Eszköztérképen lévő eszközök vizsgálata

  • Cikk

Az OT-eszköztérképek grafikusan ábrázolják az OT hálózati érzékelő által észlelt hálózati eszközöket és a köztük lévő kapcsolatokat.

Eszköztérkép használatával egyszerre vagy hálózati szegmensek, például meghatározott érdeklődési csoportok vagy Purdue-rétegek alapján is lekérheti, elemezheti és kezelheti az eszközinformációkat. Ha egy helyszíni felügyeleti konzollal air-apped környezetben dolgozik, egy zónatérkép használatával megtekintheti az eszközöket egy adott zónában lévő összes csatlakoztatott OT-érzékelőn.

Előfeltételek

A cikkben szereplő eljárások végrehajtásához győződjön meg arról, hogy rendelkezik az alábbi eljárásokkal:

  • Telepített, konfigurált és aktivált OT hálózati érzékelő, amely betölti a hálózati forgalmat

  • Hozzáférés az OT-érzékelőhöz vagy a helyszíni felügyeleti konzolhoz. A Megtekintő szerepkörrel rendelkező felhasználók megtekinthetik az adatokat a térképen. Adatok importálásához vagy exportálásához vagy a térképnézet szerkesztéséhez biztonsági elemzőként vagy Rendszergazda felhasználóként kell hozzáférnie. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.

Ha egy zónában több érzékelőn keresztül szeretné megtekinteni az eszközöket, szüksége lesz egy helyszíni felügyeleti konzol telepítésére, aktiválására és konfigurálására is, amelyhez több érzékelő is csatlakozik, és a helyekhez és zónákhoz van rendelve.

Eszközök megtekintése az OT-érzékelő eszköztérképén

  1. Jelentkezzen be az OT-érzékelőbe, és válassza az Eszköztérkép lehetőséget. Az OT-érzékelő által észlelt összes eszköz alapértelmezés szerint a Purdue-rétegnek megfelelően jelenik meg.

    Az OT-érzékelő eszköztérképén:

    • A jelenleg aktív riasztásokkal rendelkező eszközök pirossal vannak kiemelve
    • A csillagozott eszközök azok, amelyek fontosként lettek megjelölve
    • A riasztást nem tartalmazó eszközök fekete vagy szürke színnel jelennek meg a nagyított kapcsolatok nézetben

    Például:

    Screenshot of a default view of an OT sensor's device map.

  2. Nagyíthat, és kijelölhet egy adott eszközt a közötte és más eszközök közötti kapcsolatok kékkel kiemelt megtekintéséhez.

    Nagyításkor minden eszköz a következő adatokat jeleníti meg:

    • Ha szükséges, az eszköz állomásneve, IP-címe és alhálózati címe.
    • Az eszközön jelenleg aktív riasztások száma.
    • Az eszköz típusa, amelyet különböző ikonok jelölnek.
    • Adott esetben az informatikai hálózat alhálózatában csoportosított eszközök száma. Ez a szám fekete körben jelenik meg.
    • Függetlenül attól, hogy az eszköz újonnan van-e észlelve vagy jogosulatlan.

  3. Kattintson a jobb gombbal egy adott eszközre, és válassza a Tulajdonságok megtekintése lehetőséget az eszköz eszközadatok lapján a Térkép nézet lapjára való lehatoláshoz.

Az OT-érzékelő térképének módosítása

Az alábbi térképeszközök bármelyikével módosíthatja a megjelenített adatokat és azok megjelenítési módját:

Name Leírás
Térkép frissítése Válassza ki a térkép frissített adatokkal való frissítéséhez.
Notifications Válassza ki az eszközértesítések megtekintéséhez.
Keresés IP/MAC szerint Szűrje a térképet úgy, hogy csak egy adott IP- vagy MAC-címhez csatlakoztatott eszközöket jelenítsen meg.
Csoportos küldés/közvetítés Válassza ki a csoportos küldést és a szórást megjelenítő szűrő szerkesztését. Alapértelmezés szerint a csoportos küldés és a közvetítési forgalom rejtett.
Szűrő hozzáadása (utoljára látható) Válassza ki az adott időszakban megjelenő eszközök szűrését az elmúlt öt perctől az utolsó hét napig.
Szűrők alaphelyzetbe állítása Válassza ki az Utoljára látható szűrő alaphelyzetbe állításához.
Kiemelni Jelölje ki az eszközöket egy adott eszközcsoportban. A kiemelt eszközök kék színnel jelennek meg a térképen.

