Partager via


Investiguer les appareils sur une carte des appareils

Les cartes des appareils OT fournissent une représentation graphique des appareils réseau détectés par le capteur réseau OT et des connexions qui existent entre eux.

Utilisez une carte des appareils pour récupérer, analyser et gérer les informations sur les appareils, soit toutes en même temps, soit par segment réseau, comme des groupes d’intérêt ou des couches Purdue spécifiques. Si vous travaillez dans un environnement hermétique avec une console de gestion locale, utilisez une carte des zones pour voir les appareils de tous les capteurs OT connectés dans une zone spécifique.

Prérequis

Pour effectuer les procédures décrites dans cet article, vérifiez que vous avez bien :

Pour voir les appareils de plusieurs capteurs dans une zone, vous avez également besoin d’une console de gestion locale installée, activée et configurée, avec plusieurs capteurs connectés et affectés à des sites et des zones.

Afficher les appareils sur la carte des appareils du capteur OT

  1. Connectez-vous à votre capteur OT et sélectionnez Carte des appareils. Tous les appareils détectés par le capteur OT sont affichés par défaut en fonction de la couche Purdue.

    Sur la carte des appareils du capteur OT :

    • Les appareils qui ont des alertes encore actives apparaissent en rouge.
    • Les étoiles représentent les appareils désignés comme importants.
    • Les appareils sans aucune alerte apparaissent en noir ou en gris dans la vue des connexions en mode zoom avant.

    Par exemple :

    Screenshot of a default view of an OT sensor's device map.

  2. Effectuez un zoom avant et sélectionnez un appareil spécifique pour voir les connexions qui existent entre celui-ci et les autres appareils, apparaissant en bleu.

    En mode zoom avant, chaque appareil présente les détails suivants :

    • Le nom d’hôte, l’adresse IP et l’adresse du sous-réseau de l’appareil, le cas échéant.
    • Le nombre d’alertes encore actives sur l’appareil.
    • Le type d’appareil, représenté par différentes icônes.
    • Le nombre d’appareils regroupés dans le sous-réseau d’un réseau informatique, le cas échéant. Ce nombre d’appareils apparaît dans un cercle noir.
    • Une indication qui précise s’il s’agit d’un appareil récemment détecté ou non autorisé.
  3. Cliquez avec le bouton droit sur un appareil spécifique et sélectionnez Voir les propriétés pour explorer au niveau du détail l’onglet Vue cartographique de la page des détails de l’appareil.

Modifier l’affichage de la carte du capteur OT

Utilisez l’un des outils de carte suivants pour modifier les données présentées et leur mode d’affichage :

Nom Description
Actualiser la carte Sélectionnez cet outil pour actualiser la carte avec des données mises à jour.
Notifications Sélectionnez cet outil pour voir les notifications d’appareils.
Rechercher par IP/MAC Filtrez la carte pour afficher uniquement les appareils connectés à une adresse IP ou MAC spécifique.
Multidiffusion/diffusion Sélectionnez cet outil pour modifier le filtre qui affiche ou masque les appareils de multidiffusion et de diffusion. Par défaut, le trafic de multidiffusion et de diffusion est masqué.
Ajouter un filtre (Dernière consultation) Sélectionnez cet outil pour filtrer les appareils affichés selon une période spécifique, allant des cinq dernières minutes aux sept derniers jours.
Réinitialiser les filtres Sélectionnez cet outil pour réinitialiser le filtre Dernière consultation.
Surlignage Sélectionnez cet outil pour mettre en exergue les appareils appartenant à un groupe d’appareils spécifique. Les appareils mis en exergue figurent en bleu sur la carte.

Utilisez la zone Rechercher dans les groupes pour rechercher des groupes d’appareils à mettre en exergue, ou développez vos options de groupe, puis sélectionnez le groupe à mettre en exergue.
Filter Sélectionnez cet outil pour filtrer la carte afin d’afficher uniquement les appareils appartenant à un groupe d’appareils spécifique.

