Undersöka enheter på en enhetskarta

  • Artikel

OT-enhetskartor ger en grafisk representation av nätverksenheterna som identifieras av OT-nätverkssensorn och anslutningarna mellan dem.

Använd en enhetskarta för att hämta, analysera och hantera enhetsinformation, antingen på en gång eller efter nätverkssegment, till exempel specifika intressegrupper eller Purdue-lager. Om du arbetar i en luftgapad miljö med en lokal hanteringskonsol använder du en zonkarta för att visa enheter över alla anslutna OT-sensorer i en specifik zon.

Förutsättningar

Kontrollera att du har följande för att utföra procedurerna i den här artikeln:

Om du vill visa enheter över flera sensorer i en zon behöver du också en lokal hanteringskonsol installerad, aktiverad och konfigurerad, med flera sensorer anslutna och tilldelade till platser och zoner.

Visa enheter på karta över OT-sensorenheter

  1. Logga in på ot-sensorn och välj Enhetskarta. Alla enheter som identifieras av OT-sensorn visas som standard enligt Purdue-lagret.

    På OT-sensorns enhetskarta:

    • Enheter med aktiva aviseringar är markerade i rött
    • Stjärnmärkta enheter är de som hade markerats som viktiga
    • Enheter utan aviseringar visas i svart eller grått i den inzoomade anslutningsvyn

    Till exempel:

    Screenshot of a default view of an OT sensor's device map.

  2. Zooma in och välj en specifik enhet för att visa anslutningarna mellan den och andra enheter, markerade i blått.

    När du zoomar in visar varje enhet följande information:

    • Enhetens värdnamn, IP-adress och undernätsadress, om det är relevant.
    • Antalet aktiva aviseringar på enheten.
    • Enhetstypen, som representeras av olika ikoner.
    • Antalet enheter grupperade i ett undernät i ett IT-nätverk, om det är relevant. Det här antalet enheter visas i en svart cirkel.
    • Om enheten nyligen har identifierats eller inte.

  3. Högerklicka på en specifik enhet och välj Visa egenskaper för att öka detaljnivån ytterligare till fliken Kartvy på enhetens enhetsinformationssida.

Ändra visning av OT-sensorkarta

Använd något av följande kartverktyg för att ändra de data som visas och hur de visas:

Name beskrivning
Uppdatera karta Välj för att uppdatera kartan med uppdaterade data.
Aviseringar Välj för att visa enhetsmeddelanden.
Sök efter IP/MAC Filtrera kartan så att endast enheter som är anslutna till en specifik IP- eller MAC-adress visas.
Multicast/broadcast Välj för att redigera filtret som visar eller döljer multicast- och sändningsenheter. Som standard är multicast- och sändningstrafik dold.
Lägg till filter (senast sett) Välj om du vill filtrera enheter som visas av dem som visas under en viss tidsperiod, från de senaste fem minuterna till de senaste sju dagarna.
Återställa filter Välj för att återställa filtret Senast sett .
Markera Välj för att markera enheterna i en specifik enhetsgrupp. Markerade enheter visas på kartan i blått.

Använd rutan Sökgrupper för att söka efter enhetsgrupper som ska markeras eller expandera gruppalternativen och välj sedan den grupp som du vill markera.
Filter Välj om du vill filtrera kartan för att endast visa enheterna i en specifik enhetsgrupp.

Använd rutan Sökgrupper för att söka efter enhetsgrupper eller expandera gruppalternativen och välj sedan den grupp som du vill filtrera efter.
Zoom
/ 		Zooma in på kartan för att visa anslutningarna mellan varje enhet, antingen med musen eller knapparna +/- till höger på kartan.
Anpassa till skärm
Zoomar ut för att passa alla enheter på skärmen
Anpassa till markering
 Zoomar ut tillräckligt för att passa alla valda enheter på skärmen
Presentationsalternativ för IT/OT
Välj Inaktivera Visa IT-nätverksgrupper för att förhindra möjligheten att komprimera undernät på kartan. Det här alternativet är markerat som standard.
Layoutalternativ
Välj något av följande:
- Fäst layouten. Välj om du vill spara enhetsplatser om du har dragit dem till nya platser på kartan.
- Layout efter anslutning. Välj om du vill visa enheter som är ordnade efter deras anslutningar.
- Layout efter Purdue. Välj om du vill visa enheter ordnade efter deras Purdue-lager.

Om du vill se enhetsinformation väljer du en enhet och expanderar fönstret enhetsinformation till höger. I ett fönster med enhetsinformation:

  • Välj Aktivitetsrapport för att hoppa till enhetens datautvinningsrapport
  • Välj Händelsetidslinje för att gå till enhetens händelsetidslinje
  • Välj Enhetsinformation för att gå till en fullständig enhetsinformationssida.

Visa IT-undernät från en ot-sensorenhetskarta

Som standard aggregeras IT-enheter automatiskt efter undernät, så att kartan fokuserar på dina lokala OT- och IoT-nätverk.

Så här expanderar du ett IT-undernät:

  1. Logga in på ot-sensorn och välj Enhetskarta.

  2. Leta upp ditt undernät på kartan. Du kan behöva zooma in på kartan för att visa en undernätsikon, som ser ut som flera datorer i en ruta. Till exempel:

    Screenshot of a subnet device on the device map.

  3. Högerklicka på undernätsenheten på kartan och Expandera nätverk.

  4. I bekräftelsemeddelandet som visas ovanför kartan väljer du OK.

Så här döljer du ett IT-undernät:

  1. Logga in på ot-sensorn och välj Enhetskarta.
  2. Välj ett eller flera expanderade undernät och välj sedan Dölj alla.

Visa trafikinformation mellan anslutna enheter

Så här visar du trafikinformation mellan anslutna enheter:

  1. Logga in på ot-sensorn och välj Enhetskarta.

  2. Leta upp två anslutna enheter på kartan. Du kan behöva zooma in på kartan för att visa en enhetsikon, som ser ut som en bildskärm.

  3. Klicka på raden som ansluter två enheter på kartan och expandera sedan fönstret egenskaper för Anslut ion till höger. Till exempel:

    Screenshot of connection properties on the device map.

  4. I fönstret egenskaper för Anslut ion kan du visa trafikinformation mellan de två enheterna, till exempel:

    • Hur länge sedan identifierades anslutningen först.
    • IP-adressen för varje enhet.
    • Status för varje enhet.
    • Antalet aviseringar för varje enhet.
    • Ett diagram för total bandbredd.
    • Ett diagram för högsta trafik per port.

Skapa en anpassad enhetsgrupp

Utöver OT-sensorns inbyggda enhetsgrupper skapar du nya anpassade grupper efter behov som ska användas vid markering eller filtrering av enheter på kartan.

  1. Välj antingen + Skapa anpassad grupp i verktygsfältet eller högerklicka på en enhet på kartan och välj sedan Lägg till i anpassad grupp.

  2. I fönstret Lägg till anpassad grupp :

    • I fältet Namn anger du ett beskrivande namn för din grupp med upp till 30 tecken.
    • På menyn Kopiera från grupper väljer du de grupper som du vill kopiera enheter från.
    • På menyn Enheter väljer du eventuella extra enheter som ska läggas till i gruppen.

Importera/exportera enhetsdata

Använd något av följande alternativ för att importera och exportera enhetsdata:

  • Importera enheter. Välj om du vill importera enheter från en förkonfigurerad . CSV-fil.
  • Exportera enheter. Välj om du vill exportera alla enheter som visas för närvarande, med fullständig information, till en . CSV-fil.
  • Exportera enhetssammanfattning. Välj om du vill exportera en sammanfattning på hög nivå av alla enheter som visas för närvarande till en . CSV-fil.

Redigera enheter

  1. Logga in på en OT-sensor och välj Enhetskarta.

  2. Högerklicka på en enhet för att öppna menyn enhetsalternativ och välj sedan något av följande alternativ:

    Name beskrivning
    Redigera egenskaper Öppnar redigeringsfönstret där du kan redigera enhetsegenskaper, till exempel auktorisering, namn, beskrivning, operativsystemplattform, enhetstyp, Purdue-nivå och om det är en skanner eller programmeringsenhet.
    Visa egenskaper Öppnar enhetens informationssida.
    Auktorisera/avauktorisera Ändrar enhetens auktoriseringsstatus.
    Markera som viktigt/icke-viktigt Ändrar enhetens prioritetsstatus genom att markera affärskritiska servrar på kartan med en stjärna och på andra platser, inklusive OT-sensorrapporter och Azure-enhetsinventeringen.
    Visa aviseringar / Visa händelser Öppnar fliken Aviseringar eller händelsetidslinje på enhetens informationssida.
    Aktivitetsrapport Genererar en aktivitetsrapport för enheten för det valda tidsintervallet.
    Simulera attackvektorer Genererar en attackvektorsimulering för den valda enheten.
    Lägg till i anpassad grupp Skapar en ny anpassad grupp med den valda enheten.
    Ta bort Tar bort enheten från lagret.

Sammanfoga enheter

Du kanske vill slå samman enheter om OT-sensorn har identifierat flera nätverksentiteter som är associerade med en unik enhet, till exempel en PLC med fyra nätverkskort eller en enda bärbar dator med både WiFi och ett fysiskt nätverkskort.

Du kan bara slå samman auktoriserade enheter.

Viktigt!

Du kan inte ångra en enhetssammanslagning. Om du av misstag sammanfogade två enheter tar du bort enheterna och väntar sedan på att sensorn ska återupptäcka båda.

Så här sammanfogar du flera enheter:

  1. Logga in på ot-sensorn och välj Enhetskarta.

  2. Välj de behöriga enheter som du vill sammanfoga med hjälp av SKIFT-tangenten för att välja fler än en enhet och högerklicka sedan och välj Koppla.

  3. I kommandotolken väljer du Bekräfta för att bekräfta att du vill slå samman enheterna.

Enheterna sammanfogas och ett bekräftelsemeddelande visas längst upp till höger. Sammanslagningshändelser visas i OT-sensorns händelsetidslinje.

Hantera enhetsmeddelanden

I motsats till aviseringar, som ger information om ändringar i din trafik som kan utgöra ett hot mot nätverket, ger enhetsmeddelanden på en ot-sensorenhetskarta information om nätverksaktivitet som kan kräva din uppmärksamhet, men inte är hot.

Du kan till exempel få ett meddelande om en inaktiv enhet som måste återanslutas eller tas bort om den inte längre är en del av nätverket.

Så här visar och hanterar du enhetsmeddelanden:

  1. Logga in på OT-sensorn och välj Enhetskarta>Meddelanden.

  2. I fönstret Identifieringsmeddelanden till höger filtrerar du meddelanden efter tidsintervall, enhet, undernät eller operativsystem.

    Till exempel:

    Screenshot of device notifications on an OT sensor's Device map page.

  3. Varje meddelande kan ha olika alternativ för åtgärder. Gör något av följande:

    • Hantera ett meddelande i taget, välj en specifik åtgärd eller välj Stäng för att stänga meddelandet utan aktivitet.
    • Välj Välj alla för att visa vilka meddelanden som kan hanteras tillsammans. Rensa markeringar för specifika meddelanden och välj sedan Acceptera alla eller Stäng alla för att hantera eventuella återstående markerade meddelanden tillsammans.

Kommentar

Markerade meddelanden löses automatiskt om de inte avvisas eller hanteras på annat sätt inom 14 dagar. Mer information finns i åtgärden som anges i kolumnen Lös automatiskt i tabellen nedan.

Hantera flera meddelanden tillsammans

Du kan ha situationer där du vill hantera flera meddelanden tillsammans, till exempel:

  • IT uppgraderade operativsystemet över flera nätverksservrar och du vill lära dig alla nya serverversioner.

  • En grupp enheter är inte längre aktiva och du vill instruera OT-sensorn att ta bort enheterna från OT-sensorn.

När du hanterar flera meddelanden tillsammans kan du fortfarande ha återstående meddelanden som måste hanteras manuellt, till exempel för nya IP-adresser eller inga undernät har identifierats.

Svar på enhetsmeddelanden

I följande tabell visas tillgängliga svar för varje meddelande och när vi rekommenderar att du använder var och en:

Typ Beskrivning Tillgängliga svar Lös automatiskt
Ny IP-adress har identifierats En ny IP-adress är associerad med enheten. Detta kan inträffa i följande scenarier:

– En ny eller ytterligare IP-adress har associerats med en enhet som redan har identifierats, med en befintlig MAC-adress.

– En ny IP-adress har identifierats för en enhet som använder ett NetBIOS-namn.

– En IP-adress identifierades som hanteringsgränssnittet för en enhet som är associerad med en MAC-adress.

– En ny IP-adress har identifierats för en enhet som använder en virtuell IP-adress.		 - Ange ytterligare IP-adress till Enhet: Slå samman enheterna
- Ersätt befintlig IP-adress: Ersätter alla befintliga IP-adresser med den nya adressen
- Stäng: Ta bort meddelandet.		 Stäng
Inga undernät har konfigurerats Inga undernät har konfigurerats i nätverket.

Vi rekommenderar att du konfigurerar undernät för möjligheten att skilja mellan OT- och IT-enheter på kartan.		 - Öppna Undernätskonfiguration och konfigurera undernät.
- Stäng: Ta bort meddelandet.		 Stäng
Ändringar i operativsystemet Ett eller flera nya operativsystem har associerats med enheten. – Välj namnet på det nya operativsystemet som du vill associera med enheten.
- Stäng: Ta bort meddelandet.		 Ange endast med nytt operativsystem om det inte redan har konfigurerats manuellt.

Om operativsystemet redan har konfigurerats: Stäng.
Nya undernät Nya undernät upptäcktes. - Learn: Lägg automatiskt till undernätet.
- Öppna undernätskonfiguration: Lägg till all information om saknade undernät.
- Stäng:
Ta bort meddelandet.		 Stäng

Visa en enhetskarta för en specifik zon

Om du arbetar med en lokal hanteringskonsol med platser och zoner konfigurerade är enhetskartor också tillgängliga för varje zon.

I den lokala hanteringskonsolen visar zonkartor alla nätverkselement relaterade till en vald zon, inklusive OT-sensorer, identifierade enheter med mera.

Så här visar du en zonkarta:

  1. Logga in på en lokal hanteringskonsol och välj Webbplatshantering>Visa zonkarta för den zon som du vill visa. Till exempel:

    Screenshot of default region to default business unit.

  2. Använd något av följande kartverktyg för att ändra kartvisningen:

    Name beskrivning
    Spara aktuellt arrangemang

    		Sparar alla ändringar som du har gjort i kartvisningen.
    Dölj multicast-/sändningsadresser

    		 Markerat som standard. Välj om du vill visa multicast- och broadcast-enheter på kartan.
    Presentera Purdue-linjer

    		Markerat som standard. Välj för att dölja Purdue-linjer på kartan.
    Relayout

    		Välj om du vill ordna om layouten efter Purdue-linjer eller efter zon.
    Skala för att passa skärmen

    		Zoomar in eller ut på kartan så att hela kartan får plats på skärmen.
    Sök efter IP/MAC Välj en specifik IP- eller MAC-adress för att markera enheten på kartan.
    Ändra till en annan zonkarta

    		Välj för att öppna dialogrutan Ändra zonkarta , där du kan välja en annan zonkarta att visa.
    Zoom

    /     		Zooma in på kartan för att visa anslutningarna mellan varje enhet, antingen med musen eller knapparna +/- till höger på kartan.

  3. Zooma in för att visa mer information per enheter, till exempel för att visa antalet enheter grupperade i ett undernät eller för att expandera ett undernät.

  4. Högerklicka på en enhet och välj Visa egenskaper för att öppna dialogrutan Enhetsegenskaper med mer information om enheten.

  5. Högerklicka på en enhet som visas i rött och välj Visa aviseringar för att gå till sidan Aviseringar, med aviseringar filtrerade endast för den valda enheten.

Inbyggda enhetsmappningsgrupper

I följande tabell visas de enhetsgrupper som är tillgängliga out-of-the-box på kartsidan för OT-sensorn. Skapa extra anpassade grupper efter behov för din organisation.

Group name beskrivning
Simuleringar av attackvektorer Sårbara enheter har identifierats i rapporter för attackvektorer, där alternativet Visa i enhetskarta är aktiverat.
Auktorisering Enheter som antingen identifierades under en första inlärningsperiod eller senare manuellt markerades som auktoriserade enheter.
Anslutningar mellan undernät Enheter som kommunicerar från ett undernät till ett annat undernät.
Enhetsinventeringsfilter Alla enheter baserat på ett filter som skapats på sidan Enhetsinventering för OT-sensorn .
Kända program Enheter som använder reserverade portar, till exempel TCP.
Senaste aktivitet Enheter grupperade efter den tidsram som de senast var aktiva, till exempel: En timme, sex timmar, en dag eller sju dagar.
Portar som inte är standard Enheter som använder portar eller portar som inte är standard och som inte har tilldelats ett alias.
Inte i Active Directory Alla icke-PLC-enheter som inte kommunicerar med Active Directory.
OT-protokoll Enheter som hanterar känd OT-trafik.
Avsökningsintervall Enheter grupperade efter avsökningsintervall. Avsökningsintervallen genereras automatiskt enligt cykliska kanaler eller perioder. Till exempel 15,0 sekunder, 3,0 sekunder, 1,5 sekunder eller något annat intervall. Genom att granska den här informationen får du lära dig om systemen avsöks för snabbt eller långsamt.
Programmering Tekniska stationer och programmeringsdatorer.
Undernät Enheter som tillhör ett specifikt undernät.
VLAN Enheter som är associerade med ett specifikt VLAN-ID.

Nästa steg

Mer information finns i Undersöka sensoridentifieringar i en enhetsinventering.