A Keresési csoportok mezőben keresse meg a kiemelni kívánt eszközcsoportokat, vagy bontsa ki a csoportbeállításokat, majd válassza ki a kiemelni kívánt csoportot.
Szűrő A térkép szűrésével csak az adott eszközcsoportban lévő eszközöket jelenítheti meg.

A Keresési csoportok mezővel keressen eszközcsoportokat, vagy bontsa ki a csoportbeállításokat, majd válassza ki a szűrni kívánt csoportot.
Zoom
/ 		A térkép nagyításával megtekintheti az egyes eszközök közötti kapcsolatokat az egérrel vagy a +/- térkép jobb oldalán található gombokkal.
Képernyőhöz igazítás
Kinagyítja a képernyő összes eszközének igazítását
Kijelöléshez igazítás
 A képernyő összes kijelölt eszközének méretének nagyítása
It/OT bemutató beállításai
A térkép alhálózatainak összecsukásának megakadályozásához válassza a Megjelenítési informatikai hálózatok csoportjainak letiltása lehetőséget. Ez a beállítás alapértelmezés szerint be van jelölve.
Elrendezési beállítások
Válasszon az alábbiak közül:
- Kitűzés elrendezése. Válassza ki az eszközhelyeket, ha a térképen új helyekre húzta őket.
- Elrendezés kapcsolat szerint. Válassza ki a kapcsolatuk szerint rendezett eszközök megtekintéséhez.
- Elrendezés Purdue szerint. Válassza ki a Purdue-rétegek által szervezett eszközök megtekintéséhez.

Az eszköz részleteinek megtekintéséhez jelöljön ki egy eszközt, és bontsa ki a jobb oldali eszközadatok panelt. Eszközadatok panelen:

  • Válassza a Tevékenységjelentés lehetőséget az eszköz adatbányászati jelentésére való ugráshoz
  • Az esemény ütemtervének kiválasztásával ugrás az eszköz eseménysorára
  • Az Eszköz részletei lehetőséget választva egy teljes eszközadatok lapra ugorhat.

Informatikai alhálózatok megtekintése egy OT-érzékelő eszköztérképéről

Alapértelmezés szerint az informatikai eszközöket az alhálózat automatikusan összesíti, így a térkép a helyi OT- és IoT-hálózatokra összpontosít.

Informatikai alhálózat kibontása:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza az Eszköztérkép lehetőséget.

  2. Keresse meg az alhálózatot a térképen. Előfordulhat, hogy nagyítania kell a térképet egy alhálózat ikonjának megtekintéséhez, amely úgy néz ki, mint egy doboz több gépe. Például:

    Screenshot of a subnet device on the device map.

  3. Kattintson a jobb gombbal az alhálózati eszközre a térképen, és bontsa ki a hálózatot.

  4. A térkép fölött megjelenő megerősítő üzenetben válassza az OK gombot.

Informatikai alhálózat összecsukása:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza az Eszköztérkép lehetőséget.
  2. Jelöljön ki egy vagy több kibontott alhálózatot, majd válassza az Összes összecsukása lehetőséget.

A csatlakoztatott eszközök közötti forgalom részleteinek megtekintése

A csatlakoztatott eszközök közötti forgalom részleteinek megtekintése:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza az Eszköztérkép lehetőséget.

  2. Két csatlakoztatott eszköz megkeresése a térképen. Előfordulhat, hogy egy monitornak tűnő eszközikon megtekintéséhez nagyítania kell a térképet.

  3. Kattintson a térkép két eszközét összekötő vonalra, majd bontsa ki a jobb oldalon található Csatlakozás ion Properties (Tulajdonságok) panelt. Például:

    Screenshot of connection properties on the device map.

  4. A Csatlakozás ion Properties panelen megtekintheti a két eszköz közötti forgalom részleteit, például:

    • Mennyi ideig észlelte először a kapcsolatot.
    • Az egyes eszközök IP-címe.
    • Az egyes eszközök állapota.
    • Az egyes eszközökre vonatkozó riasztások száma.
    • A teljes sávszélesség diagramja.
    • A legnagyobb forgalom portonkénti diagramja.

Egyéni eszközcsoport létrehozása

Az OT-érzékelő beépített eszközcsoportjai mellett szükség szerint hozzon létre új egyéni csoportokat, amelyekkel kiemelheti vagy szűrheti az eszközöket a térképen.

  1. Válassza a + Egyéni csoport létrehozása lehetőséget az eszköztáron, vagy kattintson a jobb gombbal egy eszközre a térképen, majd válassza a Hozzáadás egyéni csoporthoz lehetőséget.