Utilisez la zone Rechercher dans les groupes pour rechercher des groupes d’appareils, ou développez vos options de groupe, puis sélectionnez le groupe à filtrer.
Zoom
/
Effectuez un zoom avant sur la carte pour voir les connexions qui existent entre chaque appareil, à l’aide de la souris ou des boutons +/- situés à droite de la carte.
Adapter à l’écran
Effectue un zoom arrière pour que tous les appareils tiennent à l’écran.
Ajuster à la sélection
Effectue un zoom arrière suffisant pour que tous les appareils sélectionnés tiennent à l’écran.
Options de présentation IT/OT
Sélectionnez Désactiver l’affichage des groupes de réseaux informatiques pour interdire la possibilité de réduire les sous-réseaux dans la carte. Cette option est activée par défaut.
Options de disposition
Sélectionnez l’une des options suivantes :
- Épingler la disposition. Sélectionnez cet outil pour enregistrer les emplacements des appareils si vous les avez fait glisser vers de nouveaux emplacements sur la carte.
- Disposition par connexions. Sélectionnez cet outil pour voir les appareils organisés selon leurs connexions.
- Disposition par Purdue. Sélectionnez cet outil pour voir les appareils organisés selon leurs couches Purdue.

Pour voir les détails d’un appareil, sélectionnez-en un et développez son volet d’informations situé à droite. Dans le volet d’informations d’un appareil :

Voir les sous-réseaux informatiques à partir de la carte des appareils d’un capteur OT

Par défaut, les appareils informatiques sont automatiquement regroupés par sous-réseau, afin que la carte se concentre sur les réseaux OT et IoT locaux.

Pour développer un sous-réseau informatique :

  1. Connectez-vous à votre capteur OT et sélectionnez Carte des appareils.

  2. Localisez votre sous-réseau dans la carte. Vous aurez peut-être besoin d’effectuer un zoom avant sur la carte pour voir une icône de sous-réseau, qui ressemble à plusieurs machines à l’intérieur d’un cadre. Par exemple :

    Screenshot of a subnet device on the device map.

  3. Cliquez avec le bouton droit sur l’appareil de sous-réseau dans la carte et cliquez sur Développer le réseau.

  4. Dans le message de confirmation qui s’affiche au-dessus de la carte, sélectionnez OK.

Pour réduire un sous-réseau informatique :

  1. Connectez-vous à votre capteur OT et sélectionnez Carte des appareils.
  2. Sélectionnez un ou plusieurs sous-réseaux développés, puis Tout réduire.

Afficher des informations sur un trafic entre des appareils connectés

Pour afficher des informations sur un trafic entre des appareils connectés :

  1. Connectez-vous à votre capteur OT et sélectionnez Carte des appareils.

  2. Recherchez deux appareils connectés sur la carte. Il est possible que vous ayez besoin d’effectuer un zoom avant sur la carte pour voir une icône d’appareil, qui ressemble à un moniteur.

  3. Cliquez sur la ligne qui connecte deux appareils sur la carte, puis développez le volet Propriétés de connexion à droite. Par exemple :

    Screenshot of connection properties on the device map.

  4. Dans le volet Propriétés de connexion, vous pouvez afficher des informations sur le trafic entre les deux appareils, par exemple :

    • Combien de temps s’est-il écoulé depuis la première détection de la connexion.
    • Adresse IP de chaque appareil.
    • État de chaque appareil.
    • Nombre d’alertes de chaque appareil.
    • Graphique de la bande passante totale.
    • Graphique du trafic principal par port.

Créer un groupe d’appareils personnalisé

En plus des groupes d’appareils intégrés du capteur OT, créez des groupes personnalisés selon vos besoins à utiliser dans le cadre de la mise en exergue ou du filtrage des appareils sur la carte.

  1. Sélectionnez + Créer un groupe personnalisé dans la barre d’outils ou cliquez avec le bouton droit sur un appareil dans la carte, puis sélectionnez Ajouter au groupe personnalisé.

  2. Dans le volet Ajouter un groupe personnalisé :

    • Dans le champ Nom, entrez un nom explicite pour votre groupe, contenant jusqu’à 30 caractères.
    • Dans le menu Copier à partir de groupes, sélectionnez les groupes à partir desquels vous voulez copier des appareils.
    • Dans le menu Appareils, sélectionnez les appareils supplémentaires à ajouter à votre groupe.

