Badanie urządzeń na mapie urządzenia
Mapy urządzeń OT zapewniają graficzną reprezentację urządzeń sieciowych wykrytych przez czujnik sieciowy OT i połączenia między nimi.
Mapa urządzenia umożliwia pobieranie, analizowanie i zarządzanie informacjami o urządzeniu — wszystkie jednocześnie lub według segmentu sieci, takie jak określone grupy zainteresowań lub warstwy purdue. Jeśli pracujesz w środowisku rozgniewanym powietrzem z lokalną konsolą zarządzania, użyj mapy strefy, aby wyświetlić urządzenia we wszystkich połączonych czujnikach OT w określonej strefie.
Wymagania wstępne
Aby wykonać procedury opisane w tym artykule, upewnij się, że masz następujące elementy:
Czujnik sieci OT zainstalowany, skonfigurowany i aktywowany z pozyskanym ruchem sieciowym
Dostęp do czujnika OT lub lokalnej konsoli zarządzania. Użytkownicy z rolą Osoba przeglądająca mogą wyświetlać dane na mapie. Aby zaimportować lub wyeksportować dane albo edytować widok mapy, musisz mieć dostęp jako analityk zabezpieczeń lub użytkownik Administracja. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.
Aby wyświetlić urządzenia w wielu czujnikach w strefie, potrzebna będzie również lokalna konsola zarządzania zainstalowana, aktywowana i skonfigurowana z wieloma czujnikami połączonymi i przypisanymi do lokacji i stref.
Wyświetlanie urządzeń na mapie urządzenia czujnika OT
Zaloguj się do czujnika OT i wybierz pozycję Mapa urządzenia. Wszystkie urządzenia wykryte przez czujnik OT są domyślnie wyświetlane zgodnie z warstwą Purdue.
Na mapie urządzenia czujnika OT:
- Urządzenia z aktualnie aktywnymi alertami są wyróżnione na czerwono
- Urządzenia z gwiazdami to te, które zostały oznaczone jako ważne
- Urządzenia bez alertów są wyświetlane w kolorze czarnym lub szarym w widoku powiększenia połączeń
Na przykład:
Powiększ i wybierz określone urządzenie, aby wyświetlić połączenia między nim i innymi urządzeniami wyróżnione kolorem niebieskim.
Po powiększeniu każde urządzenie wyświetla następujące szczegóły:
- Nazwa hosta, adres IP i adres podsieci urządzenia, jeśli ma to zastosowanie.
- Liczba aktualnie aktywnych alertów na urządzeniu.
- Typ urządzenia reprezentowany przez różne ikony.
- Liczba urządzeń pogrupowanych w podsieci w sieci IT, jeśli ma to zastosowanie. Ta liczba urządzeń jest wyświetlana w czarnym okręgu.
- Czy urządzenie jest nowo wykryte, czy nieautoryzowane.
Kliknij prawym przyciskiem myszy określone urządzenie i wybierz pozycję Wyświetl właściwości, aby przejść do szczegółów na karcie Widok mapy na stronie szczegółów urządzenia.
Modyfikowanie ekranu mapy czujnika OT
Użyj dowolnego z następujących narzędzi mapy, aby zmodyfikować wyświetlane dane i sposób ich wyświetlania:
| Nazwa/nazwisko | opis |
|---|---|
| Odśwież mapę | Wybierz, aby odświeżyć mapę ze zaktualizowanymi danymi. |
| Powiadomienia | Wybierz, aby wyświetlić powiadomienia dotyczące urządzeń. |
| Wyszukiwanie według adresu IP/MAC | Przefiltruj mapę, aby wyświetlić tylko urządzenia połączone z określonym adresem IP lub adresem MAC. |
| Multiemisji/emisji | Wybierz, aby edytować filtr, który pokazuje lub ukrywa urządzenia multiemisji i emisji. Domyślnie ruch multiemisji i emisji jest ukryty. |
| Dodaj filtr (Ostatnio widziany) | Wybierz opcję filtrowania urządzeń wyświetlanych przez urządzenia wyświetlane w określonym przedziale czasu od ostatnich pięciu minut do ostatnich siedmiu dni. |
| Resetowanie filtrów | Wybierz, aby zresetować filtr Ostatnio widziany. |
| Wyróżnij | Wybierz, aby wyróżnić urządzenia w określonej grupie urządzeń. Wyróżnione urządzenia są wyświetlane na mapie na niebiesko. Użyj pola Grupy wyszukiwania, aby wyszukać grupy urządzeń w celu wyróżnienia lub rozwinąć opcje grupy, a następnie wybierz grupę, którą chcesz wyróżnić. |
