Investigar dispositivos em um mapa de dispositivo

  • Artigo

Os mapas de dispositivos OT fornecem uma representação gráfica dos dispositivos de rede detetados pelo sensor de rede OT e as conexões entre eles.

Use um mapa de dispositivo para recuperar, analisar e gerenciar informações do dispositivo, de uma só vez ou por segmento de rede, como grupos de interesse específicos ou camadas Purdue. Se você estiver trabalhando em um ambiente air-gapped com um console de gerenciamento local, use um mapa de zona para visualizar dispositivos em todos os sensores OT conectados em uma zona específica.

Pré-requisitos

Para executar os procedimentos neste artigo, certifique-se de que:

Para visualizar dispositivos em vários sensores em uma zona, você também precisará de um console de gerenciamento local instalado, ativado e configurado, com vários sensores conectados e atribuídos a locais e zonas.

Ver dispositivos no mapa do dispositivo do sensor OT

  1. Inicie sessão no seu sensor OT e selecione Mapa do dispositivo. Todos os dispositivos detetados pelo sensor OT são exibidos por padrão de acordo com a camada de Purdue.

    No mapa do dispositivo do sensor OT:

    • Os dispositivos com alertas atualmente ativos são realçados em vermelho
    • Dispositivos estrelados são aqueles que foram marcados como importantes
    • Os dispositivos sem alertas são apresentados a preto ou a cinzento na vista de ligações ampliada

    Por exemplo:

    Screenshot of a default view of an OT sensor's device map.

  2. Aumente o zoom e selecione um dispositivo específico para visualizar as conexões entre ele e outros dispositivos, destacado em azul.

    Quando ampliado, cada dispositivo mostra os seguintes detalhes:

    • O nome do host, o endereço IP e o endereço de sub-rede do dispositivo, se relevante.
    • O número de alertas atualmente ativos no dispositivo.
    • O tipo de dispositivo, representado por vários ícones.
    • O número de dispositivos agrupados em uma sub-rede em uma rede de TI, se relevante. Este número de dispositivos é mostrado em um círculo preto.
    • Se o dispositivo foi detetado recentemente ou não autorizado.

  3. Clique com o botão direito do mouse em um dispositivo específico e selecione Exibir propriedades para detalhar ainda mais a guia Visualização de mapa na página de detalhes do dispositivo do dispositivo.

Modificar a exibição do mapa do sensor OT

Use qualquer uma das seguintes ferramentas de mapa para modificar os dados mostrados e como eles são exibidos:

Nome Descrição
Atualizar mapa Selecione para atualizar o mapa com dados atualizados.
Notificações Selecione esta opção para visualizar as notificações do dispositivo.
Pesquisa por IP / MAC Filtre o mapa para exibir apenas dispositivos conectados a um endereço IP ou MAC específico.
Multicast/transmissão Selecione esta opção para editar o filtro que mostra ou oculta dispositivos de difusão e multicast. Por padrão, o tráfego de difusão e multicast está oculto.
Adicionar filtro (Visto pela última vez) Selecione esta opção para filtrar os dispositivos exibidos por aqueles mostrados em um período de tempo específico, dos últimos cinco minutos aos últimos sete dias.
Redefinir filtros Selecione esta opção para redefinir o filtro Visto pela última vez .
Destaque Selecione esta opção para realçar os dispositivos em um grupo de dispositivos específico. Os dispositivos destacados são mostrados no mapa em azul.

Utilize a caixa Procurar grupos para procurar grupos de dispositivos a realçar ou expanda as opções de grupo e, em seguida, selecione o grupo que pretende realçar.
Filtro Selecione para filtrar o mapa para mostrar apenas os dispositivos em um grupo de dispositivos específico.

Utilize a caixa Procurar grupos para procurar grupos de dispositivos ou expanda as opções de grupo e, em seguida, selecione o grupo pelo qual pretende filtrar.
Ampliar
/ 		Aumente o zoom no mapa para visualizar as conexões entre cada dispositivo, usando o mouse ou os +/- botões à direita do mapa.
Ajustar ao ecrã
Reduz o zoom para caber em todos os dispositivos no ecrã
Ajuste à seleção
 Reduz o zoom o suficiente para caber todos os dispositivos selecionados na tela
Opções de apresentação de TI/OT
Selecione Desativar Exibir grupos de redes de TI para impedir a capacidade de recolher sub-redes no mapa. Esta opção é selecionada por padrão.
Opções de layout
Selecione uma das seguintes opções:
- Layout do pino. Selecione esta opção para salvar os locais dos dispositivos se os tiver arrastado para novos lugares no mapa.
- Layout por conexão. Selecione esta opção para visualizar os dispositivos organizados por suas conexões.
- Layout por Purdue. Selecione para visualizar os dispositivos organizados por suas camadas Purdue.

Para ver os detalhes do dispositivo, selecione um dispositivo e expanda o painel de detalhes do dispositivo à direita. Em um painel de detalhes do dispositivo:

  • Selecione Relatório de atividades para ir para o relatório de mineração dedados do dispositivo
  • Selecione Linha do tempo do evento para ir para a linha do tempo do evento do dispositivo
  • Selecione Detalhes do dispositivo para ir para uma página completa de detalhes do dispositivo.

Ver sub-redes de TI a partir de um mapa de dispositivo com sensor OT

Por padrão, os dispositivos de TI são automaticamente agregados por sub-rede, para que o mapa se concentre em suas redes OT e IoT locais.

Para expandir uma sub-rede de TI:

  1. Inicie sessão no seu sensor OT e selecione Mapa do dispositivo.

  2. Localize a sua sub-rede no mapa. Talvez seja necessário ampliar o mapa para visualizar um ícone de sub-rede, que se parece com várias máquinas dentro de uma caixa. Por exemplo:

    Screenshot of a subnet device on the device map.

  3. Clique com o botão direito do rato no dispositivo de sub-rede no mapa e expanda Rede.

  4. Na mensagem de confirmação que aparece acima do mapa, selecione OK.

Para recolher uma sub-rede de TI:

  1. Inicie sessão no seu sensor OT e selecione Mapa do dispositivo.
  2. Selecione uma ou mais sub-redes expandidas e, em seguida, selecione Fechar tudo.

Ver detalhes de tráfego entre dispositivos ligados

Para visualizar os detalhes do tráfego entre dispositivos conectados:

  1. Inicie sessão no seu sensor OT e selecione Mapa do dispositivo.

  2. Localize dois dispositivos conectados no mapa. Talvez seja necessário ampliar o mapa para visualizar um ícone de dispositivo, que se parece com um monitor.

  3. Clique na linha que liga dois dispositivos no mapa e, em seguida, expanda o painel Propriedades da Ligação à direita. Por exemplo:

    Screenshot of connection properties on the device map.

  4. No painel Propriedades da Conexão, você pode exibir detalhes de tráfego entre os dois dispositivos, como:

    • Há quanto tempo a conexão foi detetada pela primeira vez.
    • O endereço IP de cada dispositivo.
    • O status de cada dispositivo.
    • O número de alertas para cada dispositivo.
    • Um gráfico para a largura de banda total.
    • Um gráfico para o tráfego superior por porta.

Criar um grupo de dispositivos personalizado

Além dos grupos de dispositivos integrados do sensor OT, crie novos grupos personalizados conforme necessário para usar ao destacar ou filtrar dispositivos no mapa.

  1. Selecione + Criar Grupo Personalizado na barra de ferramentas ou clique com o botão direito do rato num dispositivo no mapa e, em seguida, selecione Adicionar ao grupo personalizado.