Importer/exporter des données d’appareil

Utilisez l’une des options suivantes pour importer et exporter des données d’appareil :

  • Importer des appareils. Sélectionnez cette option pour importer des appareils à partir d’un fichier .CSV préconfiguré.
  • Exporter des appareils. Sélectionnez cette option pour exporter tous les appareils actuellement affichés, avec tous les détails, dans un fichier .CSV.
  • Exporter le résumé des appareils. Sélectionnez cette option pour exporter un résumé général de tous les appareils actuellement affichés dans un fichier .CSV.

Modifier des appareils

  1. Connectez-vous à un capteur OT et sélectionnez Carte des appareils.

  2. Cliquez avec le bouton droit sur un appareil pour ouvrir le menu des options de l’appareil, puis sélectionnez l’une des options suivantes :

    Nom Description
    Modifier les propriétés Ouvre le volet de modification dans lequel vous pouvez modifier les propriétés de l’appareil, comme l’autorisation, le nom, la description, la plateforme du système d’exploitation, le type d’appareil, le niveau Purdue et indiquer s’il s’agit d’un scanneur ou d’un appareil de programmation.
    Afficher les propriétés Ouvre la page des détails de l’appareil.
    Autoriser/Annuler l’autorisation Change l’état d’autorisation de l’appareil.
    Marquer comme important/non important Change l’état d’importance de l’appareil, en mettant en exergue les serveurs vitaux pour l’entreprise sur la carte, à l’aide d’une étoile, et ailleurs, notamment dans les rapports des capteurs OT et l’inventaire des appareils Azure.
    Afficher les alertes / Afficher les événements Ouvre l’onglet Alertes ou Chronologie de l’événement dans la page des détails de l’appareil.
    Rapport d’activité Génère un rapport d’activité de l’appareil pendant l’intervalle de temps sélectionné.
    Simuler les vecteurs d’attaque Génère une simulation de vecteurs d’attaque pour l’appareil sélectionné.
    Ajouter au groupe personnalisé Crée un groupe personnalisé avec l’appareil sélectionné.
    Supprimer Supprime l’appareil de l’inventaire.

Fusionner des appareils

Vous pouvez éventuellement fusionner des appareils si le capteur OT a détecté plusieurs entités réseau associées à un seul appareil, comme un automate programmable (PLC) avec quatre cartes réseau ou un ordinateur portable avec à la fois une carte Wi-Fi et une carte réseau physique.

Vous pouvez uniquement fusionner des appareils autorisés.

Important

Vous ne pouvez pas annuler une fusion d’appareil. Si vous avez fusionné deux appareils par erreur, supprimez-les et attendez que le capteur les redécouvre tous les deux.

Pour fusionner plusieurs appareils :

  1. Connectez-vous à votre capteur OT et sélectionnez Carte des appareils.

  2. Sélectionnez les appareils autorisés que vous voulez fusionner à l’aide de la touche Maj pour sélectionner plusieurs appareils, puis cliquez avec le bouton droit et sélectionnez Fusionner.

  3. À l’invite, sélectionnez Confirmer pour confirmer que vous voulez fusionner les appareils.

Les appareils sont fusionnés et un message de confirmation s’affiche en haut à droite. Les événements de fusion sont listés dans la chronologie des événements du capteur OT.

Gérer les notifications d’appareils

Contrairement aux alertes, qui fournissent des détails sur les modifications de votre trafic susceptibles de représenter une menace pour votre réseau, les notifications d’appareils sur une carte des appareils d’un capteur OT fournissent des détails sur l’activité réseau susceptible de nécessiter votre attention, mais qui ne constitue pas une menace.

Par exemple, vous pouvez recevoir une notification sur un appareil inactif qui a besoin d’être reconnecté ou supprimé s’il ne fait plus partie du réseau.

Pour afficher et gérer les notifications d’appareils :

  1. Connectez-vous au capteur OT et sélectionnez Carte des appareils>Notifications.

  2. Dans le volet Notifications de découverte situé à droite, filtrez les notifications selon vos besoins par intervalle de temps, appareil, sous-réseau ou système d’exploitation.

