你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
验证并更新检测到的设备清单
本文是介绍使用 Microsoft Defender for IoT 进行运营技术监视的部署路径的系列文章之一,介绍了如何查看设备清单并通过微调设备详细信息加强安全监视。
先决条件
在执行本文中的过程之前,请确保你有:
以“安全分析师”或“管理员”用户身份访问 OT 传感器。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
此步骤由部署团队执行。
查看 OT 传感器上的设备清单
登录到 OT 传感器,然后选择“设备清单”页。
选择“编辑列”以更改网格布局,并显示更多数据字段,以查看每个设备检测到的数据。
尤其建议查看“名称”、“类型”、“授权”、“扫描程序设备”和“编程设备”列的数据。
查看设备清单中列出的设备,并确定必须编辑其设备属性的设备。
编辑每个设备的设备属性
对于需要编辑设备属性的每个设备:
在网格中选择设备,然后选择“编辑”以查看编辑窗格。 例如:
根据需要编辑以下任何设备属性:
名称 说明 已授权设备 选择设备是否是网络上的已知实体。 Defender for IoT 不会针对习得的流量在授权设备上触发警报。 名称 默认情况下,显示为设备的 IP 地址。 根据需要将其更新为设备的有意义名称。 说明 默认情况下留空。 根据需要为设备输入有意义的说明。 OS 平台 如果操作系统值检测被阻止,请从下拉列表中选择设备的操作系统。 类型 如果设备类型检测被阻止或需要修改设备类型,请从下拉列表中选择一种设备类型。 有关详细信息,请参阅受支持的设备。 Purdue 级别 如果设备的 Purdue 级别被检测为“未定义”或“自动”,建议选择另一个级别来微调数据。 有关详细信息,请参阅在网络中放置 OT 传感器。 扫描仪 选择设备是否为扫描设备。 对于在定义为扫描设备的设备上检测到的扫描活动,Defender for IoT 不会对其触发警报。 编程设备 选择设备是否为编程设备。 对于在定义为编程设备的设备上检测到的编程活动,Defender for IoT 不会对其触发警报。 选择“保存” 以保存更改。
合并重复设备
查看在设备清单上检测到的设备时,请注意是否为网络上的同一设备检测到多个条目。
例如,当你的 PLC 拥有带四张网卡、笔记本电脑具有 WiFi 和物理网卡或者单个工作站具有多张网卡时,可能会发生这种情况。
具有相同 IP 和 MAC 地址的设备会自动合并,并被识别为同一设备。 建议合并任何重复的设备,以便设备清单中的每个条目仅代表网络中一个唯一设备。
重要
设备合并是不可逆的。 如果你不正确地合并设备,则必须删除合并的设备并等待传感器重新发现这两个设备。
若要合并多个设备,请在设备清单中选择两个或多个授权设备,然后选择“合并”。
设备及其所有属性均会合并到设备清单中。 例如,如果合并两个具有不同 IP 地址的设备,则每个 IP 地址在新设备中显示为单独的接口。
完善设备数据(可选)
建议提高设备可见性,并使用比检测到的默认数据更详细的设备数据来完善设备数据。
若要提高设备对基于 Windows 的设备的可见性,请使用 Defender for IoT Windows Management Instrumentation (WMI) 工具。
如果组织的网络策略阻止引入某些数据,请批量导入额外的数据。