Apparaten onderzoeken op een apparaatoverzicht
OT-apparaattoewijzingen bieden een grafische weergave van de netwerkapparaten die zijn gedetecteerd door de OT-netwerksensor en de verbindingen ertussen.
Gebruik een apparaattoewijzing om apparaatgegevens op te halen, te analyseren en te beheren, allemaal tegelijk of per netwerksegment, zoals specifieke belangengroepen of Purdue-lagen. Als u in een omgeving met lucht-gapped werkt met een on-premises beheerconsole, gebruikt u een zoneoverzicht om apparaten weer te geven voor alle verbonden OT-sensoren in een specifieke zone.
Vereisten
Als u de procedures in dit artikel wilt uitvoeren, moet u het volgende doen:
Een OT-netwerksensor geïnstalleerd, geconfigureerd en geactiveerd, waarbij netwerkverkeer is opgenomen
Toegang tot uw OT-sensor of on-premises beheerconsole. Gebruikers met de rol Viewer kunnen gegevens op de kaart bekijken. Als u gegevens wilt importeren of exporteren of de kaartweergave wilt bewerken, hebt u toegang nodig als beveiligingsanalist of Beheer gebruiker. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.
Als u apparaten in meerdere sensoren in een zone wilt weergeven, hebt u ook een on-premises beheerconsole nodig die is geïnstalleerd, geactiveerd en geconfigureerd, waarbij meerdere sensoren zijn verbonden en toegewezen aan sites en zones.
Apparaten weergeven op de kaart van OT-sensorapparaten
Meld u aan bij uw OT-sensor en selecteer Apparaattoewijzing. Alle apparaten die door de OT-sensor worden gedetecteerd, worden standaard weergegeven volgens de Purdue-laag.
Op de apparaatkaart van de OT-sensor:
- Apparaten met momenteel actieve waarschuwingen zijn rood gemarkeerd
- Starred-apparaten zijn apparaten die als belangrijk zijn gemarkeerd
- Apparaten zonder waarschuwingen worden zwart of grijs weergegeven in de weergave voor inzoomverbindingen
Voorbeeld:
Zoom in en selecteer een specifiek apparaat om de verbindingen tussen het apparaat en andere apparaten weer te geven, blauw gemarkeerd.
Wanneer u inzoomt, toont elk apparaat de volgende details:
- De hostnaam, het IP-adres en het subnetadres van het apparaat, indien relevant.
- Het aantal momenteel actieve waarschuwingen op het apparaat.
- Het apparaattype, vertegenwoordigd door een aantal pictogrammen.
- Het aantal apparaten dat is gegroepeerd in een subnet in een IT-netwerk, indien relevant. Dit aantal apparaten wordt weergegeven in een zwarte cirkel.
- Of het apparaat nieuw is gedetecteerd of niet geautoriseerd.
Klik met de rechtermuisknop op een specifiek apparaat en selecteer Eigenschappen weergeven om verder in te zoomen op het tabblad Kaartweergave op de pagina met apparaatdetails.
De weergave van de OT-sensorkaart wijzigen
Gebruik een van de volgende kaarthulpprogramma's om de weergegeven gegevens te wijzigen en hoe deze worden weergegeven:
Name | Beschrijving |
---|---|
Kaart vernieuwen | Selecteer deze optie om de kaart te vernieuwen met bijgewerkte gegevens. |
Meldingen | Selecteer deze optie om apparaatmeldingen weer te geven. |
Zoeken op IP/MAC | Filter de kaart om alleen apparaten weer te geven die zijn verbonden met een specifiek IP- of MAC-adres. |
Multicast/broadcast | Selecteer deze optie om het filter te bewerken dat multicast- en broadcastapparaten weergeeft of verbergt. Multicast- en broadcast-verkeer is standaard verborgen. |
Filter toevoegen (laatst gezien) | Selecteer deze optie om apparaten te filteren die worden weergegeven in een specifieke periode, van de afgelopen vijf minuten tot de afgelopen zeven dagen. |
Filters opnieuw instellen | Selecteer deze optie om het filter Laatst gezien opnieuw in te stellen. |
Markeren | Selecteer deze optie om de apparaten in een specifieke apparaatgroep te markeren. Gemarkeerde apparaten worden blauw weergegeven op de kaart. Gebruik het vak Zoekgroepen om te zoeken naar apparaatgroepen om de groepsopties te markeren of uit te vouwen en selecteer vervolgens de groep die u wilt markeren. |
