你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender for IoT 设备清单
Defender for IoT 的设备清单可帮助你识别有关特定设备的详细信息,例如制造商、类型、序列号、固件等。 收集有关设备的详细信息可帮助你的团队主动调查可能危及最重要资产的漏洞。
通过生成包括所有托管设备和非托管设备的最新清单来管理所有 IoT/OT 设备
使用基于风险的方法保护设备,以根据风险评分和自动威胁建模识别缺少的修补程序、漏洞等风险,并确定修复的优先级
通过删除不相关的设备并添加特定于组织的信息以强调组织偏好,来更新清单
例如:
支持的设备
Defender for IoT 的设备清单支持以下设备类别:
| 设备 | 示例 |
|---|---|
| 制造 | 工业和操作设备,如气动装置、包装系统、工业包装系统、工业机器人 |
| 建筑物 | 访问面板、监控设备、HVAC 系统、电梯、智能照明系统 |
| 健康保健 | 血糖仪、监视器 |
| 交通运输/公共事业设备 | 闸机、人工柜台、运动传感器、消防安全系统、对讲机 |
| 能源及资源 | DCS 控制器、PLC、历史记录设备、HMIS |
| 终结点设备 | 工作站、服务器或移动设备 |
| 企业 | 智能设备、打印机、通信设备或音频/视频设备 |
| 零售 | 条形码扫描仪、湿度传感器、打卡机 |
瞬态设备类型表示检测到的设备的存在时间很短。 建议仔细调查这些设备,了解它们对网络的影响。
未分类设备是指无法使用现成类别定义的设备。
设备管理选项
可在以下位置获取 Defender for IoT 设备清单:
| 位置 | 说明 | 额外清单支持 |
|---|---|---|
| Azure 门户 | 从所有云连接的 OT 传感器检测到的 OT 设备。 | - 如果还使用 Microsoft Sentinel,Microsoft Sentinel 中的事件将链接到 Defender for IoT 中的相关设备。 - 使用 Defender for IoT 工作簿查看所有连接云的设备清单,包括相关警报和漏洞。 - 如果 Azure 订阅上存在旧式企业 IoT 计划,则 Azure 门户还包括由 Microsoft Defender for Endpoint 代理检测到的设备。 如果具有企业 IoT 传感器,则 Azure 门户还包括由企业 IoT 传感器检测到的设备。 |
| Microsoft Defender XDR | Microsoft Defender for Endpoint 代理检测到的企业 IoT 设备 | 在专用生成的警报、漏洞和建议中关联 Microsoft Defender XDR 中的设备。 |
| OT 网络传感器控制台 | 该 OT 传感器检测到的设备 | - 查看在网络设备映射中检测到的所有设备 - 在“事件时间线”上查看相关事件 |
| 本地管理控制台 | 在所有连接的 OT 传感器中检测到的设备 | 以手动方式或通过脚本导入数据来扩充设备数据 |
有关详细信息,请参阅:
自动合并的设备
在为 Defender for IoT 大规模部署多个 OT 传感器后,每个传感器可以检测同一设备的不同方面。 为了防止设备清单中出现重复设备,Defender for IoT 假定在同一区域中发现的(逻辑上具有类似特征组合的)任何设备都是同一设备。 Defender for IoT 会自动合并这些设备,并在设备清单中仅列出一次。
例如,在同一区域中检测到具有相同 IP 和 MAC 地址的任何设备在设备清单中会被合并和标识为单个设备。 如有多台单独设备来自由多个传感器检测到的重复出现的 IP 地址,你会希望单独标识每台设备。 在这种情况下,请将 OT 传感器加入不同的区域,以便将每个设备标识为单独的唯一设备,即使它们具有相同的 IP 地址。 MAC 地址相同但 IP 地址不同的设备不会合并,并将继续列为唯一设备。
瞬态设备类型表示检测到的设备的存在时间很短。 建议仔细调查这些设备,了解它们对网络的影响。
未分类设备是指无法使用现成类别定义的设备。
未授权设备
首次使用 Defender for IoT 时,在部署传感器之后的学习期间,检测到的所有设备都会被标识为已授权设备。
学习期结束后,检测到的任何新设备都被视为未授权设备和新设备。 建议仔细检查这些设备是否存在风险和漏洞。 例如,在 Azure 门户中筛选 Authorization == **Unauthorized** 的设备清单。 在设备详细信息页上,深入了解并检查相关漏洞、警报和建议。
编辑任何设备详细信息,或将设备移动到 OT 传感器设备映射上后,“新”状态会立即删除。 相反,在手动编辑设备详细信息并将其标记为已授权之前,“未授权”标签将一直保留。
在 OT 传感器上,未授权设备也包含在以下报告中:
重要 OT 设备
将 OT 设备标记为重要以突出显示,以便进行额外跟踪。 在 OT 传感器上,重要设备包含在以下报告中:
设备清单列数据
下表列出了 Azure 门户上的 Defender for IoT 设备清单所含的列。 带星标的项 (*) 也可从 OT 传感器获取。
注意
下列标记功能为预览版。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
| 名称 | 说明 |
|---|---|
| 授权 * | 可编辑。 确定设备是否标记为已授权。 如果设备安全性发生更改,则此值可能需要更改。 |
| 业务功能 | 可编辑。 描述设备的业务功能。 |
| 类 | 可编辑。 设备类别。 默认: IoT |
| 数据源 | 数据源,例如微代理、OT 传感器或 Microsoft Defender for Endpoint。 默认: MicroAgent |
| Description * | 可编辑。 设备说明。 |
| 设备 ID | 设备的 Azure 分配 ID 号。 |
| 固件型号 | 设备的固件型号。 |
| 固件供应商 | 可编辑。 设备固件的供应商。 |
| 固件版本 * | 可编辑。 设备的固件版本。 |
| 第一次出现时间 * | 首次看到该设备的日期和时间。 以 MM/DD/YYYY HH:MM:SS AM/PM 格式显示。 在 OT 传感器上,显示为“已发现”。 |
| 重要性 | 可编辑。 设备的重要级别:Low、Medium 或 High。 |
| IPv4 地址 | 设备的 IPv4 地址。 |
| IPv6 地址 | 设备的 IPv6 地址。 |
| 上次活动 * | 设备上次将事件发送到 Azure 或 OT 传感器的日期和时间,具体取决于查看设备清单的位置。 以 MM/DD/YYYY HH:MM:SS AM/PM 格式显示。 |
| 位置 | 可编辑。 设备的物理位置。 |
| MAC 地址 * | 设备的 MAC 地址。 |
| 型号 * | 可编辑。设备的硬件型号。 |
| 名称 * | 必需,并且可编辑。 传感器发现的设备名称,或用户输入的设备名称。 |
| 网络位置(公共预览版) | 设备的网络位置。 显示设备是根据配置的子网定义为本地设备还是路由设备。 |
| OS 体系结构 | 可编辑。 设备的操作系统体系结构。 |
| OS 分发 | 可编辑。 设备的操作系统分发,如 Android、Linux 和 Haiku。 |
| OS 平台 * | 可编辑。 设备的操作系统(如果检测到)。 在 OT 传感器上,显示为“操作系统”。 |
| OS 版本 | 可编辑。 设备的操作系统版本,例如 Windows 10 或 Ubuntu 20.04.1。 |
| PLC 模式 * | 设备的 PLC 操作模式,包括键状态(物理或逻辑)和运行状态(逻辑)。 如果这两种状态相同,则只会列出一种状态。 - 可能的键状态包括: Run、Program、Remote、Stop、Invalid 和 Programming Disabled。 可能的运行状态为 Run、Program、Stop、Paused、Exception、Halted、Trapped、Idle 或 Offline。 |
| 编程设备 * | 可编辑。 定义设备是否定义为编程设备,执行与工程站相关的 PLC、RTU 和控制器的编程活动。 |
| 协议 * | 设备使用的协议。 |
| Purdue 级别 | 可编辑。 设备存在的 Purdue 级别。 |
| 扫描仪设备 * | 可编辑。 定义设备是否在网络中执行类似于扫描的活动。 |
| 传感器 | 设备连接到的传感器。 |
| 序列号 * | 设备的序列号。 |
| 站点 | 设备的站点。 所有企业 IoT 传感器都会自动添加到企业网络站点。 |
| 槽 | 设备具有的槽数。 |
| 子类型 | 可编辑。 设备的子类型,例如扬声器或智能电视。 默认: Managed Device |
| 标记 | 可编辑。 设备的标记。 |
| 类型 * | 可编辑。 设备类型,例如通信或工业。 默认: Miscellaneous |
| 供应商 * | MAC 地址中定义的设备供应商的名称。 |
| VLAN * | 设备的 VLAN。 |
| 区域 | 设备的区域。 |
只有 OT 传感器提供以下列:
- 设备的 DHCP 地址
- 设备的 FQDN 地址和 FQDN 上次查找时间
- 该设备所在的设备组,如 OT 传感器的设备映射所定义
- 设备的模块地址
- 设备的机架和槽
- 与设备关联的未确认警报数
注意
其他“代理类型”和“代理版本”列由设备生成器使用。 有关详细信息,请参阅适用于设备生成器的 Microsoft Defender for IoT 文档。
后续步骤
有关详细信息,请参阅: