Investigación de los dispositivos de un mapa de dispositivos
Los mapas de dispositivos OT proporcionan una representación gráfica de los dispositivos de red detectados por el sensor de red de OT y las conexiones entre ellos.
Use un mapa de dispositivos para recuperar, analizar y administrar la información de los dispositivos, ya sea todos a la vez o por segmentos de red, como grupos de interés específicos o capas de Purdue. Si trabaja en un entorno aislado con una consola de administración local, use un mapa de zona para ver los dispositivos existentes en todos los sensores de OT conectados de una zona específica.
Requisitos previos
Para realizar los procedimientos de este artículo, asegúrese de tener lo siguiente:
Un sensor de red de OT instalado, configurado y activado, con el tráfico de red ingerido
Acceda al sensor de OT o a la consola de administración local. Los usuarios con el rol de Visor pueden ver datos en el mapa. Para importar o exportar datos o editar la vista de mapa, necesita acceso como analista de seguridad o usuario administrador. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Para ver los dispositivos que hay en varios sensores de una zona, también necesitará una consola de administración local instalada, activada y configurada, con varios sensores conectados y asignados a sitios y zonas.
Visualización de los dispositivos de un mapa de dispositivos del sensor de OT
Inicie sesión en el sensor de OT y seleccione Mapa de dispositivos. Todos los dispositivos detectados por el sensor de OT se muestran de forma predeterminada según la capa de Purdue.
En el mapa del dispositivo del sensor de OT:
- Los dispositivos con alertas activas actualmente están resaltados en rojo.
- Los dispositivos con asterisco son aquellos que se han marcado como importantes
- Los dispositivos sin alertas se muestran en negro o gris en la vista de conexiones ampliadas.
Por ejemplo:
Acerque la imagen y seleccione un dispositivo específico para ver las conexiones que tiene con otros dispositivos (resaltadas en azul).
Cuando se acerca, cada dispositivo muestra los detalles siguientes:
- El nombre de host, la dirección IP y la dirección de subred del dispositivo, si procede.
- El número de alertas actualmente activas del dispositivo.
- El tipo de dispositivo, representado por varios iconos.
- El número de dispositivos agrupados de una subred de una red de TI, si procede. Este número de dispositivos se muestra en un círculo negro.
- Si el dispositivo se ha detectado recientemente o no está autorizado.
Haga clic con el botón derecho en un dispositivo específico y seleccione Ver propiedades para explorar en profundidad hasta la pestaña Vista de mapa de la página de detalles del dispositivo.
Modificación de la visualización del mapa del sensor de OT
Use cualquiera de las siguientes herramientas de mapa para modificar los datos que se muestran y cómo se muestran:
| Nombre | Descripción |
|---|---|
| Actualizar el mapa | Seleccione esta opción para actualizar el mapa con datos actualizados. |
| Notificaciones | Seleccione esta opción para ver las notificaciones del dispositivo. |
| Búsqueda por IP o MAC | Filtre el mapa para mostrar solo los dispositivos conectados a una dirección IP o MAC específica. |
| Multidifusión o difusión | Seleccione esta opción para editar el filtro que muestra u oculta los dispositivos de multidifusión y difusión. De forma predeterminada, el tráfico de multidifusión y difusión está oculto. |
| Agregar filtro (Última vista) | Seleccione esta opción para filtrar los dispositivos que aparecen por los que se muestran en un período de tiempo específico, de los últimos cinco minutos a los últimos siete días. |
| Restablecer filtros | Seleccione esta opción para restablecer el filtro Última vista. |
| Resaltar | Seleccione esta opción para resaltar los dispositivos de un grupo de dispositivos específico. Los dispositivos resaltados se muestran en el mapa en azul. Use el cuadro Buscar grupos para buscar grupos de dispositivos para resaltar o expanda las opciones de grupo y, luego, seleccione el grupo que quiere resaltar. |
