Управление безопасностью Корпоративного Интернета вещей

Безопасность Корпоративного Интернета вещей улучшает мониторинг и защиту устройств Интернета вещей в сети, таких как принтеры, смарт-телевизоры, устройства voIP, системы конференц-связи и специализированные собственные устройства.

При активации корпоративного Интернета вещей данные о рекомендациях и уязвимостях отображаются на портале Microsoft Defender.

В этой статье описывается, как просматривать оповещения, рекомендации по безопасности и уязвимости для устройств Интернета вещей, использовать расширенные запросы охоты для выявления угроз и отключить корпоративную безопасность Интернета вещей, если она больше не нужна.

В этой статье объясняется, как просматривать корпоративные данные безопасности Интернета вещей, охотиться на угрозы, использовать расширенные запросы охоты для мониторинга устройств Интернета вещей и отключить корпоративную безопасность Интернета вещей на портале Defender.

Просмотр корпоративных данных Интернета вещей на портале Defender

Чтобы просмотреть корпоративные данные безопасности Интернета вещей, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Активы>Устройства, чтобы открыть страницу Инвентаризация устройств.

  2. Перейдите на вкладку Устройства Интернета вещей и выберите IP-адрес конкретного устройства, чтобы получить дополнительные сведения. Например:

    Снимок экрана: вкладка

  3. При выборе определенного устройства откроется страница сведений об устройстве. Просмотрите следующие вкладки, чтобы просмотреть данные, добавленные корпоративной безопасностью Интернета вещей для вашего устройства:

    • На вкладке Оповещения проверьте, есть ли оповещения, вызванные устройством. Смоделируйте оповещения в Microsoft Defender для корпоративного Интернета вещей с использованием сценария Raspberry Pi, доступного на странице Microsoft Defender Evaluation & Tutorials.

      Вы также можете настроить расширенные запросы охоты для создания настраиваемых правил генерации оповещений. Дополнительные сведения см. в статье Запросы расширенного поиска для безопасности корпоративного Интернета вещей.

    • На вкладке Рекомендации по безопасности проверьте, есть ли для устройства доступные рекомендации, чтобы снизить риск и уменьшить поверхность атаки.

    • На вкладке Обнаруженные уязвимости проверьте наличие известных CVE, связанных с устройством. Известные CVE могут помочь определить, следует ли применить исправления, удалить или изолировать устройство, а также снизить риски для вашей сети. В качестве альтернативы используйте запросы расширенного поиска, чтобы собрать данные об уязвимостях на всех ваших устройствах.

Поиск угроз на странице инвентаризации устройств

На странице Инвентаризация устройств выберите Перейти к расширенному поиску, чтобы выполнять запросы к устройствам, используя такие таблицы, как DeviceInfo. На странице Расширенный поиск запросите данные с помощью других схем.

Расширенные запросы на поиск для корпоративного Интернета вещей

Следующие примеры запросов расширенного поиска угроз помогут вам отслеживать и защищать устройства Интернета вещей с помощью средства «Корпоративная безопасность Интернета вещей» в Microsoft Defender.

Поиск устройств по определенному типу или подтипу

Используйте следующий запрос, чтобы определить устройства, существующие в корпоративной сети, по типу устройства, например маршрутизаторы:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"  

Поиск и экспорт уязвимостей для устройств Интернета вещей

Используйте следующий запрос, чтобы получить список всех уязвимостей на устройствах Интернета вещей:

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

Дополнительные сведения см. в разделах Расширенная охота и Общие сведения о расширенной схеме охоты.

Отключение безопасности корпоративного Интернета вещей

Клиенты с планами безопасности ME5/E5, которым больше не нужна корпоративная служба безопасности Интернета вещей , могут отключить эту функцию.

Чтобы отключить безопасность корпоративного Интернета вещей, выполните приведенные далее действия.

  1. В портале Microsoft Defender выберите Параметры>Обнаружение устройств>Корпоративный IoT.

  2. Переключите параметр в положение Выкл.

Если корпоративная безопасность Интернета вещей отключена, вы перестаете получать значение безопасности на портале Defender, включая встроенные оповещения, уязвимости и рекомендации.

Клиенты с лицензией Microsoft Defender для конечной точки P2, которые не добавляют автономную лицензию к моменту окончания пробной версии, автоматически отменяют пробную версию и теряют доступ к корпоративным функциям безопасности Интернета вещей. Дополнительные сведения см. в разделе Приобретение автономной лицензии.