Prozkoumání zařízení na mapě zařízení

Mapy zařízení OT poskytují grafické znázornění síťových zařízení zjištěných senzorem sítě OT a jejich propojeními.

Pomocí mapy zařízení můžete načítat, analyzovat a spravovat informace o zařízení, a to buď najednou, nebo podle segmentu sítě, jako jsou konkrétní skupiny zájmů nebo vrstvy Purdue. Pokud pracujete v prostředí s místní konzolou pro správu, můžete pomocí mapy zóny zobrazit zařízení napříč všemi připojenými senzory OT v konkrétní zóně.

Požadavky

Pokud chcete provést postupy v tomto článku, ujistěte se, že máte:

• Nainstalovaný, nakonfigurovaný a aktivovaný síťový senzor OT s přijatým síťovým provozem

• Přístup ke snímači OT nebo místní konzole pro správu Uživatelé s rolí Čtenář mohou zobrazit data na mapě. Pokud chcete importovat nebo exportovat data nebo upravit zobrazení mapy, potřebujete přístup jako analytik zabezpečení nebo Správa uživatel. Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.

Pokud chcete zobrazit zařízení napříč několika senzory v zóně, budete také potřebovat nainstalovanou, aktivovanou a nakonfigurovanou místní konzolu pro správu s několika senzory připojenými a přiřazenými k lokalitám a zónám.

Zobrazení zařízení na mapě zařízení senzoru OT

1. Přihlaste se ke snímači OT a vyberte Mapu zařízení. Všechna zařízení zjištěná senzorem OT se ve výchozím nastavení zobrazují podle vrstvy Purdue.

   Na mapě zařízení senzoru OT:

   • Zařízení s aktuálně aktivními výstrahami jsou červeně zvýrazněná
   • Zařízení s hvězdičkou jsou zařízení označená jako důležitá.
   • Zařízení bez upozornění se v zobrazení přiblížení připojení zobrazují černobílým nebo šedým

   Příklad:

   

2. Přiblížením a výběrem konkrétního zařízení zobrazíte propojení mezi ním a dalšími zařízeními zvýrazněnými modře.

   Při přiblížení se každé zařízení zobrazí následující podrobnosti:

   • Pokud je to relevantní, název hostitele, IP adresa a adresa podsítě zařízení.
   • Počet aktuálně aktivních výstrah na zařízení.
   • Typ zařízení reprezentovaný různými ikonami.
   • Počet zařízení seskupených v podsíti v it síti, pokud je to relevantní. Tento počet zařízení se zobrazuje v černém kruhu.
   • Bez ohledu na to, jestli je zařízení nově zjištěno nebo neautorizované.

3. Klikněte pravým tlačítkem myši na konkrétní zařízení a výběrem možnosti Zobrazit vlastnosti přejděte na kartu Zobrazení mapy na stránce s podrobnostmi o zařízení.

Úprava zobrazení mapy senzoru OT

Pomocí některého z následujících nástrojů mapy upravte zobrazená data a způsob jejich zobrazení:

Název	Popis
Aktualizovat mapu	Vyberte, pokud chcete mapu aktualizovat aktualizovanými daty.
Oznámení	Výběrem zobrazíte oznámení o zařízení.
Hledání podle IP adresy / MAC	Vyfiltrujte mapu tak, aby zobrazovala jenom zařízení připojená k určité IP adrese nebo adrese MAC.
Vícesměrové vysílání/všesměrové vysílání	Vyberte, pokud chcete upravit filtr, který zobrazuje nebo skryje zařízení vícesměrového vysílání a všesměrového vysílání. Ve výchozím nastavení je provoz vícesměrového vysílání a všesměrového vysílání skrytý.
Přidání filtru (naposledy zobrazeno)	Výběrem můžete filtrovat zařízení zobrazená podle těch, které se zobrazují v určitém časovém období, od posledních pěti minut po posledních sedm dnů.
Resetování filtrů	Vyberte, pokud chcete obnovit filtr Naposledy vidět .
Zvýraznit	Vyberte, pokud chcete zvýraznit zařízení v konkrétní skupině zařízení. Zvýrazněná zařízení se zobrazují na mapě modře. Pomocí vyhledávacího pole skupiny vyhledejte skupiny zařízení, které chcete zvýraznit, nebo rozbalte možnosti skupiny a pak vyberte skupinu, kterou chcete zvýraznit.
Filtr	Výběrem vyfiltrujte mapu, aby se zobrazila jenom zařízení v konkrétní skupině zařízení. Pomocí vyhledávacího pole skupiny vyhledejte skupiny zařízení nebo rozbalte možnosti skupiny a pak vyberte skupinu, podle které chcete filtrovat.
Zoom /	Přiblížením na mapě zobrazíte připojení mezi jednotlivými zařízeními pomocí myši nebo +/- tlačítek na pravé straně mapy.
Přizpůsobit obrazovce	Oddálit zobrazení tak, aby se vešla na všechna zařízení na obrazovku
Přizpůsobit výběru	Oddálit se dostatečně, aby se vešly všechna vybraná zařízení na obrazovku.
Možnosti prezentace IT/OT	Pokud chcete zabránit možnosti sbalit podsítě v mapě, vyberte Zakázat skupiny zobrazovaných sítí IT. Tato možnost je ve výchozím nastavení vybraná.
Možnosti rozložení	Vyberte jednu z následujících možností: - Připnout rozložení Pokud jste je přetáhli na nová místa na mapě, vyberte možnost uložit umístění zařízení. - Rozložení podle připojení Výběrem zobrazíte zařízení uspořádaná podle jejich připojení. - Rozložení podle Purdue Výběrem zobrazíte zařízení uspořádaná podle jejich vrstev Purdue.

Pokud chcete zobrazit podrobnosti o zařízení, vyberte zařízení a rozbalte podokno podrobností o zařízení vpravo. V podokně podrobností o zařízení:

• Výběrem sestavy aktivit přejdete na sestavu dolování dat zařízení.
• Výběrem časové osy události přejděte na časovou osu události zařízení.
• Výběrem možnosti Podrobnosti o zařízení přejdete na celou stránku s podrobnostmi o zařízení.

Zobrazení it podsítí z mapy zařízení senzoru OT

Ve výchozím nastavení se IT zařízení automaticky agregují podle podsítě, aby se mapa zaměřovala na místní sítě OT a IoT.

Rozšíření podsítě IT:

1. Přihlaste se ke snímači OT a vyberte Mapu zařízení.

2. Vyhledejte podsíť na mapě. Možná budete muset mapu přiblížit, aby se zobrazila ikona podsítě, která vypadá jako několik počítačů uvnitř pole. Příklad:

   

3. Pravým tlačítkem myši klikněte na zařízení podsítě na mapě a rozbalte síť.

4. V potvrzovací zprávě, která se zobrazí nad mapou, vyberte OK.

Sbalení podsítě IT:

1. Přihlaste se ke snímači OT a vyberte Mapu zařízení.
2. Vyberte jednu nebo více rozbalených podsítí a pak vyberte Sbalit vše.

Zobrazení podrobností o provozu mezi připojenými zařízeními

Zobrazení podrobností o provozu mezi připojenými zařízeními:

1. Přihlaste se ke snímači OT a vyberte Mapu zařízení.

2. Na mapě vyhledejte dvě připojená zařízení. Možná budete muset mapu přiblížit, aby se zobrazila ikona zařízení, která vypadá jako monitor.

3. Klikněte na čáru spojující dvě zařízení na mapě a rozbalte podokno vlastnosti Připojení vpravo. Příklad:

   

4. V podokně vlastnosti Připojení můžete zobrazit podrobnosti o provozu mezi těmito dvěma zařízeními, například:

   • Jak dlouho bylo připojení poprvé zjištěno.
   • IP adresa každého zařízení.
   • Stav každého zařízení.
   • Počet upozornění pro každé zařízení.
   • Graf pro celkovou šířku pásma
   • Graf pro nejvyšší provoz podle portu

Vytvoření vlastní skupiny zařízení

Kromě předdefinovaných skupin zařízení senzoru OT vytvořte nové vlastní skupiny podle potřeby, které je potřeba použít při zvýraznění nebo filtrování zařízení na mapě.

1. Na panelu nástrojů vyberte + Vytvořit vlastní skupinu , nebo klikněte pravým tlačítkem myši na zařízení v mapě a pak vyberte Přidat do vlastní skupiny.

2. V podokně Přidat vlastní skupinu :

   • Do pole Název zadejte smysluplný název skupiny s až 30 znaky.
   • V nabídce Kopírovat ze skupin vyberte všechny skupiny, ze které chcete kopírovat zařízení.
   • V nabídce Zařízení vyberte všechna další zařízení, která chcete přidat do skupiny.

Import a export dat zařízení

K importu a exportu dat zařízení použijte jednu z následujících možností:

• Import zařízení. Vyberte, pokud chcete importovat zařízení z předem nakonfigurovaného zařízení . Soubor CSV.
• Export zařízení. Vyberte, pokud chcete exportovat všechna aktuálně zobrazená zařízení s úplnými podrobnostmi do . Soubor CSV.
• Export souhrnu zařízení Vyberte, pokud chcete exportovat souhrn všech aktuálně zobrazených zařízení do souboru . Soubor CSV.

Úprava zařízení

1. Přihlaste se k senzoru OT a vyberte mapu zařízení.

2. Kliknutím pravým tlačítkem myši na zařízení otevřete nabídku možností zařízení a vyberte některou z následujících možností:

   Název	Popis
   Upravit vlastnosti	Otevře podokno úprav, ve kterém můžete upravovat vlastnosti zařízení, jako je autorizace, název, popis, platforma operačního systému, typ zařízení, úroveň Purdue a jestli se jedná o skener nebo programovací zařízení.
   Zobrazení vlastností	Otevře stránku s podrobnostmi o zařízení.
   Autorizace nebo zrušení autorizace	Změní stav autorizace zařízení.
   Označit jako důležité / ne důležité	Změní stav důležitosti zařízení, zvýrazní důležité obchodní servery na mapě hvězdičkou a jinde, včetně sestav snímačů OT a inventáře zařízení Azure.
   Zobrazit výstrahy / zobrazit události	Otevře kartu Upozornění nebo Časová osa událostí na stránce podrobností zařízení.
   Sestava aktivit	Vygeneruje sestavu aktivit pro zařízení pro vybrané časové rozpětí.
   Simulace vektorů útoku	Vygeneruje simulaci vektoru útoku pro vybrané zařízení.
   Přidat do vlastní skupiny	Vytvoří novou vlastní skupinu s vybraným zařízením.
   Odstranění	Odstraní zařízení z inventáře.

Sloučení zařízení

Pokud senzor OT zjistil více síťových entit přidružených k jedinečnému zařízení, jako je PLC se čtyřmi síťovými kartami, nebo jeden přenosný počítač s WiFi i fyzickou síťovou kartou, můžete chtít sloučit zařízení.

Autorizovaná zařízení můžete sloučit pouze.

Důležité

Sloučení zařízení nejde vrátit zpět. Pokud jste omylem sloučili dvě zařízení, odstraňte zařízení a počkejte, až se senzor znovu objeví.

Sloučení více zařízení:

1. Přihlaste se ke snímači OT a vyberte Mapu zařízení.

2. Vyberte autorizovaná zařízení, která chcete sloučit, pomocí klávesy SHIFT vyberte více než jedno zařízení a potom klikněte pravým tlačítkem myši a vyberte Sloučit.

3. Na příkazovém řádku vyberte potvrdit , že chcete sloučit zařízení.

Zařízení se sloučí a v pravém horním rohu se zobrazí potvrzovací zpráva. Události sloučení jsou uvedeny na časové ose událostí senzoru OT.

Správa oznámení zařízení

Na rozdíl od výstrah, které poskytují podrobnosti o změnách provozu, které můžou představovat hrozbu pro vaši síť, poskytují oznámení zařízení na mapě zařízení senzoru OT podrobnosti o síťové aktivitě, které by mohly vyžadovat vaši pozornost, ale nejsou to hrozby.

Můžete například obdržet oznámení o neaktivním zařízení, které je potřeba znovu připojit, nebo odebrat, pokud už není součástí sítě.

Zobrazení a zpracování oznámení zařízení:

1. Přihlaste se ke snímači OT a vyberte Oznámení mapy>zařízení.

2. V podokně Oznámení zjišťování napravo filtrujte oznámení podle potřeby podle časového rozsahu, zařízení, podsítě nebo operačních systémů.

   Příklad:

   

3. Každé oznámení může mít jiné možnosti omezení rizik. Proveďte některou z následujících akcí:

   • Zpracovat jedno oznámení najednou, vybrat konkrétní akci zmírnění nebo výběrem možnosti Zavřít oznámení zavřít bez aktivity.
   • Výběrem možnosti Vybrat vše zobrazíte, která oznámení se dají zpracovat společně. Zrušte výběry pro konkrétní oznámení a pak vyberte Přijmout vše nebo Zavřít vše , abyste mohli zpracovat všechna zbývající vybraná oznámení společně.

Poznámka:

Vybraná oznámení se automaticky vyřeší, pokud nejsou zavřená nebo jinak zpracována do 14 dnů. Další informace najdete v akci uvedené ve sloupci Automatické řešení v tabulce níže.

Společné zpracování více oznámení

Můžete mít situace, kdy byste chtěli zpracovávat více oznámení společně, například:

• IT upgradoval operační systém na více síťových serverech a chcete se seznámit se všemi novými verzemi serveru.

• Skupina zařízení už není aktivní a chcete instruovat senzor OT, aby zařízení odebral ze senzoru OT.

Při společném zpracování více oznámení můžete mít stále zbývající oznámení, která je potřeba zpracovat ručně, například pro nové IP adresy nebo žádné podsítě zjištěné.

Odpovědi na oznámení zařízení

Následující tabulka uvádí dostupné odpovědi pro každé oznámení a kdy doporučujeme použít jednotlivé odpovědi:

Typ	Popis	Dostupné odpovědi	Automatické řešení
Byla zjištěna nová IP adresa.	K zařízení je přidružená nová IP adresa. K tomu může dojít v následujících scénářích: – K zařízení, které už bylo zjištěno, byla přidružena nová nebo další IP adresa s existující adresou MAC. – Pro zařízení, které používá název NetBIOS, byla zjištěna nová IP adresa. – Jako rozhraní pro správu zařízení přidruženého k adrese MAC byla zjištěna IP adresa. – Pro zařízení, které používá virtuální IP adresu, byla zjištěna nová IP adresa.	- Nastavení další IP adresy na zařízení: Sloučení zařízení - Nahradit existující IP adresu: Nahradí všechny existující IP adresy novou adresou. - Zavřít: Odeberte oznámení.	Zrušit
Nejsou nakonfigurované žádné podsítě.	Ve vaší síti nejsou aktuálně nakonfigurované žádné podsítě. Doporučujeme nakonfigurovat podsítě pro možnost rozlišovat mezi OT a IT zařízeními na mapě.	- Otevřete konfiguraci podsítě a nakonfigurujte podsítě. - Zavřít: Odeberte oznámení.	Zrušit
Změny operačního systému	K zařízení je přidružen jeden nebo více nových operačních systémů.	– Vyberte název nového operačního systému, který chcete přidružit k zařízení. - Zavřít: Odeberte oznámení.	Nastavte nový operační systém jenom v případě, že ještě není nakonfigurovaný ručně. Pokud už je operační systém nakonfigurovaný: Zavřete.
Nové podsítě	Byly zjištěny nové podsítě.	- Další informace: Automatické přidání podsítě - Otevřít konfiguraci podsítě: Přidejte všechny chybějící informace o podsíti. - Zavřít: Odeberte oznámení.	Zrušit

Zobrazení mapy zařízení pro konkrétní zónu

Pokud pracujete s místní konzolou pro správu s nakonfigurovanými lokalitami a zónami, jsou mapy zařízení dostupné také pro každou zónu.

V místní konzole pro správu zobrazují mapy zón všechny síťové prvky související s vybranou zónou, včetně senzorů OT, zjištěných zařízení a dalších.

Zobrazení mapy zóny:

1. Přihlaste se k místní konzole pro správu a vyberte >mapu zóny zobrazení webu pro zónu, kterou chcete zobrazit. Příklad:

   

2. Zobrazení mapy můžete změnit pomocí některého z následujících nástrojů mapy:

   Název	Popis
   Uložit aktuální uspořádání	Uloží všechny změny, které jste udělali v zobrazení mapy.
   Skrytí adres vícesměrového vysílání nebo všesměrového vysílání	Ve výchozím nastavení je tato možnost vybraná. Výběrem zobrazíte na mapě vícesměrová a všesměrová zařízení.
   Prezentovat řádky Purdue	Ve výchozím nastavení je tato možnost vybraná. Výběrem skryjete čáry Purdue na mapě.
   Relayout	Výběrem můžete změnit uspořádání rozložení podle čar Purdue nebo podle zóny.
   Přizpůsobit velikost obrazovky	Přiblíží nebo oddálení mapy tak, aby se celá mapa vešla na obrazovku.
   Hledání podle IP adresy / MAC	Vyberte konkrétní IP adresu nebo adresu MAC, aby se zařízení na mapě zvýrazňovalo.
   Změna na jinou mapu zóny	Výběrem otevřete dialogové okno Změnit mapu zóny, kde můžete vybrat jinou mapu zóny, kterou chcete zobrazit.
   Zoom /	Přiblížením na mapě zobrazíte připojení mezi jednotlivými zařízeními pomocí myši nebo +/- tlačítek na pravé straně mapy.

3. Přiblížením zobrazení dalších podrobností na zařízeních, například zobrazením počtu zařízení seskupených v podsíti nebo rozšířením podsítě

4. Klikněte pravým tlačítkem myši na zařízení a výběrem možnosti Zobrazit vlastnosti otevřete dialogové okno Vlastnosti zařízení s dalšími podrobnostmi o zařízení.

5. Klikněte pravým tlačítkem myši na zařízení zobrazené červeně a výběrem možnosti Zobrazit výstrahy přejděte na stránku Upozornění s upozorněními filtrovanými jenom pro vybrané zařízení.

Předdefinované skupiny map zařízení

V následující tabulce jsou uvedené skupiny zařízení, které jsou k dispozici, které jsou k dispozici na stránce mapy zařízení senzoru OT. Podle potřeby vytvořte pro vaši organizaci další vlastní skupiny .

Název skupiny	Popis
Simulace vektorů útoku	Ohrožená zařízení zjištěná v sestavách vektorů útoku, kde je zapnutá možnost Zobrazit v mapě zařízení.
Autorizace	Zařízení, která byla zjištěna během počátečního výukového období nebo později byla ručně označena jako autorizovaná zařízení.
Připojení mezi podsítěmi	Zařízení, která komunikují z jedné podsítě do jiné podsítě.
Filtry inventáře zařízení	Všechna zařízení založená na filtru vytvořeném na stránce inventáře zařízení senzoru OT.
Známé aplikace	Zařízení, která používají vyhrazené porty, například TCP.
Poslední aktivita	Zařízení seskupené podle časového rámce, který byly naposledy aktivní, například: jedna hodina, šest hodin, jeden den nebo sedm dní.
Nestandardní porty	Zařízení, která používají nestandardní porty nebo porty, které nemají přiřazený alias
Není ve službě Active Directory	Všechna zařízení bez plc, která nekomunikují se službou Active Directory.
Protokoly OT	Zařízení, která zpracovávají známý provoz OT
Intervaly dotazování	Zařízení seskupené podle intervalů dotazování. Intervaly dotazování se generují automaticky podle cyklických kanálů nebo období. Například 15,0 sekund, 3,0 sekund, 1,5 sekund nebo jakýkoli jiný interval. Při kontrole těchto informací se dozvíte, jestli se systémy dotazují příliš rychle nebo pomalu.
Programování	Technické stanice a programovací stroje.
Podsítě	Zařízení, která patří do konkrétní podsítě.
VLAN	Zařízení přidružená ke konkrétnímu ID sítě VLAN.

Další kroky

Další informace najdete v tématu Zkoumání detekcí senzorů v inventáři zařízení.