Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le mappe dei dispositivi OT forniscono una rappresentazione grafica dei dispositivi di rete rilevati dal sensore di rete OT e delle connessioni tra di essi.
Usare una mappa dei dispositivi per recuperare, analizzare e gestire le informazioni sul dispositivo, tutte contemporaneamente o per segmento di rete, ad esempio gruppi di interesse specifici o livelli Purdue. Se si lavora in un ambiente con aria compressa con un sensore OT, usare una mappa di zona per visualizzare i dispositivi in tutti i sensori OT connessi in una zona specifica.
Prerequisiti
Per eseguire le procedure descritte in questo articolo, assicurarsi di avere:
Sensore di rete OT installato, configurato e attivato, con traffico di rete inserito.
Accesso al sensore OT. Gli utenti con il ruolo Visualizzatore possono visualizzare i dati sulla mappa. Per importare o esportare dati o modificare la visualizzazione mappa, è necessario accedere come analista della sicurezza o Amministrazione utente. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Per visualizzare i dispositivi in più sensori in una zona, è necessario anche un sensore OT installato, attivato e configurato, con più sensori connessi e assegnati a siti e zone.
Visualizzare i dispositivi nella mappa dei dispositivi del sensore OT
Accedere al sensore OT e selezionare Mappa del dispositivo. Tutti i dispositivi rilevati dal sensore OT vengono visualizzati per impostazione predefinita in base al livello Purdue.
Sulla mappa del dispositivo del sensore OT:
- I dispositivi con avvisi attualmente attivi sono evidenziati in rosso
- I dispositivi stellati sono quelli contrassegnati come importanti
- I dispositivi senza avvisi vengono visualizzati in nero o grigio nella visualizzazione connessioni ingrandite
Ad esempio:
Ingrandire e selezionare un dispositivo specifico per visualizzare le connessioni tra esso e altri dispositivi, evidenziate in blu.
Quando si esegue lo zoom avanti, ogni dispositivo mostra i dettagli seguenti:
- Se pertinente, il nome host, l'indirizzo IP e l'indirizzo subnet del dispositivo.
- Numero di avvisi attualmente attivi nel dispositivo.
- Tipo di dispositivo, rappresentato da varie icone.
- Numero di dispositivi raggruppati in una subnet in una rete IT, se pertinente. Questo numero di dispositivi viene visualizzato in un cerchio nero.
- Indica se il dispositivo è stato appena rilevato o non autorizzato.
Fare clic con il pulsante destro del mouse su un dispositivo specifico e scegliere Visualizza proprietà per eseguire il drill-down nella scheda Visualizzazione mappa nella pagina dei dettagli del dispositivo.
Modificare la visualizzazione della mappa del sensore OT
Usare uno degli strumenti di mappa seguenti per modificare i dati visualizzati e come vengono visualizzati:
| Nome | Descrizione |
|---|---|
| Aggiorna mappa | Selezionare questa opzione per aggiornare la mappa con i dati aggiornati. |
| Notifiche | Selezionare questa opzione per visualizzare le notifiche dei dispositivi. |
| Ricerca per IP/MAC | Filtrare la mappa in modo da visualizzare solo i dispositivi connessi a un indirizzo IP o MAC specifico. |
| Multicast/broadcast | Selezionare questa opzione per modificare il filtro che mostra o nasconde i dispositivi multicast e broadcast. Per impostazione predefinita, il traffico multicast e broadcast è nascosto. |
| Aggiungi filtro (ultima visualizzazione) | Selezionare questa opzione per filtrare i dispositivi visualizzati da quelli visualizzati in un periodo di tempo specifico, dagli ultimi cinque minuti agli ultimi sette giorni. |
| Reimpostare i filtri | Selezionare questa opzione per reimpostare l'ultimo filtro visualizzato . |
| Evidenziare | Selezionare questa opzione per evidenziare i dispositivi in un gruppo di dispositivi specifico. I dispositivi evidenziati vengono visualizzati sulla mappa in blu. Usare la casella Gruppi di ricerca per cercare i gruppi di dispositivi da evidenziare o espandere le opzioni del gruppo e quindi selezionare il gruppo da evidenziare. |
| Filter | Selezionare questa opzione per filtrare la mappa per visualizzare solo i dispositivi in un gruppo di dispositivi specifico. Usare la casella Cerca gruppi per cercare i gruppi di dispositivi o espandere le opzioni del gruppo e quindi selezionare il gruppo in base al quale filtrare. |
Zoom 
/ 
|
Zoom avanti sulla mappa per visualizzare le connessioni tra ogni dispositivo, usando il mouse o i +/- pulsanti a destra della mappa. |
Adatta allo schermo 
|
Zoom indietro per adattare tutti i dispositivi sullo schermo |
Adatta alla selezione
|
Zoom indietro sufficiente per adattare tutti i dispositivi selezionati sullo schermo |
Opzioni di presentazione IT/OT 
|
Selezionare Disabilita visualizza gruppi di reti IT per impedire la possibilità di comprimere le subnet nella mappa. Questa opzione è selezionata per impostazione predefinita. |
Opzioni di layout 
|
Selezionare una delle opzioni seguenti: - Layout aggiungi. Selezionare questa opzione per salvare le posizioni dei dispositivi se sono state trascinate in nuove posizioni sulla mappa. - Layout in base alla connessione. Selezionare questa opzione per visualizzare i dispositivi organizzati in base alle connessioni. - Layout di Purdue. Selezionare questa opzione per visualizzare i dispositivi organizzati in base ai livelli Purdue. |
Per visualizzare i dettagli del dispositivo, selezionare un dispositivo ed espandere il riquadro dei dettagli del dispositivo a destra. In un riquadro dei dettagli del dispositivo:
- Selezionare Report attività per passare al report di data mining del dispositivo
- Selezionare Sequenza temporale eventi per passare alla sequenza temporale degli eventi del dispositivo
- Selezionare Dettagli dispositivo per passare a una pagina completa dei dettagli del dispositivo.
Visualizzare le subnet IT da una mappa dei dispositivi del sensore OT
Per impostazione predefinita, i dispositivi IT vengono aggregati automaticamente per subnet, in modo che la mappa sia incentrata sulle reti OT e IoT locali.
Per espandere una subnet IT:
Accedere al sensore OT e selezionare Mappa del dispositivo.
Individuare la subnet sulla mappa. Potrebbe essere necessario ingrandire la mappa per visualizzare un'icona della subnet, simile a diversi computer all'interno di una casella. Ad esempio:
Fare clic con il pulsante destro del mouse sul dispositivo subnet sulla mappa ed espandere Rete.
Nel messaggio di conferma visualizzato sopra la mappa selezionare OK.
Per comprimere una subnet IT:
- Accedere al sensore OT e selezionare Mappa del dispositivo.
- Selezionare una o più subnet espanse e quindi selezionare Comprimi tutto.
Visualizzare i dettagli del traffico tra dispositivi connessi
Per visualizzare i dettagli del traffico tra i dispositivi connessi:
Accedere al sensore OT e selezionare Mappa del dispositivo.
Individuare due dispositivi connessi sulla mappa. Potrebbe essere necessario ingrandire la mappa per visualizzare un'icona del dispositivo, simile a un monitor.
Fare clic sulla linea che collega due dispositivi sulla mappa e quindi
espandere il riquadro Proprietà connessione a destra. Ad esempio:
Nel riquadro Proprietà connessione è possibile visualizzare i dettagli del traffico tra i due dispositivi, ad esempio:
- Quanto tempo fa la connessione è stata rilevata per la prima volta.
- Indirizzo IP di ogni dispositivo.
- Stato di ogni dispositivo.
- Numero di avvisi per ogni dispositivo.
- Grafico per la larghezza di banda totale.
- Grafico per il traffico principale in base alla porta.
Creare un gruppo di dispositivi personalizzato
Oltre ai gruppi di dispositivi predefiniti del sensore OT, creare nuovi gruppi personalizzati in base alle esigenze da usare durante l'evidenziazione o il filtro dei dispositivi sulla mappa.
Selezionare + Crea gruppo personalizzato sulla barra degli strumenti oppure fare clic con il pulsante destro del mouse su un dispositivo nella mappa e quindi scegliere Aggiungi al gruppo personalizzato.
Nel riquadro Aggiungi gruppo personalizzato :
- Nel campo Nome immettere un nome significativo per il gruppo, con un massimo di 30 caratteri.
- Dal menu Copia da gruppi selezionare tutti i gruppi da cui si desidera copiare i dispositivi.
- Dal menu Dispositivi selezionare eventuali dispositivi aggiuntivi da aggiungere al gruppo.
Importare/esportare i dati del dispositivo
Usare una delle opzioni seguenti per importare ed esportare i dati del dispositivo:
- Importare dispositivi. Selezionare questa opzione per importare dispositivi da un file di .CSV pre-configurato.
- Esportare i dispositivi. Selezionare questa opzione per esportare tutti i dispositivi attualmente visualizzati, con dettagli completi, in un file di .CSV.
- Riepilogo dell'esportazione del dispositivo. Selezionare questa opzione per esportare un riepilogo generale di tutti i dispositivi attualmente visualizzati in un file .CSV.
Modificare i dispositivi
Accedere a un sensore OT e selezionare Mappa del dispositivo.
Fare clic con il pulsante destro del mouse su un dispositivo per aprire il menu delle opzioni del dispositivo e quindi selezionare una delle opzioni seguenti:
Nome Descrizione Modificare le proprietà Apre il riquadro di modifica in cui è possibile modificare le proprietà del dispositivo, ad esempio autorizzazione, nome, descrizione, piattaforma del sistema operativo, tipo di dispositivo, livello Purdue e se si tratta di uno scanner o di un dispositivo di programmazione. Visualizzare le proprietà Apre la pagina dei dettagli del dispositivo. Autorizzazione/annullamento dell'autorizzazione Modifica lo stato di autorizzazione del dispositivo. Contrassegna come importante/non importante Modifica lo stato di importanza del dispositivo, evidenziando i server business critical sulla mappa con una stella e altrove, inclusi i report dei sensori OT e l'inventario dei dispositivi Azure. Mostra avvisi / Mostra eventi Apre la scheda Avvisi o Sequenza temporale eventi nella pagina dei dettagli del dispositivo. Rapporto attività Genera un report attività per il dispositivo per l'intervallo di tempo selezionato. Simulare i vettori di attacco Genera una simulazione del vettore di attacco per il dispositivo selezionato. Aggiungi al gruppo personalizzato Crea un nuovo gruppo personalizzato con il dispositivo selezionato. Elimina Elimina il dispositivo dall'inventario.
Unire i dispositivi
È possibile unire i dispositivi se il sensore OT ha rilevato più entità di rete associate a un dispositivo univoco, ad esempio un PLC con quattro schede di rete o un singolo portatile con wi-fi e una scheda di rete fisica.
È possibile unire solo i dispositivi autorizzati.
Importante
Non è possibile annullare l'unione di un dispositivo. Se due dispositivi sono stati uniti per errore, eliminare i dispositivi e quindi attendere che il sensore riscoperti entrambi.
Per unire più dispositivi:
Accedere al sensore OT e selezionare Mappa del dispositivo.
Selezionare i dispositivi autorizzati da unire usando il tasto MAIUSC per selezionare più di un dispositivo, quindi fare clic con il pulsante destro del mouse e scegliere Unisci.
Al prompt selezionare Conferma per confermare che si desidera unire i dispositivi.
I dispositivi vengono uniti e viene visualizzato un messaggio di conferma in alto a destra. Gli eventi di merge sono elencati nella sequenza temporale degli eventi del sensore OT.
Gestire le notifiche dei dispositivi
Anziché gli avvisi, che forniscono dettagli sulle modifiche del traffico che potrebbero costituire una minaccia per la rete, le notifiche del dispositivo in una mappa del dispositivo sensore OT forniscono dettagli sulle attività di rete che potrebbero richiedere attenzione, ma non sono minacce.
Ad esempio, è possibile ricevere una notifica su un dispositivo inattivo che deve essere riconnesso o rimosso se non fa più parte della rete.
Per visualizzare e gestire le notifiche dei dispositivi:
Accedere al sensore OT e selezionare Notifiche mappa> del dispositivo.