| Filtr | Wybierz, aby przefiltrować mapę, aby wyświetlić tylko urządzenia w określonej grupie urządzeń. Użyj pola Grupy wyszukiwania, aby wyszukać grupy urządzeń lub rozwinąć opcje grupy, a następnie wybierz grupę, według której chcesz filtrować. |
Powiększenia 
/ 
|
Powiększ mapę, aby wyświetlić połączenia między poszczególnymi urządzeniami przy użyciu myszy lub +/- przycisków po prawej stronie mapy. |
Dopasuj do ekranu 
|
Zmniejsza rozmiar, aby dopasować wszystkie urządzenia na ekranie |
Dopasuj do zaznaczenia
|
Powiększa wystarczająco dużo, aby zmieścić wszystkie wybrane urządzenia na ekranie |
Opcje prezentacji IT/OT 
|
Wybierz pozycję Wyłącz wyświetlanie grup sieci IT, aby zapobiec możliwości zwijania podsieci na mapie. Ta opcja jest domyślnie zaznaczona. |
Opcje układu 
|
Wybierz jedną z następujących pozycji: - Układ przypinania. Wybierz, aby zapisać lokalizacje urządzeń, jeśli przeciągnął je do nowych miejsc na mapie. - Układ według połączenia. Wybierz, aby wyświetlić urządzenia uporządkowane według ich połączeń. - Układ według purdue. Wybierz, aby wyświetlić urządzenia uporządkowane według warstw purdue. |
Aby wyświetlić szczegóły urządzenia, wybierz urządzenie i rozwiń okienko szczegółów urządzenia po prawej stronie. W okienku szczegółów urządzenia:
- Wybierz pozycję Raport aktywności, aby przejść do raportu wyszukiwania danych urządzenia
- Wybierz oś czasu zdarzenia, aby przejść do osi czasu zdarzenia urządzenia
- Wybierz pozycję Szczegóły urządzenia, aby przejść do pełnej strony szczegółów urządzenia.
Wyświetlanie podsieci IT z mapy urządzenia czujnika OT
Domyślnie urządzenia IT są automatycznie agregowane według podsieci, dzięki czemu mapa koncentruje się na lokalnych sieciach OT i IoT.
Aby rozwinąć podsieć IT:
Zaloguj się do czujnika OT i wybierz pozycję Mapa urządzenia.
Znajdź podsieć na mapie. Może być konieczne powiększenie mapy, aby wyświetlić ikonę podsieci, która wygląda jak kilka maszyn wewnątrz pola. Na przykład:
Kliknij prawym przyciskiem myszy urządzenie podsieci na mapie i Rozwiń sieć.
W komunikacie potwierdzającym wyświetlanym nad mapą wybierz przycisk OK.
Aby zwinąć podsieć IT:
- Zaloguj się do czujnika OT i wybierz pozycję Mapa urządzenia.
- Wybierz co najmniej jedną rozwiniętą podsieć, a następnie wybierz pozycję Zwiń wszystko.
Wyświetlanie szczegółów ruchu między połączonymi urządzeniami
Aby wyświetlić szczegóły ruchu między połączonymi urządzeniami:
Zaloguj się do czujnika OT i wybierz pozycję Mapa urządzenia.
Znajdź dwa połączone urządzenia na mapie. Może być konieczne powiększenie mapy, aby wyświetlić ikonę urządzenia, która wygląda jak monitor.
Kliknij wiersz łączący dwa urządzenia na mapie, a następnie
rozwiń okienko Właściwości Połączenie ion po prawej stronie. Na przykład:
W okienku Właściwości Połączenie ion można wyświetlić szczegóły ruchu między dwoma urządzeniami, takimi jak:
- Jak długo temu połączenie zostało wykryte po raz pierwszy.
- Adres IP każdego urządzenia.
- Stan każdego urządzenia.
- Liczba alertów dla każdego urządzenia.
- Wykres dotyczący całkowitej przepustowości.
- Wykres dla ruchu najwyższego według portu.
Tworzenie niestandardowej grupy urządzeń
Oprócz wbudowanych grup urządzeń czujnika OT utwórz nowe grupy niestandardowe zgodnie z potrzebami, które będą używane podczas wyróżniania lub filtrowania urządzeń na mapie.
Wybierz pozycję + Utwórz grupę niestandardową na pasku narzędzi lub kliknij prawym przyciskiem myszy urządzenie na mapie, a następnie wybierz polecenie Dodaj do grupy niestandardowej.
W okienku Dodawanie grupy niestandardowej:
- W polu Nazwa wprowadź zrozumiałą nazwę grupy z maksymalnie 30 znakami.
- Z menu Kopiuj z grup wybierz wszystkie grupy, z których chcesz skopiować urządzenia.
- W menu Urządzenia wybierz wszystkie dodatkowe urządzenia, które mają zostać dodane do grupy.
Importowanie/eksportowanie danych urządzenia
Użyj jednej z następujących opcji, aby zaimportować i wyeksportować dane urządzenia:
- Importowanie urządzeń. Wybierz opcję importowania urządzeń ze wstępnie skonfigurowanego elementu . Plik CSV.
- Eksportowanie urządzeń. Wybierz pozycję , aby wyeksportować wszystkie aktualnie wyświetlane urządzenia z pełnymi szczegółami do elementu . Plik CSV.
- Eksportowanie podsumowania urządzenia. Wybierz pozycję , aby wyeksportować ogólne podsumowanie wszystkich aktualnie wyświetlanych urządzeń do elementu . Plik CSV.
Edytowanie urządzeń
Zaloguj się do czujnika OT i wybierz pozycję Mapa urządzenia.
Kliknij prawym przyciskiem myszy urządzenie, aby otworzyć menu opcji urządzenia, a następnie wybierz dowolną z następujących opcji:
Nazwa/nazwisko opis Edytuj właściwości Otwiera okienko edycji, w którym można edytować właściwości urządzenia, takie jak autoryzacja, nazwa, opis, platforma systemu operacyjnego, typ urządzenia, poziom purdue i jeśli jest to skaner lub urządzenie programistyczne. Wyświetlanie właściwości Otwiera stronę szczegółów urządzenia. Autoryzowanie/brak autoryzacji Zmienia stan autoryzacji urządzenia. Oznacz jako ważne/nieważne Zmienia stan ważności urządzenia, wyróżniając serwery krytyczne dla działania firmy na mapie z gwiazdą i gdzie indziej, w tym raportami czujników OT i spisem urządzeń platformy Azure. Pokaż alerty / Pokaż zdarzenia Otwiera kartę Alerty lub Oś czasu zdarzeń na stronie szczegółów urządzenia. Raport aktywności Generuje raport aktywności dla urządzenia dla wybranego przedziału czasu. Symulowanie wektorów ataków Generuje symulację wektora ataku dla wybranego urządzenia. Dodawanie do grupy niestandardowej Tworzy nową grupę niestandardową z wybranym urządzeniem. Usuń Usuwa urządzenie ze spisu.
Scalanie urządzeń
Można scalić urządzenia, jeśli czujnik OT wykrył wiele jednostek sieciowych skojarzonych z unikatowym urządzeniem, takim jak sterownik PLC z czterema kartami sieciowymi, lub jeden laptop z siecią Wi-Fi i fizyczną kartą sieciową.
Można scalić tylko autoryzowane urządzenia.
Ważne
Nie można cofnąć scalania urządzenia. W przypadku błędnego scalenia dwóch urządzeń usuń urządzenia, a następnie zaczekaj na ponowne odnalezienie czujnika.
Aby scalić wiele urządzeń:
Zaloguj się do czujnika OT i wybierz pozycję Mapa urządzenia.
Wybierz autoryzowane urządzenia, które chcesz scalić przy użyciu klawisza SHIFT, aby wybrać więcej niż jedno urządzenie, a następnie kliknij prawym przyciskiem myszy i wybierz polecenie Scal.
Po wyświetleniu monitu wybierz pozycję Potwierdź , aby potwierdzić, że chcesz scalić urządzenia.
Urządzenia są scalane, a w prawym górnym rogu zostanie wyświetlony komunikat potwierdzający. Zdarzenia scalania są wyświetlane na osi czasu zdarzenia czujnika OT.
Zarządzanie powiadomieniami urządzenia
W przeciwieństwie do alertów, które zawierają szczegółowe informacje o zmianach ruchu, które mogą stanowić zagrożenie dla sieci, powiadomienia urządzeń na mapie urządzenia czujnika OT zawierają szczegółowe informacje o aktywności sieciowej, które mogą wymagać uwagi, ale nie są zagrożeniami.
Na przykład może zostać wyświetlone powiadomienie o nieaktywnym urządzeniu, które musi zostać ponownie połączone lub usunięte, jeśli nie jest już częścią sieci.
Aby wyświetlić powiadomienia dotyczące urządzeń i obsługiwać je:
Zaloguj się do czujnika OT i wybierz pozycję Powiadomienia mapy>urządzenia.
W okienku Powiadomienia odnajdywania po prawej stronie odfiltruj powiadomienia zgodnie z potrzebami według zakresu czasu, urządzenia, podsieci lub systemów operacyjnych.
Na przykład:
Każde powiadomienie może mieć różne opcje ograniczania ryzyka. Wykonaj jedną z następujących czynności:
- Obsłuż jedno powiadomienie naraz, wybierz określoną akcję ograniczania ryzyka lub wybierz pozycję Odrzuć , aby zamknąć powiadomienie bez działania.
- Wybierz pozycję Wybierz wszystko , aby pokazać, które powiadomienia mogą być obsługiwane razem. Wyczyść zaznaczenie określonych powiadomień, a następnie wybierz pozycję Akceptuj wszystkie lub Odrzuć wszystkie , aby obsłużyć wszystkie pozostałe wybrane powiadomienia razem.
Uwaga
Wybrane powiadomienia są automatycznie rozwiązywane, jeśli nie są odrzucane lub w inny sposób obsługiwane w ciągu 14 dni. Aby uzyskać więcej informacji, zobacz akcję wskazaną w kolumnie Auto-resolve w poniższej tabeli.
Obsługa wielu powiadomień razem
Mogą wystąpić sytuacje, w których chcesz obsługiwać wiele powiadomień razem, takich jak:
It uaktualnił system operacyjny na wielu serwerach sieciowych i chcesz poznać wszystkie nowe wersje serwera.
Grupa urządzeń nie jest już aktywna i chcesz poinstruować czujnik OT, aby usunąć urządzenia z czujnika OT.
W przypadku obsługi wielu powiadomień jednocześnie nadal mogą istnieć pozostałe powiadomienia, które muszą być obsługiwane ręcznie, na przykład w przypadku nowych adresów IP lub nie wykryto podsieci.
Odpowiedzi na powiadomienia dotyczące urządzenia
W poniższej tabeli wymieniono dostępne odpowiedzi dla każdego powiadomienia, a gdy zalecamy użycie każdego z nich:
| Type | Opis | Dostępne odpowiedzi | Automatyczne rozwiązywanie |
|---|---|---|---|
| Wykryto nowy adres IP | Nowy adres IP jest skojarzony z urządzeniem. Może to wystąpić w następujących scenariuszach: — Nowy lub dodatkowy adres IP został skojarzony z już wykrytym urządzeniem z istniejącym adresem MAC. — Wykryto nowy adres IP dla urządzenia używającego nazwy NetBIOS. — Wykryto adres IP jako interfejs zarządzania dla urządzenia skojarzonego z adresem MAC. — Wykryto nowy adres IP dla urządzenia korzystającego z wirtualnego adresu IP. |
- Ustaw dodatkowy adres IP na Urządzenie: scalanie urządzeń - Zamień istniejący adres IP: zastępuje dowolny istniejący adres IP nowym adresem - Odrzuć: usuń powiadomienie. |
Odrzuć |
| Brak skonfigurowanych podsieci | Podsieci nie są obecnie skonfigurowane w sieci. Zalecamy skonfigurowanie podsieci w celu odróżnienia urządzeń OT i IT na mapie. |
- Otwórz konfigurację podsieci i skonfiguruj podsieci. - Odrzuć: usuń powiadomienie. |
Odrzuć |
| Zmiany systemu operacyjnego | Co najmniej jeden nowy system operacyjny został skojarzony z urządzeniem. | — Wybierz nazwę nowego systemu operacyjnego, który chcesz skojarzyć z urządzeniem. - Odrzuć: usuń powiadomienie. |
Ustaw z nowym systemem operacyjnym tylko wtedy, gdy nie skonfigurowano jeszcze ręcznie. Jeśli system operacyjny został już skonfigurowany: Odrzuć. |
| Nowe podsieci | Odnaleziono nowe podsieci. | - Learn: Automatycznie dodaj podsieć. - Otwórz konfigurację podsieci: dodaj wszystkie brakujące informacje o podsieci. - Odrzuć: Usuń powiadomienie. |
Odrzuć |
Wyświetlanie mapy urządzenia dla określonej strefy
Jeśli pracujesz z lokalną konsolą zarządzania ze skonfigurowanymi lokacjami i strefami, mapy urządzeń są również dostępne dla każdej strefy.
W lokalnej konsoli zarządzania mapy strefy pokazują wszystkie elementy sieciowe związane z wybraną strefą, w tym czujniki OT, wykryte urządzenia i inne.
