Изучение устройств на карте устройств

Карты устройств OT предоставляют графическое представление сетевых устройств, обнаруженных датчиком сети OT и подключениями между ними.

Используйте карту устройств для получения, анализа и управления сведениями об устройстве одновременно или по сегментам сети, например определенным группам интересов или слоям Purdue. Если вы работаете в локальной среде с локальным консоль управления, используйте карту зоны для просмотра устройств по всем подключенным датчикам OT в определенной зоне.

Необходимые компоненты

Чтобы выполнить процедуры в этой статье, убедитесь, что у вас есть:

• Установленный, настроенный и активированный сетевой датчик OT с приемом сетевого трафика

• Доступ к датчику OT или локальному консоль управления. Пользователи с ролью просмотра могут просматривать данные на карте. Чтобы импортировать или экспортировать данные или изменить представление карты, вам потребуется доступ к аналитику безопасности или пользователю Администратор. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

Для просмотра устройств между несколькими датчиками в зоне также потребуется локальная консоль управления установлена, активирована и настроена с несколькими датчиками, подключенными и назначенными сайтам и зонам.

Просмотр устройств на карте устройства датчика OT

1. Войдите в датчик OT и выберите карту устройства. Все устройства, обнаруженные датчиком OT, отображаются по умолчанию в соответствии с уровнем Purdue.

   На карте устройства датчика OT:

   • Устройства с активными оповещениями выделены красным цветом
   • Звездные устройства — это те, которые были помечены как важные
   • Устройства без оповещений отображаются в черном или сером виде в представлении подключений с увеличением

   Например:

   

2. Увеличьте и выберите определенное устройство для просмотра подключений между ним и другими устройствами, выделенными синим цветом.

   При увеличении масштаба каждое устройство отображает следующие сведения:

   • Имя узла устройства, IP-адрес и адрес подсети, если это необходимо.
   • Количество активных оповещений на устройстве.
   • Тип устройства, представленный различными значками.
   • Количество устройств, сгруппированных в подсети в ИТ-сети, если это необходимо. Это число устройств отображается в черном круге.
   • Обнаруживается ли устройство или неавторизовано.

3. Щелкните правой кнопкой мыши определенное устройство и выберите "Просмотреть свойства", чтобы перейти на вкладку "Представление карты" на странице сведений об устройстве.

Изменение отображения карты датчика OT

Используйте любой из следующих средств карты для изменения отображаемых данных и его отображения:

Имя	Описание
Карта обновления	Выберите, чтобы обновить карту с обновленными данными.
Уведомления	Выберите, чтобы просмотреть уведомления об устройстве.
Поиск по IP-адресу или MAC	Отфильтруйте карту, чтобы отобразить только устройства, подключенные к определенному IP-адресу или MAC-адресу.
Многоадресная рассылка и широковещательная рассылка	Выберите, чтобы изменить фильтр, отображающий или скрывающий многоадресные и широковещательные устройства. По умолчанию многоадресный и широковещательный трафик скрыт.
Добавление фильтра (последнее просмотренное)	Выберите для фильтрации устройств, отображаемых в определенный период времени, от последних пяти минут до последних семи дней.
Сброс фильтров	Выберите, чтобы сбросить фильтр "Последний просмотр".
Выделить	Выберите, чтобы выделить устройства в определенной группе устройств. Выделенные устройства отображаются на карте синим цветом. Используйте поле "Поиск групп", чтобы найти группы устройств, чтобы выделить или развернуть параметры группы, а затем выбрать группу, которую нужно выделить.
Фильтр	Выберите, чтобы отфильтровать карту, чтобы отобразить только устройства в определенной группе устройств. Используйте поле "Поиск групп" для поиска групп устройств или разверните параметры группы, а затем выберите группу, которую вы хотите отфильтровать.
Масштабирование /	Увеличьте масштаб карты, чтобы просмотреть подключения между каждым устройством, используя мышь или +/- кнопки справа от карты.
Подходит к экрану	Уменьшение размера всех устройств на экране
Подходит для выбора	Масштабирует достаточно, чтобы поместить все выбранные устройства на экране
Параметры презентации IT/OT	Выберите "Отключить отображение ит-сетей" , чтобы предотвратить сворачивание подсетей на карте. Этот параметр выбран по умолчанию.
Параметры макета	Выберите один из следующих вариантов: - Закрепить макет. Выберите, чтобы сохранить расположения устройств, если вы перетаскивали их в новые места на карте. - Макет по связям. Выберите, чтобы просмотреть устройства, упорядоченные по их подключениям. - Модель Пердью. Выберите, чтобы просмотреть устройства, упорядоченные по слоям Purdue.

