Investiguer les appareils sur une carte des appareils
Les cartes des appareils OT fournissent une représentation graphique des appareils réseau détectés par le capteur réseau OT et des connexions qui existent entre eux.
Utilisez une carte des appareils pour récupérer, analyser et gérer les informations sur les appareils, soit toutes en même temps, soit par segment réseau, comme des groupes d’intérêt ou des couches Purdue spécifiques. Si vous travaillez dans un environnement hermétique avec une console de gestion locale, utilisez une carte des zones pour voir les appareils de tous les capteurs OT connectés dans une zone spécifique.
Prérequis
Pour effectuer les procédures décrites dans cet article, vérifiez que vous avez bien :
Un capteur réseau OT installé, configuré et activé, avec du trafic réseau ingéré
Accès à votre capteur OT ou console de gestion locale. Les utilisateurs disposant du rôle Viewer peuvent voir des données sur la carte. Pour importer ou exporter des données ou bien modifier la vue cartographique, vous avez besoin d’un accès en tant qu’analyste de sécurité ou administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Pour voir les appareils de plusieurs capteurs dans une zone, vous avez également besoin d’une console de gestion locale installée, activée et configurée, avec plusieurs capteurs connectés et affectés à des sites et des zones.
Afficher les appareils sur la carte des appareils du capteur OT
Connectez-vous à votre capteur OT et sélectionnez Carte des appareils. Tous les appareils détectés par le capteur OT sont affichés par défaut en fonction de la couche Purdue.
Sur la carte des appareils du capteur OT :
- Les appareils qui ont des alertes encore actives apparaissent en rouge.
- Les étoiles représentent les appareils désignés comme importants.
- Les appareils sans aucune alerte apparaissent en noir ou en gris dans la vue des connexions en mode zoom avant.
Par exemple :
Effectuez un zoom avant et sélectionnez un appareil spécifique pour voir les connexions qui existent entre celui-ci et les autres appareils, apparaissant en bleu.
En mode zoom avant, chaque appareil présente les détails suivants :
- Le nom d’hôte, l’adresse IP et l’adresse du sous-réseau de l’appareil, le cas échéant.
- Le nombre d’alertes encore actives sur l’appareil.
- Le type d’appareil, représenté par différentes icônes.
- Le nombre d’appareils regroupés dans le sous-réseau d’un réseau informatique, le cas échéant. Ce nombre d’appareils apparaît dans un cercle noir.
- Une indication qui précise s’il s’agit d’un appareil récemment détecté ou non autorisé.
Cliquez avec le bouton droit sur un appareil spécifique et sélectionnez Voir les propriétés pour explorer au niveau du détail l’onglet Vue cartographique de la page des détails de l’appareil.
Modifier l’affichage de la carte du capteur OT
Utilisez l’un des outils de carte suivants pour modifier les données présentées et leur mode d’affichage :
| Nom | Description |
|---|---|
| Actualiser la carte | Sélectionnez cet outil pour actualiser la carte avec des données mises à jour. |
| Notifications | Sélectionnez cet outil pour voir les notifications d’appareils. |
| Rechercher par IP/MAC | Filtrez la carte pour afficher uniquement les appareils connectés à une adresse IP ou MAC spécifique. |
| Multidiffusion/diffusion | Sélectionnez cet outil pour modifier le filtre qui affiche ou masque les appareils de multidiffusion et de diffusion. Par défaut, le trafic de multidiffusion et de diffusion est masqué. |
| Ajouter un filtre (Dernière consultation) | Sélectionnez cet outil pour filtrer les appareils affichés selon une période spécifique, allant des cinq dernières minutes aux sept derniers jours. |
| Réinitialiser les filtres | Sélectionnez cet outil pour réinitialiser le filtre Dernière consultation. |
| Surlignage | Sélectionnez cet outil pour mettre en exergue les appareils appartenant à un groupe d’appareils spécifique. Les appareils mis en exergue figurent en bleu sur la carte. Utilisez la zone Rechercher dans les groupes pour rechercher des groupes d’appareils à mettre en exergue, ou développez vos options de groupe, puis sélectionnez le groupe à mettre en exergue. |
