التحكم في حركة المرور التي تتم مراقبتها

  • مقالة
  • قراءة خلال 11 دقائق

تقوم المستشعرات تلقائيا بإجراء اكتشاف عميق للحزم لحركة مرور تكنولوجيا المعلومات و OT وحل المعلومات حول أجهزة الشبكة، مثل سمات الجهاز وسلوكه. تتوفر العديد من الأدوات للتحكم في نوع حركة المرور التي يكتشفها كل مستشعر.

التحليلات ومحركات التعلم الذاتي

تحدد المحركات مشكلات الأمان من خلال المراقبة المستمرة وخمسة محركات تحليلات تتضمن التعلم الذاتي للقضاء على الحاجة إلى تحديث التوقيعات أو تحديد القواعد. تستخدم المحركات التحليلات السلوكية الخاصة ب ICS وعلوم البيانات لتحليل حركة مرور شبكة OT باستمرار بحثا عن الحالات الشاذة. المحركات الخمسة هي:

  • الكشف عن انتهاك البروتوكول: يحدد استخدام هياكل الحزم وقيم الحقول التي تنتهك مواصفات بروتوكول ICS.

  • اكتشاف انتهاكات السياسة: يحدد انتهاكات السياسة مثل الاستخدام غير المصرح به لرموز الوظائف أو الوصول إلى كائنات معينة أو التغييرات في تكوين الجهاز.

  • اكتشاف البرامج الضارة الصناعية: يحدد السلوكيات التي تشير إلى وجود برامج ضارة معروفة مثل Conficer و Black Energy و Havex و WannaCry و NotPetya.

  • الكشف عن الشذوذ: يكتشف الاتصالات والسلوكيات غير العادية من آلة إلى آلة (M2M). من خلال نمذجة شبكات ICS كتسلسلات حتمية للحالات والتحولات ، يستخدم المحرك تقنية حاصلة على براءة اختراع تسمى نمذجة الدولة الصناعية المحدودة (IFSM). يتطلب الحل فترة تعلم أقصر من الأساليب الرياضية العامة أو التحليلات ، والتي تم تطويرها في الأصل لتكنولوجيا المعلومات بدلا من OT. كما أنه يكتشف الحالات الشاذة بشكل أسرع، مع الحد الأدنى من النتائج الإيجابية الخاطئة.

  • الكشف عن الحوادث التشغيلية: يحدد المشكلات التشغيلية مثل الاتصال المتقطع الذي يمكن أن يشير إلى العلامات المبكرة لفشل المعدات.

أوضاع Learning Learning تكنولوجيا المعلومات الذكية

يرشد وضع Learning المستشعر إلى معرفة النشاط المعتاد لشبكتك. ومن الأمثلة على ذلك الأجهزة المكتشفة في شبكتك، والبروتوكولات المكتشفة في الشبكة، وعمليات نقل الملفات بين أجهزة معينة، والمزيد. يصبح هذا النشاط خط الأساس لشبكتك.

يتم تمكين وضع Learning تلقائيا بعد التثبيت وسيظل ممكنا حتى يتم إيقاف تشغيله. تتراوح فترة وضع التعلم التقريبية بين أسبوعين إلى ستة أسابيع ، اعتمادا على حجم الشبكة وتعقيدها. بعد هذه الفترة ، عند تعطيل وضع التعلم ، سيؤدي أي نشاط جديد يتم اكتشافه إلى تشغيل تنبيهات. يتم تشغيل التنبيهات عندما يكتشف محرك السياسة انحرافات عن خط الأساس الذي تعلمته.

بعد اكتمال فترة التعلم وتعطيل وضع Learning، قد يكتشف المستشعر مستوى عاليا بشكل غير عادي من التغييرات الأساسية الناتجة عن نشاط تكنولوجيا المعلومات العادي، مثل طلبات DNS وHTTP. يسمى النشاط سلوك تكنولوجيا المعلومات غير الحتمي. قد يؤدي السلوك أيضا إلى تشغيل تنبيهات انتهاك السياسة غير الضرورية وإعلامات النظام. لتقليل كمية هذه التنبيهات والإشعارات، يمكنك تمكين وظيفة Smart IT Learning.