  2. Az Egyéni csoport hozzáadása panelen:

    • A Név mezőbe írjon be egy jelentéssel bíró nevet a csoportnak, legfeljebb 30 karakterből.
    • A Másolás a csoportokból menüben válassza ki az eszközöket másolni kívánt csoportokat.
    • Az Eszközök menüben válassza ki a csoporthoz hozzáadni kívánt további eszközöket.

Eszközadatok importálása/exportálása

Az eszközadatok importálásához és exportálásához használja az alábbi lehetőségek egyikét:

  • Eszközök importálása. Válassza ki az előre konfigurált eszközök importálását. CSV-fájl.
  • Eszközök exportálása. Válassza ki az összes jelenleg megjelenített eszköz exportálását teljes részletességgel egy adott eszközre. CSV-fájl.
  • Eszközösszegzés exportálása. Válassza ki az összes jelenleg megjelenített eszköz magas szintű összegzésének exportálását egy . CSV-fájl.

Eszközök szerkesztése

  1. Jelentkezzen be egy OT-érzékelőbe, és válassza az Eszköztérkép lehetőséget.

  2. Kattintson a jobb gombbal egy eszközre az eszközbeállítások menüjének megnyitásához, majd válasszon az alábbi lehetőségek közül:

    Name Leírás
    Tulajdonságok szerkesztése Megnyitja a szerkesztési panelt, ahol szerkesztheti az eszköz tulajdonságait, például az engedélyezést, a nevet, a leírást, az operációsrendszer-platformot, az eszköz típusát, a Purdue-szintet, és ha ez egy szkenner vagy programozási eszköz.
    Tulajdonságok megtekintése Megnyitja az eszköz részletes lapját.
    Engedélyezés/jogosulatlan Módosítja az eszköz engedélyezési állapotát.
    Megjelölés fontosként/nem fontosként Megváltoztatja az eszköz fontossági állapotát, kiemelve az üzletileg kritikus kiszolgálókat a térképen csillaggal és máshol, beleértve az OT-érzékelő jelentéseit és az Azure-eszközleltárat.
    Riasztások / megjelenítése események megjelenítése Megnyitja a Riasztások vagy az Esemény ütemterve lapot az eszköz részletes lapján.
    Tevékenységjelentés Létrehoz egy tevékenységjelentést az eszközhöz a kiválasztott időbélyeghez.
    Támadási vektorok szimulálása Támadási vektorszimulációt hoz létre a kiválasztott eszközhöz.
    Hozzáadás egyéni csoporthoz Új egyéni csoportot hoz létre a kijelölt eszközzel.
    Törlés Törli az eszközt a leltárból.

Eszközök egyesítése

Érdemes lehet egyesíteni az eszközöket, ha az OT-érzékelő több, egyedi eszközhöz társított hálózati entitást észlelt, például egy négy hálózati kártyával rendelkező PLC-t, vagy egy wi-fi és egy fizikai hálózati kártyával rendelkező laptopot.

Csak engedélyezett eszközöket egyesíthet.

Fontos

Az eszközegyesítés nem vonható vissza. Ha véletlenül egyesít két eszközt, törölje az eszközöket, majd várja meg, amíg az érzékelő újra felfedezi mindkettőt.

Több eszköz egyesítése:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza az Eszköztérkép lehetőséget.

  2. Jelölje ki az egyesíteni kívánt engedélyezett eszközöket a SHIFT billentyűvel több eszköz kijelöléséhez, majd kattintson a jobb gombbal, és válassza az Egyesítés parancsot.

  3. Az üzenetben válassza a Megerősítés elemet az eszközök egyesítése megerősítéséhez.

Az eszközök egyesülnek, és megjelenik egy megerősítést kérő üzenet a jobb felső sarokban. Az egyesítési események az OT-érzékelő eseménysorában jelennek meg.

Eszközértesítések kezelése

A riasztásokkal ellentétben, amelyek a forgalom olyan változásairól adnak tájékoztatást, amelyek veszélyt jelenthetnek a hálózatra, az OT-érzékelő eszköztérképén található eszközértesítések olyan hálózati tevékenység részleteit adják meg, amelyek figyelmet igényelhetnek, de nem jelentenek fenyegetést.

Előfordulhat például, hogy értesítést kap egy inaktív eszközről, amelyet újra kell csatlakoztatni, vagy el kell távolítani, ha az már nem része a hálózatnak.

