Investigar dispositivos em um mapa de dispositivos
Os mapas de dispositivos OT fornecem uma representação gráfica dos dispositivos de rede detectados pelo sensor de rede OT e as conexões entre eles.
Use um mapa de dispositivos para recuperar, analisar e gerenciar informações de dispositivos, de uma só vez ou por segmento de rede, como grupos de interesse específicos ou camadas Purdue. Se você estiver trabalhando em um ambiente desconectado com um console de gerenciamento local, use um mapa de zona para exibir os dispositivos em todos os sensores OT conectados em uma zona específica.
Pré-requisitos
Antes de executar os procedimentos neste artigo, verifique se você tem:
Um sensor de rede OT instalado, configurado e ativado, com tráfego de rede ingerido
Acesso ao sensor OT ou ao console de gerenciamento local. Os usuários com a função Visualizador podem exibir dados no mapa. Para importar ou exportar dados ou editar a exibição do mapa, você precisa ter acesso como um usuário analista de segurança ou administrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.
Para exibir dispositivos em vários sensores de uma zona, também é preciso ter um console de gerenciamento local instalado, ativado e configurado, com vários sensores conectados e atribuídos a sites e zonas.
Exibir dispositivos no mapa de dispositivos do sensor OT
Entre no sensor OT e selecione Mapa de dispositivos. Todos os dispositivos detectados pelo sensor OT são exibidos por padrão de acordo com a camada Purdue.
No mapa de dispositivos do sensor OT:
- Os dispositivos com alertas ativos no momento são realçados em vermelho
- Os dispositivos que estão marcados com estrelas são dispositivos importantes
- Os dispositivos sem alertas são mostrados em preto ou cinza na exibição ampliada de conexões
Por exemplo:
Amplie e selecione um dispositivo específico para exibir as conexões entre ele e outros dispositivos, realçados em azul.
Quando ampliado, cada dispositivo mostra os seguintes detalhes:
- O nome do host do dispositivo, o endereço IP e o endereço de sub-rede, se relevante.
- O número de alertas atualmente ativos no dispositivo.
- O tipo do dispositivo, representado por vários ícones.
- O número de dispositivos agrupados em uma sub-rede de uma rede de TI, se relevante. Esse número de dispositivos é mostrado em um círculo preto.
- Se o dispositivo foi detectado recentemente ou não foi autorizado.
Clique com o botão direito do mouse em um dispositivo específico e selecione Exibir propriedades para analisar detalhadamente a guia Exibição do mapa na página de detalhes do dispositivo.
Modificar a exibição do mapa do sensor OT
Use qualquer uma das seguintes ferramentas de mapa para modificar os dados mostrados e como eles são exibidos:
Nome | Descrição |
---|---|
Atualizar o mapa | Selecione para atualizar o mapa com novos dados. |
Notificações | Selecione para exibir as notificações de dispositivos. |
Pesquisar por IP/MAC | Filtre o mapa para exibir apenas os dispositivos conectados a um endereço IP ou MAC específico. |
Multicast/transmissão | Selecione para editar o filtro que mostra ou oculta dispositivos multicast e de transmissão. Por padrão, os tráfegos multicast e de transmissão estão ocultos. |
Adicionar filtro (Visto por último) | Selecione para filtrar os dispositivos exibidos por aqueles mostrados em um determinado período, dos últimos cinco minutos aos últimos sete dias. |
Redefinir filtros | Selecione para redefinir o filtro Visto por último. |
Realce | Selecione para realçar os dispositivos em um grupo de dispositivos específico. Os dispositivos realçados são mostrados no mapa em azul. Use a caixa Pesquisar grupos para pesquisar os grupos de dispositivos a serem realçados ou expanda as opções de grupo e selecione aquele que você deseja realçar. |
Filter | Selecione para filtrar o mapa a fim de mostrar apenas os dispositivos em um grupo de dispositivos específico. Use a caixa Pesquisar grupos para pesquisar grupos de dispositivos ou expanda as opções de grupo e selecione aquele em que você deseja basear a filtragem. |
Zoom / |
Amplie o mapa para exibir as conexões entre cada dispositivo, seja usando o mouse ou os botões +/- à direita do mapa. |
Ajustar à tela |
Faz a redução para ajustar todos os dispositivos à tela |
Ajustar à seleção |
Faz uma redução suficiente para ajustar todos os dispositivos selecionados à tela |
Opções de apresentação de TI/OT |
Selecione Desabilitar a exibição de grupos de redes de TI para impedir que ocorra o recolhimento das sub-redes no mapa. Essa opção é selecionada por padrão. |
Opções de layout |
Selecione uma das seguintes opções: - Fixar layout. Selecione para salvar os locais dos dispositivos se você os arrastou para novos locais no mapa. - Layout por conexão. Selecione para exibir os dispositivos organizados pelas respectivas conexões. - Layout de acordo com o Purdue. Selecione para exibir os dispositivos organizados pelas respectivas camadas Purdue. |
Para ver os detalhes de um dispositivo, selecione-o e expanda o respectivo painel de detalhes à direita. Em um painel de detalhes do dispositivo:
- Selecione Relatório de atividades para ir para o relatório de mineração de dados do dispositivo
- Selecione Linha do tempo de eventos para ir para a linha do tempo de eventos do dispositivo
- Selecione Detalhes do dispositivo para ir para uma página de detalhes do dispositivo completa.
Exibir as sub-redes de TI de um mapa de dispositivos do sensor OT
Por padrão, os dispositivos de TI são agregados automaticamente por sub-rede, para que o mapa se concentre nas redes OT e IoT locais.
Para expandir uma sub-rede de TI:
Entre no sensor OT e selecione Mapa de dispositivos.
Localize a sub-rede no mapa. Pode ser necessário ampliar o mapa para exibir um ícone de sub-rede, que será semelhante a vários computadores dentro de uma caixa. Por exemplo:
Clique com o botão direito do mouse no dispositivo de sub-rede no mapa e em Expandir rede.
Na mensagem de confirmação que aparece acima do mapa, selecione OK.
Para recolher uma sub-rede de TI:
- Entre no sensor OT e selecione Mapa de dispositivos.
- Selecione uma ou mais sub-redes expandidas e clique em Recolher tudo.
Exibir detalhes de tráfego entre dispositivos conectados
Para exibir detalhes de tráfego entre dispositivos conectados:
Entre no sensor OT e selecione Mapa de dispositivos.
Localize dois dispositivos conectados no mapa. Pode ser necessário ampliar o mapa para exibir um ícone de dispositivo, que será semelhante a um monitor.
Clique na linha que conecta dois dispositivos no mapa e expanda o painel Propriedades da Conexão à direita. Por exemplo:
No painel Propriedades da Conexão, você pode exibir detalhes de tráfego entre os dois dispositivos, como:
- Há quanto tempo a conexão foi detectada pela primeira vez.
- O endereço IP de cada dispositivo.
- O status de cada dispositivo.
- O número de alertas para cada dispositivo.
- Um gráfico para largura de banda total.
- Um gráfico para o tráfego superior por porta.
Criar um grupo de dispositivos personalizado
Além dos grupos de dispositivos internos do sensor OT, crie grupos personalizados conforme necessário para usar ao realçar ou filtrar dispositivos no mapa.
Selecione + Criar grupo personalizado na barra de ferramentas ou clique com o botão direito do mouse em um dispositivo no mapa e selecione Adicionar ao grupo personalizado.
No painel Adicionar grupo personalizado:
- No campo Nome, digite um nome significativo para o grupo, com até 30 caracteres.
- No menu Copiar dos grupos, selecione os grupos dos quais você deseja copiar os dispositivos.
- No menu Dispositivos, selecione quaisquer dispositivos adicionais a serem adicionados ao grupo.
Importar/exportar dados do dispositivo
Use uma das seguintes opções para importar e exportar dados do dispositivo:
- Importar dispositivos. Selecione para importar dispositivos de um arquivo .CSV predefinido.
- Exportar dispositivos. Selecione para exportar todos os dispositivos atualmente exibidos, com detalhes completos, para um arquivo .CSV.
- Exportar resumo do dispositivo. Selecione para exportar um resumo de todos os dispositivos atualmente exibidos para um arquivo .CSV.
Editar dispositivos
Entre em um sensor OT e selecione Mapa de dispositivos.
Clique com o botão direito do mouse em um dispositivo para abrir o respectivo menu de opções e selecione uma das seguintes opções:
Nome Descrição Editar propriedades Abre o painel de edição em que é possível editar as propriedades do dispositivo, como autorização, nome, descrição, plataforma do sistema operacional, tipo de dispositivo, nível Purdue e se ele é um scanner ou um dispositivo de programação. Exibir propriedades Abre a página de detalhes do dispositivo. Autorizar/cancelar autorização Altera o status de autorização do dispositivo. Marcar como importante/não importante Altera o status de importância do dispositivo, realçando servidores comercialmente críticos no mapa com uma estrela e em outros lugares, como relatórios de sensores OT e o inventário de dispositivos do Azure. Mostrar alertas / Mostrar eventos Abre a guia Alertas ou Linha do tempo de eventos na página de detalhes do dispositivo. Relatório de atividades Gera um relatório de atividade do dispositivo para período selecionado. Simular vetores de ataque Gera uma simulação de vetores de ataque para o dispositivo selecionado. Adicionar ao grupo personalizado Cria um grupo personalizado com o dispositivo selecionado. Excluir Exclui o dispositivo do inventário.
