadosamente esses dispositivos quanto a riscos e vulnerabilidades. Por exemplo, no portal do Azure, filtre o inventário de dispositivos para Authorization == **Unauthorized**. Na página de detalhes do dispositivo, faça uma análise detalhada e verifique se há vulnerabilidades, alertas e recomendações relacionados.

O status novo é removido ao editar qualquer um dos detalhes do dispositivo ou mover o dispositivo em um mapa de dispositivos de sensor OT. No entanto, o rótulo não autorizado permanece até que você edite manualmente os detalhes do dispositivo e o marque como autorizado.

Em um sensor OT, os dispositivos não autorizados também são incluídos nos seguintes relatórios:

  • Relatórios de vetores de ataque: os dispositivos marcados como não autorizados são incluídos em uma simulação de vetor de ataque como suspeitos de serem dispositivos invasores que podem consistir em uma ameaça à rede.

  • Relatórios de avaliação de risco: os dispositivos marcados como não autorizados são listados nos relatórios de avaliação de risco, pois os riscos à rede exigem investigação.

Dispositivos OT importantes

Marque os dispositivos OT como importantes para realçá-los para acompanhamento adicional. Em um sensor OT, os dispositivos importantes são incluídos nos seguintes relatórios:

  • Relatórios de vetor de ataque: dispositivos marcados como importantes são incluídos em uma simulação de vetor de ataque como possíveis alvos de ataque.

  • Relatórios de avaliação de risco: os dispositivos marcados como importantes são contados nos relatórios de avaliação de risco ao calcular as pontuações de segurança.

Dados da coluna do inventário de dispositivos

A tabela a seguir lista as colunas disponíveis no inventário de dispositivos do Defender para IoT no portal do Azure e no sensor OT, uma descrição de cada coluna e se e em qual plataforma ela é editável. Itens com estrela (*) também estão disponíveis no sensor OT.

Observação

Os recursos indicados abaixo estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Nome Descrição Editable
Autorização * Determina se o dispositivo está ou não marcado como autorizado. Pode ser necessário alterar esse valor em caso de alterações na segurança do dispositivo. Alternar Dispositivo autorizado. Editável no Azure e no OT Sensor
Função de negócios Descreve a função de negócios do dispositivo. Editável no Azure
Classe A classe do dispositivo.
Padrão: IoT
Editável no Azure
Fonte de dados A fonte dos dados, como um microagente, sensor de OT ou Microsoft Defender para Ponto de Extremidade.
Padrão: MicroAgent
Não editável
Descrição * A descrição do dispositivo. Editável em ambos Azure e no OT Sensor
ID do Dispositivo O número de ID atribuído pelo Azure ao dispositivo. Não editável
Modelo de firmware O modelo de firmware do dispositivo. Editável no Azure
Fornecedor do firmware O fornecedor do firmware do dispositivo. Não editável
Versão de firmware * A versão do firmware do dispositivo. Editável no Azure
Visto pela primeira vez * A data e a hora em que o dispositivo foi visto pela primeira vez. Mostrado no formato MM/DD/YYYY HH:MM:SS AM/PM. No sensor OT, mostrado como Descoberto. Não editável
Importância O nível de importância do dispositivo: Low, Medium ou High. Editável no Azure
Endereço IPv4 * O endereço IPv4 do dispositivo. Não editável
Endereço IPv6 O endereço IPv6 do dispositivo. Não editável
Última atividade * A data e a hora em que o dispositivo enviou um evento pela última vez ao Azure ou ao sensor OT, dependendo de onde você está exibindo o inventário de dispositivos. Mostrado no formato MM/DD/YYYY HH:MM:SS AM/PM. Não editável
Localidade O local físico do dispositivo. Editável no Azure
Endereço MAC * O endereço MAC do dispositivo. Não editável
Modelo * O modelo de hardware do dispositivo. Editável no Azure
Nome * Mandatory. O nome do dispositivo conforme o sensor o descobriu ou conforme inserido pelo usuário. Editável no Azure e sensor OT
Localização da rede (Visualização pública) * O local de rede do dispositivo. Exibe se o dispositivo é definido como local ou roteado, de acordo com as sub-redes configuradas. Não editável
Arquitetura do SO A arquitetura do sistema operacional do dispositivo. Não editável
Distribuição do SO A distribuição do sistema operacional do dispositivo, como Android, Linux e Haiku. Não editável
Plataforma do SO * O sistema operacional do dispositivo, se detectado. No sensor OT, mostrado como Sistema operacional. Editável no OT Sensor
Versão do SO A versão do sistema operacional do dispositivo, como Windows 10 ou Ubuntu 20.04.1. Não editável
Modo PLC * O modo de operação PLC do dispositivo, incluindo o estado Chave (físico/lógico) e o estado Executar (lógico). Se ambos os estados forem iguais, somente um será listado.

– Os estados Chave possíveis incluem: Run, Program, Remote, Stop, Invalid e Programming Disabled.

– Os estados Executar possíveis são Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle ou Offline.
Editável no OT Sensor
Dispositivo de programação * Indica se o dispositivo está definido como um Dispositivo de programação, realizando atividades de programação para PLCs, RTUs e controladores, que são relevantes para estações de engenharia. Editável no Azure e sensor OT
Protocolos * Os protocolos que o dispositivo usa. Não editável
Nível de Purdue O nível de Purdue no qual o dispositivo existe. Editável no sensor OT
Dispositivo scanner * Define se o dispositivo executa atividades semelhantes à varredura na rede. Editável no OT Sensor
Sensor O sensor ao qual o dispositivo está conectado. Não editável
Número de série * Número de série do dispositivo. Não editável
Site Site do dispositivo.

Todos os sensores de IoT Enterprise são adicionados automaticamente ao site da rede Enterprise.
Não editável
Slots * O número de slots do dispositivo. Não editável
Subtipo O subtipo do dispositivo, como Alto-falante ou Smart TV.
Padrão: Managed Device
Editável no Azure
Marcas As marcas do dispositivo. Editável no Azure
Tipo * O tipo de dispositivo, como Comunicação ou Industrial.
Padrão: Miscellaneous
Editável no Azure e sensor OT
Fornecedor * O nome do fornecedor do dispositivo, conforme definido no endereço MAC. < Também inconsistente - no inventário chamado fornecedor, no painel chamado fornecedor de hardware> Editável no Azure
VLAN * A VLAN do dispositivo. Não editável
Zona A zona do dispositivo. Não editável

As colunas a seguir estão disponíveis apenas nos sensores OT e não são editáveis.

  • Endereço DHCP do dispositivo.
  • Endereço FQDN do dispositivo e hora da última pesquisa do FQDN.
  • O dispositivo Grupos que incluem o dispositivo, conforme definido no mapa de dispositivos do sensor OT.
  • Endereço do módulo do dispositivo.
  • O Rack do dispositivo.
  • O número de Alertas não reconhecidos alertas associados ao dispositivo.

Observação

As colunas adicionais Tipo de agente e Versão do agente são usadas pelos criadores de dispositivos. Para saber mais, confira Documentação do Microsoft Defender para IoT para construtores de dispositivos.

Próximas etapas

Para obter mais informações, consulte: