確認並更新偵測到的裝置詳細目錄
本文是一系列文章中的一篇,會說明如何使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑,並會說明如何使用微調的裝置詳細資料來檢閱您的裝置詳細目錄,並增強安全性監視。
必要條件
執行本文中的程序前,請確定您有:
以 [安全性分析人員] 或 [系統管理員] 使用者身分存取 OT 感應器。 如需詳細資訊,請參閱 使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
此步驟由您的部署小組執行。
在 Azure 入口網站上檢視您的裝置詳細目錄
登入您的 OT 感應器,然後選取 [裝置詳細目錄] 頁面。
選取 [編輯資料行] 即可檢視方格中的其他資訊,以便檢視每個裝置偵測到的資料。
我們特別建議檢閱 名稱、類別、類型 和 子類型、授權、掃描裝置 和 程式設計裝置 資料行的資料。
了解 OT 感應器偵測到的裝置,並識別您需要識別裝置屬性的任何感應器。
編輯每個裝置的裝置屬性
針對您需要編輯裝置屬性的每個裝置:
選取方格中的裝置,然後選取 [編輯] 以檢視編輯窗格。 例如:
視需要編輯下列任何裝置屬性:
名稱 描述 已授權的裝置 選取裝置是否為網路上的已知實體。 適用於 IoT 的 Defender 不會針對已獲授權裝置上的學習流量觸發警示。 名稱 根據預設,顯示為裝置的 IP 位址。 視需要將此更新為對您的裝置有意義的名稱。 說明 預設會保留空白。 視需要輸入有意義的裝置描述。 OS 平台 如果操作系統值被阻止偵測,請從下拉式清單中選取裝置的作業系統。 類型 如果裝置的類型被阻止偵測或需要修改,請從下拉式清單中選取裝置類型。 如需詳細資訊,請參閱 支援的裝置。 Purdue 等級 如果偵測到裝置的 Purdue 層級為 [未定義] 或 [自動],建議您選取另一個層級來微調您的資料。 如需詳細資訊,請參閱 在您的網路中放置 OT感應器。 掃描器 選取您的裝置是否為掃描裝置。 適用於 IoT 的 Defender 不會針對定義為掃描裝置的裝置上偵測到的活動觸發警示。 程式設計裝置 如果您的裝置為程式設計裝置,請選取。 適用於 IoT 的 Defender 不會針對定義為程式設計裝置的裝置上偵測到的活動觸發警示。 選取儲存以儲存變更。
合併重複的裝置
當您在檢閱裝置詳細目錄上偵測到的裝置時,請注意網路上是否偵測到相同裝置的多個項目。
例如,當您擁有具有四張網路卡的 PLC、具有 WiFi 與實體網路卡的膝上型電腦,或具有多張網路卡的單一工作站時,就可能發生此情況。
具有相同 IP 和 MAC 位址的裝置會自動合併,並識別為相同的裝置。 建議您合併任何重複的裝置,讓裝置詳細目錄中的每個項目都只代表您網路中一個唯一的裝置。
重要
裝置合併無法復原。 如果您不正確地合併裝置,則必須刪除已合併的裝置,並等候感應器重新探索這兩個裝置。
若要合併多個裝置,請在裝置詳細目錄中選取兩個或多個授權的裝置,然後選取 [合併]。
裝置及其所有屬性都會在裝置詳細目錄中合併。 例如,如果您合併兩部具有不同 IP 位址的裝置,則每個 IP 位址會顯示為新裝置中的個別介面。
增強裝置資料 (選擇性)
您可能會想要增加裝置可見度,並使用比偵測到的預設資料更多的詳細資料,來增強裝置資料。
若要提高 Windows 型裝置的裝置可見度,請使用適用於 IoT 的 Defender Windows Management Instrumentation (WMI) 工具。
如果您的組織網路原則防止某些資料被內嵌, 大量匯入額外的資料。