عند تمكين Smart IT Learning، يتتبع المستشعر حركة مرور الشبكة التي تولد سلوك تكنولوجيا معلومات غير حتمي استنادا إلى سيناريوهات تنبيه محددة.

يراقب المستشعر حركة المرور هذه لمدة سبعة أيام. إذا اكتشف نفس حركة مرور تكنولوجيا المعلومات غير الحتمية في غضون سبعة أيام ، فإنه يستمر في مراقبة حركة المرور لمدة سبعة أيام أخرى. عندما لا يتم اكتشاف حركة المرور لمدة سبعة أيام كاملة، يتم تعطيل Smart IT Learning لهذا السيناريو. ولن تؤدي الزيارات الجديدة المكتشفة لهذا السيناريو إلا بعد ذلك إلى إنشاء تنبيهات وإشعارات.

يساعدك العمل مع Smart IT Learning على تقليل عدد التنبيهات والإشعارات غير الضرورية الناجمة عن سيناريوهات تكنولوجيا المعلومات الصاخبة.

إذا تم التحكم في المستشعر بواسطة وحدة التحكم في الإدارة المحلية، فلا يمكنك تعطيل أوضاع التعلم. في مثل هذه الحالات ، لا يمكن تعطيل وضع التعلم إلا من وحدة التحكم في الإدارة.

يتم تمكين قدرات التعلم (Learning وتكنولوجيا المعلومات الذكية Learning) بشكل افتراضي.

لتمكين التعلم أو تعطيله:

  1. حدد إعدادات>النظاممراقبة>الشبكةمحركات الكشف ونمذجة الشبكة.
  2. قم بتمكين خيارات Learning Learningوالذكية لتكنولوجيا المعلومات أو تعطيلها.

تكوين الشبكات الفرعية

تؤثر تكوينات الشبكة الفرعية على كيفية رؤيتك للأجهزة في خريطة الجهاز.

بشكل افتراضي، يكتشف المستشعر إعداد الشبكة الفرعية ويملأ مربع الحوار تكوين الشبكة الفرعية بهذه المعلومات.

لتمكين التركيز على أجهزة OT، يتم تجميع أجهزة تكنولوجيا المعلومات تلقائيا بواسطة الشبكة الفرعية في خريطة الجهاز. يتم تقديم كل شبكة فرعية ككيان واحد على الخريطة ، بما في ذلك قدرة الانهيار / التوسع التفاعلية على "التعمق لأسفل" في شبكة فرعية لتكنولوجيا المعلومات والعودة.

عندما تعمل مع شبكات فرعية، حدد الشبكات الفرعية ICS لتحديد الشبكات الفرعية OT. يمكنك بعد ذلك تركيز عرض الخريطة على شبكات OT و ICS وطي العرض التقديمي لعناصر شبكة تكنولوجيا المعلومات إلى الحد الأدنى. يقلل هذا الجهد من العدد الإجمالي للأجهزة المعروضة على الخريطة ويوفر صورة واضحة لعناصر شبكة OT و ICS.

Screenshot that shows filtering to a network.

يمكنك تغيير التكوين أو تغيير معلومات الشبكة الفرعية يدويا عن طريق تصدير البيانات المكتشفة وتغييرها يدويا ثم استيراد قائمة الشبكات الفرعية التي قمت بتعريفها يدويا مرة أخرى. لمزيد من المعلومات حول التصدير والاستيراد، راجع استيراد معلومات الجهاز.

في بعض الحالات، مثل البيئات التي تستخدم النطاقات العامة كنطاقات داخلية، يمكنك توجيه المستشعر لحل كافة الشبكات الفرعية كشبكات فرعية داخلية عن طريق تحديد الخيار عدم اكتشاف نشاط الإنترنت . عند تحديد هذا الخيار:

  • سيتم التعامل مع عناوين IP العامة كعناوين محلية.