Eszközértesítések megtekintése és kezelése:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza az Eszköztérkép>értesítései lehetőséget.

  2. A jobb oldali Felderítési értesítések panelen szűrje az időtartomány, az eszköz, az alhálózat vagy az operációs rendszerek által szükséges értesítéseket.

    Például:

    Screenshot of device notifications on an OT sensor's Device map page.

  3. Előfordulhat, hogy minden értesítés különböző megoldási lehetőségekkel rendelkezik. Tegye a következők egyikét:

    • Egyszerre csak egy értesítést kezelhet, kiválaszthat egy adott kockázatcsökkentési műveletet, vagy az Elvetés lehetőséget választva tevékenység nélkül bezárhatja az értesítést.
    • Az Összes kijelölése lehetőséget választva megjelenítheti, hogy mely értesítések kezelhetők együtt. Törölje a kijelölt értesítések kijelölését, majd válassza az Összes elfogadása vagy Az összes elvetése lehetőséget a fennmaradó értesítések együttes kezeléséhez.

Megjegyzés:

A kiválasztott értesítések automatikusan feloldódnak, ha 14 napon belül nem utasítják el őket, vagy más módon nem kezelik őket. További információkért tekintse meg az alábbi táblázat Automatikus feloldás oszlopában szereplő műveletet.

Több értesítés együttes kezelése

Előfordulhatnak olyan helyzetek, amikor több értesítést szeretne egyszerre kezelni, például:

  • Az informatikai rendszer több hálózati kiszolgálón is frissítette az operációs rendszert, és meg szeretné ismerni az összes új kiszolgálóverziót.

  • Az eszközök egy csoportja már nem aktív, és arra szeretné utasítani az OT-érzékelőt, hogy távolítsa el az eszközöket az OT-érzékelőből.

Ha több értesítést kezel együtt, előfordulhat, hogy továbbra is vannak olyan értesítések, amelyeket manuálisan kell kezelni, például új IP-címek esetén vagy alhálózatok észlelése nélkül.

Eszközértesítési válaszok

Az alábbi táblázat az egyes értesítésekhez elérhető válaszokat sorolja fel, és az egyes értesítések használatát javasoljuk:

Type Description Elérhető válaszok Automatikus feloldás
Új IP-cím észlelhető Az eszközhöz új IP-cím van társítva. Ez a következő esetekben fordulhat elő:

- Új vagy további IP-cím lett társítva egy már észlelt eszközhöz, egy meglévő MAC-címmel.

- A rendszer új IP-címet észlelt egy NetBIOS-nevet használó eszközhöz.

- A rendszer ip-címet észlelt egy MAC-címhez társított eszköz felügyeleti felületeként.

– A rendszer új IP-címet észlelt egy virtuális IP-címet használó eszközhöz.		 - További IP-cím beállítása eszközre: Az eszközök egyesítése
- Meglévő IP-cím cseréje: Minden meglévő IP-cím lecserélése az új címre
- Elutasítás: Távolítsa el az értesítést.		 Elvetés
Nincsenek konfigurálva alhálózatok Jelenleg nincsenek alhálózatok konfigurálva a hálózaton.

Javasoljuk, hogy konfigurálja az alhálózatokat a térképen található OT és informatikai eszközök megkülönböztetésére.		 - Nyissa meg az Alhálózat konfigurációját , és konfigurálja az alhálózatokat.
- Elutasítás: Távolítsa el az értesítést.		 Elvetés
Operációs rendszer változásai Egy vagy több új operációs rendszer lett társítva az eszközzel. – Válassza ki az eszközhöz társítani kívánt új operációs rendszer nevét.
- Elutasítás: Távolítsa el az értesítést.		 Csak akkor állítsa be az új operációs rendszert, ha még nincs manuálisan konfigurálva.

Ha az operációs rendszer már konfigurálva van: Elutasítás.
Új alhálózatok Új alhálózatok lettek felderítve. - Tudnivalók: Az alhálózat automatikus hozzáadása.
- Alhálózat konfigurációjának megnyitása: Adja hozzá az összes hiányzó alhálózati információt.
- Elvetés:
Távolítsa el az értesítést.		 Elvetés

Eszköztérkép megtekintése egy adott zónához

Ha egy helyszíni felügyeleti konzollal dolgozik, amelyen a helyek és zónák vannak konfigurálva, az eszköztérképek minden zónához elérhetők.

A helyszíni felügyeleti konzolon a zónatérképek a kijelölt zónához kapcsolódó összes hálózati elemet megjelenítik, beleértve az OT-érzékelőket, az észlelt eszközöket és egyebeket.