Чтобы просмотреть сведения об устройстве, выберите устройство и разверните область сведений об устройстве справа. В области сведений об устройстве:

• Выбор отчета о действиях для перехода к отчету интеллектуального анализа данных устройства
• Выберите временную шкалу событий, чтобы перейти к событию устройства временная шкала
• Выберите сведения об устройстве, чтобы перейти на полную страницу сведений об устройстве.

Просмотр ИТ-подсетей на карте устройства датчика OT

По умолчанию ИТ-устройства автоматически агрегируются по подсети, чтобы карта была сосредоточена на локальных сетях OT и IoT.

Чтобы развернуть ИТ-подсеть, выполните приведенные действия.

1. Войдите в датчик OT и выберите карту устройства.

2. Найдите подсеть на карте. Чтобы просмотреть значок подсети, может потребоваться увеличить масштаб карты, который выглядит как несколько компьютеров в поле. Например:

   

3. Щелкните правой кнопкой мыши устройство подсети на карте и разверните сеть.

4. В сообщении подтверждения, которое отображается над картой, нажмите кнопку "ОК".

Чтобы свернуть ИТ-подсеть, выполните приведенные действия.

1. Войдите в датчик OT и выберите карту устройства.
2. Выберите одну или несколько развернутых подсетей и нажмите кнопку Свернуть все.

Просмотр сведений о трафике между подключенными устройствами

Чтобы просмотреть сведения о трафике между подключенными устройствами, выполните следующие действия.

1. Войдите в датчик OT и выберите карту устройства.

2. Найдите два подключенных устройства на карте. Чтобы просмотреть значок устройства, который выглядит как монитор, может потребоваться увеличить масштаб карты.

3. Щелкните строку подключения двух устройств на карте, а затем разверните область свойств Подключение ion справа. Например:

   

4. В области свойств Подключение ion можно просмотреть сведения о трафике между двумя устройствами, например:

   • Как давно было обнаружено подключение.
   • IP-адрес каждого устройства.
   • Состояние каждого устройства.
   • Количество оповещений для каждого устройства.
   • Диаграмма для общей пропускной способности.
   • Диаграмма для верхнего трафика по порту.

Создание настраиваемой группы устройств

Помимо встроенных групп устройств датчика OT создайте новые настраиваемые группы, которые необходимо использовать при выделении или фильтрации устройств на карте.

1. Выберите + Создать настраиваемую группу на панели инструментов или щелкните правой кнопкой мыши устройство на карте, а затем нажмите кнопку "Добавить в настраиваемую группу".

2. В области добавления настраиваемой группы:

   • В поле "Имя" введите понятное имя для группы до 30 символов.
   • В меню " Копирование из групп " выберите все группы, из которого нужно скопировать устройства.
   • В меню "Устройства" выберите все дополнительные устройства для добавления в группу.

Импорт и экспорт данных устройства

Используйте один из следующих параметров для импорта и экспорта данных устройства:

• Импорт устройств. Выберите для импорта устройств из предварительно настроенного. CSV-файл.
• Экспорт устройств. Выберите для экспорта всех отображаемых в данный момент устройств с полными сведениями. CSV-файл.
• Экспорт сводки устройств. Выберите для экспорта сводки высокого уровня всех отображаемых в данный момент устройств. CSV-файл.

Изменение устройств

1. Войдите в датчик OT и выберите карту устройства.

2. Щелкните правой кнопкой мыши устройство, чтобы открыть меню параметров устройства, а затем выберите любой из следующих параметров:

   Имя	Описание
   Изменение свойств	Открывает область редактирования, в которой можно изменить свойства устройства, такие как авторизация, имя, описание, платформа ОС, тип устройства, уровень Purdue и если это сканер или устройство программирования.
   Просмотр свойств	Открывает страницу сведений об устройстве.
   Авторизация или отмена проверки подлинности	Изменяет состояние авторизации устройства.
   Пометить как важное или не важное	Изменяет состояние важности устройства, подчеркивая критически важные для бизнеса серверы на карте со звездой и в других местах, включая отчеты датчиков OT и инвентаризацию устройств Azure.
   Отображение оповещений с отображением / событий	Открывает вкладку "Оповещения" или "Временная шкала событий" на странице сведений об устройстве.
   Отчет о действиях	Создает отчет о действиях для устройства для выбранного интервала времени.
   Имитация векторов атак	Создает имитацию вектора атаки для выбранного устройства.
   Добавление в пользовательскую группу	Создает пользовательскую группу с выбранным устройством.
   Удалить	Удаляет устройство из инвентаризации.