Nel riquadro Notifiche di individuazione a destra filtrare le notifiche in base all'intervallo di tempo, al dispositivo, alla subnet o ai sistemi operativi.
Ad esempio:
Ogni notifica può avere opzioni di mitigazione diverse. Eseguire una delle operazioni seguenti:
- Gestire una notifica alla volta, selezionare un'azione di mitigazione specifica o selezionare Ignora per chiudere la notifica senza alcuna attività.
- Selezionare Seleziona tutto per visualizzare le notifiche che possono essere gestite insieme. Deselezionare le selezioni per notifiche specifiche e quindi selezionare Accetta tutto o Ignora tutto per gestire insieme le eventuali notifiche selezionate rimanenti.
Nota
Le notifiche selezionate vengono risolte automaticamente se non vengono ignorate o gestite in altro modo entro 14 giorni. Per altre informazioni, vedere l'azione indicata nella colonna Risoluzione automatica nella tabella seguente.
Gestione di più notifiche insieme
È possibile che si verifichino situazioni in cui si vogliono gestire più notifiche insieme, ad esempio:
L'IT ha aggiornato il sistema operativo tra più server di rete e si vogliono apprendere tutte le nuove versioni del server.
Un gruppo di dispositivi non è più attivo e si vuole indicare al sensore OT di rimuovere i dispositivi dal sensore OT.
Quando si gestiscono più notifiche insieme, potrebbero essere ancora presenti notifiche rimanenti che devono essere gestite manualmente, ad esempio per i nuovi indirizzi IP o nessuna subnet rilevata.
Risposte alle notifiche del dispositivo
Nella tabella seguente sono elencate le risposte disponibili per ogni notifica e quando è consigliabile usare ognuna di esse:
| Tipo | Descrizione | Risposte disponibili | Risoluzione automatica |
|---|---|---|---|
| Rilevato nuovo INDIRIZZO IP | Al dispositivo è associato un nuovo indirizzo IP. Ciò può verificarsi negli scenari seguenti: - Un indirizzo IP nuovo o aggiuntivo è stato associato a un dispositivo già rilevato, con un indirizzo MAC esistente. - È stato rilevato un nuovo indirizzo IP per un dispositivo che usa un nome NetBIOS. - È stato rilevato un indirizzo IP come interfaccia di gestione per un dispositivo associato a un indirizzo MAC. - È stato rilevato un nuovo indirizzo IP per un dispositivo che usa un indirizzo IP virtuale. |
-
Impostare l'indirizzo IP aggiuntivo sul dispositivo: unire i dispositivi - Sostituisci indirizzo IP esistente: sostituisce qualsiasi indirizzo IP esistente con il nuovo indirizzo - Ignora: rimuovere la notifica. |
Respingere |
| Nessuna subnet configurata | Nessuna subnet attualmente configurata nella rete. È consigliabile configurare le subnet per la possibilità di distinguere tra dispositivi OT e IT sulla mappa. |
-
Aprire Configurazione subnet e configurare le subnet. - Ignora: rimuovere la notifica. |
Respingere |
| Modifiche del sistema operativo | Uno o più nuovi sistemi operativi sono stati associati al dispositivo. | - Selezionare il nome del nuovo sistema operativo da associare al dispositivo. - Ignora: rimuovere la notifica. |
Impostare con il nuovo sistema operativo solo se non è già configurato manualmente. Se il sistema operativo è già stato configurato: Ignorare. |
| Nuove subnet | Sono state individuate nuove subnet. |
-
Learn: Aggiungere automaticamente la subnet. - Aprire Configurazione subnet: aggiungere tutte le informazioni sulla subnet mancanti. - Ignora: Rimuovere la notifica. |
Respingere |
Visualizzare una mappa del dispositivo per una zona specifica
Se si usa un sensore OT con siti e zone configurati, le mappe dei dispositivi sono disponibili anche per ogni zona.
Nella console del sensore OT, le mappe di zona mostrano tutti gli elementi di rete correlati a una zona selezionata, inclusi sensori OT, dispositivi rilevati e altro ancora.
