Introdução ao monitoramento de IoT empresarial no Microsoft Defender XDR
Este artigo descreve como os clientes do Microsoft Defender para Ponto de Extremidade podem monitorar dispositivos IoT corporativos em seu ambiente, usando o valor de segurança adicionado no Microsoft Defender XDR.
Embora o inventário de dispositivos IoT já esteja disponível para clientes do Defender para Ponto de Extremidade P2, ativar a segurança de IoT empresarial adiciona alertas, recomendações e dados de vulnerabilidade, criados para dispositivos IoT em sua rede corporativa.
Os dispositivos IoT incluem impressoras, câmeras, telefones VOIP, smart TVs e muito mais. Ativar a segurança de IoT empresarial significa, por exemplo, que você pode usar uma recomendação no Microsoft Defender XDR para abrir um único tíquete de TI para aplicação de patch de aplicativos vulneráveis em servidores e impressoras.
Pré-requisitos
Antes de iniciar os procedimentos neste artigo, leia Proteger dispositivos IoT na empresa para entender melhor a integração entre o Defender para Ponto de Extremidade e o Defender para IoT.
Certifique-se de que você tenha:
Dispositivos IoT na rede, visíveis no inventário de dispositivos do Microsoft Defender XDR
Acesso ao portal do Microsoft Defender como Administrador de segurança
Agentes do Microsoft Defender para Ponto de Extremidade implantados em seu ambiente. Para obter mais informações, confira Microsoft Defender para Ponto de Extremidade integrado.
Uma das seguintes licenças:
Uma licença de Segurança do Microsoft 365 E5 (ME5) ou E5
Microsoft Defender para Ponto de Extremidade P2, com uma licença adicional e autônoma do Microsoft Defender para IoT – Licença de Dispositivo EIoT – complemento disponível para compra ou avaliação no Centro de administração do Microsoft 365.
Dica
Se você tiver uma licença autônoma, não precisará ativar a opção Segurança de IoT Empresarial e poderá pular diretamente para Exibir o valor de segurança adicionado no Microsoft Defender XDR.
Para obter mais informações, consulte segurança da IoT Empresarial no Microsoft Defender XDR.
Ativar o monitoramento de IoT empresarial
Este procedimento descreve como ativar o monitoramento de IoT empresarial no Microsoft Defender XDR e é relevante apenas para clientes de Segurança ME5/E5.
Ignore este procedimento se você tiver um dos seguintes tipos de planos de licenciamento:
- Clientes com plano de preços Enterprise IoT herdado e uma licença de Segurança ME5/E5.
- Clientes com licenças autônomas por dispositivo adicionadas ao Microsoft Defender para Ponto de Extremidade P2. Nesses casos, a configuração de segurança do Enterprise IoT é ativada como somente leitura.
Para ativar o monitoramento de IoT empresarial:
- No Microsoft Defender XDR, selecione Configurações>Descoberta de Dispositivo>IoT Empresarial.
Observação
Verifique se você ativou a Descoberta de Dispositivos em Configurações>Pontos de Extremidade>Recursos Avançados.
Alterne a opção de segurança do Enterprise IoT para On. Por exemplo:
Exibir o valor de segurança adicionado no Microsoft Defender XDR
Este procedimento descreve como exibir alertas, recomendações e vulnerabilidades relacionados a um dispositivo específico no Microsoft Defender XDR, quando a opção Segurança de IoT Empresarial está ativada.
Para ver o valor de segurança adicional:
No Microsoft Defender XDR, selecione Ativos>Dispositivos para abrir a página Inventário de dispositivos.
Selecione a guia Dispositivos IoT e escolha um IP de dispositivo específico para fazer drill down e obter mais detalhes. Por exemplo:
Na página de detalhes do dispositivo, explore as seguintes guias para ver os dados adicionados pelo Enterprise IoT security em relação ao dispositivo:
Na guia Alertas, verifique se há alertas disparados pelo dispositivo. Simule alertas no Microsoft 365 Defender para IoT Empresarial usando o cenário Raspberry Pi disponível na página Avaliação e Tutoriais do Microsoft 365 Defender.
Você também pode configurar consultas de busca avançadas para criar regras de alerta personalizadas. Para obter mais informações, consulte exemplo de consultas de busca avançada para monitoramento de IoT Empresarial.
Na guia Recomendações de segurança, verifique se há recomendações disponíveis para o dispositivo a fim de reduzir o risco e manter uma superfície de ataque menor.
Na guia Vulnerabilidades descobertas, verifique se há CVEs conhecidos associados ao dispositivo. Os CVEs conhecidos podem ajudar a decidir se devem aplicar patch, remover ou conter o dispositivo e reduzir o risco na rede. Como alternativa, use consultas de busca avançada para coletar vulnerabilidades em todos os seus dispositivos.
Para buscar ameaças:
Na página Inventário de dispositivos, selecione Buscar para consultar dispositivos usando tabelas como DeviceInfo. Na página Busca avançada, consulte os dados usando outros esquemas.
Exemplo de consultas de busca avançada para IoT empresarial
Esta seção lista as consultas de busca avançada de exemplo que você pode usar no Microsoft 365 Defender como auxílio para monitorar e proteger seus dispositivos IoT com a segurança da IoT empresarial.
Localizar dispositivos por tipo ou subtipo específico
Use a seguinte consulta para identificar dispositivos que existem em sua rede corporativa por tipo de dispositivo, como roteadores:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
Localizar e exportar vulnerabilidades para seus dispositivos IoT
Use a seguinte consulta para listar todas as vulnerabilidades em seus dispositivos IoT:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId
Para mais informações, confira Busca avançada e Entender o esquema de busca avançada.