Vérifier et mettre à jour votre inventaire d’appareils détecté
Cet article, qui fait partie d’une série d’articles décrivant le chemin de déploiement de la surveillance de la technologie opérationnelle (OT) avec Microsoft Defender pour IoT, explique comment passer en revue votre inventaire d’appareils et comment améliorer la surveillance de la sécurité avec des détails affinés sur les appareils.
Prérequis
Avant d’effectuer les procédures décrites dans cet article, vérifiez que vous avez :
Un capteur OT installé, configuré et activé, avec des données d’appareil détectées.
Un accès à votre capteur OT en tant qu’utilisateur Analyste de sécurité ou Administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Cette étape est effectuée par vos équipes de déploiement.
Afficher l’inventaire des appareils dans le capteur OT
Connectez-vous à votre capteur OT et sélectionnez la page Inventaire d’appareils.
Sélectionnez Modifier les colonnes pour apporter des modifications à la disposition de la grille, mais aussi afficher d’autres champs de données pour examiner les données détectées pour chaque appareil.
Nous vous recommandons en particulier d’examiner les données pour les colonnes Nom, Type, Autorisation, Appareil scanneur et Périphérique de programmation.
Passez en revue les appareils répertoriés dans l’inventaire des appareils et identifiez ceux dont les propriétés doivent être modifiées.
Modifier les propriétés d’appareil par appareil
Pour chaque appareil où vous devez modifier les propriétés d’appareil :
Sélectionnez l’appareil dans la grille, puis sélectionnez Modifier pour afficher le volet de modification. Par exemple :
Modifiez l’une des propriétés d’appareil suivantes en fonction des besoins :
Nom Description Appareil autorisé Sélectionnez si l’appareil est une entité connue sur votre réseau. Defender pour IoT ne déclenche pas d’alertes pour le trafic appris sur les appareils autorisés. Nom Par défaut, indique l’adresse IP de l’appareil. Remplacez ce nom par un nom explicite pour votre appareil en fonction des besoins. Description Laissé vide par défaut. Entrez une description explicite pour votre appareil en fonction des besoins. Plateforme du système d’exploitation Si la valeur du système d’exploitation est bloquée pour la détection, sélectionnez le système d’exploitation de l’appareil dans la liste déroulante. Type Si le type de l’appareil est bloqué pour la détection ou doit être modifié, sélectionnez un type d’appareil dans la liste déroulante. Pour plus d’informations, consultez Appareils pris en charge. Niveau Purdue Si le niveau Purdue de l’appareil est détecté comme indéfini ou automatique, nous vous recommandons de sélectionner un autre niveau pour affiner vos données. Pour plus d’informations, consultez Placement de capteurs OT dans votre réseau. Scanneur Sélectionnez si votre appareil est un appareil d’analyse. Defender pour IoT ne déclenche pas d’alertes pour les activités d’analyse détectées sur les appareils définis en tant qu’appareils d’analyse. Appareil de programmation Sélectionnez si votre appareil est un appareil de programmation. Defender pour IoT ne déclenche pas d’alertes pour les activités de programmation détectées sur les appareils définis comme des appareils de programmation. Cliquez sur Enregistrer pour enregistrer vos modifications.
Fusionner les appareils en double
Lorsque vous évaluez les appareils détectés dans votre inventaire d’appareils, notez si plusieurs entrées ont été détectées pour le même appareil sur votre réseau.
Par exemple, il peut s’agir d’un PLC avec quatre cartes réseau, d’un ordinateur portable avec Wi-Fi et carte réseau physique, ou d’une même station de travail avec plusieurs cartes réseau.
Les appareils avec les mêmes adresses IP et MAC sont automatiquement fusionnés et identifiés comme le même appareil. Nous vous recommandons de fusionner tous les appareils en double afin que chaque entrée de l’inventaire des appareils ne représente qu’un seul appareil de votre réseau.
Important
Les fusions d’appareils sont irréversibles. Si vous fusionnez des appareils de manière incorrecte, vous devez supprimer l’appareil fusionné et attendre que le capteur détecte à nouveau les deux appareils.
Pour fusionner plusieurs appareils, sélectionnez au moins deux appareils autorisés dans l’inventaire des appareils, puis sélectionnez Fusionner.
Les appareils et toutes leurs propriétés sont fusionnés dans l’inventaire des appareils. Par exemple, si vous fusionnez deux appareils avec des adresses IP différentes, chaque adresse IP apparaît en tant qu’interface distincte dans le nouvel appareil.
Améliorer les données des appareils (facultatif)
Vous pouvez souhaiter augmenter la visibilité de l’appareil et améliorer les données de l’appareil avec plus de détails que les données détectées par défaut.
Pour augmenter la visibilité des appareils Windows, utilisez l’outil WMI (Windows Management Instrumentation) Defender pour IoT.
Si les stratégies réseau de votre organisation empêchent l’ingestion de certaines données, importez les données supplémentaires en bloc.