調查裝置對應上的裝置

發行項
04/19/2024

OT 裝置對應提供由 OT 網路感應器偵測到的網路裝置，以及這些裝置間連線的圖形表示法。

使用裝置對應來擷取、分析及管理裝置資訊，無論是一次針對所有裝置，還是依網路區段進行，例如特定利益團體或 Purdue 層。如果您是在具有內部部署管理主控台的實體隔離斷網環境中工作，請使用「區域對應」來檢視特定區域中所有已連線 OT 感應器上的裝置。

必要條件

若要執行本文中的程序，請確定您：

已安裝 (部分機器翻譯)、設定並啟用 (部分機器翻譯) OT 網路感應器，且已內嵌網路流量
對 OT 感應器或內部部署管理主控台的存取權。具有檢視者角色的使用者可以檢視對應上的資料。若要匯入或匯出資料或編輯對應檢視，您必須以安全性分析師或管理員使用者的身分存取。如需詳細資訊，請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色 (部分機器翻譯)。

若要在區域中跨多個感應器檢視裝置，您也必須已安裝 (部分機器翻譯)、啟用及設定 (部分機器翻譯) 內部部署管理主控台，且具有已連線並指派至網站和區域的多個感應器。

檢視 OT 感應器裝置對應上的裝置

登入您的 OT 感應器，然後選取 [裝置對應]。根據 Purdue 層，預設會顯示由 OT 感應器偵測到的所有裝置。

在 OT 感應器的裝置對應上：
- 目前具有作用中警示的裝置會以紅色醒目提示
- 具有星星的裝置是被標記為重要的裝置
- 沒有警示的裝置會以黑色顯示，在放大的連線檢視忠則是以灰色顯示
例如：
放大並選取特定裝置以檢視其與其他裝置之間的連線，其會以藍色醒目提示。

放大時，每部裝置都會顯示下列詳細資料：
- 裝置的主機名稱、IP 位址及子網路位址，若相關的話。
- 裝置上目前作用中警示的數目。
- 裝置類型，由各種圖示所代表。
- 根據 IT 網路中子網路進行分組的裝置數目，若相關的話。裝置數目會在黑色圓圈中顯示。
- 裝置是新偵測到的或未經授權的。
以滑鼠右鍵按一下特定裝置，並選取 [檢視屬性] 以進一步向下切入該裝置裝置詳細資料頁面 (部分機器翻譯) 上的 [對應檢視] 索引標籤。

修改 OT 感應器對應顯示

使用下列任何一個對應工具來修改所顯示的資料及其顯示方式：

名稱	描述
重新整理對應	選取以使用更新後的資料重新整理對應。
通知	選取以檢視裝置通知 (部分機器翻譯)。
依 IP/MAC 搜尋	篩選對應以僅顯示連線至特定 IP 或 MAC 位址的裝置。
多點傳送/廣播	選取以編輯篩選，以顯示或隱藏多點傳送和廣播裝置。根據預設，會隱藏多點傳送和廣播流量。
新增篩選 (上次出現時間)	選取以根據在特定時段中顯示的裝置篩選所顯示的裝置，從過去五分鐘到過去七天。
重設篩選	選取以重設 [上次出現時間] 篩選。
醒目提示	選取以醒目提示特定裝置群組 (部分機器翻譯) 中的裝置。醒目提示的裝置在對應中會以藍色顯示。使用 [搜尋群組] 方塊來搜尋要醒目提示的裝置群組，或是展開您的群組選項，然後選取您想要醒目提示的群組。
Filter	選取來篩選對應，以僅顯示特定裝置群組 (部分機器翻譯) 中的裝置。使用 [搜尋群組] 方塊來搜尋裝置群組，或是展開您的群組選項，然後選取您想要據以篩選的群組。
Zoom /	使用滑鼠或對應右側的 +/- 按鈕來將對應放大，以檢視每部裝置之間的連線。
全螢幕	縮小以在畫面上顯示所有裝置
縮放至選取範圍	縮小至足夠的程度，以在畫面上顯示所有選取的裝置
IT/OT 簡報選項	選取 [停用顯示 IT 網路群組] 以防止在對應中摺疊子網路 (部分機器翻譯) 的能力。預設會開啟此選項。
配置選項	選取下列其中一個： - 釘選配置。選取以在對應上將裝置拖曳到新位置時儲存裝置位置。 - 依連線配置。選取以檢視依裝置連線組織的裝置。 - 依 Purdue 配置。選取以檢視依裝置 Purdue 層組織的裝置。

若要查看裝置詳細資料，請選取裝置並展開右側的裝置詳細資料窗格。在裝置詳細資料窗格中：

選取 [活動報告] 以跳至裝置的資料採礦報告
選取 [事件時間表] 以跳至裝置的事件時間表 (部分機器翻譯)
選取 [裝置詳細資料] 以跳至完整的裝置詳細資料頁面 (部分機器翻譯)。

檢視 OT 感應器裝置對應中的 IT 子網路

根據預設，IT 裝置會依子網路 (部分機器翻譯) 自動彙總，使對應會以您的本機 OT 和 IoT 網路為焦點。

展開 IT 子網路：

登入您的 OT 感應器，然後選取 [裝置對應]。
在對應上找到您的子網路。建議您將對應放大以檢視子網路圖示，其看起來像位於箱子內的數部機器。例如：
以滑鼠右鍵按一下對應上的子網路裝置，然後選取 [展開網路]。
在出現在對應上方的確認訊息中，選取 [確定]。

摺疊 IT 子網路：

登入您的 OT 感應器，然後選取 [裝置對應]。
選取一或多個展開的子網路，然後選取 [全部摺疊]。

檢視已連線裝置之間的流量詳細資料

檢視已連線裝置之間的流量詳細資料：

登入您的 OT 感應器，然後選取 [裝置對應]。
在對應上找到兩個已連線的裝置。建議您將對應放大以檢視裝置圖示，其看起來像一台監視器。
在對應上按一下連接兩部裝置的線條，然後按一下以在右側展開 [連線屬性]。例如：
在 [連線屬性] 窗格中，您可以檢視兩部裝置之間的流量詳細資料，例如：
- 首次偵測到連線後已經經過多少時間。
- 每部裝置的 IP 位址。
- 每部裝置的狀態。
- 每部裝置的警示數目。
- 總頻寬的圖表。
- 依連接埠顯示熱門流量的圖表。

建立自訂裝置群組

除了 OT 感應器的內建裝置群組 (部分機器翻譯)，視需要建立新的自訂群組，以在針對對應上的裝置進行醒目提示或篩選時使用。

選取工具列中的 [+ 建立自訂群組]，或是以滑鼠右鍵按一下對應中的裝置並選取 [新增至自訂群組]。
在 [新增自訂群組] 窗格中：
- 在 [名稱] 欄位中，為您的群組輸入有意義的名稱，最多 30 個字元。
- 從 [從群組複製] 功能表中，選取您想要從中複製裝置的任何群組。
- 從 [裝置] 功能表中，選取要新增至群組的任何額外裝置。

匯入/匯出裝置資料

使用下列其中一個選項來匯入和匯出裝置資料：

匯入裝置：選取以從預先設定的 .CSV 檔案匯入裝置。
匯出裝置：選取以將所有目前顯示的裝置 (包括完整詳細資料) 匯出至 .CSV 檔案。
匯出裝置摘要：選取以將所有目前顯示裝置的概略摘要匯出至 .CSV 檔案。

編輯裝置

登入 OT 感應器，然後選取 [裝置對應]。

以滑鼠右鍵按一下裝置以開啟裝置選項功能表，然後選取下列任何一個選項：

名稱	描述
編輯屬性	開啟編輯窗格，您可以在其中編輯裝置屬性，例如授權、名稱、描述、OS 平台、裝置類型、Purdue 層級，以及其是否為掃描器或程式設計裝置。
檢視屬性	開啟裝置的詳細資料頁面。
授權/取消授權	變更裝置的授權狀態 (部分機器翻譯)。
標記為重要/非重要	變更裝置的重要性 (部分機器翻譯) 狀態，在對應上以星星標記出商務關鍵伺服器，而在其他地方，包括 OT 感應器報告和 Azure 裝置清查。
顯示警示 / 顯示事件	開啟裝置詳細資料頁面上的 [警示] 或 [事件時間表] 索引標籤。
活動報告	針對選取的時間範圍產生裝置的活動報告。
模擬攻擊媒介	針對選取的裝置產生攻擊媒介模擬 (部分機器翻譯)。
新增自訂群組	搭配選取的裝置建立新的自訂群組 (部分機器翻譯)。
刪除	從清查中刪除裝置。