  2. No painel Adicionar grupo personalizado:

    • No campo Nome, insira um nome significativo para o seu grupo, com até 30 caracteres.
    • No menu Copiar de grupos, selecione os grupos dos quais deseja copiar dispositivos.
    • No menu Dispositivos, selecione quaisquer dispositivos adicionais para adicionar ao seu grupo.

Importar/exportar dados do dispositivo

Use uma das seguintes opções para importar e exportar dados do dispositivo:

  • Importar dispositivos. Selecione esta opção para importar dispositivos de um arquivo . Arquivo CSV.
  • Exportar dispositivos. Selecione esta opção para exportar todos os dispositivos exibidos atualmente, com todos os detalhes, para um arquivo . Arquivo CSV.
  • Exportar resumo do dispositivo. Selecione esta opção para exportar um resumo de alto nível de todos os dispositivos exibidos atualmente para um arquivo . Arquivo CSV.

Editar dispositivos

  1. Entre em um sensor OT e selecione Mapa do dispositivo.

  2. Clique com o botão direito do rato num dispositivo para abrir o menu de opções do dispositivo e, em seguida, selecione uma das seguintes opções:

    Nome Descrição
    Editar propriedades Abre o painel de edição onde você pode editar as propriedades do dispositivo, como autorização, nome, descrição, plataforma do sistema operacional, tipo de dispositivo, nível Purdue e se for um scanner ou dispositivo de programação.
    Ver imóveis Abre a página de detalhes do dispositivo.
    Autorizar/Desautorizar Altera o status de autorização do dispositivo.
    Marcar como Importante / Não Importante Altera o status de importância do dispositivo, destacando servidores críticos de negócios no mapa com uma estrela e em outros lugares, incluindo relatórios de sensores OT e o inventário de dispositivos do Azure.
    Mostrar alertas / Mostrar eventos Abre a guia Alertas ou Linha do Tempo do Evento na página de detalhes do dispositivo.
    Relatório de Atividades Gera um relatório de atividades para o dispositivo para o período selecionado.
    Simular vetores de ataque Gera uma simulação de vetor de ataque para o dispositivo selecionado.
    Adicionar ao grupo personalizado Cria um novo grupo personalizado com o dispositivo selecionado.
    Delete Exclui o dispositivo do inventário.

Mesclar dispositivos

Você pode querer mesclar dispositivos se o sensor OT detetou várias entidades de rede associadas a um dispositivo exclusivo, como um PLC com quatro placas de rede ou um único laptop com Wi-Fi e uma placa de rede física.

Você só pode mesclar dispositivos autorizados.

Importante

Não é possível desfazer uma mesclagem de dispositivos. Se você mesclou dois dispositivos por engano, exclua os dispositivos e aguarde até que o sensor redescubra ambos.

Para mesclar vários dispositivos:

  1. Inicie sessão no seu sensor OT e selecione Mapa do dispositivo.

  2. Selecione os dispositivos autorizados que deseja mesclar usando a tecla SHIFT para selecionar mais de um dispositivo e, em seguida, clique com o botão direito do mouse e selecione Mesclar.

  3. No prompt, selecione Confirmar para confirmar que deseja mesclar os dispositivos.

Os dispositivos são mesclados e uma mensagem de confirmação aparece no canto superior direito. Os eventos de mesclagem são listados na linha do tempo de eventos do sensor OT.

Gerenciar notificações de dispositivo

Ao contrário dos alertas, que fornecem detalhes sobre alterações no seu tráfego que podem representar uma ameaça à sua rede, as notificações do dispositivo em um mapa de dispositivo do sensor OT fornecem detalhes sobre a atividade da rede que podem exigir sua atenção, mas não são ameaças.

Por exemplo, você pode receber uma notificação sobre um dispositivo inativo que precisa ser reconectado ou removido se ele não fizer mais parte da rede.

Para visualizar e lidar com notificações de dispositivos:

  1. Entre no sensor OT e selecione Notificações do mapa>do dispositivo.

  2. No painel Notificações de Descoberta à direita, filtre as notificações conforme necessário por intervalo de tempo, dispositivo, sub-rede ou sistemas operacionais.

