Cartographie du réseau
L'écran Cartographie du réseau offre une représentation visuelle des assets du réseau et de leurs connexions au fil du temps, que les fonctionnalités de détection du réseau de OT Security ont détectés. La détection réseau offre une visibilité approfondie et en temps réel sur toutes les activités sur le réseau opérationnel, en se concentrant sur les activités d'ingénierie des plans de contrôle, telles que les chargements et téléchargements de firmware, les mises à jour de code et les modifications de configuration effectués sur les protocoles propriétaires et spécifiques aux fournisseurs. La cartographie du réseau affiche les assets par groupes d'assets associés ou comme assets individuels.
La cartographie du réseau affiche tous les assets et toutes les connexions que Tenable a découverts au cours de la période spécifiée.
La cartographie du réseau affiche les détails suivants :
-
Zone de recherche – Saisissez du texte pour rechercher des assets dans l'affichage. La cartographie du réseau affiche les résultats de la recherche en mettant en évidence tous les groupes qui correspondent au texte de recherche. Vous pouvez explorer chaque groupe pour voir les assets pertinents.
-
Filtres – Filtrez l'affichage de la carte selon une ou plusieurs des catégories pertinentes : Type d'asset, Fournisseurs, Familles, Niveaux de risque, Niveaux Purdue. Pour une explication des différents types d'assets, voir Types d'assets.
-
Période – La cartographie du réseau affiche les assets et les connexions réseau détectées pendant la plage temporelle spécifiée. La période par défaut est définie sur les 30 derniers jours. Dans la zone déroulante de période, sélectionnez une autre période.
-
Regroupements – Vous pouvez spécifier la catégorie de regroupement dans l'affichage. Les options sont : Type d'asset, Niveau Purdue, Niveau de risque ou Pas de regroupement. L'option Réduire tous les groupes conserve la sélection de regroupement actuelle, mais réduit tous les autres groupes ouverts.
-
Actions – Vous pouvez sélectionner les actions suivantes dans le menu déroulant :
-
Définir comme base de référence – Définit la base de référence utilisée pour détecter une activité réseau anormale. Voir Définir une base de référence réseau.
-
Organisation automatique – Optimise automatiquement l'affichage de la cartographie pour les entités actuellement affichées.
-
-
Groupes/Assets – Chaque groupe d'assets est représenté par une icône sur la carte, et chaque type d'asset est symbolisé par une icône spécifique comme décrit dans Types d'assets. Pour les groupes, le nombre situé en haut de l'icône indique le nombre d'assets dans le groupe. Vous pouvez afficher successivement les icônes de chaque sous-groupe pour parvenir aux icônes d'assets individuels. La couleur du cadre autour d'un asset indique son niveau de risque (rouge, jaune, vert).
Remarque : vous pouvez faire glisser les groupes et les assets et les repositionner, pour obtenir une meilleure vue des assets et de leurs connexions. -
Connexions – Chaque communication entre des groupes d'assets et/ou des assets individuels, selon le degré de granularité actuellement affiché dans la carte. L'épaisseur de la ligne indique le volume de communication via cette connexion.
-
Total des assets affichés – Affiche le nombre d'assets détectés sur le réseau (et affichés sur la carte) en fonction de la période et des filtres d'assets spécifiés. Ce nombre est affiché par rapport au nombre total d'assets détectés dans votre réseau.
-
Commandes de navigation – Vous pouvez effectuer un zoom avant ou un zoom arrière sur l'affichage et naviguer pour afficher les éléments souhaités à l'aide des commandes à l'écran ou des commandes de souris standard.
Regroupements d'assets
La page Cartographie du réseau peut afficher des assets regroupés selon de nombreuses catégories différentes. Elle indique les connexions entre les groupes d'assets. Vous pouvez cliquer sur un asset pour accéder aux éléments du groupe. Plusieurs groupes peuvent être détaillés simultanément. OT Security contient plusieurs couches de groupes intégrés, de sorte que chaque exploration successive délivre une vue plus détaillée des assets inclus.
Voici les regroupements qui peuvent être appliqués à l'affichage principal et les options de développement détaillé pour cette sélection.
Lorsque la cartographie affiche les groupes par type d'asset (par défaut), la hiérarchie détaillée est la suivante : Type d'asset > Fournisseur > Famille > Asset individuel.
