Comprobación y actualización del inventario de dispositivos detectado
Este artículo es uno de los artículos que describen la ruta de implementación para la supervisión de la tecnología de operaciones (OT) con Microsoft Defender para IoT y describe cómo revisar el inventario de dispositivos y mejorar la supervisión de la seguridad con detalles de dispositivo optimizados.
Requisitos previos
Antes de realizar los procedimientos de este artículo, asegúrese de que tiene:
Un sensor de OT instalado, configurado y activado, con datos de dispositivo detectados.
Acceso al sensor de OT como analista de seguridad o usuario administrador. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.
Los equipos de implementación realizan este paso.
Visualización del inventario de dispositivos en el sensor de OT
Inicie sesión en el sensor de OT y seleccione la página Inventario de dispositivos.
Seleccione Editar columnas para realizar cambios en el diseño de cuadrícula y mostrar más campos de datos para revisar los datos detectados para cada dispositivo.
Se recomienda especialmente revisar los datos de las columnas Nombre, Tipo, Autorización, Dispositivo de escáner, y Dispositivo de programación.
Revise los dispositivos enumerados en el inventario de dispositivos e identifique los dispositivos cuyas propiedades de dispositivo deben editarse.
Editar las propiedades del dispositivo por dispositivo
Para cada dispositivo en el que deba editar las propiedades del dispositivo:
Seleccione el dispositivo en la cuadrícula y, luego, seleccione Editar para ver el panel de edición. Por ejemplo:
Edite cualquiera de las siguientes propiedades de dispositivo según sea necesario:
Nombre Descripción Dispositivo autorizado Seleccione si el dispositivo es una entidad conocida en la red. Defender para IoT no desencadena alertas para el tráfico aprendido en dispositivos autorizados. Nombre De manera predeterminada, se muestra como la dirección IP del dispositivo. Actualícelo a un nombre descriptivo para el dispositivo según sea necesario. Descripción Se deja en blanco de manera predeterminada. Escriba una descripción significativa para el dispositivo según sea necesario. Plataforma de sistema operativo Si el valor del sistema operativo está bloqueado para la detección, seleccione el sistema operativo del dispositivo en la lista desplegable. Tipo Si el tipo del dispositivo está bloqueado para la detección o debe modificarse, seleccione un tipo de dispositivo en la lista desplegable. Para más información, consulte Dispositivos admitidos. Nivel de Purdue Si el nivel de Purdue del dispositivo se detecta como Indefinido o Automático, se recomienda seleccionar otro nivel para ajustar los datos. Para más información, consulte Colocación de sensores de OT en la red. Escáner Seleccione si el dispositivo es de examen. Defender para IoT no desencadena alertas para las actividades de examen detectadas en dispositivos definidos como los de examen. Dispositivo de programación Seleccione si el dispositivo es de programación. Defender para IoT no desencadena alertas para las actividades de programación detectadas en dispositivos definidos como los de programación. Haga clic en Guardar para guardar los cambios.
Combinar dispositivos duplicados
Al revisar los dispositivos detectados en el inventario de dispositivos, tenga en cuenta si se detectaron varias entradas para el mismo dispositivo en la red.
Por ejemplo, esto puede suceder si se tiene un PLC con cuatro tarjetas de red, un portátil con WiFi y una tarjeta de red física, o una sola estación de trabajo con varias tarjetas de red.
Los dispositivos con las mismas direcciones IP y MAC se combinan automáticamente y se identifican como el mismo dispositivo. Se recomienda combinar cualquier dispositivo duplicado para que cada entrada del inventario de dispositivos represente solo un dispositivo único en la red.
Importante
Las combinaciones de dispositivos son irreversibles. Si combina dispositivos incorrectamente, tendrá que eliminar el dispositivo combinado y esperar a que el sensor vuelva a detectar ambos dispositivos.
Para combinar varios dispositivos, seleccione dos o varios dispositivos autorizados del inventario de dispositivos y, después, seleccione Combinar.
Los dispositivos y todas sus propiedades se combinan en el inventario de dispositivos. Por ejemplo, si combina dos dispositivos con direcciones IP diferentes, cada dirección IP aparece como interfaces independientes en el nuevo dispositivo.
Mejorar los datos del dispositivo (opcional)
Es posible que quiera aumentar la visibilidad del dispositivo y mejorar los datos del dispositivo con más detalles que los datos predeterminados detectados.
Para aumentar la visibilidad de los dispositivos basados en Windows, use la herramienta Instrumental de administración de Windows (WMI) de Defender para IoT.
Si las directivas de red de la organización evitan la ingesta de algunos datos, importe los datos adicionales de forma masiva.