Fusionner des assets

Rôle utilisateur OT Security requis : Administrateur, Superviseur, Opérateur de site

Les appareils de votre réseau peuvent apparaître comme deux assets distincts ou plus dans OT Security en raison de l'observation passive du trafic, des configurations de routage ou d'informations insuffisantes sur les détails de l'asset qui empêchent la fusion automatique des assets en interne.

Par exemple, les appareils en multi-homing tels que les stations de travail, les serveurs ou les contrôleurs disposent généralement de plusieurs adresses IP qui leur permettent de communiquer sur divers réseaux. Pensez également aux interfaces réseau virtuelles sur un commutateur, un routeur ou un pare-feu. Même s'il s'agit d'extensions virtuelles d'un seul appareil réseau physique, chacun d'entre elles peut être enregistrée en tant qu'asset distinct.

Dans ce cas, vous pouvez utiliser l'option Fusion d'assets pour fusionner deux assets et supprimer les doublons. Vous pouvez accéder à cette option soit à partir de la page Inventaire, soit à partir de la page des détails de l'asset.

Attention : cette action est irréversible.

Pour fusionner des assets :

  1. Dans le menu de navigation de gauche, accédez à Inventaire > Tous les assets.

    La page Tous les assets apparaît.

  2. Dans le tableau « Tous les assets », effectuez l'une des opérations suivantes :

    • Sélectionnez l'asset cible à fusionner.

    • Cliquez sur le lien de l'asset pour ouvrir la page des détails de l'asset.

    OT Security active Actions.

  3. Cliquez sur Actions > Fusionner avec un autre.

    Le panneau Fusionner l'asset | Sélectionner l'asset apparaît.

  4. Filtrez ou recherchez l'asset source.

  5. Sélectionnez l'asset source à fusionner avec l'asset cible.

  6. (Facultatif) Cochez la case Forcer la fusion même en cas de conflit d'attributs pour contourner les conflits.

  7. Cliquez sur Fusionner et supprimer.

    OT Security supprime l'asset source et fusionne ses attributs et détections avec l'asset cible.

Processus de fusion d'assets

Le processus de fusion d'assets combine deux assets en une seule entité tout en maintenant l'intégrité des données dans le système.

Cette opération implique les étapes clés suivantes :

  • Consolidation des propriétés des assets : lorsque les assets sont fusionnés, leurs propriétés sont fusionnées dans l'asset cible. Si les deux assets ont une valeur différente pour la même propriété, le système utilise un mécanisme de priorité pour choisir la valeur à conserver. Grâce à ce processus, l'asset fusionné conserve les informations les plus précises ou les plus récentes.

  • Préservation des connexions : les connexions réseau pointant auparavant vers l'un ou l'autre des assets renvoient désormais à l'asset fusionné. Cela inclut :

    • Connexions directes à d'autres appareils

    • Connexions basées sur les emplacements au sein des fonds de panier

    • Mappages d'interfaces réseau, y compris les adresses IP et MAC. Le système s'assure que toutes les informations d'adresse historiques sont conservées et les entrées dupliquées sont supprimées.

  • Consolidation des détections : le système regroupe l'ensemble des détections, vulnérabilités et événements de sécurité sous le nouveau asset, préservant ainsi son historique de sécurité complet.

Conflits de fusion et fusion forcée

Les assets suivants ne peuvent pas être fusionnés :

  • Assets spéciaux tels que l'ICP, le capteur ou les assets de diffusion.

  • Assets de différents fonds de panier (un seul d'entre eux est autorisé à avoir un fond de panier).

  • Assets ayant des emplacements différents (si les deux assets ont des emplacements, il doit s'agir du même emplacement).

  • Assets ayant des numéros de série différents.

Forcer la fusion : l'option Forcer la fusion permet de contourner les vérifications du système concernant les conflits liés au fond de panier, à l'emplacement et au numéro de série. Bien que cette option ne garantisse pas la réussite de la fusion et que le moteur de fusion puisse toujours bloquer les opérations non valides, le système exécute la fusion avant qu'elle ne puisse être bloquée.

Comment corriger une fusion accidentelle

Si une fusion d'assets a été effectuée par erreur ou que vous devez rétablir les deux assets dans leur état non fusionné, supprimez l'asset que vous souhaitez fusionner. Le système pourra ainsi redécouvrir l'asset tel qu'il était avant la fusion. Pour plus d'informations sur la suppression d'un asset ou d'un groupe d'assets de OT Security, voir cet article de la base de connaissances.