    Par exemple :

    Screenshot of device notifications on an OT sensor's Device map page.

  3. Chaque notification peut proposer des options d’atténuation différentes. Effectuez l'une des opérations suivantes :

    • Gérez une seule notification à la fois, en sélectionnant une action d’atténuation spécifique ou en sélectionnant Ignorer pour fermer la notification sans effectuer d’action.
    • Choisissez Tout sélectionner pour afficher les notifications pouvant être gérées ensemble. Effacez les sélections pour des notifications spécifiques, puis sélectionnez Accepter tout ou Ignorer tout pour gérer les notifications sélectionnées restantes ensemble.

Notes

Les notifications sélectionnées sont automatiquement résolues si elles ne sont pas ignorées ni gérées dans un délai de 14 jours. Pour plus d’informations, consultez l’action indiquée dans la colonne Résolution automatique dans le tableau ci-dessous.

Gestion de plusieurs notifications ensemble

Dans certaines situations, vous pouvez avoir envie de gérer plusieurs notifications ensemble, notamment les suivantes :

  • Le service informatique a mis à niveau le système d’exploitation sur plusieurs serveurs réseau et vous voulez découvrir toutes les nouvelles versions de serveur.

  • Un groupe d’appareils n’est plus actif et vous voulez que le capteur OT supprime ces appareils.

Quand vous gérez plusieurs notifications ensemble, vous pouvez quand même avoir des notifications restantes à gérer manuellement, par exemple en cas de nouvelles adresses IP ou de nouveaux sous-réseaux non détectés.

Réponses aux notifications d’appareils

Le tableau suivant liste les réponses disponibles pour chaque notification et nos recommandations d’utilisation :

Type Description Réponses disponibles Résolution automatique
Nouvelle adresse IP détectée Une nouvelle adresse IP est associée à l’appareil. Cela peut se produire dans les scénarios suivants :

- Une adresse IP nouvelle ou supplémentaire a été associée à un appareil déjà détecté, avec une adresse MAC existante.

- Une nouvelle adresse IP a été détectée pour un appareil qui utilise un nom NetBIOS.

- Une adresse IP a été détectée en tant qu’interface de gestion pour un appareil associé à une adresse MAC.

- Une nouvelle adresse IP a été détectée pour un appareil qui utilise une adresse IP virtuelle.
- Définir une adresse IP supplémentaire sur l’appareil : fusionner les appareils
- Remplacer l’adresse IP existante : remplace toute adresse IP existante par la nouvelle adresse
- Ignorer : Supprime la notification.
Abandonner
Aucun sous-réseau configuré Aucun sous-réseau n’est actuellement configuré dans votre réseau.

Nous vous recommandons de configurer des sous-réseaux pour pouvoir différencier les appareils OT et les appareils informatiques sur la carte.
- Ouvrez Configuration du sous-réseau et configurez les sous-réseaux.
- Ignorer : Supprime la notification.
Abandonner
Changements liés au système d’exploitation Un ou plusieurs nouveaux systèmes d’exploitation ont été associés à l’appareil. - Sélectionnez le nom du nouveau système d’exploitation à associer à l’appareil.
- Ignorer : Supprime la notification.
Définissez uniquement avec le nouveau système d’exploitation s’il n’est pas déjà configuré manuellement.

Si le système d’exploitation est déjà configuré : Ignorer.
Nouveaux sous-réseaux De nouveaux sous-réseaux ont été découverts. - Learn : Ajoute automatiquement le sous-réseau.
- Ouvrir Configuration des sous-réseaux : Ajoute toutes les informations manquantes sur les sous-réseaux.
- Ignorer :
Supprimez la notification.
Abandonner

Afficher une carte des appareils pour une zone spécifique

Si vous utilisez une console de gestion locale avec des sites et des zones configurés, des cartes des appareils sont également disponibles pour chaque zone.

Dans la console de gestion locale, les cartes des zones présentent tous les éléments réseau liés à une zone sélectionnée, y compris les capteurs OT, les appareils détectés, etc.

Pour afficher une carte des zones :

  1. Connectez-vous à une console de gestion locale et sélectionnez Gestion de site>Voir la carte des zones pour la zone à afficher. Par exemple :

    Screenshot of default region to default business unit.