| Filter | Seleccione esta opción para filtrar el mapa para mostrar solo los dispositivos de un grupo de dispositivos específico. Use el cuadro Buscar grupos para buscar grupos de dispositivos o expanda las opciones de grupo y, luego, seleccione el grupo por el que quiere filtrar. |
Zoom 
/ 
|
Acerque el mapa para ver las conexiones entre cada dispositivo, ya sea mediante el mouse o los botones +/- situados a la derecha del mapa. |
Ajustar a la pantalla 
|
Aleja la imagen para que todos los dispositivos quepan en la pantalla. |
Ajustar a la selección
|
Aleja la imagen lo suficiente para que todos los dispositivos seleccionados quepan en la pantalla. |
Opciones de presentación de TI/OT 
|
Seleccione Deshabilitar Mostrar grupos de redes de TI para evitar la posibilidad de contraer las subredes del mapa. Esta opción está activada de forma predeterminada. |
Opciones de diseño 
|
Seleccione una de las siguientes opciones: - Anclar diseño. Seleccione esta opción para guardar las ubicaciones de los dispositivos si las ha arrastrado a nuevos lugares del mapa. - Diseño por conexiones. Seleccione esta opción para ver los dispositivos organizados por sus conexiones. - Diseño por Purdue. Seleccione esta opción para ver los dispositivos organizados por sus capas de Purdue. |
Para ver los detalles de un dispositivo, seleccione el dispositivo y expanda el panel de detalles situado a la derecha. En el panel de detalles del dispositivo:
- Seleccione Informe de actividad para ir al informe de minería de datos del dispositivo.
- Seleccione Escala de tiempo de eventos para saltar a la escala de tiempo de eventos del dispositivo.
- Seleccione Detalles del dispositivo para saltar a una página de detalles del dispositivo completa.
Visualización de las subredes de TI en un mapa de dispositivo del sensor de OT
De forma predeterminada, los dispositivos de TI se agregarán automáticamente por subred, de modo que el mapa se centrará en las redes IoT y OT locales.
Para expandir una subred de TI:
Inicie sesión en el sensor de OT y seleccione Mapa de dispositivos.
Busque la subred en el mapa. Es posible que tenga que acercar el mapa para ver un icono de subred, que tiene el aspecto de varias máquinas dentro de un cuadro. Por ejemplo:
Haga clic con el botón derecho en el dispositivo de subred en el mapa y en Expandir red.
En el mensaje de confirmación que aparece encima del mapa, seleccione Aceptar.
Para contraer una subred de TI:
- Inicie sesión en el sensor de OT y seleccione Mapa de dispositivos.
- Seleccione una o varias subredes expandidas y, a continuación, elija Contraer todo.
Visualización de los detalles del tráfico entre dispositivos conectados
Para ver los detalles del tráfico entre dispositivos conectados:
Inicie sesión en el sensor de OT y seleccione Mapa de dispositivos.
Busque dos dispositivos conectados en el mapa. Es posible que tenga que acercar el mapa para ver un icono de dispositivo que tiene el aspecto de un monitor.
Haga clic en la línea que conecta dos dispositivos en el mapa y, a continuación,
expanda el panel Propiedades de conexión de la derecha. Por ejemplo:
En el panel Propiedades de conexión, es posible ver los detalles del tráfico entre los dos dispositivos, como:
- Hace cuánto tiempo se detectó por primera vez la conexión.
- La dirección IP de cada dispositivo.
- Estado de cada dispositivo.
- Número de alertas de cada dispositivo.
- Gráfico del ancho de banda total.
- Gráfico del tráfico superior por puerto.
Creación de un grupo de dispositivos
Además de los grupos de dispositivos integrados del sensor de OT, puede crear nuevos grupos personalizados según sea necesario para usarlos al resaltar o filtrar dispositivos en el mapa.
Seleccione +Crear grupo personalizado en la barra de herramientas o haga clic con el botón derecho en un dispositivo del mapa y elija Agregar al grupo personalizado.
