你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
调查设备映射上的设备
OT 设备映射提供 OT 网络传感器检测到的网络设备及其之间的连接的图形表示形式。
使用设备映射可以一次性检索、分析和管理设备信息,也可以按网络段(例如特定兴趣组或 Purdue 层)检索、分析和管理设备信息。 如果使用本地管理控制台在气隙环境中工作,请使用区域映射查看特定区域中所有已连接的 OT 传感器的设备。
先决条件
若要执行本文中的过程,请确保:
具有对 OT 传感器或本地管理控制台的访问权限。 具有“查看者”角色的用户可以查看映射上的数据。 若要导入或导出数据或编辑映射视图,需要以安全分析师或管理员用户身份访问。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
若要跨区域中的多个传感器查看设备,还需要安装、激活和配置本地管理控制台,并连接多个传感器并将其分配到站点和区域。
在 OT 传感器设备映射上查看设备
登录到 OT 传感器,然后选择“设备映射”。 默认情况下,根据 Purdue 层显示 OT 传感器检测到的所有设备。
在 OT 传感器的设备映射上:
- 具有当前活动警报的设备以红色突出显示
- 带星标的设备是那些已标记为重要的设备
- 没有警报的设备在放大的连接视图中显示为黑色或灰色
例如:
放大并选择特定设备以查看该设备与其他设备之间的连接(以蓝色突出显示)。
放大后,每个设备会显示以下详细信息:
- 设备的主机名、IP 地址和子网地址(如果相关)。
- 设备上当前活动警报的数量。
- 设备类型,由各种图标表示。
- IT 网络中分组到子网中的设备数(如果相关)。 此设备数显示在一个黑色圆圈中。
- 设备是否新检测到或未经授权。
右键单击特定设备并选择“查看属性”,以进一步向下钻取到设备的设备详细信息页上的“映射视图”选项卡。
修改 OT 传感器映射显示
使用以下任一映射工具修改显示的数据及其显示方式:
| 名称 | 说明 |
|---|---|
| 刷新映射 | 选择以使用更新的数据刷新映射。 |
| 通知 | 选择以查看设备通知。 |
| 按 IP/MAC 搜索 | 筛选映射以仅显示连接到特定 IP 或 MAC 地址的设备。 |
| 多播/广播 | 选择以编辑显示或隐藏多播和广播设备的筛选器。 默认情况下,多播和广播流量处于隐藏状态。 |
| 添加筛选器(上次查看时间) | 选择以筛选在特定时间段内(从过去 5 分钟到过去 7 天)显示的设备。 |
| 重置筛选器 | 选择以重置“上次查看时间”筛选器。 |
| 突出显示 | 选择以突出显示特定设备组中的设备。 突出显示的设备在映射上以蓝色显示。 使用“搜索组”框搜索要突出显示的设备组,或展开组选项,然后选择要突出显示的组。 |
| Filter | 选择以筛选映射,仅显示特定设备组中的设备。 使用“搜索组”框搜索设备组,或展开组选项,然后选择要按其进行筛选的组。 |
Zoom 
/ 
|
放大映射,使用鼠标或映射右侧的 / 按钮查看每个设备之间的连接+-。 |
适应屏幕 
|
缩小以适应屏幕上的所有设备 |
适应选定内容
|
缩小到足以适应屏幕上的所有选定设备 |
IT/OT 演示选项 
|
选择“禁用‘显示 IT 网络组’”以防止在映射中折叠子网。 默认情况下选择此选项。 |
布局选项 
|
选择以下项之一: - 固定布局。 如果已将设备位置拖动到映射上的新位置,请选择以保存设备位置。 - 按连接布局。 选择以查看按其连接组织的设备。 - 按 Purdue 布局。 选择以查看按其 Purdue 层组织的设备。 |
若要查看设备详细信息,请选择一个设备,然后展开右侧的“设备详细信息”窗格。 在“设备详细信息”窗格中:
从 OT 传感器设备映射查看 IT 子网
默认情况下,IT 设备按子网自动聚合,因此映射将重点放在本地 OT 和 IoT 网络上。
展开 IT 子网:
登录到 OT 传感器,然后选择“设备映射”。
在映射上找到子网。 可能需要放大映射才能查看子网图标,该图标看起来像是几台计算机位于一个框中。 例如:
右键单击映射上的子网设备,然后选择“展开网络”。
在映射上方显示的确认消息中,选择“确定”。
若要折叠 IT 子网,请执行以下操作:
- 登录到 OT 传感器,然后选择“设备映射”。