Mesclagem de dispositivos
É possível que você queira mesclar dispositivos caso o sensor OT detecte várias entidades de rede associadas a um único dispositivo, como um PLC com quatro placas de rede ou um único laptop com WiFi e uma placa de rede física.
Só é possível mesclar dispositivos autorizados.
Importante
Não é possível desfazer uma mesclagem de dispositivos. Se você mesclou dois dispositivos por engano, exclua-os e aguarde o sensor redescobrir ambos.
Para mesclar vários dispositivos:
Entre no sensor OT e selecione Mapa de dispositivos.
Escolha os dispositivos autorizados que você deseja mesclar usando a tecla SHIFT para selecionar mais de um dispositivo, clique com o botão direito do mouse e selecione Mesclar.
No prompt, clique em Confirmar para confirmar a mesclagem dos dispositivos.
Os dispositivos são mesclados e uma mensagem de confirmação aparece no canto superior direito. Os eventos de mesclagem são listados na linha do tempo do sensor OT.
Gerenciar notificações de dispositivos
Ao contrário dos alertas, que fornecem detalhes sobre alterações no tráfego que podem representar uma ameaça à rede, as notificações de dispositivos no mapa de dispositivos de um sensor OT fornecem detalhes sobre atividades de rede que podem exigir sua atenção, mas não são ameaças.
Por exemplo, é possível que você receba uma notificação sobre um dispositivo inativo que precisa ser reconectado ou removido, caso não faça mais parte da rede.
Para exibir e gerenciar notificações de dispositivos:
Entre no sensor OT e selecione Mapa de dispositivos>Notificações.
No painel Notificações de descoberta à direita, filtre as notificações conforme necessário por período, dispositivo, sub-rede ou sistema operacional.
Por exemplo:
Cada notificação pode ter diferentes opções de mitigação. Realize um dos seguintes procedimentos:
- Lide com uma notificação por vez, selecionando uma ação de mitigação específica ou Ignorar para fechar a notificação sem realizar nenhuma atividade.
- Clique em Selecionar tudo para mostrar quais notificações podem ser abordadas em conjunto. Desmarque as seleções de notificações específicas e selecione Aceitar tudo ou Ignorar tudo para lidar com todas as notificações selecionadas restantes juntas.
Observação
As notificações selecionadas são resolvidas automaticamente quando não são ignoradas ou são abordadas posteriormente em até 14 dias. Para saber mais, confira a ação indicada na coluna Resolução automática da tabela abaixo.
Lidar com várias notificações em conjunto
Pode haver situações em que você deseja lidar com várias notificações em conjunto, como as seguintes:
A equipe de TI atualizou o sistema operacional em vários servidores de rede e você deseja saber quais são todas as novas versões de servidor.
Um grupo de dispositivos não está mais ativo e você deseja instruir o sensor OT a removê-los.
Ao lidar com várias notificações em conjunto, ainda é possível que haja notificações restantes que precisam ser tratadas manualmente, como no caso de novos endereços IP ou da não detecção de nenhuma sub-rede.
Respostas a notificações de dispositivos
A tabela a seguir lista as respostas disponíveis para cada notificação e quando é recomendado usar cada uma delas:
Type | Descrição | Respostas disponíveis | Resolução automática |
---|---|---|---|
Novo IP detectado | Um novo endereço IP está associado ao dispositivo. Isso pode ocorrer nos seguintes cenários: – Um endereço IP novo ou adicional foi associado a um dispositivo já detectado, com um endereço MAC existente. – Um novo endereço IP foi detectado para um dispositivo que está usando um nome NetBIOS. – Um endereço IP foi detectado como interface de gerenciamento para um dispositivo associado a um endereço MAC. – Um novo endereço IP foi detectado para um dispositivo que está usando um endereço IP virtual. |
- Definir IP adicional para dispositivo: mesclar os dispositivos - Substituir IP existente: substitui qualquer endereço IP existente pelo novo endereço - Ignorar: remove a notificação. |
Ignorar |
Nenhuma sub-rede configurada | Não há sub-redes atualmente configuradas em sua rede. É recomendado configurar sub-redes para que seja possível diferenciar entre dispositivos OT e de TI no mapa. |
- Abra a Configuração de Sub-redes e configure as sub-redes. - Ignorar: remove a notificação. |
Ignorar |
Alterações do sistema operacional | Um ou mais sistemas operacionais novos foram associados ao dispositivo. | – Selecione o nome do novo sistema operacional que você deseja associar ao dispositivo. - Ignorar: remove a notificação. |
Defina com o novo sistema operacional somente se ainda não estiver configurado manualmente. Se o sistema operacional já tiver sido configurado: Ignorar. |
Novas sub-redes | Novas sub-redes foram descobertas. | - Aprender: adicionar a sub-rede automaticamente. - Abrir a configuração de sub-rede: adicionar todas as informações de sub-rede ausentes. - Dispensar: Remova a notificação. |
Ignorar |
Exibir um mapa de dispositivos de uma zona específica
Ao trabalhar com um console de gerenciamento local com sites e zonas configurados, também haverá mapas de dispositivos disponíveis para cada zona.