| Filter | Sélectionnez cet outil pour filtrer la carte afin d’afficher uniquement les appareils appartenant à un groupe d’appareils spécifique. Utilisez la zone Rechercher dans les groupes pour rechercher des groupes d’appareils, ou développez vos options de groupe, puis sélectionnez le groupe à filtrer. |
Zoom 
/ 
|
Effectuez un zoom avant sur la carte pour voir les connexions qui existent entre chaque appareil, à l’aide de la souris ou des boutons +/- situés à droite de la carte. |
Adapter à l’écran 
|
Effectue un zoom arrière pour que tous les appareils tiennent à l’écran. |
Ajuster à la sélection
|
Effectue un zoom arrière suffisant pour que tous les appareils sélectionnés tiennent à l’écran. |
Options de présentation IT/OT 
|
Sélectionnez Désactiver l’affichage des groupes de réseaux informatiques pour interdire la possibilité de réduire les sous-réseaux dans la carte. Cette option est activée par défaut. |
Options de disposition 
|
Sélectionnez l’une des options suivantes : - Épingler la disposition. Sélectionnez cet outil pour enregistrer les emplacements des appareils si vous les avez fait glisser vers de nouveaux emplacements sur la carte. - Disposition par connexions. Sélectionnez cet outil pour voir les appareils organisés selon leurs connexions. - Disposition par Purdue. Sélectionnez cet outil pour voir les appareils organisés selon leurs couches Purdue. |
Pour voir les détails d’un appareil, sélectionnez-en un et développez son volet d’informations situé à droite. Dans le volet d’informations d’un appareil :
- Sélectionnez Rapport d’activité pour accéder au rapport d’exploration de données de l’appareil.
- Sélectionnez Chronologie de l’événement pour accéder à la chronologie de l’événement de l’appareil.
- Sélectionnez Détails de l’appareil pour accéder à la page complète des détails de l’appareil.
Voir les sous-réseaux informatiques à partir de la carte des appareils d’un capteur OT
Par défaut, les appareils informatiques sont automatiquement regroupés par sous-réseau, afin que la carte se concentre sur les réseaux OT et IoT locaux.
Pour développer un sous-réseau informatique :
Connectez-vous à votre capteur OT et sélectionnez Carte des appareils.
Localisez votre sous-réseau dans la carte. Vous aurez peut-être besoin d’effectuer un zoom avant sur la carte pour voir une icône de sous-réseau, qui ressemble à plusieurs machines à l’intérieur d’un cadre. Par exemple :
Cliquez avec le bouton droit sur l’appareil de sous-réseau dans la carte et cliquez sur Développer le réseau.
Dans le message de confirmation qui s’affiche au-dessus de la carte, sélectionnez OK.
Pour réduire un sous-réseau informatique :
- Connectez-vous à votre capteur OT et sélectionnez Carte des appareils.
- Sélectionnez un ou plusieurs sous-réseaux développés, puis Tout réduire.
Afficher des informations sur un trafic entre des appareils connectés
Pour afficher des informations sur un trafic entre des appareils connectés :
Connectez-vous à votre capteur OT et sélectionnez Carte des appareils.
Recherchez deux appareils connectés sur la carte. Il est possible que vous ayez besoin d’effectuer un zoom avant sur la carte pour voir une icône d’appareil, qui ressemble à un moniteur.
Cliquez sur la ligne qui connecte deux appareils sur la carte, puis
développez le volet Propriétés de connexion à droite. Par exemple :
Dans le volet Propriétés de connexion, vous pouvez afficher des informations sur le trafic entre les deux appareils, par exemple :
- Combien de temps s’est-il écoulé depuis la première détection de la connexion.
- Adresse IP de chaque appareil.
- État de chaque appareil.
- Nombre d’alertes de chaque appareil.
- Graphique de la bande passante totale.
- Graphique du trafic principal par port.
Créer un groupe d’appareils personnalisé
En plus des groupes d’appareils intégrés du capteur OT, créez des groupes personnalisés selon vos besoins à utiliser dans le cadre de la mise en exergue ou du filtrage des appareils sur la carte.
Sélectionnez + Créer un groupe personnalisé dans la barre d’outils ou cliquez avec le bouton droit sur un appareil dans la carte, puis sélectionnez Ajouter au groupe personnalisé.