- 选择一个或多个展开的子网,然后选择“全部折叠”。
查看已连接设备之间的流量详细信息
查看已连接设备之间的流量详细信息:
登录到 OT 传感器,然后选择“设备映射”。
在映射上找到两台连接的设备。 可能需要放大映射来查看设备图标,该图标看起来像一个监视器。
单击映射上连接两台设备的线,然后
展开右侧的“连接属性”窗格。 例如:
在“连接属性”窗格中,可以查看两台设备之间的流量详细信息,例如:
- 多久之前首次检测到连接。
- 每台设备的 IP 地址。
- 每台设备的状态。
- 每台设备的警报数。
- 总带宽的图表。
- 按端口显示的排名靠前的流量图表。
创建自定义设备组
除了 OT 传感器的内置设备组外,还可以根据需要创建新的自定义组,以在映射上突出显示或筛选设备时使用。
在工具栏中选择“+ 创建自定义组”,或右键单击映射中的设备,然后选择“添加到自定义组”。
在“添加自定义组”窗格中:
- 在“名称”字段中,为组输入一个有意义的名称,最多包含 30 个字符。
- 从“从组复制”菜单中,选择要从中复制设备的任何组。
- 从“设备”菜单中,选择要添加到组的任何额外设备。
导入/导出设备数据
使用以下选项之一导入和导出设备数据:
- 导入设备。 选择以从预配置的 .CSV 文件导入设备。
- 导出设备。 选择以将当前显示的所有设备(包含完整详细信息)导出到 .CSV 文件。
- 导出设备摘要。 选择以将当前显示的所有设备的综合摘要导出到 .CSV 文件。
编辑设备
登录到 OT 传感器,然后选择“设备映射”。
右键单击设备以打开设备选项菜单,然后选择以下任一选项:
名称 说明 编辑属性 打开编辑窗格,可在其中编辑设备属性,例如授权、名称、说明、OS 平台、设备类型、Purdue 级别以及是否为扫描程序或编程设备。 查看属性 打开设备的详细信息页。 授权/未授权 更改设备的授权状态。 标记为重要/不重要 更改设备的重要性状态,在映射上使用星号和其他地方突出显示业务关键服务器,包括 OT 传感器报告和 Azure 设备清单。 显示警报 / 显示事件 打开设备详细信息页上的“警报”或“事件时间线”选项卡。 活动报告 为所选时间跨度的设备生成活动报告。 模拟攻击途径 为所选设备生成攻击途径模拟。 添加到自定义组 使用所选设备创建新的自定义组。 删除 从清单中删除设备。
合并设备
如果 OT 传感器检测到多个与唯一设备关联的网络实体(例如具有四个网卡的 PLC,或者一台同时具有 WiFi 和物理网卡的笔记本电脑),则可能需要合并设备。
只能合并授权的设备。
重要
无法撤消设备合并。 如果错误地合并了两个设备,请删除设备,然后等待传感器重新发现这两个设备。
合并多个设备:
登录到 OT 传感器,然后选择“设备映射”。
通过使用 SHIFT 键选择多个设备,选择要合并的授权设备,然后右键单击并选择“合并”。
出现提示时,请选择“确认”以确认要合并设备。
设备已合并,右上角会显示一条确认消息。 合并事件在 OT 传感器的事件时间线中列出。
管理设备通知
与警报不同(警报提供有关流量更改的详细信息,这些更改可能会对网络构成威胁),OT 传感器设备映射上的设备通知提供有关网络活动的详细信息,这些活动可能需要你注意,但不是威胁。
例如,你可能会收到关于不再属于网络时需要重新连接或删除的非活动设备的通知。
查看和处理设备通知:
登录到 OT 传感器,然后选择“设备映射”>“通知”。
在右侧的“发现通知”窗格中,根据需要按时间范围、设备、子网或操作系统筛选通知。
例如:
每个通知可能有不同的缓解选项。 执行下列操作之一:
- 一次处理一个通知,选择特定的缓解操作,或选择“关闭”以关闭通知而不进行任何活动。
- 选择“全选”以显示可以一起处理的通知。 清除特定通知的选择,然后选择“全部接受”或“全部关闭”以一起处理所有剩余的选定通知。
注意
如果未在 14 天内关闭或以其他方式处理所选通知,这些通知将被自动解决。 有关详细信息,请参阅下表的“自动解决”列中指示的操作。
同时处理多个通知
你可能会遇到想要同时处理多个通知的情况,例如:
IT 跨多个网络服务器升级了 OS,你希望了解所有新的服务器版本。
一组设备不再处于活动状态,你希望指示 OT 传感器从 OT 传感器中删除这些设备。
同时处理多个通知时,可能仍有剩余的通知需手动进行处理,例如检测到新 IP 地址或未检测到任何子网。