    Por exemplo:

    Screenshot of device notifications on an OT sensor's Device map page.

  3. Cada notificação pode ter diferentes opções de atenuação. Execute um dos seguintes procedimentos:

    • Manipule uma notificação de cada vez, selecionando uma ação de atenuação específica ou selecionando Dispensar para fechar a notificação sem atividade.
    • Selecione Selecionar tudo para mostrar quais notificações podem ser tratadas juntas. Limpe as seleções para notificações específicas e selecione Aceitar tudo ou Dispensar tudo para lidar com as notificações selecionadas restantes juntas.

Nota

As notificações selecionadas são automaticamente resolvidas se não forem descartadas ou tratadas de outra forma dentro de 14 dias. Para obter mais informações, consulte a ação indicada na coluna Resolução automática na tabela abaixo.

Tratamento conjunto de várias notificações

Você pode ter situações em que gostaria de lidar com várias notificações juntas, como:

  • A TI atualizou o sistema operacional em vários servidores de rede e você deseja aprender todas as novas versões do servidor.

  • Um grupo de dispositivos não está mais ativo e você deseja instruir o sensor OT para remover os dispositivos do sensor OT.

Quando você lida com várias notificações juntas, ainda pode ter notificações restantes que precisam ser tratadas manualmente, como para novos endereços IP ou nenhuma sub-rede detetada.

Respostas de notificação do dispositivo

A tabela a seguir lista as respostas disponíveis para cada notificação e quando recomendamos o uso de cada uma:

Type Description Respostas disponíveis Resolução automática
Novo IP detetado Um novo endereço IP está associado ao dispositivo. Isso pode ocorrer nos seguintes cenários:

- Um endereço IP novo ou adicional foi associado a um dispositivo já detetado, com um endereço MAC existente.

- Um novo endereço IP foi detetado para um dispositivo que está usando um nome NetBIOS.

- Um endereço IP foi detetado como a interface de gerenciamento para um dispositivo associado a um endereço MAC.

- Um novo endereço IP foi detetado para um dispositivo que está usando um endereço IP virtual.		 - Definir IP adicional para o dispositivo: mesclar os dispositivos
- Substituir IP existente: substitui qualquer endereço IP existente pelo novo endereço
- Dispensar: remova a notificação.		 Dispensar
Sem sub-redes configuradas Nenhuma sub-rede está configurada na sua rede no momento.

Recomendamos configurar sub-redes para a capacidade de diferenciar entre OT e dispositivos de TI no mapa.		 - Abra a Configuração de sub-rede e configure sub-redes.
- Dispensar: remova a notificação.		 Dispensar
Alterações no sistema operacional Um ou mais novos sistemas operacionais foram associados ao dispositivo. - Selecione o nome do novo sistema operacional que você deseja associar ao dispositivo.
- Dispensar: remova a notificação.		 Defina com o novo sistema operacional somente se ainda não estiver configurado manualmente.

Se o sistema operacional já tiver sido configurado: Dispensar.
Novas sub-redes Novas sub-redes foram descobertas. - Aprender: adicione automaticamente a sub-rede.
- Abrir configuração de sub-rede: adicione todas as informações de sub-rede ausentes.
- Despedimento:
Remova a notificação.		 Dispensar

Ver um mapa de dispositivo para uma zona específica

Se você estiver trabalhando com um console de gerenciamento local com sites e zonas configurados, os mapas de dispositivo também estarão disponíveis para cada zona.

No console de gerenciamento local, os mapas de zona mostram todos os elementos de rede relacionados a uma zona selecionada, incluindo sensores OT, dispositivos detetados e muito mais.

Para visualizar um mapa de zona:

  1. Entre em um console de gerenciamento local e selecione Mapa de Zona de Exibição de Gerenciamento de>Site para a zona que você deseja exibir. Por exemplo:

    Screenshot of default region to default business unit.