Zónatérkép megtekintése:

  1. Jelentkezzen be egy helyszíni felügyeleti konzolra, és válassza a megtekinteni kívánt zóna Helykezelési>nézetének zónatérképét. Például:

    Screenshot of default region to default business unit.

  2. A térképmegjelenítés módosításához használja az alábbi térképeszközök bármelyikét:

    Name Leírás
    Az aktuális elrendezés mentése

    		Menti a térképmegjelenítésben végrehajtott módosításokat.
    Csoportos küldési/szórási címek elrejtése

    		 Alapértelmezés szerint ki van választva. Válassza ki a csoportos küldésű és a közvetített eszközök megjelenítését a térképen.
    Purdue-sorok bemutatása

    		Alapértelmezés szerint ki van választva. Jelölje be a Purdue-vonalak elrejtéséhez a térképen.
    Relayout

    		Ha bejelöli, az elrendezést purdue vonalak vagy zóna szerint rendezheti át.
    Méretezés a képernyő igazításához

    		Nagyítás vagy kicsinyítés a térképen, hogy a teljes térkép elférjen a képernyőn.
    Keresés IP/MAC szerint Válasszon ki egy adott IP-címet vagy MAC-címet az eszköz térképen való kiemeléséhez.
    Váltás másik zónatérképre

    		Válassza ki a Zónatérkép módosítása párbeszédpanelt, ahol kiválaszthatja a megtekinteni kívánt másik zónatérképet.
    Zoom

    /     		A térkép nagyításával megtekintheti az egyes eszközök közötti kapcsolatokat az egérrel vagy a +/- térkép jobb oldalán található gombokkal.

  3. Nagyíthat az eszközönkénti további részletek megtekintéséhez, például az alhálózatba csoportosított eszközök számának megtekintéséhez vagy egy alhálózat kibontásához.

  4. Kattintson a jobb gombbal egy eszközre, és válassza a Tulajdonságok megtekintése parancsot az Eszköz tulajdonságai párbeszédpanel megnyitásához, amely további részleteket tartalmaz az eszközről.

  5. Kattintson a jobb gombbal egy pirossal megjelenő eszközre, és válassza a Riasztások megtekintése lehetőséget a Riasztások lapra való ugráshoz, és csak a kijelölt eszközre szűrt riasztásokat.

Beépített eszköztérkép-csoportok

Az alábbi táblázat az OT-érzékelő eszköztérkép oldalán elérhető eszközcsoportokat sorolja fel. Szükség szerint hozzon létre további egyéni csoportokat a szervezet számára.

Csoport neve Leírás
Támadási vektorszimulációk A támadásvektor-jelentésekben észlelt sebezhető eszközök, ahol a Megjelenítés eszköztérképen lehetőség be van kapcsolva.
Authorization Azokat az eszközöket, amelyeket egy kezdeti tanulási időszak során fedeztek fel, vagy amelyeket később manuálisan megjelöltek engedélyezett eszközként.
Alhálózatok közötti kapcsolatok Az egyik alhálózatról egy másik alhálózatra kommunikáló eszközök.
Eszközleltár-szűrők Minden olyan eszköz, amely az OT-érzékelő Eszközleltár lapján létrehozott szűrőn alapul.
Ismert alkalmazások Fenntartott portokat, például TCP-t használó eszközök.
Utolsó tevékenység Az utolsó aktív időkeret szerint csoportosított eszközök, például: Egy óra, hat óra, egy nap vagy hét nap.
Nem szabványos portok Nem szabványos portokat vagy portokat használó eszközök, amelyekhez nem rendeltek aliast.
Nincs az Active Directoryban Minden olyan nem PLC-eszköz, amely nem kommunikál az Active Directoryval.
OT-protokollok Ismert OT-forgalmat kezelő eszközök.
Lekérdezési időközök Lekérdezési időközök szerint csoportosított eszközök. A lekérdezési időközök automatikusan jönnek létre a ciklikus csatornák vagy időszakok szerint. Például 15,0 másodperc, 3,0 másodperc, 1,5 másodperc vagy bármely más időköz. Ezen információk áttekintésével megtudhatja, hogy a rendszerek túl gyorsan vagy lassan kérdeznek-e le.
Programozás Mérnöki állomások és programozási gépek.
Subnets Adott alhálózathoz tartozó eszközök.
VLAN Adott VLAN-azonosítóhoz társított eszközök.

További lépések

További információ: Érzékelőészlelések vizsgálata az eszközleltárban.