设备通知响应
下表列出了每个通知的可用响应,以及我们建议使用每个响应的时间:
| 类型 | 说明 | 可用响应 | 自动解决 |
|---|---|---|---|
| 检测到新的 IP | 一个新的 IP 地址与设备相关联。 这种情况可能发生在以下情况下: - 新 IP 地址或其他 IP 地址与已检测到的设备关联,并具有现有 MAC 地址。 - 为使用 NetBIOS 名称的设备检测到新的 IP 地址。 - 检测到某个 IP 地址是与 MAC 地址相关联的设备的管理接口。 - 为使用虚拟 IP 地址的设备检测到新的 IP 地址。 |
- 将其他 IP 设置为设备:合并设备 - 替换现有 IP:将任何现有 IP 地址替换为新地址 - 关闭:删除通知。 |
关闭 |
| 未配置子网 | 网络中当前未配置任何子网。 建议配置子网,以便在映射中区分 OT 设备和 IT 设备。 |
- 打开“子网配置”并配置子网。 - 关闭:删除通知。 |
关闭 |
| 操作系统更改 | 一个或多个新操作系统已与设备相关联。 | - 选择要与设备关联的新 OS 的名称。 - 关闭:删除通知。 |
仅当尚未手动配置时,才使用新操作系统进行设置。 如果已配置操作系统:关闭。 |
| 新子网 | 发现了新子网。 | - 学习:自动添加子网。 - 打开“子网配置”:添加所有缺失的子网信息。 - 消除: 删除通知。 |
关闭 |
查看特定区域的设备映射
如果使用配置了站点和区域的本地管理控制台,则设备映射也可用于每个区域。
在本地管理控制台上,区域映射显示与所选区域相关的所有网络元素,包括 OT 传感器、检测到的设备等。
查看区域映射:
登录到本地管理控制台,对要查看的区域选择“站点管理”>“查看区域映射”。 例如:
使用以下任一映射工具更改映射显示:
名称 说明 保存当前排列
保存在映射显示中所做的任何更改。 隐藏多播/广播地址 
默认情况下选中此选项。 选择以在映射上显示多播和广播设备。 呈现 Purdue 线 
默认情况下选中此选项。 选择以在映射上隐藏 Purdue 线。 重新布局
选择以按 Purdue 线或区域重新组织布局。 缩放以适应屏幕
放大或缩小映射,使整个映射适合屏幕。 按 IP/MAC 搜索 选择特定的 IP 或 MAC 地址以在映射上突出显示设备。 更改为其他区域映射 
选择以打开“更改区域映射”对话框,可在其中选择要查看的其他区域映射。 Zoom
/
放大映射,使用鼠标或映射右侧的 / 按钮查看每个设备之间的连接+-。 放大以查看每个设备的更多详细信息,例如查看分组到子网中的设备数,或展开子网。
右键单击设备,然后选择“查看属性”以打开“设备属性”对话框,其中包含有关该设备的更多详细信息。
右键单击以红色显示的设备,然后选择“查看警报”以跳转到“警报”页,其中警报仅针对所选设备进行筛选。
内置设备映射组
下表列出了 OT 传感器“设备映射”页上现成可用的设备组。 根据需要为组织创建额外的自定义组。
| 组名称 | 描述 |
|---|---|
| 攻击途径模拟 | 在攻击途径报告中检测到易受攻击的设备,其中“在设备映射中显示”选项处于打开状态。 |
| 授权 | 在初始学习期间发现的设备或后来手动标记为“授权”设备的设备。 |
| 跨子网连接 | 从一个子网通信到另一子网的设备。 |
| 设备清单筛选器 | 基于在 OT 传感器的“设备清单”页中创建的筛选器的任何设备。 |
| 已知应用程序 | 使用保留端口(例如 TCP)的设备。 |
| 上次活动 | 按上次活动时间范围(例如:一小时、六小时、一天,或七天)分组的设备。 |
| 非标准端口 | 使用非标准端口或未分配别名的端口的设备。 |
| 不在 Active Directory 中 | 所有不与 Active Directory 通信的非 PLC 设备。 |
| OT 协议 | 处理已知 OT 流量的设备。 |
| 轮询间隔 | 按轮询间隔分组的设备。 轮询间隔根据循环通道或周期自动生成。 例如,15.0 秒、3.0 秒、1.5 秒或任何其他间隔。 查看此信息有助于了解系统是否轮询过快或过慢。 |
| 编程 | 工程站和编程计算机。 |
| 子网 | 属于特定子网的设备。 |
| VLAN | 与特定 VLAN ID 关联的设备。 |
后续步骤
有关详细信息,请参阅调查设备清单中的传感器检测。