توزيع Defender for IoT لمراقبة OT

توضح هذه المقالة الخطوات عالية المستوى المطلوبة لنشر Defender for IoT لمراقبة OT. تعرف على المزيد حول كل خطوة توزيع في الأقسام أدناه، بما في ذلك المراجع الترافقية ذات الصلة لمزيد من التفاصيل.

تعرض الصورة التالية المراحل في مسار نشر مراقبة OT من طرف إلى طرف، جنبا إلى جنب مع الفريق المسؤول عن كل مرحلة.

بينما تختلف الفرق وعناوين الوظائف عبر المؤسسات المختلفة، تتطلب جميع عمليات توزيع Defender for IoT الاتصال بين الأشخاص المسؤولين عن المجالات المختلفة لشبكتك والبنية الأساسية.

تلميح

يمكن أن تستغرق كل خطوة في العملية قدرا مختلفا من الوقت. على سبيل المثال، قد يستغرق تنزيل ملف تنشيط مستشعر OT خمس دقائق، بينما قد يستغرق تكوين مراقبة نسبة استخدام الشبكة أياما أو حتى أسابيع، اعتمادا على عمليات مؤسستك.

نوصي ببدء العملية لكل خطوة دون انتظار اكتمالها قبل الانتقال إلى الخطوة التالية. تأكد من متابعة أي خطوات لا تزال قيد التنفيذ لضمان إكمالها.

المتطلبات الأساسية

قبل البدء في التخطيط لتوزيع مراقبة OT، تأكد من أن لديك اشتراك Azure وخطة OT المضمنة في Defender for IoT.

لمزيد من المعلومات، راجع بدء Microsoft Defender لتجربة IoT.

التخطيط والتحضير

تعرض الصورة التالية الخطوات المضمنة في مرحلة التخطيط والتحضير. يتم التعامل مع خطوات التخطيط والتحضير من قبل فرق البنية الخاصة بك.

تخطيط نظام مراقبة OT

تخطيط التفاصيل الأساسية حول نظام المراقبة الخاص بك، مثل:

• المواقع والمناطق: حدد كيفية تقسيم الشبكة التي تريد مراقبتها باستخدام المواقعوالمناطق التي يمكن أن تمثل المواقع في جميع أنحاء العالم.

• إدارة أداة الاستشعار: حدد ما إذا كنت ستستخدم مستشعرات OT متصلة بالسحابة أو مكسوة بالهواء أو مدارة محليا أو نظام مختلط لكليهما. إذا كنت تستخدم أجهزة استشعار متصلة بالسحابة، فحدد أسلوب اتصال، مثل الاتصال مباشرة أو عبر وكيل.

• المستخدمون والأدوار: قائمة بأنواع المستخدمين الذين ستحتاجهم على كل مستشعر، والأدوار التي سيحتاجونها لكل نشاط.

لمزيد من المعلومات، راجع تخطيط نظام مراقبة OT باستخدام Defender for IoT.

تلميح

إذا كنت تستخدم العديد من أدوات الاستشعار المدارة محليا، فقد تحتاج أيضا إلى نشر وحدة تحكم إدارة محلية للرؤية والإدارة المركزية.

الاستعداد لتوزيع موقع OT

حدد تفاصيل إضافية لكل موقع مخطط له في النظام الخاص بك، بما في ذلك:

• رسم تخطيطي للشبكة. حدد جميع الأجهزة التي تريد مراقبتها وأنشئ قائمة محددة جيدا بالشبكات الفرعية. بعد نشر أدوات الاستشعار الخاصة بك، استخدم هذه القائمة للتحقق من أن جميع الشبكات الفرعية التي تريد مراقبتها مشمولة ب Defender for IoT.

• قائمة بأجهزة الاستشعار: استخدم قائمة نسبة استخدام الشبكة والشبكات الفرعية والأجهزة التي تريد مراقبتها لإنشاء قائمة بأجهزة استشعار OT التي ستحتاج إليها ومكان وضعها في شبكتك.

• أساليب النسخ المتطابق لنسبة استخدام الشبكة: اختر أسلوب النسخ المتطابق لنسبة استخدام الشبكة لكل مستشعر OT، مثل منفذ SPAN أو TAP.

• الأجهزة: قم بإعداد محطة عمل توزيع وأي أجهزة أو أجهزة ظاهرية ستستخدمها لكل من مستشعرات OT التي خططت لها. إذا كنت تستخدم أجهزة تم تكوينها مسبقا، فتأكد من طلبها.

لمزيد من المعلومات، راجع إعداد نشر موقع OT.

تهيئة أجهزة الاستشعار لـ Azure

تظهر الصورة التالية الخطوة المضمنة في مرحلة أدوات الاستشعار على متن الطائرة. يتم إلحاق أدوات الاستشعار ب Azure بواسطة فرق التوزيع الخاصة بك.

أجهزة استشعار OT على مدخل Microsoft Azure

إلحاق العديد من مستشعرات OT إلى Defender for IoT كما خططت. تأكد من تنزيل ملفات التنشيط المتوفرة لكل مستشعر OT وحفظها في موقع يمكن الوصول إليه من أجهزة الاستشعار الخاصة بك.

لمزيد من المعلومات، راجع إلحاق مستشعرات OT ب Defender for IoT.

إعداد شبكة الموقع

تعرض الصورة التالية الخطوات المضمنة في عبارة إعداد شبكة الموقع. تتم معالجة خطوات شبكة الموقع من قبل فرق الاتصال الخاصة بك.

تكوين النسخ المتطابق لنسبة استخدام الشبكة في شبكتك

استخدم الخطط التي قمت بإنشائها مسبقا لتكوين النسخ المتطابق لنسبة استخدام الشبكة في الأماكن الموجودة في شبكتك حيث ستقوم بنشر مستشعرات OT وعكس نسبة استخدام الشبكة إلى Defender for IoT.

لمزيد من المعلومات، راجع:

• تكوين النسخ المتطابق باستخدام منفذ SWITCH SPAN
• تكوين النسخ المتطابق لنسبة استخدام الشبكة باستخدام منفذ Remote SPAN (RSPAN)
• تكوين التجميع النشط أو السلبي (TAP)
• تحديث واجهات مراقبة المستشعر (تكوين ERSPAN)
• تكوين النسخ المتطابق لنسبة استخدام الشبكة باستخدام ESXi vSwitch
• تكوين النسخ المتطابق لنسبة استخدام الشبكة باستخدام Hyper-V vSwitch

توفير لإدارة السحابة

قم بتكوين أي قواعد جدار حماية للتأكد من أن أجهزة استشعار OT الخاصة بك ستكون قادرة على الوصول إلى Defender for IoT على سحابة Azure. إذا كنت تخطط للاتصال عبر وكيل، فستقوم بتكوين هذه الإعدادات فقط بعد تثبيت أداة الاستشعار الخاصة بك.

تخطي هذه الخطوة لأي مستشعر OT من المقرر أن يتم تحديده وإدارته محليا، إما مباشرة على وحدة تحكم أداة الاستشعار، أو عبر وحدة تحكم إدارة محلية.

لمزيد من المعلومات، راجع توفير مستشعرات OT لإدارة السحابة.

نشر مستشعرات OT

تعرض الصورة التالية الخطوات المضمنة في مرحلة نشر المستشعر. يتم نشر مستشعرات OT وتنشيطها من قبل فريق التوزيع الخاص بك.

تثبيت مستشعرات OT

إذا كنت تقوم بتثبيت برنامج Defender for IoT على أجهزتك الخاصة، فقم بتنزيل برنامج التثبيت من مدخل Microsoft Azure وتثبيته على جهاز استشعار OT.

بعد تثبيت برنامج استشعار OT، قم بتشغيل العديد من عمليات التحقق للتحقق من صحة التثبيت والتكوين.

لمزيد من المعلومات، راجع:

• تثبيت برنامج مراقبة OT على مستشعرات OT
• التحقق من صحة تثبيت برنامج استشعار OT

تخطي هذه الخطوات إذا كنت تشتري أجهزة تم تكوينها مسبقا.

تنشيط مستشعرات OT والإعداد الأولي

استخدم معالج إعداد أولي لتأكيد إعدادات الشبكة وتنشيط المستشعر وتطبيق شهادات SSH/TLS.

لمزيد من المعلومات، راجع تكوين مستشعر OT وتنشيطه.

تكوين اتصالات الوكيل

إذا كنت قد قررت استخدام وكيل لتوصيل أدوات الاستشعار الخاصة بك بالسحابة، فقم بإعداد الوكيل وتكوين الإعدادات على أداة الاستشعار الخاصة بك. لمزيد من المعلومات، راجع تكوين إعدادات الوكيل على مستشعر OT.

تخطي هذه الخطوة في الحالات التالية:

• لأي مستشعر OT حيث تتصل مباشرة ب Azure، دون وكيل
• لأي أداة استشعار من المقرر أن يتم تحديد هواءها وإدارتها محليا، إما مباشرة على وحدة تحكم أداة الاستشعار، أو عبر وحدة تحكم إدارة محلية.

تكوين الإعدادات الاختيارية

نوصي بتكوين اتصال Active Directory لإدارة المستخدمين المحليين على مستشعر OT، وكذلك إعداد مراقبة صحة المستشعر عبر SNMP.

إذا لم تقم بتكوين هذه الإعدادات أثناء التوزيع، يمكنك أيضا إرجاعها وتكوينها لاحقا.

لمزيد من المعلومات، راجع:

• إعداد مراقبة SNMP MIB على مستشعر OT
• تكوين اتصال Active Directory

معايرة مراقبة OT وضبطها

تعرض الصورة التالية الخطوات المتضمنة في معايرة مراقبة OT وضبطها باستخدام أداة الاستشعار المنشورة حديثا. يتم إجراء أنشطة المعايرة والضبط من قبل فريق التوزيع الخاص بك.

التحكم في مراقبة OT على أداة الاستشعار الخاصة بك

بشكل افتراضي، قد لا يكتشف مستشعر OT الشبكات الدقيقة التي تريد مراقبتها، أو يحددها بدقة بالطريقة التي تريد عرضها بها. استخدم القوائم التي قمت بإنشائها سابقا للتحقق من الشبكات الفرعية وتكوينها يدويا، وتخصيص أسماء المنفذ وVLAN، وتكوين نطاقات عناوين DHCP حسب الحاجة.

لمزيد من المعلومات، راجع التحكم في نسبة استخدام الشبكة OT التي تتم مراقبتها بواسطة Microsoft Defender ل IoT.

التحقق من مخزون الجهاز المكتشف وتحديثه

بعد اكتشاف أجهزتك بالكامل، راجع مخزون الجهاز وقم بتعديل تفاصيل الجهاز حسب الحاجة. على سبيل المثال، قد تحدد إدخالات الأجهزة المكررة التي يمكن دمجها وأنواع الأجهزة أو خصائص أخرى لتعديلها والمزيد.

لمزيد من المعلومات، راجع التحقق من مخزون الجهاز المكتشف وتحديثه.

تعرف على تنبيهات OT لإنشاء أساس شبكة

قد تتضمن التنبيهات التي يتم تشغيلها بواسطة مستشعر OT عدة تنبيهات ستحتاج إلى تجاهلها بانتظام، أو Learn، كحركة مرور معتمدة.

راجع جميع التنبيهات في النظام الخاص بك كفرز أولي. تنشئ هذه الخطوة أساس نسبة استخدام الشبكة ل Defender for IoT للعمل مع المضي قدما.

لمزيد من المعلومات، راجع إنشاء أساس متعلم لتنبيهات OT.

ينتهي التعلم الأساسي

ستظل مستشعرات OT في وضع التعلم طالما تم الكشف عن نسبة استخدام الشبكة الجديدة ولديك تنبيهات غير معالج.

عند انتهاء التعلم الأساسي، تكتمل عملية نشر مراقبة OT، وستستمر في الوضع التشغيلي للمراقبة المستمرة. في الوضع التشغيلي، سيؤدي أي نشاط يختلف عن بيانات الأساس إلى تشغيل تنبيه.

تلميح

أوقف تشغيل وضع التعلم يدويا إذا شعرت أن التنبيهات الحالية في Defender for IoT تعكس نسبة استخدام الشبكة بدقة، ولم ينته وضع التعلم تلقائيا بالفعل.

توصيل بيانات Defender for IoT ب SIEM الخاص بك

بمجرد نشر Defender for IoT، أرسل تنبيهات الأمان وأدر حوادث OT/IoT من خلال دمج Defender for IoT مع النظام الأساسي لإدارة معلومات الأمان والأحداث (SIEM) وسير عمل SOC الحالي وأدواته. دمج تنبيهات Defender for IoT مع SIEM التنظيمية من خلال التكامل مع Microsoft Sentinel والاستفادة من Microsoft Defender الجاهزة لحل IoT، أو عن طريق إنشاء قواعد إعادة التوجيه إلى أنظمة SIEM الأخرى. يدمج Defender for IoT الجاهز مع Microsoft Sentinel، بالإضافة إلى مجموعة واسعة من أنظمة SIEM، مثل Splunk وIBM QRadar وLogRhythm و Fortinet والمزيد.

لمزيد من المعلومات، انظر:

• مراقبة تهديدات OT في الشركات SOCs
• البرنامج التعليمي: الاتصال Microsoft Defender ل IoT باستخدام Microsoft Sentinel
• توصيل مستشعرات شبكة OT المحلية ب Microsoft Sentinel
• التكامل مع خدمات Microsoft والشركاء
• تنبيهات سحابة Stream Defender for IoT إلى شريك SIEM

بعد دمج تنبيهات Defender for IoT مع SIEM، نوصي بالخطوات التالية لتفعيل تنبيهات OT/IoT ودمجها بالكامل مع مهام سير عمل وأدوات SOC الحالية:

• تحديد وتحديد تهديدات أمان IoT/OT ذات الصلة وحوادث SOC التي ترغب في مراقبتها استنادا إلى احتياجات OT المحددة والبيئة الخاصة بك.

• إنشاء قواعد الكشف ومستويات الخطورة في SIEM. سيتم تشغيل الحوادث ذات الصلة فقط، وبالتالي تقليل الضوضاء غير الضرورية. على سبيل المثال، يمكنك تعريف تغييرات التعليمات البرمجية PLC التي يتم إجراؤها من الأجهزة غير المصرح بها، أو خارج ساعات العمل، كحادث شديد الخطورة بسبب الدقة العالية لهذا التنبيه المحدد.

  في Microsoft Sentinel، يتضمن Microsoft Defender لحل IoT مجموعة من قواعد الكشف الجاهزة، والتي تم إنشاؤها خصيصا لبيانات Defender for IoT، وتساعدك على ضبط الحوادث التي تم إنشاؤها في Sentinel.

• حدد سير العمل المناسب للتخفيف من المخاطر، وأنشئ أدلة مبادئ تحقيق تلقائية لكل حالة استخدام. في Microsoft Sentinel، يتضمن Microsoft Defender لحل IoT أدلة مبادئ غير مخصصة للاستجابة التلقائية لتنبيهات Defender for IoT.

الخطوات التالية

الآن بعد أن فهمت خطوات نشر نظام مراقبة OT، فأنت جاهز للبدء!

تخطيط نظام مراقبة OT الخاص بك باستخدام Defender for IoT »