Verificar e atualizar o inventário de dispositivo detectado
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com Microsoft Defender para IoT e descreve como examinar o inventário de dispositivos e aprimorar o monitoramento de segurança com detalhes ajustados do dispositivo.
Pré-requisitos
Antes de executar os procedimentos neste artigo, verifique se você tem:
Um sensor OT instalado, configurado e ativado, com dados do dispositivo detectados.
Acesso ao sensor de OT como Analista de Segurança ou usuárioAdministrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.
Esta etapa é executada pelas suas equipes de implantação.
Exibir o inventário de dispositivos no portal do Azure
Entre no sensor de OT e selecione a página Inventário de dispositivos.
Selecione Editar Colunas para exibir informações adicionais na grade para que você possa examinar os dados detectados para cada dispositivo.
Recomendamos especialmente revisar dados para as colunas Nome, Classe, Tipo e Subtipo, Autorização, Dispositivo scanner e Dispositivo de programação.
Entenda os dispositivos detectados pelo sensor de OT e identifique todos os sensores em que você precisará identificar as propriedades do dispositivo.
Editar propriedades do dispositivo por dispositivo
Para cada dispositivo em que você precisa editar as propriedades do dispositivo:
Selecione o dispositivo na grade e, em seguida, selecione Editar para exibir o painel de edição. Por exemplo:
Edite qualquer uma das seguintes propriedades do dispositivo conforme necessário:
Nome DESCRIÇÃO Dispositivo autorizado Selecione se o dispositivo é uma entidade conhecida em sua rede. O Defender para IoT não dispara alertas para o tráfego aprendido em dispositivos autorizados. Nome Por padrão, é mostrado como o endereço IP do dispositivo. Atualize-o para um nome significativo para seu dispositivo, conforme necessário. Descrição Deixado em branco por padrão. Insira uma descrição significativa para seu dispositivo, conforme necessário. Plataforma do SO Se o valor do sistema operacional estiver bloqueado para detecção, selecione o sistema operacional do dispositivo na lista suspensa. Tipo Se o tipo do dispositivo estiver bloqueado para detecção ou precisar ser modificado, selecione um tipo de dispositivo na lista suspensa. Para obter mais informações, consulte Dispositivos suportados. Nível de Purdue Se o nível de Purdue do dispositivo for detectado como Indefinido ou Automático, recomendamos selecionar outro nível para ajustar seus dados. Para obter mais informações, consulte Colocando sensores de OT em sua rede. Scanner Selecione se o dispositivo é um dispositivo de verificação. O Defender para IoT não dispara alertas para atividades de verificação detectadas em dispositivos definidos como dispositivos de verificação. Dispositivo de programação Selecione se o dispositivo é um dispositivo de programação. O Defender para IoT não dispara alertas para atividades de programação detectadas em dispositivos definidos como dispositivos de programação. Selecione Salvar para salvar as alterações.
Mesclar dispositivos duplicados
Ao examinar os dispositivos detectados no inventário de dispositivos, observe se várias entradas foram detectadas para o mesmo dispositivo em sua rede.
Por exemplo, isso pode acontecer quando você tem um PLC com quatro cartões de rede, um laptop com WiFi e um cartão de rede físico ou uma única estação de trabalho com vários cartões de rede.
Os dispositivos com os mesmos endereços IP e MAC são mesclados automaticamente e identificados como o mesmo dispositivo. É recomendável mesclar todos os dispositivos duplicados para que cada entrada no inventário de dispositivos represente apenas um dispositivo exclusivo em sua rede.
Importante
As mesclagens de dispositivo são irreversíveis. Se você mesclar dispositivos incorretamente, será necessário excluir o dispositivo mesclado e aguardar o sensor redescobrir ambos os dispositivos.
Para mesclar vários dispositivos, selecione dois ou mais dispositivos autorizados no inventário de dispositivos e selecione Mesclar.
Os dispositivos e todas as suas propriedades são mesclados no inventário de dispositivos. Por exemplo, se você mesclar dois dispositivos com endereços IP diferentes, cada endereço IP aparecerá como interfaces separadas no novo dispositivo.
Aprimore os dados do dispositivo (opcional)
Talvez você queira aumentar a visibilidade do dispositivo e aprimorar os dados do dispositivo com mais detalhes do que os dados padrão detectados.
Para aumentar a visibilidade do dispositivo para dispositivos baseados no Windows, use a ferramenta WMI (Instrumentação de Gerenciamento do Windows) do Defender para IoT.
Se as políticas de rede da sua organização impedirem que alguns dados sejam ingeridos, importe os dados extras em massa.