Verificare e aggiornare l'inventario dei dispositivi rilevati
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio della tecnologia operativa (OT) con Microsoft Defender per IoT e descrive come esaminare l'inventario dei dispositivi e migliorare il monitoraggio della sicurezza con dettagli del dispositivo ottimizzati.
Prerequisiti
Prima di eseguire le procedure descritte in questo articolo, assicurarsi di avere a disposizione:
Un sensore OT installato, configurato e attivato, con i dati del dispositivo rilevati.
Accesso al sensore OT come analista di sicurezza o utente Amministratore. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Questo passaggio viene eseguito dai team di distribuzione.
Visualizzare l'inventario dei dispositivi nel sensore OT
Accedere al sensore OT e selezionare la pagina Inventario dispositivi.
Selezionare Modifica colonne per apportare modifiche al layout della griglia e visualizzare altri campi dati per esaminare i dati rilevati per ogni dispositivo.
È consigliabile esaminare in particolare i dati relativi alle colonne Nome, Tipo, Autorizzazione, Dispositivo di scansione e Dispositivo di programmazione.
Esaminare i dispositivi elencati nell'inventario dei dispositivi e individuare quelli con proprietà da modificare.
Modificare le proprietà del dispositivo per ciascun dispositivo
Per ogni dispositivo per il quale è necessario modificare le proprietà:
Selezionare il dispositivo nella griglia, quindi selezionare Modifica per visualizzare il riquadro di modifica. Ad esempio:
Modificare una delle proprietà del dispositivo seguenti in base alle esigenze:
Nome Descrizione Dispositivo autorizzato Selezionare se il dispositivo è un'entità nota nella rete. Defender per IoT non attiva avvisi per il traffico appreso nei dispositivi autorizzati. Nome Per impostazione predefinita, viene mostrato come indirizzo IP del dispositivo. Aggiornare questa opzione con un nome significativo per il dispositivo in base alle esigenze. Descrizione Per impostazione predefinita viene lasciato vuoto. Immettere una descrizione significativa per il dispositivo in base alle esigenze. Piattaforma del sistema operativo Se il valore del sistema operativo è bloccato per il rilevamento, selezionare il sistema operativo del dispositivo dall'elenco a discesa. Type Se il tipo del dispositivo è bloccato per il rilevamento o deve essere modificato, selezionare un tipo di dispositivo dall'elenco a discesa. Per altre informazioni, vedere Dispositivi supportati. Livello di Purdue Se il livello di Purdue del dispositivo viene rilevato come Non definito o Automatico, è consigliabile selezionare un altro livello per ottimizzare i dati. Per altre informazioni, vedere Posizionamento di sensori OT nella rete. Scanner Selezionare se il dispositivo è un dispositivo di scansione. Defender per IoT non attiva avvisi per le attività di analisi rilevate nei dispositivi definiti come dispositivi di scansione. Dispositivo di programmazione Selezionare se il dispositivo è un dispositivo di programmazione. Defender per IoT non attiva avvisi per le attività di programmazione rilevate nei dispositivi definiti come dispositivi di programmazione. Seleziona Salva per salvare le modifiche.
Unire dispositivi duplicati
Quando si esaminano i dispositivi rilevati nell'inventario dei dispositivi, si noti se sono state rilevate più voci per lo stesso dispositivo nella rete.
Ciò può verificarsi, ad esempio, se si ha un PLC con quattro schede di rete, un portatile con scheda di rete fisica e WiFi o una singola workstation con più schede di rete.
I dispositivi con gli stessi indirizzi IP e MAC vengono uniti automaticamente e identificati come lo stesso dispositivo. È consigliabile unire tutti i dispositivi duplicati in modo che ogni voce nell'inventario dei dispositivi rappresenti un solo dispositivo univoco nella rete.
Importante
Le unioni dei dispositivi sono irreversibili. Se si uniscono dispositivi in modo errato, si dovrà eliminare il dispositivo risultato dall’unione e attendere che il sensore rilevi nuovamente i due dispositivi.
Per unire più dispositivi, selezionare due o più dispositivi autorizzati nell'inventario dei dispositivi, quindi selezionare Unire.
I dispositivi e tutte le relative proprietà vengono uniti nell'inventario dei dispositivi. Ad esempio, se si uniscono due dispositivi con indirizzi IP diversi, ogni indirizzo IP viene visualizzato come un’interfaccia separata nel nuovo dispositivo.
Migliorare i dati del dispositivo (facoltativo)
È possibile aumentare la visibilità dei dispositivi e migliorare i dati degli stessi con più dettagli rispetto ai dati predefiniti rilevati.
Per aumentare la visibilità dei dispositivi basati su Windows, usare la Strumentazione gestione Windows (WMI) di Defender per IoT.
Se i criteri di rete dell'organizzazione impediscono l'inserimento di alcuni dati, importare i dati aggiuntivi in blocco.