Verificar e atualizar o inventário de dispositivo detectado

Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT (Tecnologia Opertaional) com o Microsoft Defender para IoT e descreve como examinar o inventário de dispositivos e aprimorar o monitoramento de segurança com detalhes ajustados do dispositivo.

Pré-requisitos

Antes de executar os procedimentos neste artigo, verifique se você tem:

• Um sensor OT instalado, configurado e ativado, com dados do dispositivo detectados.

• Acesso ao sensor de OT como Analista de Segurança ou usuárioAdministrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

Esta etapa é executada pelas suas equipes de implantação.

Exibir o inventário de dispositivos no sensor de OT

1. Entre no sensor de OT e selecione a página Inventário de dispositivos.

2. Selecione Editar Colunas para fazer alterações no layout da grade e exibir mais campos de dados para revisar os dados detectados para cada dispositivo.

   Recomendamos especialmente a revisão de dados das colunas Nome, Tipo, Autorização, Dispositivo de scanner e Dispositivo de programação.

3. Examine os dispositivos listados no inventário de dispositivos e identifique os dispositivos cujas propriedades do dispositivo devem ser editadas.

Editar propriedades do dispositivo por dispositivo

Para cada dispositivo em que você precisa editar as propriedades do dispositivo:

1. Selecione o dispositivo na grade e, em seguida, selecione Editar para exibir o painel de edição. Por exemplo:

   

2. Edite qualquer uma das seguintes propriedades do dispositivo conforme necessário:

   Nome	DESCRIÇÃO
   Dispositivo autorizado	Selecione se o dispositivo é uma entidade conhecida em sua rede. O Defender para IoT não dispara alertas para o tráfego aprendido em dispositivos autorizados.
   Nome	Por padrão, é mostrado como o endereço IP do dispositivo. Atualize-o para um nome significativo para seu dispositivo, conforme necessário.
   Descrição	Deixado em branco por padrão. Insira uma descrição significativa para seu dispositivo, conforme necessário.
   Plataforma do SO	Se o valor do sistema operacional estiver bloqueado para detecção, selecione o sistema operacional do dispositivo na lista suspensa.
   Tipo	Se o tipo do dispositivo estiver bloqueado para detecção ou precisar ser modificado, selecione um tipo de dispositivo na lista suspensa. Para obter mais informações, consulte Dispositivos suportados.
   Nível de Purdue	Se o nível de Purdue do dispositivo for detectado como Indefinido ou Automático, recomendamos selecionar outro nível para ajustar seus dados. Para obter mais informações, consulte Colocando sensores de OT em sua rede.
   Scanner	Selecione se o dispositivo é um dispositivo de verificação. O Defender para IoT não dispara alertas para atividades de verificação detectadas em dispositivos definidos como dispositivos de verificação.
   Dispositivo de programação	Selecione se o dispositivo é um dispositivo de programação. O Defender para IoT não dispara alertas para atividades de programação detectadas em dispositivos definidos como dispositivos de programação.

3. Selecione Salvar para salvar as alterações.

Mesclar dispositivos duplicados

Ao examinar os dispositivos detectados no inventário de dispositivos, observe se várias entradas foram detectadas para o mesmo dispositivo em sua rede.

Por exemplo, isso pode acontecer quando você tem um PLC com quatro cartões de rede, um laptop com WiFi e um cartão de rede físico ou uma única estação de trabalho com vários cartões de rede.

Os dispositivos com os mesmos endereços IP e MAC são mesclados automaticamente e identificados como o mesmo dispositivo. É recomendável mesclar todos os dispositivos duplicados para que cada entrada no inventário de dispositivos represente apenas um dispositivo exclusivo em sua rede.

Importante

As mesclagens de dispositivo são irreversíveis. Se você mesclar dispositivos incorretamente, será necessário excluir o dispositivo mesclado e aguardar o sensor redescobrir ambos os dispositivos.

Para mesclar vários dispositivos, selecione dois ou mais dispositivos autorizados no inventário de dispositivos e selecione Mesclar.

Os dispositivos e todas as suas propriedades são mesclados no inventário de dispositivos. Por exemplo, se você mesclar dois dispositivos com endereços IP diferentes, cada endereço IP aparecerá como interfaces separadas no novo dispositivo.

Aprimore os dados do dispositivo (opcional)

Talvez você queira aumentar a visibilidade do dispositivo e aprimorar os dados do dispositivo com mais detalhes do que os dados padrão detectados.

• Para aumentar a visibilidade do dispositivo para dispositivos baseados no Windows, use a ferramenta WMI (Instrumentação de Gerenciamento do Windows) do Defender para IoT.

• Se as políticas de rede da sua organização impedirem que alguns dados sejam ingeridos, importe os dados extras em massa.

Próximas etapas

« Controlar qual tráfego é monitorado

Criar uma linha de base aprendida de alertas de OT»