En el panel Agregar grupo personalizado:
- En el campo Nombre, escriba un nombre descriptivo para el grupo que no tenga más de 30 caracteres.
- En el menú Copiar de grupos, seleccione los grupos de los que quiere copiar los dispositivos.
- En el menú Dispositivos, seleccione otros dispositivos que quiera agregar al grupo.
Importación o exportación de datos del dispositivo
Use una de las siguientes opciones para importar y exportar datos del dispositivo:
- Importar dispositivos. Seleccione esta opción para importar dispositivos desde un archivo CSV preconfigurado.
- Exporta dispositivos. Seleccione esta opción para exportar todos los dispositivos que se muestran actualmente, con detalles completos, a un archivo CSV.
- Exportar resumen de dispositivos. Seleccione esta opción para exportar un resumen general de todos los dispositivos mostrados actualmente a un archivo CSV.
Edición de dispositivos
Inicie sesión en un sensor de OT y seleccione Mapa de dispositivos.
Haga clic con el botón derecho en un dispositivo para abrir el menú de opciones y, luego, seleccione cualquiera de las siguientes:
Nombre Descripción Modificar propiedades Abre el panel de edición donde puede editar las propiedades del dispositivo, como autorización, nombre, descripción, plataforma del sistema operativo, tipo de dispositivo, nivel de Purdue y si es un dispositivo de examen o de programación. Vista de propiedades Abre la página de detalles del dispositivo. Autorizar o desautorizar Cambia el estado de autorización del dispositivo. Marcar como importante o no importante Cambia el estado de importancia del dispositivo, resaltando los servidores críticos para el negocio en el mapa con un asterisco y en otros lugares, incluidos los informes de sensores de OT y el inventario de dispositivos de Azure. Mostrar alertas / Mostrar eventos Abre la pestaña Alertas o Escala de tiempo de eventos de la página de detalles del dispositivo. Informe de actividad Genera un informe de actividad del dispositivo correspondiente al intervalo de tiempo seleccionado. Simular vectores de ataque Genera una simulación de vectores de ataque para el dispositivo seleccionado. Agregar a grupo personalizado Crea un nuevo grupo personalizado con el dispositivo seleccionado. Eliminar Elimina el dispositivo del inventario.
Combinación de dispositivos
Es posible que quiera combinar dispositivos si el sensor de OT detectó varias entidades de red asociadas a un dispositivo único, como un PLC con cuatro tarjetas de red o un solo portátil con WiFi y una tarjeta de red física.
Solo se pueden combinar dispositivos autorizados.
Importante
No se puede deshacer una combinación de dispositivos. Si combinó por error dos dispositivos, elimínelos y espere a que el sensor vuelva a detectar ambos.
Para combinar varios dispositivos:
Inicie sesión en el sensor de OT y seleccione Mapa de dispositivos.
Seleccione los dispositivos autorizados que quiere combinar (use la tecla Mayús para seleccionar más de un dispositivo) y, luego, haga clic con el botón derecho y seleccione Combinar.
En la solicitud, seleccione Confirmar para confirmar que desea combinar los dispositivos.
Los dispositivos se combinan y aparece un mensaje de confirmación en la parte superior derecha. Los eventos de combinación se muestran en la escala de tiempo de eventos del sensor de OT.
Administración de las notificaciones de los dispositivos
En lugar de las alertas, que proporcionan detalles sobre los cambios en el tráfico que podrían representar una amenaza para la red, las notificaciones de dispositivo en un mapa de dispositivos del sensor de OT proporcionan detalles sobre la actividad de red que podría requerir su atención, pero no son amenazas.
Por ejemplo, puede que reciba una notificación sobre un dispositivo inactivo que se debe volver a conectar o quitar si ya no forma parte de la red.
Para ver y controlar las notificaciones del dispositivo:
Inicie sesión en el sensor de OT y seleccione Mapa de dispositivos>Notificaciones.