No console de gerenciamento local, os mapas de zona mostram todos os elementos de rede relacionados a uma zona selecionada, como sensores OT, dispositivos detectados e muito mais.
Para exibir um mapa de zona:
Entre em um console de gerenciamento local e selecione Gerenciamento de sites>Exibir o mapa de zona para a zona que você deseja exibir. Por exemplo:
Use qualquer uma das seguintes ferramentas de mapa para alterar a exibição do mapa:
Nome Descrição Salvar a disposição atual
Salva todas as alterações feitas na exibição do mapa. Ocultar endereços multicast/de transmissão
Selecionadas por padrão. Selecione para mostrar os dispositivos multicast e de transmissão no mapa. Apresentar linhas Purdue
Selecionadas por padrão. Selecione para ocultar as linhas Purdue no mapa. Refazer Layout
Selecione para reorganizar o layout por linhas Purdue ou por zona. Escalar para ajustar à tela
Amplia ou reduz o mapa para que ele caiba inteiro na tela. Pesquisar por IP/MAC Selecione um endereço IP ou MAC específico para realçar o dispositivo no mapa. Alterar para um mapa de zona diferente
Selecione para abrir a caixa de diálogo Alterar mapa de zona, em que é possível selecionar um mapa de zona diferente para exibir. Zoom
/Amplie o mapa para exibir as conexões entre cada dispositivo, seja usando o mouse ou os botões +/- à direita do mapa. Faça a ampliação para ver mais detalhes por dispositivos, como para exibir o número de dispositivos agrupados em uma sub-rede ou expandir uma sub-rede.
Clique com o botão direito do mouse em um dispositivo e selecione Exibir propriedades para abrir uma caixa de diálogo Propriedades do dispositivo, com mais detalhes sobre ele.
Clique com o botão direito do mouse em um dispositivo mostrado em vermelho e selecione Exibir alertas para ir para a página Alertas, com alertas filtrados apenas para o dispositivo selecionado.
Grupos de mapas de dispositivos internos
A tabela a seguir lista os grupos de dispositivos disponíveis e prontos para uso na página Mapa de dispositivos do sensor OT. Crie grupos personalizados adicionais conforme necessário para sua organização.
Nome do grupo | Descrição |
---|---|
Simulações do vetor de ataque | Dispositivos vulneráveis detectados em relatórios de vetores de ataque, em que a opção Mostrar no mapa de dispositivos está ativada. |
Autorização | Dispositivos descobertos durante um período inicial de aprendizagem ou marcados posteriormente de maneira manual como autorizados. |
Conexões entre sub-redes | Dispositivos que se comunicam de uma sub-rede a outra. |
Filtros de inventário de dispositivo | Qualquer dispositivo baseado em um filtro criado na página Inventário de dispositivos do sensor OT. |
Aplicativos conhecidos | Dispositivos que usam portas reservadas, como TCP. |
Última atividade | Dispositivos agrupados pelo período em que estiveram ativos pela última vez, por exemplo: uma hora, seis horas, um dia ou sete dias. |
Portas não padrão | Dispositivos que usam portas não padrão ou portas que não foram atribuídas a um alias. |
Não está no Active Directory | Todos os dispositivos não PLC que não estão se comunicando com o Active Directory. |
Protocolos OT | Dispositivos que manipulam o tráfego conhecido de TO. |
Intervalos de sondagem | Dispositivos agrupados por intervalos de sondagem. Os intervalos de sondagem são gerados automaticamente de acordo com os canais cíclicos ou os períodos. Por exemplo, 15 segundos, 3 segundos, 1,5 segundos ou qualquer outro intervalo. A revisão dessas informações te ajuda a aprender se os sistemas estão sondando com muita rapidez ou muita lentidão. |
Programação | Estações de engenharia e máquinas de programação. |
Sub-redes | Dispositivos que pertencem a uma sub-rede específica. |
VLAN | Dispositivos associados a uma ID de VLAN específica. |
Próximas etapas
Para obter mais informações, consulte Investigar detecções de sensores em um Inventário de Dispositivos.