合併裝置

如果 OT 感應器偵測到有多個網路實體與唯一裝置相關 (例如具有四張網路卡的 PLC，或是同時具備 WiFi 和實體網路卡的單一膝上型電腦)，建議您將裝置合併。

您只能合併已獲授權的裝置 (部分機器翻譯)。

重要

裝置合併無法復原。如果您錯誤地將兩部裝置合併，請刪除該裝置，並等候感應器重新探索這兩部裝置。

合併多部裝置：

登入您的 OT 感應器，然後選取 [裝置對應]。
選取您想要合併的授權裝置，並使用 SHIFT 鍵來選取多部裝置，然後以滑鼠右鍵按一下並選取 [合併]。
在提示字元中，選取 [確認] 以確認您想要合併這些裝置。

合併裝置之後，右上方會顯示確認訊息。合併事件會列於 OT 感應器的事件時間表中。

管理裝置通知

相較於能夠提供流量中可能會對網路造成威脅之變化詳細資料的警示，OT 感應器裝置對應上的裝置通知能提供可能需要您注意，但並非威脅之網路活動的詳細資料。

例如，您可能會收到關於應該重新連線的非使用中裝置，或是在裝置已不再屬於網路的情況下已予以移除的通知。

檢視和處理裝置通知：

登入 OT 感應器並選取 [裝置對應]>[通知]。
在右側的 [探索通知] 窗格中，依時間範圍、裝置、子網路或作業系統篩選通知。

例如：
每個通知可能都會有不同的風險降低選項。執行下列其中一項動作：
- 在一次只處理一個通知的情況下選取特定的風險降低動作，或是選取 [關閉] 以關閉沒有活動的通知。
- 選取 [全選] 以顯示有哪些通知可以一起處理 (部分機器翻譯)。清除對特定通知的選取，然後選取 [全部接受] 或 [全部關閉] 以同時處理任何剩餘選取的通知。

注意

如果選取的通知未關閉或在 14 天內加以處理，系統會自動解決這些通知。如需詳細資訊，請參閱下表自動解決一欄中指出的動作。

同時處理多個通知

可能會有您想要同時處理多個通知的情況，例如：

IT 將多部網路伺服器上的 OS 都升級了，且您想要了解所有新的伺服器版本。
某個群組的裝置已不再作用中，且您想要指示 OT 感應器從 OT 感應器中移除那些裝置。

當您同時處理多個通知時，可能還是會剩下需要手動處理的通知，例如針對新的 IP 位址或未偵測到任何子網路的情況。

裝置通知回應

下表列出每個通知的可用回應，以及我們建議使用每個回應的時機：

類型	描述	可用回應	自動解決
偵測到新的 IP	新的 IP 位址與裝置相關聯。這可能會在下列案例中發生： - 新的或其他 IP 位址已經與已偵測到的裝置相關聯，並具有現有的 MAC 位址。 - 針對使用 NetBIOS 名稱的裝置，偵測到新 IP 位址。 - 偵測到 IP 位址，作為與 MAC 位址相關聯的裝置的管理介面。 - 針對使用虛擬 IP 位址的裝置，偵測到新 IP 位址。	- 將其他 IP 設定至裝置：合併裝置 - 取代現有 IP：以新的位址取代任何現有的 IP 位址 - 關閉：移除通知。	關閉
未設定子網路	您的網路中目前未設定任何子網路。建議設定子網路，以讓您能夠在對應上區分 OT 與 IT 裝置。	- 開啟子網路設定並設定子網路 (部分機器翻譯)。 - 關閉：移除通知。	關閉
作業系統變更	一或多個新的作業系統已與裝置相關聯。	- 選取您想要與裝置相關聯的新 OS 名稱。 - 關閉：移除通知。	只有在尚未手動設定新作業系統的情況下才需要加以設定。如果已經設定作業系統：[關閉]。
新的子網路	已探索到新的子網路。	- 學習：自動新增子網路。 - 開啟子網路設定：新增所有遺失的子網路資訊。 - 關閉：移除通知。	關閉

檢視特定區域的裝置對應

如果您是使用已設定網站和區域的內部部署管理主控台，系統也會針對每個區域提供裝置對應。

在內部部署管理主控台上，區域對應會顯示與所選取區域相關的所有網路元素，包括 OT 感應器、偵測到的裝置等。

檢視區域對應：

登入內部部署管理主控台，然後針對您想要檢視的區域選取 [網站管理]>[檢視區域對應]。例如：

使用下列任何一個對應工具來變更您的對應顯示：

名稱	描述
儲存目前安排	儲存您對對應顯示所做的任何變更。
隱藏多點傳送/廣播位址	依預設為已選取。選取以顯示對應上的多點傳送和廣播裝置。
顯示 Purdue 線條	依預設為已選取。選取以隱藏對應上的 Purdue 線條。
重新配置	選取以依 Purdue 線條或區域對配置進行重新組織。
縮放至全螢幕	在對應上放大或縮小以在畫面上顯示整個對應。
依 IP/MAC 搜尋	選取特定 IP 或 MAC 位址以在對應上醒目提示裝置。
變更至不同區域對應	選取以開啟 [變更區域對應] 對話方塊，其中您可以選取不同的區域對應以加以檢視。
Zoom /	使用滑鼠或對應右側的 +/- 按鈕來將對應放大，以檢視每部裝置之間的連線。

放大以針對每部裝置檢視更多詳細資料，例如檢視依子網路進行分組的裝置數目，或是展開子網路。
以滑鼠右鍵按一下裝置，並選取 [檢視屬性] 以開啟 [裝置屬性] 對話方塊，其中具有更多關於裝置的詳細資料。
以滑鼠右鍵按一下以紅色顯示的裝置，然後選取 [檢視警示] 以跳至 [警示] 頁面，其中只會篩選出所選取裝置的警示。

內建裝置對應群組

下表列出 OT 感應器 [裝置對應] 頁面上現成可用的裝置群組。視您組織的需求建立額外的自訂群組 (部分機器翻譯)。

群組名稱	描述
攻擊媒介模擬	攻擊媒介報告中偵測到的易受攻擊裝置，其中 [在裝置對應中顯示] 選項已開啟 (部分機器翻譯)。
授權	在初始學習期間探索到的裝置，或是稍後手動標記為授權的裝置。
跨子網路連線	在兩個不同子網路之間進行通訊的裝置。
裝置清查篩選	根據在 OT 感應器的 [裝置清查] 頁面中建立之篩選 (部分機器翻譯) 的任何裝置。
已知應用程式	使用保留連接埠的裝置，例如 TCP。
上次活動	依上次作用中的時間範圍分組的裝置，例如：一小時、六小時、一天或七天。
非標準連接埠	使用非標準連接埠或使用的連接埠尚未指派別名的裝置。
不在 Active Directory 中	所有未與 Active Directory 通訊的非 PLC 裝置。
OT 通訊協定	處理已知 OT 流量的裝置。
輪詢間隔	依輪詢間隔分組的裝置。輪詢間隔會根據循環通道或週期自動產生。例如，15.0 秒、3.0 秒、1.5 秒或任何其他間隔。檢閱這項資訊可協助您了解系統是否太快或太慢輪詢。
程式設計	工程站和程式設計機器。
子網路	屬於特定子網路的裝置。
VLAN	與特定 VLAN 識別碼相關聯的裝置。

下一步

如需詳細資訊，請參閱調查裝置詳細目錄中的感應器偵測。

共用方式為