  2. Use qualquer uma das seguintes ferramentas de mapa para alterar a exibição do mapa:

    Nome Descrição
    Salvar arranjo atual

    		Salva todas as alterações feitas na exibição do mapa.
    Ocultar endereços multicast/broadcast

    		 Está selecionado por predefinição. Selecione esta opção para mostrar dispositivos multicast e broadcast no mapa.
    Linhas Purdue atuais

    		Está selecionado por predefinição. Selecione esta opção para ocultar as linhas de Purdue no mapa.
    Relayout

    		Selecione esta opção para reorganizar o layout por linhas Purdue ou por zona.
    Dimensionar para ajustar a tela

    		Aumenta ou diminui o zoom no mapa para que todo o mapa caiba na tela.
    Pesquisa por IP / MAC Selecione um endereço IP ou MAC específico para destacar o dispositivo no mapa.
    Alterar para um mapa de zona diferente

    		Selecione para abrir a caixa de diálogo Alterar Mapa de Zona, onde você pode selecionar um mapa de zona diferente para visualizar.
    Ampliar

    /     		Aumente o zoom no mapa para visualizar as conexões entre cada dispositivo, usando o mouse ou os +/- botões à direita do mapa.

  3. Aumente o zoom para ver mais detalhes por dispositivo, como para ver o número de dispositivos agrupados numa sub-rede ou para expandir uma sub-rede.

  4. Clique com o botão direito do mouse em um dispositivo e selecione Exibir propriedades para abrir uma caixa de diálogo Propriedades do dispositivo, com mais detalhes sobre o dispositivo.

  5. Clique com o botão direito do rato num dispositivo apresentado a vermelho e selecione Ver alertas para saltar para a página Alertas, com alertas filtrados apenas para o dispositivo selecionado.

Grupos de mapas de dispositivos integrados

A tabela a seguir lista os grupos de dispositivos disponíveis prontos para uso na página Mapa do dispositivo do sensor OT. Crie grupos adicionais e personalizados , conforme necessário para a sua organização.

Group name Description
Simulações vetoriais de ataque Dispositivos vulneráveis detetados em relatórios de vetores de ataque, onde a opção Mostrar no Mapa do Dispositivo é ativada.
Autorização Dispositivos que foram descobertos durante um período de aprendizagem inicial ou que foram posteriormente marcados manualmente como dispositivos autorizados .
Conexões entre sub-redes Dispositivos que se comunicam de uma sub-rede para outra.
Filtros de inventário de dispositivos Qualquer dispositivo baseado em um filtro criado na página de inventário de dispositivos do sensor OT.
Aplicações conhecidas Dispositivos que usam portas reservadas, como TCP.
Última atividade Dispositivos agrupados pelo período de tempo em que estiveram ativos pela última vez, por exemplo: Uma hora, seis horas, um dia ou sete dias.
Portas não padronizadas Dispositivos que usam portas não padrão ou portas às quais não foi atribuído um alias.
Não está no Ative Directory Todos os dispositivos não PLC que não estão se comunicando com o Ative Directory.
Protocolos OT Dispositivos que lidam com tráfego OT conhecido.
Intervalos de votação Dispositivos agrupados por intervalos de sondagem. Os intervalos de sondagem são gerados automaticamente de acordo com canais ou períodos cíclicos. Por exemplo, 15,0 segundos, 3,0 segundos, 1,5 segundos ou qualquer outro intervalo. A revisão dessas informações ajuda você a saber se os sistemas estão pesquisando muito rapidamente ou lentamente.
Programação Estações de engenharia e máquinas de programação.
Sub-redes Dispositivos que pertencem a uma sub-rede específica.
VLAN Dispositivos associados a uma ID de VLAN específica.

Próximos passos

Para obter mais informações, consulte Investigar deteções de sensores em um inventário de dispositivos.