Aby wyświetlić mapę strefy:
Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Mapa strefy widoku zarządzania lokacjami>dla strefy, którą chcesz wyświetlić. Na przykład:
Użyj dowolnego z następujących narzędzi mapy, aby zmienić wyświetlanie mapy:
Nazwa/nazwisko opis Zapisz bieżące rozmieszczenie
Zapisuje wszelkie zmiany wprowadzone na ekranie mapy. Ukryj adresy multiemisji/emisji 
Domyślnie zaznaczony. Wybierz, aby wyświetlić urządzenia multiemisji i emisji na mapie. Prezentowanie wierszy purdue 
Domyślnie zaznaczony. Wybierz, aby ukryć linie purdue na mapie. Przekaźnik
Wybierz, aby zreorganizować układ według linii purdue lub strefy. Skalowanie w celu dopasowania ekranu
Powiększa lub powiększa mapę, aby cała mapa mieściła się na ekranie. Wyszukiwanie według adresu IP/MAC Wybierz określony adres IP lub adres MAC, aby wyróżnić urządzenie na mapie. Zmień na inną mapę strefy 
Wybierz, aby otworzyć okno dialogowe Zmień mapę strefy, w którym można wybrać inną mapę strefy, aby wyświetlić. Powiększenia
/
Powiększ mapę, aby wyświetlić połączenia między poszczególnymi urządzeniami przy użyciu myszy lub +/- przycisków po prawej stronie mapy. Powiększ, aby wyświetlić więcej szczegółów dla poszczególnych urządzeń, na przykład aby wyświetlić liczbę urządzeń pogrupowanych w podsieci lub rozwinąć podsieć.
Kliknij prawym przyciskiem myszy urządzenie i wybierz pozycję Wyświetl właściwości , aby otworzyć okno dialogowe Właściwości urządzenia, aby uzyskać więcej informacji o urządzeniu.
Kliknij prawym przyciskiem myszy urządzenie wyświetlane na czerwono i wybierz pozycję Wyświetl alerty , aby przejść do strony Alerty z alertami filtrowane tylko dla wybranego urządzenia.
Wbudowane grupy map urządzeń
W poniższej tabeli wymieniono grupy urządzeń dostępne gotowe do użycia na stronie mapy urządzenia czujnika OT. Utwórz dodatkowe, niestandardowe grupy zgodnie z potrzebami organizacji.
| Nazwa grupy | opis |
|---|---|
| Symulacje wektorów ataków | Urządzenia narażone na ataki wykryte w raportach wektorów ataków, w których opcja Pokaż w mapie urządzeń jest włączona. |
| Autoryzacja | Urządzenia, które zostały odnalezione w początkowym okresie uczenia lub zostały później ręcznie oznaczone jako autoryzowane urządzenia. |
| Połączenia między podsieciami | Urządzenia komunikujące się z jednej podsieci do innej podsieci. |
| Filtry spisu urządzeń | Wszystkie urządzenia oparte na filtrze utworzonym na stronie spisu urządzeń czujnika OT. |
| Znane aplikacje | Urządzenia korzystające z portów zarezerwowanych, takich jak TCP. |
| Ostatnie działanie | Urządzenia pogrupowane według przedziału czasu, które były ostatnio aktywne, na przykład: jedna godzina, sześć godzin, jeden dzień lub siedem dni. |
| Porty inne niż standardowe | Urządzenia korzystające z niestandardowych portów lub portów, które nie zostały przypisane aliasu. |
| Nie w usłudze Active Directory | Wszystkie urządzenia inne niż PLC, które nie komunikują się z usługą Active Directory. |
| Protokoły OT | Urządzenia obsługujące znany ruch OT. |
| Interwały sondowania | Urządzenia pogrupowane według interwałów sondowania. Interwały sondowania są generowane automatycznie zgodnie z cyklicznymi kanałami lub okresami. Na przykład 15,0 sekund, 3,0 sekundy, 1,5 sekundy lub dowolny inny interwał. Przejrzenie tych informacji pomaga dowiedzieć się, czy systemy sondują zbyt szybko lub powoli. |
| Programowania | Stacje inżynieryjne i maszyny programistyczne. |
| Podsieci | Urządzenia należące do określonej podsieci. |
| Sieci vlan | Urządzenia skojarzone z określonym identyfikatorem sieci VLAN. |
Następne kroki
Aby uzyskać więcej informacji, zobacz Badanie wykrywania czujników w spisie urządzeń.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla