Esaminare i dispositivi in una mappa dei dispositivi
Le mappe dei dispositivi OT forniscono una rappresentazione grafica dei dispositivi di rete rilevati dal sensore di rete OT e le connessioni tra di esse.
Usare una mappa del dispositivo per recuperare, analizzare e gestire le informazioni sul dispositivo, tutte contemporaneamente o per segmento di rete, ad esempio gruppi di interesse specifici o livelli Purdue. Se si lavora in un ambiente air-gapped con una console di gestione locale, usare una mappa della zona per visualizzare i dispositivi in tutti i sensori OT connessi in una zona specifica.
Prerequisiti
Per eseguire le procedure descritte in questo articolo, assicurarsi di disporre di:
Un sensore di rete OT installato, configurato e attivato, con il traffico di rete inserito
Accesso al sensore OT o alla console di gestione locale. Gli utenti con il ruolo Visualizzatore possono visualizzare i dati sulla mappa. Per importare o esportare dati o modificare la visualizzazione mappa, è necessario accedere come analista della sicurezza o Amministrazione utente. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Per visualizzare i dispositivi tra più sensori in una zona, è necessaria anche una console di gestione locale installata, attivata e configurata con più sensori connessi e assegnati a siti e zone.
Visualizzare i dispositivi nella mappa dei dispositivi del sensore OT
Accedere al sensore OT e selezionare Mappa del dispositivo. Tutti i dispositivi rilevati dal sensore OT vengono visualizzati per impostazione predefinita in base al livello Purdue.
Sulla mappa del dispositivo del sensore OT:
- I dispositivi con avvisi attualmente attivi sono evidenziati in rosso
- I dispositivi con stella sono quelli contrassegnati come importanti
- I dispositivi senza avvisi vengono visualizzati in nero o in grigio nella visualizzazione connessioni ingrandita
Ad esempio:
Ingrandire e selezionare un dispositivo specifico per visualizzare le connessioni tra di esso e altri dispositivi, evidenziati in blu.
Quando si esegue lo zoom avanti, ogni dispositivo mostra i dettagli seguenti:
- Il nome host, l'indirizzo IP e l'indirizzo della subnet del dispositivo, se pertinente.
- Numero di avvisi attualmente attivi nel dispositivo.
- Tipo di dispositivo, rappresentato da varie icone.
- Numero di dispositivi raggruppati in una subnet in una rete IT, se pertinente. Questo numero di dispositivi viene visualizzato in un cerchio nero.
- Indica se il dispositivo viene appena rilevato o non autorizzato.
Fare clic con il pulsante destro del mouse su un dispositivo specifico e selezionare Visualizza proprietà per eseguire il drill-down nella scheda Visualizzazione mappa nella pagina dei dettagli del dispositivo del dispositivo.
Modificare la visualizzazione della mappa del sensore OT
Usare uno degli strumenti di mappa seguenti per modificare i dati visualizzati e come vengono visualizzati:
Nome | Descrizione |
---|---|
Aggiorna mappa | Selezionare questa opzione per aggiornare la mappa con i dati aggiornati. |
Notifications | Selezionare questa opzione per visualizzare le notifiche dei dispositivi. |
Ricerca in base a IP/MAC | Filtrare la mappa per visualizzare solo i dispositivi connessi a un indirizzo IP o MAC specifico. |
Multicast/broadcast | Selezionare questa opzione per modificare il filtro che mostra o nasconde i dispositivi multicast e broadcast. Per impostazione predefinita, il traffico multicast e broadcast è nascosto. |
Aggiungi filtro (ultimo visto) | Selezionare questa opzione per filtrare i dispositivi visualizzati in un periodo di tempo specifico, dagli ultimi cinque minuti agli ultimi sette giorni. |
Reimpostare i filtri | Selezionare questa opzione per reimpostare il filtro Ultimo visualizzato . |
Evidenziare | Selezionare questa opzione per evidenziare i dispositivi in un gruppo di dispositivi specifico. I dispositivi evidenziati vengono visualizzati sulla mappa in blu. Usare la casella Gruppi di ricerca per cercare i gruppi di dispositivi da evidenziare o espandere le opzioni di gruppo e quindi selezionare il gruppo da evidenziare. |
Filtra | Selezionare questa opzione per filtrare la mappa per visualizzare solo i dispositivi in un gruppo di dispositivi specifico. Usare la casella Gruppi di ricerca per cercare i gruppi di dispositivi o espandere le opzioni di gruppo e quindi selezionare il gruppo in base al quale filtrare. |
Zoom / |
Ingrandire la mappa per visualizzare le connessioni tra ogni dispositivo, usando il mouse o i +/- pulsanti a destra della mappa. |
Adatta allo schermo |
Esegue lo zoom indietro per adattare tutti i dispositivi sullo schermo |
Adatta alla selezione |
Esegue lo zoom indietro sufficiente per adattarsi a tutti i dispositivi selezionati sullo schermo |
Opzioni di presentazione IT/OT |
Selezionare Disabilita visualizza gruppi di reti IT per impedire la possibilità di comprimere le subnet nella mappa. Questa opzione è selezionata per impostazione predefinita. |
Opzioni di layout |
Selezionare una delle opzioni seguenti: - Aggiungi layout. Selezionare questa opzione per salvare le posizioni dei dispositivi se sono state trascinate in nuove posizioni sulla mappa. - Layout in base alla connessione. Selezionare questa opzione per visualizzare i dispositivi organizzati in base alle connessioni. - Layout di Purdue. Selezionare questa opzione per visualizzare i dispositivi organizzati in base ai livelli Purdue. |
Per visualizzare i dettagli del dispositivo, selezionare un dispositivo ed espandere il riquadro dei dettagli del dispositivo a destra. In un riquadro dei dettagli del dispositivo:
- Selezionare Report attività per passare al report di data mining del dispositivo
- Selezionare Sequenza temporale eventi per passare alla sequenza temporale degli eventi del dispositivo
- Selezionare Dettagli dispositivo per passare a una pagina completa dei dettagli del dispositivo.
Visualizzare le subnet IT da una mappa del dispositivo del sensore OT
Per impostazione predefinita, i dispositivi IT vengono aggregati automaticamente per subnet, in modo che la mappa sia incentrata sulle reti OT e IoT locali.
Per espandere una subnet IT:
Accedere al sensore OT e selezionare Mappa del dispositivo.
Individuare la subnet sulla mappa. Potrebbe essere necessario eseguire lo zoom avanti sulla mappa per visualizzare un'icona di subnet, simile a più computer all'interno di una casella. Ad esempio:
Fare clic con il pulsante destro del mouse sul dispositivo subnet sulla mappa ed espandere Rete.
Nel messaggio di conferma visualizzato sopra la mappa selezionare OK.
Per comprimere una subnet IT:
- Accedere al sensore OT e selezionare Mappa del dispositivo.
- Selezionare una o più subnet espanse e quindi selezionare Comprimi tutto.
Visualizzare i dettagli del traffico tra i dispositivi connessi
Per visualizzare i dettagli del traffico tra i dispositivi connessi:
Accedere al sensore OT e selezionare Mappa del dispositivo.
Individuare due dispositivi connessi sulla mappa. Potrebbe essere necessario ingrandire la mappa per visualizzare un'icona del dispositivo, simile a un monitor.
Fare clic sulla linea che collega due dispositivi sulla mappa e quindi espandere il riquadro Proprietà Connessione ion a destra. Ad esempio:
Nel riquadro Proprietà Connessione ion è possibile visualizzare i dettagli del traffico tra i due dispositivi, ad esempio:
- Quanto tempo fa la connessione è stata rilevata per la prima volta.
- Indirizzo IP di ogni dispositivo.
- Stato di ogni dispositivo.
- Numero di avvisi per ogni dispositivo.
- Grafico per la larghezza di banda totale.
- Grafico per il traffico principale in base alla porta.
Creare un gruppo di dispositivi personalizzato
Oltre ai gruppi di dispositivi predefiniti del sensore OT, creare nuovi gruppi personalizzati in base alle esigenze da usare quando si evidenziano o filtrano i dispositivi sulla mappa.
Selezionare + Crea gruppo personalizzato sulla barra degli strumenti oppure fare clic con il pulsante destro del mouse su un dispositivo nella mappa e quindi scegliere Aggiungi al gruppo personalizzato.
Nel riquadro Aggiungi gruppo personalizzato:
- Nel campo Nome immettere un nome significativo per il gruppo, con un massimo di 30 caratteri.
- Dal menu Copia da gruppi selezionare tutti i gruppi da cui copiare i dispositivi.
- Dal menu Dispositivi selezionare eventuali dispositivi aggiuntivi da aggiungere al gruppo.
Importare/esportare i dati dei dispositivi
Usare una delle opzioni seguenti per importare ed esportare i dati del dispositivo:
- Importare dispositivi. Selezionare questa opzione per importare i dispositivi da un oggetto preconfigurato. File CSV.
- Esporta dispositivi. Selezionare questa opzione per esportare tutti i dispositivi attualmente visualizzati, con dettagli completi, in un oggetto . File CSV.
- Esporta riepilogo dispositivi. Selezionare questa opzione per esportare un riepilogo generale di tutti i dispositivi attualmente visualizzati in un oggetto . File CSV.
Modificare i dispositivi
Accedere a un sensore OT e selezionare Mappa del dispositivo.
Fare clic con il pulsante destro del mouse su un dispositivo per aprire il menu delle opzioni del dispositivo e quindi scegliere una delle opzioni seguenti:
Nome Descrizione Modificare le proprietà Apre il riquadro di modifica in cui è possibile modificare le proprietà del dispositivo, ad esempio autorizzazione, nome, descrizione, piattaforma del sistema operativo, tipo di dispositivo, livello Purdue e se si tratta di uno scanner o un dispositivo di programmazione. Visualizzare le proprietà Apre la pagina dei dettagli del dispositivo. Autorizzare/Annullare l'autorizzazione Modifica lo stato di autorizzazione del dispositivo. Contrassegna come importante/non importante Modifica lo stato di importanza del dispositivo, evidenziando i server business critical sulla mappa con una stella e altrove, inclusi i report del sensore OT e l'inventario dei dispositivi di Azure. Mostra avvisi Mostra eventi / Apre la scheda Avvisi o Sequenza temporale eventi nella pagina dei dettagli del dispositivo. Report attività Genera un report attività per il dispositivo per l'intervallo di tempo selezionato. Simulare i vettori di attacco Genera una simulazione del vettore di attacco per il dispositivo selezionato. Aggiungi a un gruppo personalizzato Crea un nuovo gruppo personalizzato con il dispositivo selezionato. CANC Elimina il dispositivo dall'inventario.
Unire i dispositivi
È possibile unire i dispositivi se il sensore OT ha rilevato più entità di rete associate a un dispositivo univoco, ad esempio un PLC con quattro schede di rete o un singolo portatile con wi-fi e una scheda di rete fisica.
È possibile unire solo i dispositivi autorizzati.
Importante
Non è possibile annullare l'unione di un dispositivo. Se due dispositivi sono stati uniti erroneamente, eliminare i dispositivi e quindi attendere che il sensore venga ritrovato entrambi.
Per unire più dispositivi:
Accedere al sensore OT e selezionare Mappa del dispositivo.
Selezionare i dispositivi autorizzati da unire usando il tasto MAIUSC per selezionare più di un dispositivo, quindi fare clic con il pulsante destro del mouse e selezionare Unisci.
Al prompt selezionare Conferma per confermare che si vuole unire i dispositivi.
I dispositivi vengono uniti e viene visualizzato un messaggio di conferma in alto a destra. Gli eventi di merge sono elencati nella sequenza temporale degli eventi del sensore OT.
Gestire le notifiche dei dispositivi
Invece degli avvisi, che forniscono informazioni dettagliate sulle modifiche apportate al traffico che potrebbero presentare una minaccia alla rete, le notifiche dei dispositivi su una mappa del dispositivo sensore OT forniscono informazioni dettagliate sulle attività di rete che potrebbero richiedere attenzione, ma non minacce.
Ad esempio, potresti ricevere una notifica su un dispositivo inattivo che deve essere riconnesso o rimosso se non fa più parte della rete.
Per visualizzare e gestire le notifiche dei dispositivi:
Accedere al sensore OT e selezionare Notifiche mappa>dispositivo.
Nel riquadro Notifiche di individuazione a destra filtrare le notifiche in base alle esigenze in base all'intervallo di tempo, al dispositivo, alla subnet o ai sistemi operativi.
Ad esempio:
Ogni notifica può avere diverse opzioni di mitigazione. Esegui una delle operazioni seguenti:
- Gestire una notifica alla volta, selezionare un'azione di mitigazione specifica o selezionare Ignora per chiudere la notifica senza attività.
- Selezionare Seleziona tutto per visualizzare le notifiche che è possibile gestire insieme. Deselezionare le selezioni per notifiche specifiche e quindi selezionare Accetta tutto o Ignora tutto per gestire tutte le notifiche selezionate rimanenti insieme.
Nota
Le notifiche selezionate vengono risolte automaticamente se non vengono ignorate o gestite in altro modo entro 14 giorni. Per altre informazioni, vedere l'azione indicata nella colonna Risoluzione automatica nella tabella seguente.
Gestione di più notifiche insieme
Potrebbero verificarsi situazioni in cui si vogliono gestire più notifiche, ad esempio:
L'IT ha aggiornato il sistema operativo in più server di rete e si vuole apprendere tutte le nuove versioni del server.
Un gruppo di dispositivi non è più attivo e si vuole indicare al sensore OT di rimuovere i dispositivi dal sensore OT.
Quando si gestiscono più notifiche insieme, è possibile che siano ancora presenti notifiche rimanenti che devono essere gestite manualmente, ad esempio per i nuovi indirizzi IP o non sono state rilevate subnet.
Risposte di notifica del dispositivo
La tabella seguente elenca le risposte disponibili per ogni notifica e quando è consigliabile usarle:
Tipo | Descrizione | Risposte disponibili | Risoluzione automatica |
---|---|---|---|
Rilevato nuovo INDIRIZZO IP | Un nuovo indirizzo IP è associato al dispositivo. Questo problema può verificarsi negli scenari seguenti: - Un indirizzo IP nuovo o aggiuntivo è stato associato a un dispositivo già rilevato, con un indirizzo MAC esistente. - È stato rilevato un nuovo indirizzo IP per un dispositivo che usa un nome NetBIOS. - È stato rilevato un indirizzo IP come interfaccia di gestione per un dispositivo associato a un indirizzo MAC. - È stato rilevato un nuovo indirizzo IP per un dispositivo che usa un indirizzo IP virtuale. |
- Impostare Ip aggiuntivo su Dispositivo: unire i dispositivi - Sostituisci indirizzo IP esistente: sostituisce qualsiasi indirizzo IP esistente con il nuovo indirizzo - Ignora: rimuovere la notifica. |
Elimina |
Nessuna subnet configurata | Nessuna subnet è attualmente configurata nella rete. È consigliabile configurare le subnet per la possibilità di distinguere tra dispositivi OT e IT sulla mappa. |
- Aprire Configurazione subnet e configurare le subnet. - Ignora: rimuovere la notifica. |
Elimina |
Modifiche del sistema operativo | Uno o più nuovi sistemi operativi sono stati associati al dispositivo. | - Selezionare il nome del nuovo sistema operativo da associare al dispositivo. - Ignora: rimuovere la notifica. |
Impostare con il nuovo sistema operativo solo se non è già configurato manualmente. Se il sistema operativo è già stato configurato: Ignora. |
Nuove subnet | Sono state individuate nuove subnet. | - Learn: aggiungere automaticamente la subnet. - Aprire Configurazione subnet: aggiungere tutte le informazioni sulla subnet mancanti. - Ignora: Rimuovere la notifica. |
Elimina |
Visualizzare una mappa del dispositivo per una zona specifica
Se si usa una console di gestione locale con siti e zone configurati, le mappe dei dispositivi sono disponibili anche per ogni zona.
Nella console di gestione locale le mappe delle zone mostrano tutti gli elementi di rete correlati a una zona selezionata, inclusi sensori OT, dispositivi rilevati e altro ancora.