Filteren | Selecteer deze optie om de kaart te filteren om alleen de apparaten in een specifieke apparaatgroep weer te geven. Gebruik het vak Groepen zoeken om te zoeken naar apparaatgroepen of vouw de groepsopties uit en selecteer vervolgens de groep waarop u wilt filteren. |
Zoom / |
Zoom in op de kaart om de verbindingen tussen elk apparaat weer te geven, met behulp van de muis of de +/- knoppen aan de rechterkant van de kaart. |
Aanpassen aan scherm |
Zoomt uit zodat alle apparaten op het scherm passen |
Aanpassen aan selectie |
Zoomt voldoende uit om alle geselecteerde apparaten op het scherm aan te passen |
IT-/OT-presentatieopties |
Selecteer Weergave-IT-netwerken uitschakelen om te voorkomen dat subnetten in de kaart kunnen worden samengevouwen. Deze optie is standaard ingeschakeld. |
Indelingsopties |
Selecteer een van de volgende opties: - Indeling vastmaken. Selecteer deze optie om apparaatlocaties op te slaan als u ze naar nieuwe locaties op de kaart hebt gesleept. - Indeling per verbinding. Selecteer deze optie om apparaten te bekijken die zijn geordend op basis van hun verbindingen. - Indeling door Purdue. Selecteer deze optie om apparaten te bekijken die zijn georganiseerd op basis van hun Purdue-lagen. |
Als u apparaatdetails wilt zien, selecteert u een apparaat en vouwt u het detailvenster van het apparaat aan de rechterkant uit. In een deelvenster met apparaatdetails:
- Activiteitenrapport selecteren om naar het rapport voor gegevensanalyse van het apparaat te gaan
- Selecteer Tijdlijn voor gebeurtenissen om naar de tijdlijn van de gebeurtenis van het apparaat te gaan
- Selecteer Apparaatdetails om naar een volledige pagina met apparaatdetails te gaan.
IT-subnetten van een OT-sensorapparaattoewijzing weergeven
IT-apparaten worden standaard automatisch samengevoegd per subnet, zodat de kaart zich richt op uw lokale OT- en IoT-netwerken.
Een IT-subnet uitvouwen:
Meld u aan bij uw OT-sensor en selecteer Apparaattoewijzing.
Zoek uw subnet op de kaart. Mogelijk moet u inzoomen op de kaart om een subnetpictogram weer te geven, dat lijkt op verschillende computers in een vak. Voorbeeld:
Klik met de rechtermuisknop op het subnetapparaat op de kaart en vouw netwerk uit.
Selecteer OK in het bevestigingsbericht dat boven de kaart wordt weergegeven.
Een IT-subnet samenvouwen:
- Meld u aan bij uw OT-sensor en selecteer Apparaattoewijzing.
- Selecteer een of meer uitgevouwen subnetten en selecteer vervolgens Alles samenvouwen.
Verkeersdetails tussen verbonden apparaten weergeven
Verkeersdetails tussen verbonden apparaten weergeven:
Meld u aan bij uw OT-sensor en selecteer Apparaattoewijzing.
Zoek twee verbonden apparaten op de kaart. Mogelijk moet u inzoomen op de kaart om een apparaatpictogram weer te geven, dat eruitziet als een monitor.
Klik op de lijn die twee apparaten op de kaart verbindt en vouw vervolgens het deelvenster Verbinding maken ionEigenschappen aan de rechterkant uit. Voorbeeld:
In het deelvenster Verbinding maken ionEigenschappen kunt u verkeersdetails tussen de twee apparaten bekijken, zoals:
- Hoe lang geleden is de verbinding voor het eerst gedetecteerd.
- Het IP-adres van elk apparaat.
- De status van elk apparaat.
- Het aantal waarschuwingen voor elk apparaat.
- Een grafiek voor de totale bandbreedte.
- Een grafiek voor topverkeer per poort.
Een aangepaste apparaatgroep maken
Naast de ingebouwde apparaatgroepen van OT-sensor, maakt u zo nodig nieuwe aangepaste groepen die u moet gebruiken bij het markeren of filteren van apparaten op de kaart.
Selecteer + Aangepaste groep maken op de werkbalk of klik met de rechtermuisknop op een apparaat in de kaart en selecteer vervolgens Toevoegen aan aangepaste groep.
In het deelvenster Aangepaste groep toevoegen:
- Voer in het veld Naam een betekenisvolle naam in voor uw groep, met maximaal 30 tekens.
- Selecteer in het menu Kopiëren uit groepen alle groepen waaruit u apparaten wilt kopiëren.
- Selecteer in het menu Apparaten alle extra apparaten die u aan uw groep wilt toevoegen.
Apparaatgegevens importeren/exporteren
Gebruik een van de volgende opties om apparaatgegevens te importeren en te exporteren:
- Apparaten importeren. Selecteer deze optie om apparaten te importeren uit een vooraf geconfigureerde. CSV-bestand.
- Apparaten exporteren. Selecteer deze optie om alle momenteel weergegeven apparaten, met volledige details, te exporteren naar een . CSV-bestand.
- Apparaatsamenvatting exporteren. Selecteer deze optie om een overzicht op hoog niveau te exporteren van alle apparaten die momenteel worden weergegeven naar een . CSV-bestand.
Apparaten bewerken
Meld u aan bij een OT-sensor en selecteer Apparaattoewijzing.
Klik met de rechtermuisknop op een apparaat om het menu apparaatopties te openen en selecteer een van de volgende opties:
Name Beschrijving Eigenschappen bewerken Hiermee opent u het bewerkingsvenster waarin u apparaateigenschappen kunt bewerken, zoals autorisatie, naam, beschrijving, besturingssysteemplatform, apparaattype, Purdue-niveau en of het een scanner of programmeerapparaat is. Eigenschappen weergeven Hiermee opent u de detailpagina van het apparaat. Autoriseren/niet geautoriseerd Hiermee wordt de autorisatiestatus van het apparaat gewijzigd. Markeren als belangrijk/niet-belangrijk Wijzigt de urgentiestatus van het apparaat, waarbij bedrijfskritieke servers op de kaart worden gemarkeerd met een ster en elders, waaronder OT-sensorrapporten en de inventaris van Azure-apparaten. Waarschuwingen / weergeven Gebeurtenissen weergeven Hiermee opent u het tabblad Waarschuwingen of gebeurtenistijdlijn op de detailpagina van het apparaat. Activiteitenrapport Genereert een activiteitenrapport voor het apparaat voor de geselecteerde periode. Aanvalsvectoren simuleren Hiermee genereert u een aanvalsvectorsimulatie voor het geselecteerde apparaat. Toevoegen aan aangepaste groep Hiermee maakt u een nieuwe aangepaste groep met het geselecteerde apparaat. Delete Hiermee verwijdert u het apparaat uit de inventaris.
Apparaten samenvoegen
U kunt apparaten samenvoegen als de OT-sensor meerdere netwerkentiteiten heeft gedetecteerd die zijn gekoppeld aan een uniek apparaat, zoals een PLC met vier netwerkkaarten of één laptop met zowel WiFi als een fysieke netwerkkaart.
U kunt alleen geautoriseerde apparaten samenvoegen.
Belangrijk
U kunt een apparaatsamenvoeging niet ongedaan maken. Als u per ongeluk twee apparaten hebt samengevoegd, verwijdert u de apparaten en wacht u totdat de sensor beide opnieuw heeft ontdekt.
Meerdere apparaten samenvoegen:
Meld u aan bij uw OT-sensor en selecteer Apparaattoewijzing.
Selecteer de geautoriseerde apparaten die u wilt samenvoegen met de Shift-toets om meer dan één apparaat te selecteren. Klik vervolgens met de rechtermuisknop en selecteer Samenvoegen.
Selecteer Bevestigen bij de prompt om te bevestigen dat u de apparaten wilt samenvoegen.
De apparaten worden samengevoegd en er wordt rechtsboven een bevestigingsbericht weergegeven. Samenvoegingsevenementen worden vermeld in de gebeurtenistijdlijn van de OT-sensor.
Apparaatmeldingen beheren
In tegenstelling tot waarschuwingen, die details geven over wijzigingen in uw verkeer die mogelijk een bedreiging voor uw netwerk vormen, bieden apparaatmeldingen op een OT-sensorapparaatkaart details over netwerkactiviteiten die mogelijk uw aandacht vereisen, maar geen bedreigingen zijn.
U ontvangt bijvoorbeeld een melding over een inactief apparaat dat opnieuw moet worden verbonden of verwijderd als het geen deel meer uitmaakt van het netwerk.
Apparaatmeldingen weergeven en afhandelen:
Meld u aan bij de OT-sensor en selecteer Meldingen voor apparaattoewijzing>.
Filter in het deelvenster Detectiemeldingen aan de rechterkant meldingen op tijdsbereik, apparaat, subnet of besturingssystemen.
Voorbeeld:
Elke melding kan verschillende risicobeperkingsopties hebben. Voer een van de volgende stappen uit:
- Eén melding tegelijk verwerken, een specifieke beperkingsactie selecteren of Sluiten selecteren om de melding te sluiten zonder activiteit.
- Selecteer Alles selecteren om weer te geven welke meldingen samen kunnen worden verwerkt. Schakel selecties voor specifieke meldingen uit en selecteer Alles accepteren of Alles negeren om alle resterende geselecteerde meldingen samen te verwerken.
Notitie
Geselecteerde meldingen worden automatisch opgelost als ze niet binnen 14 dagen worden gesloten of anderszins worden verwerkt. Zie de actie die wordt aangegeven in de kolom Automatisch oplossen in de onderstaande tabel voor meer informatie.
Meerdere meldingen tegelijk verwerken
Mogelijk hebt u situaties waarin u meerdere meldingen samen wilt afhandelen, zoals:
IT heeft het besturingssysteem bijgewerkt op meerdere netwerkservers en u wilt alle nieuwe serverversies leren.
Een groep apparaten is niet meer actief en u wilt de OT-sensor instrueren om de apparaten van de OT-sensor te verwijderen.
Wanneer u meerdere meldingen tegelijk verwerkt, hebt u mogelijk nog steeds resterende meldingen die handmatig moeten worden verwerkt, zoals voor nieuwe IP-adressen of geen subnetten gedetecteerd.
Antwoorden op apparaatmeldingen
De volgende tabel bevat beschikbare antwoorden voor elke melding en wanneer we het gebruik van elke melding aanbevelen:
Type | Description | Beschikbare antwoorden | Automatisch oplossen |
---|---|---|---|
Nieuw IP-adres gedetecteerd | Er is een nieuw IP-adres gekoppeld aan het apparaat. Dit kan gebeuren in de volgende scenario's: - Er is al een nieuw of aanvullend IP-adres gekoppeld aan een apparaat dat al is gedetecteerd, met een bestaand MAC-adres. - Er is een nieuw IP-adres gedetecteerd voor een apparaat dat een NetBIOS-naam gebruikt. - Er is een IP-adres gedetecteerd als de beheerinterface voor een apparaat dat is gekoppeld aan een MAC-adres. - Er is een nieuw IP-adres gedetecteerd voor een apparaat dat gebruikmaakt van een virtueel IP-adres. |
- Extra IP instellen op apparaat: de apparaten samenvoegen - Bestaand IP-adres vervangen: vervangt elk bestaand IP-adres door het nieuwe adres - Sluiten: verwijder de melding. |
Negeren |
Er zijn geen subnetten geconfigureerd | Er zijn momenteel geen subnetten geconfigureerd in uw netwerk. U wordt aangeraden subnetten te configureren voor de mogelijkheid om onderscheid te maken tussen OT- en IT-apparaten op de kaart. |
- Open Subnetconfiguratie en configureer subnetten. - Sluiten: verwijder de melding. |
Negeren |
Wijzigingen in het besturingssysteem | Een of meer nieuwe besturingssystemen zijn gekoppeld aan het apparaat. | - Selecteer de naam van het nieuwe besturingssysteem dat u aan het apparaat wilt koppelen. - Sluiten: verwijder de melding. |
Alleen instellen met een nieuw besturingssysteem als dit nog niet handmatig is geconfigureerd. Als het besturingssysteem al is geconfigureerd: Sluiten. |
Nieuwe subnetten | Er zijn nieuwe subnetten gedetecteerd. | - Meer informatie: Het subnet automatisch toevoegen. - Open Subnetconfiguratie: voeg alle ontbrekende subnetgegevens toe. - Sluiten: Verwijder de melding. |
Negeren |
Een apparaatoverzicht voor een specifieke zone weergeven
Als u met een on-premises beheerconsole werkt met sites en zones die zijn geconfigureerd, zijn apparaattoewijzingen ook beschikbaar voor elke zone.
In de on-premises beheerconsole worden in zonetoewijzingen alle netwerkelementen weergegeven die betrekking hebben op een geselecteerde zone, waaronder OT-sensoren, gedetecteerde apparaten en meer.
