Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как Microsoft Defender для конечной точки клиенты могут включить корпоративную безопасность Интернета вещей для своих устройств Интернета вещей, используя дополнительные значения безопасности в Microsoft Defender для Интернета вещей.
Хотя инвентаризация устройств Интернета вещей уже доступна для клиентов Defender для конечных точек P2, включение корпоративной безопасности Интернета вещей добавляет оповещения, рекомендации и данные об уязвимостях, специально созданные для устройств Интернета вещей в корпоративной сети.
Устройства Интернета вещей включают принтеры, камеры, VOIP-телефоны, смарт-телевизоры и многое другое. Включение безопасности корпоративного Интернета вещей означает, например, что вы можете использовать рекомендацию в Microsoft Defender XDR, чтобы открыть один ЗАПРОС ИТ для исправления уязвимых приложений на серверах и принтерах.
Предварительные условия
Прежде чем приступить к процедуре, описанной в этой статье, ознакомьтесь с разделом Безопасность устройств Интернета вещей на предприятии , чтобы узнать больше об интеграции между Defender для конечной точки и Defender для Интернета вещей.
Убедитесь в наличии следующего:
Устройства Интернета вещей в сети, отображаемые в Microsoft Defender XDR инвентаризации устройств
Доступ к порталу Microsoft Defender в качестве администратора безопасности
Microsoft Defender для конечной точки агенты, развернутые в вашей среде. Дополнительные сведения см. в разделе Подключение Microsoft Defender для конечной точки.
Одна из следующих лицензий:
Лицензия Microsoft 365 E5 (ME5) или E5 Security
Microsoft Defender для конечной точки P2 с дополнительной автономной Microsoft Defender для IoT — лицензия на устройство EIoT — дополнительная лицензия, доступная для покупки или пробной версии в Центр администрирования Microsoft 365.
Совет
Если у вас есть автономная лицензия, вам не нужно переключаться на корпоративную безопасность Интернета вещей. Вы можете перейти непосредственно к разделу Просмотр дополнительных значений безопасности в Microsoft Defender XDR.
Дополнительные сведения см. в статье Безопасность Корпоративного Интернета вещей в Microsoft Defender XDR.
Включение мониторинга безопасности Корпоративного Интернета вещей
Эта процедура описывает, как включить мониторинг Корпоративного Интернета вещей в Microsoft Defender XDR и относится только к клиентам ME5/E5 Security.
Пропустите эту процедуру, если у вас есть один из следующих типов планов лицензирования:
- Клиенты с устаревшим тарифным планом Корпоративного Интернета вещей и лицензией me5/E5 Security.
- Клиенты с автономными лицензиями для каждого устройства, добавленными в Microsoft Defender для конечной точки P2. В таких случаях параметр безопасности Корпоративного Интернета вещей включен как доступный только для чтения.
Чтобы включить мониторинг Корпоративного Интернета вещей, выполните приведенные далее действия.
- В Microsoft Defender XDR выберите Параметры>Обнаружение> устройствКорпоративный Интернет вещей.
Примечание.
Убедитесь, что вы включили обнаружение устройств в разделе Параметры>Конечные> точкиДополнительные функции.
Переключите параметр безопасности Корпоративного Интернета вещей в значение Вкл. Например, вы можете:
Просмотр добавленного значения безопасности в Microsoft Defender XDR
В этой процедуре описывается, как просматривать связанные оповещения, рекомендации и уязвимости для определенного устройства в Microsoft Defender XDR, когда включен параметр безопасности Корпоративного Интернета вещей.
Чтобы просмотреть добавленное значение безопасности, выполните приведенные далее действия.
В Microsoft Defender XDR выберите Активы>Устройства, чтобы открыть страницу Инвентаризация устройств.
Перейдите на вкладку Устройства Интернета вещей и выберите IP-адрес конкретного устройства, чтобы получить дополнительные сведения. Например, вы можете:
На странице сведений об устройстве просмотрите следующие вкладки, чтобы просмотреть данные, добавленные корпоративной безопасностью Интернета вещей для устройства:
На вкладке Оповещения проверка для всех оповещений, активированных устройством. Имитация оповещений в Microsoft 365 Defender для Корпоративного Интернета вещей с помощью сценария Raspberry Pi, доступного на странице Руководства по & оценки Microsoft 365 Defender.
Вы также можете настроить расширенные запросы охоты для создания настраиваемых правил генерации оповещений. Дополнительные сведения см. в разделе Примеры расширенных запросов охоты для мониторинга Корпоративного Интернета вещей.
На вкладке Рекомендации по безопасности проверка все рекомендации, доступные для устройства, чтобы снизить риск и сохранить меньшую область атаки.
На вкладке Обнаруженные уязвимости проверка для всех известных cvEs, связанных с устройством. Известные cvEs помогают решить, следует ли устанавливать исправления, удалять или содержать устройство, а также снизить риск для вашей сети. Кроме того, используйте расширенные запросы охоты для сбора уязвимостей на всех устройствах.
Поиск угроз:
На странице Инвентаризация устройств выберите Перейти охота , чтобы запрашивать устройства с помощью таблиц, таких как таблица DeviceInfo . На странице Расширенный поиск запросите данные с помощью других схем.
Примеры запросов расширенной охоты для Корпоративного Интернета вещей
В этом разделе перечислены примеры расширенных запросов охоты, которые можно использовать в Microsoft 365 Defender для мониторинга и защиты устройств Интернета вещей с помощью корпоративной системы безопасности Интернета вещей.
Поиск устройств по определенному типу или подтипу
Используйте следующий запрос, чтобы определить устройства, существующие в корпоративной сети, по типу устройства, например маршрутизаторы:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"
Поиск и экспорт уязвимостей для устройств Интернета вещей
Используйте следующий запрос, чтобы получить список всех уязвимостей на устройствах Интернета вещей:
DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId
Дополнительные сведения см. в разделах Расширенная охота и Общие сведения о расширенной схеме охоты.