En el panel Notificaciones de detección de la derecha, filtre las notificaciones según sea necesario por intervalo de tiempo, dispositivo, subred o sistemas operativos.
Por ejemplo:
Cada notificación puede tener diferentes opciones de mitigación. Realice una de las siguientes acciones:
- Administre las notificaciones de una en una. Puede seleccionar una acción de mitigación específica o elegir Descartar para cerrar la notificación sin actividad.
- Elija Seleccionar todo para mostrar qué notificaciones se pueden administrar juntas. Borre las selecciones de notificaciones específicas y, luego, elija Aceptar todo o Descartar todo para administrar juntas el resto de notificaciones seleccionadas.
Nota
Las notificaciones seleccionadas se resuelven automáticamente si no se descartan no se administran en un plazo de 14 días. Para más información, vea la acción indicada en la columna Resolución automática de la tabla siguiente.
Administración conjunta de varias notificaciones
Es posible que se vea en situaciones en las que quiera administrar conjuntamente varias notificaciones, por ejemplo:
TI actualizó el sistema operativo en varios servidores de red y quiere obtener información sobre todas las nuevas versiones del servidor.
Un grupo de dispositivos ya no está activo y quiere indicar al sensor de OT que quite los dispositivos del sensor de OT.
Cuando se administran varias notificaciones a la vez, es posible que aún queden notificaciones que deban administrarse manualmente, como las de nuevas direcciones IP o las de subredes no detectadas.
Respuestas de notificaciones de dispositivo
En la tabla siguiente se enumeran las respuestas disponibles para cada notificación y cuándo se recomienda usar cada una de ellas:
| Tipo | Descripción | Respuestas disponibles | Resolución automática |
|---|---|---|---|
| Nueva dirección IP detectada | Hay una nueva dirección IP asociada con el dispositivo. Esto puede ocurrir en los escenarios siguientes: - Se ha asociado una dirección IP nueva o adicional a un dispositivo ya detectado, con una dirección MAC existente. . Se ha detectado una nueva dirección IP para un dispositivo que utiliza un nombre NetBIOS. . Se ha detectado una dirección IP como interfaz de administración de un dispositivo asociado a una dirección MAC. - Se ha detectado una nueva dirección IP para un dispositivo que usa una dirección IP virtual. |
- Establecer dirección IP adicional en dispositivo: combinar los dispositivos - Reemplazar la dirección IP existente: reemplaza cualquier dirección IP existente por la nueva dirección. - Descartar: quita la notificación. |
Descartar |
| No hay subredes configuradas | No hay subredes configuradas actualmente en la red. Se recomienda configurar subredes para poder diferenciar entre dispositivos OT y TI en el mapa. |
- Abra la Configuración de subredes y configure las subredes. - Descartar: quita la notificación. |
Descartar |
| Cambios en el sistema operativo | Uno o más sistemas operativos nuevos se han asociado al dispositivo. | - Seleccione el nombre del nuevo sistema operativo que quiere asociar al dispositivo. - Descartar: quita la notificación. |
Establézcalo con el nuevo sistema operativo solo si aún no está configurado manualmente. Si el sistema operativo ya se ha configurado: Descartar. |
| Nuevas subredes | Se detectaron nuevas subredes. | - Aprender: agrega automáticamente la subred. - Abrir Configuración de subredes: agrega toda la información que falta sobre las subredes. - Descartar: Quite la notificación. |
Descartar |
Visualización de un mapa de dispositivos de una zona determinada
Si trabaja con una consola de administración local con sitios y zonas configurados, también hay mapas de dispositivos disponibles para cada zona.
En la consola de administración local, los mapas de zona muestran todos los elementos de red relacionados con una zona seleccionada, como los sensores de OT, los dispositivos detectados, etc.