Lorsque la cartographie affiche les groupes par niveau de risque ou niveau Purdue, un niveau supplémentaire figure au-dessus du regroupement par type d'asset pour afficher la hiérarchie suivante : Niveau Purdue/Niveau de risque > Type d'asset > Fournisseur > Famille > Asset individuel. Chaque niveau est représenté par un cercle entourant les groupes/assets inclus.
L'exemple suivant montre comment vous pouvez détailler l'affichage :
Pour détailler un groupe de types d'assets :
-
Par défaut, lorsque vous ouvrez l'écran Cartographie du réseau, il regroupe les assets par type.
-
Double-cliquez sur l'icône du groupe que vous souhaitez détailler (par exemple Contrôleur).
Le groupe est développé, affichant les groupes de fournisseurs qu'il contient.
-
Pour aller plus loin, cliquez sur un groupe de fournisseurs (par exemple Rockwell).
-
Pour aller encore plus loin, cliquez sur un groupe de famille (par exemple SLC5).
Les assets individuels du groupe apparaissent.
-
Maintenant, vous pouvez cliquer sur un asset pour afficher ses détails et ses connexions. Voir Inventaire.
Pour réduire l'affichage :
-
Cliquez sur Grouper par.
-
Cliquez sur Réduire tous les groupes.
L'affichage retourne alors aux groupes de niveau supérieur.
Pour supprimer tous les regroupements :
-
Cliquez sur le bouton Grouper par.
-
Sélectionnez Pas de regroupement.
La carte affiche tous les assets uniques sans les regrouper.
Application de filtres à l'affichage de la cartographie
Vous pouvez filtrer l'affichage de la cartographie selon une ou plusieurs des catégories spécifiées : Type d'asset, Fournisseurs, Familles, Niveaux de risque, Niveaux Purdue.
Pour appliquer des filtres à la carte :
-
Cliquez sur la catégorie de filtre souhaitée.
-
Cochez ou décochez les cases de chaque élément que vous souhaitez inclure ou exclure de l'affichage.
Remarque : par défaut, tous les éléments sont inclus dans le filtre.
-
Vous pouvez décocher la case Tout sélectionner pour désélectionner toutes les valeurs, puis ajouter les valeurs souhaitées.
-
Vous pouvez effectuer une recherche de filtre dans la zone dédiée pour trouver une valeur spécifique.
-
Répétez le processus pour chaque catégorie de filtre, si nécessaire.
-
Cliquez sur Appliquer.
La carte affiche uniquement les éléments sélectionnés.
Affichage des détails d'un asset
Vous pouvez cliquer sur un asset de base pour afficher ses informations de base et ses activités sur le réseau, notamment le niveau de risque, l'adresse IP, le type d'asset, le fournisseur et la famille. La carte affiche les connexions de l'asset sélectionné vers tous les autres assets qui communiquent avec lui. Vous pouvez ensuite cliquer sur le lien du nom de l'asset pour accéder à l'écran des détails de l'asset qui contient plus de détails sur l'asset.
Définir une base de référence réseau
Une base de référence réseau est une cartographie de toutes les communications qui ont eu lieu entre les assets du réseau pendant une période spécifiée. La base de référence réseau est utilisée par les politiques de déviation de la base de référence réseau, qui alertent en cas de communications anormales sur le réseau. Voir Types d'événements réseau.
Les assets qui n'ont pas communiqué pendant l'échantillonnage de la référence de base déclenchent une alerte pour chaque communication (en supposant qu'elle se situe dans le cadre des conditions de politique spécifiées). Pour pouvoir créer des politiques de déviation de la base de référence réseau, vous devez créer une base de référence réseau dans l'écran Cartographie du réseau. Vous pouvez mettre à jour la référence de base réseau à tout moment en définissant une nouvelle référence de base réseau.
Pour définir une base de référence réseau :
-
Dans l'écran Cartographie du réseau, sélectionnez la plage temporelle des communications à inclure dans la base de référence réseau en utilisant la sélection de période en haut de l'écran.
La cartographie du réseau apparaît pour la période sélectionnée.
-
Dans le coin supérieur droit, sélectionnez Actions > Définir comme base de référence.
OT Security configure la nouvelle base de référence réseau dans le système et l'applique à toutes les politiques de déviation de la base de référence réseau.