Ga als volgende te werk om een zoneoverzicht weer te geven:
Meld u aan bij een on-premises beheerconsole en selecteer Zoneoverzicht voor sitebeheerweergave>voor de zone die u wilt weergeven. Voorbeeld:
Gebruik een van de volgende kaarthulpprogramma's om de kaartweergave te wijzigen:
Name Beschrijving Huidige rangschikking opslaan
Hiermee worden alle wijzigingen opgeslagen die u in de kaartweergave hebt aangebracht. Multicast-/broadcastadressen verbergen
Deze optie is standaard ingeschakeld. Selecteer deze optie om multicast- en broadcastapparaten op de kaart weer te geven. Purdue-lijnen presenteren
Deze optie is standaard ingeschakeld. Selecteer deze optie om Purdue-lijnen op de kaart te verbergen. Relay-out
Selecteer deze optie om de indeling opnieuw in te richten op Purdue-lijnen of op zone. Aanpassen aan scherm aanpassen
Zoomt in of uit op de kaart zodat de hele kaart op het scherm past. Zoeken op IP/MAC Selecteer een specifiek IP- of MAC-adres om het apparaat op de kaart te markeren. Wijzigen in een andere zonekaart
Selecteer deze optie om het dialoogvenster Zonetoewijzing wijzigen te openen, waar u een andere zonekaart kunt selecteren om weer te geven. Zoom
/Zoom in op de kaart om de verbindingen tussen elk apparaat weer te geven, met behulp van de muis of de +/- knoppen aan de rechterkant van de kaart. Zoom in om meer details per apparaat weer te geven, bijvoorbeeld om het aantal apparaten weer te geven dat is gegroepeerd in een subnet of om een subnet uit te vouwen.
Klik met de rechtermuisknop op een apparaat en selecteer Eigenschappen weergeven om een dialoogvenster Apparaateigenschappen te openen, met meer informatie over het apparaat.
Klik met de rechtermuisknop op een apparaat dat rood wordt weergegeven en selecteer Waarschuwingen weergeven om naar de pagina Waarschuwingen te gaan, waarbij waarschuwingen alleen voor het geselecteerde apparaat zijn gefilterd.
Ingebouwde apparaattoewijzingsgroepen
De volgende tabel bevat de apparaatgroepen die standaard beschikbaar zijn op de kaartpagina van het OT-sensorapparaat. Maak zo nodig extra, aangepaste groepen voor uw organisatie.
Groepsnaam | Beschrijving |
---|---|
Aanvalsvectorsimulaties | Kwetsbare apparaten die zijn gedetecteerd in aanvalsvectorrapporten, waarbij de optie Weergeven in apparaattoewijzing is ingeschakeld. |
Autorisatie | Apparaten die zijn gedetecteerd tijdens een eerste leerperiode of later handmatig zijn gemarkeerd als geautoriseerde apparaten. |
Verbindingen tussen subnetten | Apparaten die van het ene subnet naar een ander subnet communiceren. |
Apparaatinventarisfilters | Apparaten die zijn gebaseerd op een filter dat is gemaakt op de pagina Apparaatinventaris van de OT-sensor. |
Bekende toepassingen | Apparaten die gebruikmaken van gereserveerde poorten, zoals TCP. |
Laatste activiteit | Apparaten gegroepeerd op het tijdsbestek dat ze voor het laatst actief waren, bijvoorbeeld: Een uur, zes uur, één dag of zeven dagen. |
Niet-standaardpoorten | Apparaten die gebruikmaken van niet-standaardpoorten of poorten waaraan geen alias is toegewezen. |
Niet in Active Directory | Alle niet-PLC-apparaten die niet communiceren met Active Directory. |
OT-protocollen | Apparaten die bekend OT-verkeer verwerken. |
Polling-intervallen | Apparaten gegroepeerd op polling-intervallen. De polling-intervallen worden automatisch gegenereerd op basis van cyclische kanalen of perioden. Bijvoorbeeld 15,0 seconden, 3,0 seconden, 1,5 seconden of een ander interval. Als u deze informatie bekijkt, leert u of systemen te snel of langzaam peilen. |
Programmering | Technische stations en programmeermachines. |
Subnetten | Apparaten die deel uitmaken van een specifiek subnet. |
VLAN | Apparaten die zijn gekoppeld aan een specifieke VLAN-id. |
Volgende stappen
Zie Sensordetecties onderzoeken in een apparaatinventaris voor meer informatie.