Per visualizzare una mappa di zona:
Accedere a un sensore OT e selezionare Site Management>View Zone Map per la zona da visualizzare. Ad esempio:
Usare uno degli strumenti di mappa seguenti per modificare la visualizzazione della mappa:
Nome Descrizione Salvare la disposizione corrente
Salva tutte le modifiche apportate nella visualizzazione mappa. Nascondere gli indirizzi multicast/broadcast 
Selezionata per impostazione predefinita. Selezionare questa opzione per visualizzare i dispositivi multicast e broadcast sulla mappa. Linee purdue presenti 
Selezionata per impostazione predefinita. Selezionare questa opzione per nascondere le linee Purdue sulla mappa. Nuovo layout
Selezionare questa opzione per riorganizzare il layout in base alle linee Purdue o alla zona. Ridimensiona per adattarlo allo schermo
Zoom avanti o indietro sulla mappa in modo che l'intera mappa si adatti sullo schermo. Ricerca per IP/MAC Selezionare un indirizzo IP o MAC specifico per evidenziare il dispositivo sulla mappa. Passare a una mappa di zona diversa 
Selezionare questa opzione per aprire la finestra di dialogo Modifica mappa zona , in cui è possibile selezionare una mappa di zona diversa da visualizzare. Zoom
/
Zoom avanti sulla mappa per visualizzare le connessioni tra ogni dispositivo, usando il mouse o i +/- pulsanti a destra della mappa. Eseguire lo zoom avanti per visualizzare altri dettagli per ogni dispositivo, ad esempio per visualizzare il numero di dispositivi raggruppati in una subnet o per espandere una subnet.
Fare clic con il pulsante destro del mouse su un dispositivo e scegliere Visualizza proprietà per aprire una finestra di dialogo Proprietà dispositivo , con altri dettagli sul dispositivo.
Fare clic con il pulsante destro del mouse su un dispositivo visualizzato in rosso e scegliere Visualizza avvisi per passare alla pagina Avvisi, con avvisi filtrati solo per il dispositivo selezionato.
Gruppi di mappe dei dispositivi predefiniti
Nella tabella seguente sono elencati i gruppi di dispositivi disponibili predefiniti nella pagina Mappa dispositivo del sensore OT. Creare gruppi aggiuntivi personalizzati in base alle esigenze per l'organizzazione.
| Nome del gruppo | Descrizione |
|---|---|
| Simulazioni di vettori di attacco | Dispositivi vulnerabili rilevati nei report del vettore di attacco, in cui l'opzione Mostra nella mappa dispositivi è attivata o disattivata. |
| Autorizzazione | Dispositivi individuati durante un periodo di apprendimento iniziale o successivamente contrassegnati manualmente come dispositivi autorizzati . |
| Connessioni tra subnet | Dispositivi che comunicano da una subnet a un'altra subnet. |
| Filtri di inventario dei dispositivi | Tutti i dispositivi basati su un filtro creato nella pagina Inventario dispositivi del sensore OT. |
| Applicazioni note | Dispositivi che usano porte riservate, ad esempio TCP. |
| Ultima attività | Dispositivi raggruppati in base all'intervallo di tempo in cui sono stati attivi, ad esempio un'ora, sei ore, un giorno o sette giorni. |
| Porte non standard | Dispositivi che usano porte o porte non standard a cui non è stato assegnato un alias. |
| Non in Active Directory | Tutti i dispositivi non PLC che non comunicano con Active Directory. |
| Protocolli OT | Dispositivi che gestiscono il traffico OT noto. |
| Intervalli di polling | Dispositivi raggruppati in base agli intervalli di polling. Gli intervalli di polling vengono generati automaticamente in base a canali o periodi ciclici. Ad esempio, 15,0 secondi, 3,0 secondi, 1,5 secondi o qualsiasi altro intervallo. La revisione di queste informazioni consente di sapere se i sistemi eseguono il polling troppo rapidamente o lentamente. |
| Programmazione | Stazioni di progettazione e computer di programmazione. |
| Subnet | Dispositivi che appartengono a una subnet specifica. |
| VLAN | Dispositivi associati a un ID VLAN specifico. |
Passaggi successivi
Per altre informazioni, vedere Analizzare i rilevamenti dei sensori in un inventario dispositivi.