  2. Utilisez l’un des outils suivants pour modifier l’affichage de votre carte :

    Nom Description
    Enregistrer la disposition actuelle

    Enregistre toutes les modifications que vous avez apportées à l’affichage de la carte.
    Masquer les adresses de multidiffusion/diffusion

    Option sélectionnée par défaut. Sélectionnez cet outil pour afficher les appareils de multidiffusion et de diffusion sur la carte.
    Présenter des couches Purdue

    Option sélectionnée par défaut. Sélectionnez cet outil pour masquer les lignes Purdue sur la carte.
    Réorganisation

    Sélectionnez cet outil pour réorganiser la disposition par lignes Purdue ou par zone.
    Mettre à l’échelle pour ajuster l’écran

    Effectue un zoom avant ou arrière sur la carte afin que la carte entière tienne à l’écran.
    Rechercher par IP/MAC Sélectionnez une adresse IP ou MAC spécifique pour mettre en exergue l’appareil sur la carte.
    Passer à une autre carte des zones

    Sélectionnez cet outil pour ouvrir la boîte de dialogue Changer de carte des zones, où vous pouvez sélectionner une autre carte des zones à afficher.
    Zoom

    /
    Effectuez un zoom avant sur la carte pour voir les connexions qui existent entre chaque appareil, à l’aide de la souris ou des boutons +/- situés à droite de la carte.
  3. Effectuez un zoom avant pour voir plus de détails par appareil, par exemple pour voir le nombre d’appareils regroupés dans un sous-réseau ou pour développer un sous-réseau.

  4. Cliquez avec le bouton droit sur un appareil et sélectionnez Voir les propriétés pour ouvrir une boîte de dialogue Propriétés de l’appareil, contenant d’autres détails sur l’appareil.

  5. Cliquez avec le bouton droit sur un appareil affiché en rouge et sélectionnez Afficher les alertes pour accéder à la page Alertes, filtrée sur les alertes concernant l’appareil sélectionné uniquement.

Groupes de cartes des appareils intégrés

Le tableau suivant liste les groupes d’appareils disponibles et prêts à l’emploi figurant dans la page Carte des appareils du capteur OT. Créez des groupes personnalisés supplémentaires selon les besoins de votre organisation.

Nom du groupe Description
Simulations de vecteurs d’attaque Appareils vulnérables détectés dans les rapports de vecteur d’attaque, où l’option Afficher dans la table des périphériques est activée.
Autorisation Appareils qui ont été découverts au cours d’une période d’apprentissage initiale ou qui ont été marqués manuellement par la suite comme étant des appareils autorisés.
Connexions entre sous-réseaux Appareils qui communiquent d’un sous-réseau à un autre sous-réseau.
Filtres d’inventaire des appareils Tous les appareils basés sur un filtre créé dans la page Inventaire des appareils du capteur OT.
Applications connues Appareils qui utilisent des ports réservés, tels que TCP.
Dernière activité Appareils regroupés selon le délai d’exécution pendant lequel ils ont été actifs pour la dernière fois, par exemple : une heure, six heures, un jour ou sept jours.
Ports non standard Appareils qui utilisent des ports non standard ou des ports auxquels aucun alias n’a été attribué.
Non présent dans Active Directory Tous les appareils non PLC qui ne communiquent pas avec Active Directory.
Protocoles OT Appareils qui gèrent le trafic OT connu.
Fréquences d’interrogation Appareils regroupés par intervalles d’interrogation. Les intervalles d’interrogation sont générés automatiquement en fonction de canaux cycliques ou de périodes. Par exemple, 15,0 secondes, 3,0 secondes, 1,5 seconde ou tout autre intervalle. L’examen de ces informations vous aide à déterminer si les systèmes sont interrogés trop rapidement ou lentement.
Programmation Stations d’ingénierie et machines de programmation.
Sous-réseaux Appareils appartenant à un sous-réseau spécifique.
VLAN Appareils associés à un ID de VLAN spécifique.

Étapes suivantes

Pour plus d’informations, consultez Examiner les détections de capteur dans un inventaire d’appareils.