Per visualizzare una mappa delle zone:
Accedere a una console di gestione locale e selezionare Mappa zona visualizzazione gestione>siti per la zona che si vuole visualizzare. Ad esempio:
Usare uno degli strumenti di mappa seguenti per modificare la visualizzazione della mappa:
Nome Descrizione Salva la disposizione corrente
Salva le modifiche apportate nella visualizzazione mappa. Nascondere indirizzi multicast/broadcast
Questa opzione è selezionata per impostazione predefinita. Selezionare questa opzione per visualizzare i dispositivi multicast e broadcast sulla mappa. Presenta righe purdue
Questa opzione è selezionata per impostazione predefinita. Selezionare questa opzione per nascondere le linee Purdue sulla mappa. Inoltro
Selezionare questa opzione per riorganizzare il layout in base alle linee Purdue o alla zona. Ridimensionare per adattare lo schermo
Esegue lo zoom avanti o indietro sulla mappa in modo che l'intera mappa si adatti allo schermo. Ricerca in base a IP/MAC Selezionare un indirizzo IP o MAC specifico per evidenziare il dispositivo sulla mappa. Passare a una mappa di zona diversa
Selezionare questa opzione per aprire la finestra di dialogo Cambia mappa zona, in cui è possibile selezionare una mappa di zona diversa da visualizzare. Zoom
/Ingrandire la mappa per visualizzare le connessioni tra ogni dispositivo, usando il mouse o i +/- pulsanti a destra della mappa. Zoom avanti per visualizzare altri dettagli per ogni dispositivo, ad esempio per visualizzare il numero di dispositivi raggruppati in una subnet o per espandere una subnet.
Fare clic con il pulsante destro del mouse su un dispositivo e scegliere Visualizza proprietà per aprire una finestra di dialogo Proprietà dispositivo, con altri dettagli sul dispositivo.
Fare clic con il pulsante destro del mouse su un dispositivo visualizzato in rosso e selezionare Visualizza avvisi per passare alla pagina Avvisi, con avvisi filtrati solo per il dispositivo selezionato.
Gruppi di mappe dei dispositivi predefiniti
La tabella seguente elenca i gruppi di dispositivi disponibili nella pagina Mappa del sensore OT. Creare gruppi aggiuntivi personalizzati in base alle esigenze dell'organizzazione.
Nome del gruppo | Descrizione |
---|---|
Simulazioni di vettori di attacco | Dispositivi vulnerabili rilevati nei report del vettore di attacco, in cui l'opzione Mostra nella mappa dei dispositivi è attivata o disattivata. |
Autorizzazione | I dispositivi individuati durante un periodo di apprendimento iniziale o successivamente contrassegnati manualmente come dispositivi autorizzati . |
Connessioni tra subnet | Dispositivi che comunicano da una subnet a un'altra subnet. |
Filtri di inventario dei dispositivi | Tutti i dispositivi basati su un filtro creato nella pagina Inventario dispositivi del sensore OT. |
Applicazioni note | Dispositivi che usano porte riservate, ad esempio TCP. |
Ultima attività | I dispositivi raggruppati in base all'intervallo di tempo in cui sono stati attivati per l'ultima volta, ad esempio un'ora, sei ore, un giorno o sette giorni. |
Porte non standard | Dispositivi che usano porte o porte non standard a cui non è stato assegnato un alias. |
Non in Active Directory | Tutti i dispositivi non PLC che non comunicano con Active Directory. |
Protocolli OT | Dispositivi che gestiscono il traffico OT noto. |
Intervalli di polling | Dispositivi raggruppati per intervalli di polling. Gli intervalli di polling vengono generati automaticamente in base a canali ciclici o periodi. Ad esempio, 15,0 secondi, 3,0 secondi, 1,5 secondi o qualsiasi altro intervallo. La revisione di queste informazioni consente di apprendere se i sistemi eseguono il polling troppo rapidamente o lentamente. |
Programmazione | Stazioni di progettazione e computer di programmazione. |
Subnet | Dispositivi appartenenti a una subnet specifica. |
VLAN | Dispositivi associati a un ID VLAN specifico. |
Passaggi successivi
Per altre informazioni, vedere Analizzare i rilevamenti dei sensori in un inventario dispositivi.