Para ver un mapa de zona:
Inicie sesión en una consola de administración local y seleccione Administración de sitios>Ver mapa de zona en la zona que quiera ver. Por ejemplo:
Use cualquiera de las siguientes herramientas de mapa para cambiar la presentación del mapa:
Nombre Descripción Guardar organización actual
Guarda los cambios realizados en la presentación del mapa. Ocultar direcciones de multidifusión y difusión 
Esta opción está seleccionada de forma predeterminada. Seleccione esta opción para mostrar los dispositivos de multidifusión y difusión en el mapa. Presentar líneas de Purdue 
Esta opción está seleccionada de forma predeterminada. Seleccione esta opción para ocultar las líneas de Purdue en el mapa. Rediseñar
Seleccione esta opción para reorganizar el diseño por líneas de Purdue o por zona. Escalado para ajustar la pantalla
Aleja o acerca el mapa para que todo el mapa quepa en la pantalla. Búsqueda por IP o MAC Seleccione una dirección IP o MAC específica para resaltar el dispositivo en el mapa. Cambiar a otro mapa de zona 
Seleccione esta opción para abrir el cuadro de diálogo Cambiar mapa de zona, donde puede seleccionar otro mapa de zona para ver. Zoom
/
Acerque el mapa para ver las conexiones entre cada dispositivo, ya sea mediante el mouse o los botones +/- situados a la derecha del mapa. Acerque la imagen para ver más detalles por dispositivo, por ejemplo, el número de dispositivos agrupados en una subred o para expandir una subred.
Haga clic con el botón derecho en un dispositivo y seleccione Ver propiedades para abrir un cuadro de diálogo Propiedades del dispositivo, con más detalles sobre el dispositivo.
Haga clic con el botón derecho en un dispositivo de color rojo y seleccione Ver alertas para saltar a la página Alertas, con las alertas filtradas solo para el dispositivo seleccionado.
Grupos de mapas de dispositivos integrados
En la tabla siguiente se enumeran los grupos de dispositivos disponibles de forma predeterminada en la página Mapa de dispositivos del sensor de OT. Cree grupos personalizados adicionales según sea necesario para su organización.
| Nombre del grupo | Descripción |
|---|---|
| Attack vector simulations (Simulaciones de vector de ataque) | Dispositivos vulnerables detectados en los informes de vectores de ataque, donde la opción Mostrar en el mapa del dispositivo está activada. |
| Autorización | Dispositivos que se detectaron durante un período de aprendizaje inicial o que posteriormente se marcaron manualmente como dispositivos autorizados. |
| Cross subnet connections (Conexiones entre subredes) | Dispositivos que se comunican desde una subred a otra subred. |
| Device inventory filters (Filtros de inventario de dispositivos) | Cualquier dispositivo basado en un filtro creado en la página Inventario de dispositivos del sensor de OT. |
| Aplicaciones conocidas | Dispositivos que usan puertos reservados, como TCP. |
| Última actividad | Los dispositivos agrupados en función del período de tiempo durante el que estuvieron activos por última vez. Por ejemplo: una hora, seis horas, un día o siete días. |
| Puertos no estándar | Dispositivos que usan puertos no estándar u otros puertos a los que no se les ha asignado un alias. |
| Not In Active Directory (No está en Active Directory) | Todos los dispositivos que no sean de PLC y que no se comuniquen con la instancia de Active Directory. |
| Protocolos de OT | Dispositivos que controlan el tráfico de OT conocido. |
| Intervalos de sondeo | Dispositivos agrupados por intervalos de sondeo. Los intervalos de sondeo se generan automáticamente a partir de canales o períodos cíclicos. Por ejemplo, 15,0 segundos, 3,0 segundos, 1,5 segundos o cualquier otro intervalo. Revisar esta información le ayudará a saber si los sistemas se sondean con demasiada rapidez o lentitud. |
| Programar | Estaciones de ingeniería y máquinas programadas. |
| Subredes | Dispositivos que pertenecen a una subred específica. |
| VLAN | Dispositivos asociados a un identificador de VLAN concreto. |
Pasos siguientes
Para obtener más información, consulte Investigación de detecciones de sensores en el inventario de dispositivos.