Dans le volet Ajouter un groupe personnalisé :
- Dans le champ Nom, entrez un nom explicite pour votre groupe, contenant jusqu’à 30 caractères.
- Dans le menu Copier à partir de groupes, sélectionnez les groupes à partir desquels vous voulez copier des appareils.
- Dans le menu Appareils, sélectionnez les appareils supplémentaires à ajouter à votre groupe.
Importer/exporter des données d’appareil
Utilisez l’une des options suivantes pour importer et exporter des données d’appareil :
- Importer des appareils. Sélectionnez cette option pour importer des appareils à partir d’un fichier .CSV préconfiguré.
- Exporter des appareils. Sélectionnez cette option pour exporter tous les appareils actuellement affichés, avec tous les détails, dans un fichier .CSV.
- Exporter le résumé des appareils. Sélectionnez cette option pour exporter un résumé général de tous les appareils actuellement affichés dans un fichier .CSV.
Modifier des appareils
Connectez-vous à un capteur OT et sélectionnez Carte des appareils.
Cliquez avec le bouton droit sur un appareil pour ouvrir le menu des options de l’appareil, puis sélectionnez l’une des options suivantes :
Nom Description Modifier les propriétés Ouvre le volet de modification dans lequel vous pouvez modifier les propriétés de l’appareil, comme l’autorisation, le nom, la description, la plateforme du système d’exploitation, le type d’appareil, le niveau Purdue et indiquer s’il s’agit d’un scanneur ou d’un appareil de programmation. Afficher les propriétés Ouvre la page des détails de l’appareil. Autoriser/Annuler l’autorisation Change l’état d’autorisation de l’appareil. Marquer comme important/non important Change l’état d’importance de l’appareil, en mettant en exergue les serveurs vitaux pour l’entreprise sur la carte, à l’aide d’une étoile, et ailleurs, notamment dans les rapports des capteurs OT et l’inventaire des appareils Azure. Afficher les alertes / Afficher les événements Ouvre l’onglet Alertes ou Chronologie de l’événement dans la page des détails de l’appareil. Rapport d’activité Génère un rapport d’activité de l’appareil pendant l’intervalle de temps sélectionné. Simuler les vecteurs d’attaque Génère une simulation de vecteurs d’attaque pour l’appareil sélectionné. Ajouter au groupe personnalisé Crée un groupe personnalisé avec l’appareil sélectionné. Supprimer Supprime l’appareil de l’inventaire.
Fusionner des appareils
Vous pouvez éventuellement fusionner des appareils si le capteur OT a détecté plusieurs entités réseau associées à un seul appareil, comme un automate programmable (PLC) avec quatre cartes réseau ou un ordinateur portable avec à la fois une carte Wi-Fi et une carte réseau physique.
Vous pouvez uniquement fusionner des appareils autorisés.
Important
Vous ne pouvez pas annuler une fusion d’appareil. Si vous avez fusionné deux appareils par erreur, supprimez-les et attendez que le capteur les redécouvre tous les deux.
Pour fusionner plusieurs appareils :
Connectez-vous à votre capteur OT et sélectionnez Carte des appareils.
Sélectionnez les appareils autorisés que vous voulez fusionner à l’aide de la touche Maj pour sélectionner plusieurs appareils, puis cliquez avec le bouton droit et sélectionnez Fusionner.
À l’invite, sélectionnez Confirmer pour confirmer que vous voulez fusionner les appareils.
Les appareils sont fusionnés et un message de confirmation s’affiche en haut à droite. Les événements de fusion sont listés dans la chronologie des événements du capteur OT.
Gérer les notifications d’appareils
Contrairement aux alertes, qui fournissent des détails sur les modifications de votre trafic susceptibles de représenter une menace pour votre réseau, les notifications d’appareils sur une carte des appareils d’un capteur OT fournissent des détails sur l’activité réseau susceptible de nécessiter votre attention, mais qui ne constitue pas une menace.
Par exemple, vous pouvez recevoir une notification sur un appareil inactif qui a besoin d’être reconnecté ou supprimé s’il ne fait plus partie du réseau.
Pour afficher et gérer les notifications d’appareils :
Connectez-vous au capteur OT et sélectionnez Carte des appareils>Notifications.