Объединение устройств

Может потребоваться объединить устройства, если датчик OT обнаружил несколько сетевых сущностей, связанных с уникальным устройством, например PLC с четырьмя сетевыми карта, или один ноутбук с wi-fi и физической сетью карта.

Вы можете объединить только авторизованные устройства.

Важно!

Вы не можете отменить процедуру объединения устройств. Если вы ошибочно объединили два устройства, удалите устройства и дождитесь повторного обнаружения обоих датчиков.

Чтобы объединить несколько устройств, выполните следующие действия.

1. Войдите в датчик OT и выберите карту устройства.

2. Выберите авторизованные устройства, которые нужно объединить с помощью клавиши SHIFT, чтобы выбрать несколько устройств, а затем щелкните правой кнопкой мыши и выберите " Объединить".

3. В командной строке нажмите кнопку "Подтвердить" , чтобы подтвердить, что вы хотите объединить устройства.

Устройства объединены, и в правом верхнем углу появится сообщение подтверждения. События слияния перечислены в временная шкала события датчика OT.

Управление уведомлениями устройств

В отличие от оповещений, которые предоставляют сведения об изменениях в трафике, которые могут представлять угрозу для вашей сети, уведомления устройств на карте устройств OT предоставляют сведения о сетевой активности, которая может потребовать вашего внимания, но не являются угрозами.

Например, вы можете получить уведомление о неактивном устройстве, которое необходимо повторно подключить, или удалить, если он больше не входит в сеть.

Чтобы просмотреть уведомления об устройстве и обрабатывать их, выполните приведенные ниже действия.

1. Войдите в датчик OT и выберите уведомления карты>устройств.

2. В области уведомлений обнаружения справа отфильтруйте уведомления по диапазону времени, устройству, подсети или операционным системам.

   Например:

   

3. Каждое уведомление может иметь различные варианты устранения рисков. Выполните одно из следующих действий:

   • Обработайте одно уведомление за раз, выберите определенное действие по устранению рисков или нажмите кнопку "Закрыть ", чтобы закрыть уведомление без действия.
   • Выберите "Выбрать все ", чтобы показать, какие уведомления можно обрабатывать вместе. Снимите флажки для определенных уведомлений, а затем нажмите кнопку "Принять все " или "Закрыть все ", чтобы обрабатывать все остальные выбранные уведомления вместе.

Примечание.

Выбранные уведомления автоматически разрешаются, если они не закрываются или обрабатываются в течение 14 дней. Дополнительные сведения см. в действии, указанном в столбце автоматического разрешения в таблице ниже.

Обработка нескольких уведомлений вместе

У вас могут возникнуть ситуации, в которых требуется обработать несколько уведомлений, например:

• ИТ-служба обновила ОС на нескольких сетевых серверах и хотите узнать все новые версии сервера.

• Группа устройств больше не активна, и вы хотите указать датчику OT удалить устройства с датчика OT.

При совместном обработке нескольких уведомлений могут оставаться уведомления, которые необходимо обрабатывать вручную, например для новых IP-адресов или без обнаруженных подсетей.

Ответы на уведомления устройства

В следующей таблице перечислены доступные ответы для каждого уведомления, и когда мы рекомендуем использовать каждый из них:

Тип	Описание	Доступные ответы	Автоматическое разрешение
Обнаружен новый IP-адрес	Новый IP-адрес связан с устройством. Это может произойти в следующих сценариях: — новый или дополнительный IP-адрес был связан с уже обнаруженным устройством с существующим MAC-адресом. — обнаружен новый IP-адрес для устройства, использующее имя NetBIOS. — IP-адрес был обнаружен в качестве интерфейса управления для устройства, связанного с MAC-адресом. — обнаружен новый IP-адрес для устройства, использующее виртуальный IP-адрес.	- Настройка дополнительного IP-адреса устройства: слияние устройств - Замена существующего IP-адреса: заменяет существующий IP-адрес новым адресом - Закрыть: удалить уведомление.	Закрыть
Не настроены подсети	В сети сейчас не настроены подсети. Мы рекомендуем настроить подсети для возможности различать устройства OT и ИТ на карте.	- Откройте конфигурацию подсети и настройте подсети. - Закрыть: удалить уведомление.	Закрыть
Изменения операционной системы	С устройством связана одна или несколько новых операционных систем.	— Выберите имя новой ОС, которую вы хотите связать с устройством. - Закрыть: удалить уведомление.	Установите новую операционную систему только в том случае, если она еще не настроена вручную. Если операционная система уже настроена: "Закрыть".
Новые подсети	Обнаружены новые подсети.	- Сведения. Автоматическое добавление подсети. - Откройте конфигурацию подсети: добавьте все отсутствующие сведения о подсети. - Закрыть: Удалите уведомление.	Закрыть

Просмотр карты устройства для определенной зоны

Если вы работаете с локальными консоль управления с сайтами и зонами, карты устройств также доступны для каждой зоны.

В локальной консоль управления карты зон отображают все сетевые элементы, связанные с выбранной зоной, включая датчики OT, обнаруженные устройства и многое другое.

Чтобы просмотреть карту зоны, выполните следующие действия.

1. Войдите в локальную консоль управления и выберите "Карта зоны управления сайтами>" для зоны, которую вы хотите просмотреть. Например:

   

2. Используйте любой из следующих средств карты для изменения отображения карты:

   Имя	Описание
   Сохранение текущего соглашения	Сохраняет все изменения, внесенные на экране карты.
   Скрытие многоадресных и широковещательных адресов	Выбрано по умолчанию. Выберите, чтобы отобразить многоадресные и широковещательные устройства на карте.
   Представить линии Purdue	Выбрано по умолчанию. Выберите, чтобы скрыть линии Purdue на карте.
   Ретрансляция	Выберите для реорганизации макета по строкам Purdue или по зонам.
   Масштабирование по размеру экрана	Масштабирует или выключает на карте, чтобы на экране отображалось все сопоставление.
   Поиск по IP-адресу или MAC	Выберите определенный IP-адрес или MAC-адрес, чтобы выделить устройство на карте.
   Изменение на другую карту зоны	Выберите, чтобы открыть диалоговое окно "Карта зоны изменений", где можно выбрать другую карту зоны для просмотра.
   Масштабирование /	Увеличьте масштаб карты, чтобы просмотреть подключения между каждым устройством, используя мышь или +/- кнопки справа от карты.

3. Увеличение масштаба для просмотра дополнительных сведений на устройствах, таких как просмотр числа устройств, сгруппированных в подсети, или для расширения подсети.

4. Щелкните правой кнопкой мыши устройство и выберите "Просмотреть свойства", чтобы открыть диалоговое окно "Свойства устройства" с дополнительными сведениями об устройстве.

5. Щелкните правой кнопкой мыши устройство, отображаемое красным цветом, и выберите "Просмотреть оповещения", чтобы перейти на страницу оповещений, отфильтрованные только для выбранного устройства.

Встроенные группы карт устройств

В следующей таблице перечислены группы устройств, доступные вне поля на странице карты устройств датчика OT. Создайте дополнительные настраиваемые группы по мере необходимости для вашей организации.

Имя группы	Description
Моделирование вектора атаки	Уязвимые устройства, обнаруженные в отчетах о векторах атак, где параметр "Показать в картеустройств" включен.
Авторизация	Устройства, обнаруженные в течение начального периода обучения или позже помеченные вручную как авторизованные устройства.
Межсетевые соединения	Устройства, которые обмениваются данными из одной подсети в другую подсеть.
Фильтры инвентаризации устройств	Все устройства на основе фильтра, созданного на странице инвентаризации устройств датчика OT.
Известные приложения	Устройства, использующие зарезервированные порты, например TCP.
Последнее действие	Устройства сгруппированы по временным интервалам, которые они были последними активными, например: один час, шесть часов, один день или семь дней.
Нестандартные порты	Устройства, использующие нестандартные порты или порты, которым не назначен псевдоним.
Не в Active Directory	Все устройства, не являющиеся ПЛК, которые не взаимодействуют с Active Directory.
Протоколы OT	Устройства, которые обрабатывают известный OT-трафик.
Интервалы опроса	Устройства сгруппированы по интервалам опроса. Интервалы опроса генерируются автоматически в соответствии с циклическими каналами или периодами. Например, 15,0 секунды, 3,0 секунды, 1,5 секунды или любой другой интервал. Просмотр указанной информации поможет вам узнать, слишком ли быстро или медленно опрашиваются системы.
Программирования	Инженерные станции и программные компьютеры.
Подсети	Устройства, принадлежащие определенной подсети.
VLAN	Устройства, связанные с определенным идентификатором VLAN.

Следующие шаги

Дополнительные сведения см. в статье Изучение обнаружений датчиков в инвентаризации устройств.