Dans le volet Notifications de découverte situé à droite, filtrez les notifications selon vos besoins par intervalle de temps, appareil, sous-réseau ou système d’exploitation.
Par exemple :
Chaque notification peut proposer des options d’atténuation différentes. Effectuez l'une des opérations suivantes :
- Gérez une seule notification à la fois, en sélectionnant une action d’atténuation spécifique ou en sélectionnant Ignorer pour fermer la notification sans effectuer d’action.
- Choisissez Tout sélectionner pour afficher les notifications pouvant être gérées ensemble. Effacez les sélections pour des notifications spécifiques, puis sélectionnez Accepter tout ou Ignorer tout pour gérer les notifications sélectionnées restantes ensemble.
Notes
Les notifications sélectionnées sont automatiquement résolues si elles ne sont pas ignorées ni gérées dans un délai de 14 jours. Pour plus d’informations, consultez l’action indiquée dans la colonne Résolution automatique dans le tableau ci-dessous.
Gestion de plusieurs notifications ensemble
Dans certaines situations, vous pouvez avoir envie de gérer plusieurs notifications ensemble, notamment les suivantes :
Le service informatique a mis à niveau le système d’exploitation sur plusieurs serveurs réseau et vous voulez découvrir toutes les nouvelles versions de serveur.
Un groupe d’appareils n’est plus actif et vous voulez que le capteur OT supprime ces appareils.
Quand vous gérez plusieurs notifications ensemble, vous pouvez quand même avoir des notifications restantes à gérer manuellement, par exemple en cas de nouvelles adresses IP ou de nouveaux sous-réseaux non détectés.
Réponses aux notifications d’appareils
Le tableau suivant liste les réponses disponibles pour chaque notification et nos recommandations d’utilisation :
| Type | Description | Réponses disponibles | Résolution automatique |
|---|---|---|---|
| Nouvelle adresse IP détectée | Une nouvelle adresse IP est associée à l’appareil. Cela peut se produire dans les scénarios suivants : - Une adresse IP nouvelle ou supplémentaire a été associée à un appareil déjà détecté, avec une adresse MAC existante. - Une nouvelle adresse IP a été détectée pour un appareil qui utilise un nom NetBIOS. - Une adresse IP a été détectée en tant qu’interface de gestion pour un appareil associé à une adresse MAC. - Une nouvelle adresse IP a été détectée pour un appareil qui utilise une adresse IP virtuelle. |
- Définir une adresse IP supplémentaire sur l’appareil : fusionner les appareils - Remplacer l’adresse IP existante : remplace toute adresse IP existante par la nouvelle adresse - Ignorer : Supprime la notification. |
Abandonner |
| Aucun sous-réseau configuré | Aucun sous-réseau n’est actuellement configuré dans votre réseau. Nous vous recommandons de configurer des sous-réseaux pour pouvoir différencier les appareils OT et les appareils informatiques sur la carte. |
- Ouvrez Configuration du sous-réseau et configurez les sous-réseaux. - Ignorer : Supprime la notification. |
Abandonner |
| Changements liés au système d’exploitation | Un ou plusieurs nouveaux systèmes d’exploitation ont été associés à l’appareil. | - Sélectionnez le nom du nouveau système d’exploitation à associer à l’appareil. - Ignorer : Supprime la notification. |
Définissez uniquement avec le nouveau système d’exploitation s’il n’est pas déjà configuré manuellement. Si le système d’exploitation est déjà configuré : Ignorer. |
| Nouveaux sous-réseaux | De nouveaux sous-réseaux ont été découverts. | - Learn : Ajoute automatiquement le sous-réseau. - Ouvrir Configuration des sous-réseaux : Ajoute toutes les informations manquantes sur les sous-réseaux. - Ignorer : Supprimez la notification. |
Abandonner |
Afficher une carte des appareils pour une zone spécifique
Si vous utilisez une console de gestion locale avec des sites et des zones configurés, des cartes des appareils sont également disponibles pour chaque zone.
Dans la console de gestion locale, les cartes des zones présentent tous les éléments réseau liés à une zone sélectionnée, y compris les capteurs OT, les appareils détectés, etc.
Pour afficher une carte des zones :
Connectez-vous à une console de gestion locale et sélectionnez Gestion de site>Voir la carte des zones pour la zone à afficher. Par exemple :
Utilisez l’un des outils suivants pour modifier l’affichage de votre carte :
Nom Description Enregistrer la disposition actuelle
Enregistre toutes les modifications que vous avez apportées à l’affichage de la carte. Masquer les adresses de multidiffusion/diffusion 
Option sélectionnée par défaut. Sélectionnez cet outil pour afficher les appareils de multidiffusion et de diffusion sur la carte. Présenter des couches Purdue 
Option sélectionnée par défaut. Sélectionnez cet outil pour masquer les lignes Purdue sur la carte. Réorganisation
Sélectionnez cet outil pour réorganiser la disposition par lignes Purdue ou par zone. Mettre à l’échelle pour ajuster l’écran
Effectue un zoom avant ou arrière sur la carte afin que la carte entière tienne à l’écran. Rechercher par IP/MAC Sélectionnez une adresse IP ou MAC spécifique pour mettre en exergue l’appareil sur la carte. Passer à une autre carte des zones 
Sélectionnez cet outil pour ouvrir la boîte de dialogue Changer de carte des zones, où vous pouvez sélectionner une autre carte des zones à afficher. Zoom
/
Effectuez un zoom avant sur la carte pour voir les connexions qui existent entre chaque appareil, à l’aide de la souris ou des boutons +/- situés à droite de la carte. Effectuez un zoom avant pour voir plus de détails par appareil, par exemple pour voir le nombre d’appareils regroupés dans un sous-réseau ou pour développer un sous-réseau.
Cliquez avec le bouton droit sur un appareil et sélectionnez Voir les propriétés pour ouvrir une boîte de dialogue Propriétés de l’appareil, contenant d’autres détails sur l’appareil.
Cliquez avec le bouton droit sur un appareil affiché en rouge et sélectionnez Afficher les alertes pour accéder à la page Alertes, filtrée sur les alertes concernant l’appareil sélectionné uniquement.
Groupes de cartes des appareils intégrés
Le tableau suivant liste les groupes d’appareils disponibles et prêts à l’emploi figurant dans la page Carte des appareils du capteur OT. Créez des groupes personnalisés supplémentaires selon les besoins de votre organisation.
| Nom du groupe | Description |
|---|---|
| Simulations de vecteurs d’attaque | Appareils vulnérables détectés dans les rapports de vecteur d’attaque, où l’option Afficher dans la table des périphériques est activée. |
| Autorisation | Appareils qui ont été découverts au cours d’une période d’apprentissage initiale ou qui ont été marqués manuellement par la suite comme étant des appareils autorisés. |
| Connexions entre sous-réseaux | Appareils qui communiquent d’un sous-réseau à un autre sous-réseau. |
| Filtres d’inventaire des appareils | Tous les appareils basés sur un filtre créé dans la page Inventaire des appareils du capteur OT. |
| Applications connues | Appareils qui utilisent des ports réservés, tels que TCP. |
| Dernière activité | Appareils regroupés selon le délai d’exécution pendant lequel ils ont été actifs pour la dernière fois, par exemple : une heure, six heures, un jour ou sept jours. |
| Ports non standard | Appareils qui utilisent des ports non standard ou des ports auxquels aucun alias n’a été attribué. |
| Non présent dans Active Directory | Tous les appareils non PLC qui ne communiquent pas avec Active Directory. |
| Protocoles OT | Appareils qui gèrent le trafic OT connu. |
| Fréquences d’interrogation | Appareils regroupés par intervalles d’interrogation. Les intervalles d’interrogation sont générés automatiquement en fonction de canaux cycliques ou de périodes. Par exemple, 15,0 secondes, 3,0 secondes, 1,5 seconde ou tout autre intervalle. L’examen de ces informations vous aide à déterminer si les systèmes sont interrogés trop rapidement ou lentement. |
| Programmation | Stations d’ingénierie et machines de programmation. |
| Sous-réseaux | Appareils appartenant à un sous-réseau spécifique. |
| VLAN | Appareils associés à un ID de VLAN spécifique. |
Étapes suivantes
Pour plus d’informations, consultez Examiner les détections de capteur dans un inventaire d’appareils.