  • لن يتم إرسال أي تنبيهات حول نشاط الإنترنت غير المصرح به ، مما يقلل من الإشعارات والتنبيهات المستلمة على العناوين الخارجية.

لتكوين الشبكات الفرعية:

  1. في القائمة الجانبية، حدد الإعدادات النظام.

  2. حدد أساسي، ثم حدد الشبكات الفرعية.

  3. لإضافة شبكات فرعية تلقائيا عند اكتشاف أجهزة جديدة، احتفظ بخانة الاختيار الشبكات الفرعية التلقائية Learning محددة.

  4. لحل جميع الشبكات الفرعية كشبكات فرعية داخلية، حدد حل كل حركة مرور الإنترنت كداخلية/خاصة. سيتم التعامل مع عناوين IP العامة كعناوين محلية خاصة. لن يتم إرسال أي تنبيهات حول نشاط الإنترنت غير المصرح به.

  5. حدد إضافة شبكة فرعية وحدد المعلمات التالية لكل شبكة فرعية:

    • عنوان IP للشبكة الفرعية.
    • عنوان قناع الشبكة الفرعية.
    • اسم الشبكة الفرعية. نوصي بتسمية كل شبكة فرعية باسم ذي معنى يمكنك التعرف عليه بسهولة ، حتى تتمكن من التمييز بين شبكات تكنولوجيا المعلومات وشبكات OT. يمكن أن يصل الاسم إلى 60 حرفا.

  6. لوضع علامة على هذه الشبكة الفرعية كشبكة فرعية OT، حدد شبكة ICS الفرعية.

  7. لعرض الشبكة الفرعية بشكل منفصل عند ترتيب الخريطة وفقا لمستوى بوردو، حدد منفصل.

  8. لحذف جميع الشبكات الفرعية، حدد مسح الكل.

  9. لتصدير الشبكات الفرعية التي تم تكوينها، حدد تصدير. يتم تنزيل جدول الشبكة الفرعية إلى محطة العمل الخاصة بك.

  10. حدد "Save".

استيراد المعلومات

لاستيراد معلومات الشبكة الفرعية، حدد استيراد وحدد ملف CSV لاستيراده. يتم تحديث معلومات الشبكة الفرعية بالمعلومات التي قمت باستيرادها. إذا قمت باستيراد حقل فارغ، فستفقد بياناتك.

محركات الكشف

تلغي محركات تحليلات التعلم الذاتي الحاجة إلى تحديث التوقيعات أو تحديد القواعد. تستخدم المحركات التحليلات السلوكية الخاصة ب ICS وعلوم البيانات لتحليل حركة مرور شبكة OT باستمرار بحثا عن الحالات الشاذة والبرامج الضارة والمشاكل التشغيلية وانتهاكات البروتوكول وانحرافات نشاط الشبكة الأساسية.

ملاحظة

نوصي بتمكين كافة محركات الأمان.

عندما يكتشف المحرك انحرافا، يتم تشغيل تنبيه. يمكنك عرض التنبيهات وإدارتها من شاشة التنبيه أو من نظام الشركاء.

يظهر اسم المحرك الذي قام بتشغيل التنبيه أسفل عنوان التنبيه.

محرك انتهاك البروتوكول

يحدث انتهاك البروتوكول عندما لا تتوافق بنية الحزمة أو قيم الحقول مع مواصفات البروتوكول.

مثال على السيناريو: تنبيه "عملية MODBUS غير القانونية (رمز الدالة صفر)". يشير هذا التنبيه إلى أن جهازا أساسيا أرسل طلبا برمز الوظيفة 0 إلى جهاز ثانوي. لا يسمح بهذا الإجراء وفقا لمواصفات البروتوكول، وقد لا يتعامل الجهاز الثانوي مع الإدخال بشكل صحيح.

محرك انتهاك السياسة

يحدث انتهاك النهج مع انحراف عن السلوك الأساسي المحدد في الإعدادات المستفادة أو التي تم تكوينها.

مثال على السيناريو: تنبيه "وكيل مستخدم HTTP غير مصرح به ". يشير هذا التنبيه إلى أن تطبيقا لم يتم تعلمه أو الموافقة عليه بواسطة السياسة يتم استخدامه كعميل HTTP على جهاز. قد يكون هذا متصفح ويب أو تطبيق جديد على هذا الجهاز.

محرك البرامج الضارة

يكتشف محرك البرامج الضارة نشاط الشبكة الضار.

مثال على السيناريو: تنبيه "الاشتباه في نشاط ضار (Stuxnet)". يشير هذا التنبيه إلى أن المستشعر اكتشف نشاطا مشبوها للشبكة يعرف أنه مرتبط بالبرامج الضارة Stuxnet. هذه البرامج الضارة هي تهديد مستمر متقدم يهدف إلى التحكم الصناعي وشبكات SCADA.

محرك الشذوذ

يكتشف محرك الشذوذ الحالات الشاذة في سلوك الشبكة.

مثال على السيناريو: تنبيه "السلوك الدوري في قناة الاتصال ". يقوم المكون بفحص اتصالات الشبكة والعثور على السلوك الدوري والدوري لنقل البيانات. هذا السلوك شائع في الشبكات الصناعية.

المحرك التشغيلي

يكتشف المحرك التشغيلي الحوادث التشغيلية أو الكيانات المعطلة.

مثال على السيناريو: تنبيه "يشتبه في أن الجهاز غير متصل (لا يستجيب)". يتم رفع هذا التنبيه عندما لا يستجيب الجهاز لأي نوع من الطلبات لفترة محددة مسبقا. قد يشير هذا التنبيه إلى إيقاف تشغيل الجهاز أو قطع اتصاله أو تعطله.

تمكين المحركات وتعطيلها

عند تعطيل محرك سياسة، لن تتوفر المعلومات التي ينشئها المحرك لجهاز الاستشعار. على سبيل المثال، إذا قمت بتعطيل محرك Anomaly، فلن تتلقى تنبيهات حول الحالات الشاذة في الشبكة. إذا قمت بإنشاء قاعدة إعادة توجيه، فلن يتم إرسال الحالات الشاذة التي يتعلمها المحرك. لتمكين محرك نهج أو تعطيله، حدد ممكن أو معطل للمحرك المحدد.

تكوين نطاقات عناوين DHCP

قد تتكون شبكتك من عناوين IP ثابتة وديناميكية. عادة ، يتم العثور على عناوين ثابتة على شبكات OT من خلال المؤرخين وأجهزة التحكم وأجهزة البنية التحتية للشبكة مثل المحولات وأجهزة التوجيه. عادة ما يتم تنفيذ تخصيص IP الديناميكي على شبكات الضيوف مع أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر الشخصية والهواتف الذكية وغيرها من المعدات المحمولة (باستخدام Wi-Fi أو اتصالات LAN الفعلية في مواقع مختلفة).

إذا كنت تعمل مع الشبكات الديناميكية، فإنك تتعامل مع تغييرات عنوان IP التي تحدث عند تعيين عناوين IP جديدة. يمكنك القيام بذلك عن طريق تعريف نطاقات عناوين DHCP.

قد تحدث تغييرات، على سبيل المثال، عندما يقوم خادم DHCP بتعيين عناوين IP.

يتيح تحديد عناوين IP الديناميكية على كل مستشعر دعما شاملا وشفافا في حالات تغيير عنوان IP. وهذا يضمن إعداد تقارير شاملة لكل جهاز فريد.

تعرض وحدة تحكم المستشعر أحدث عنوان IP مقترن بالجهاز وتشير إلى الأجهزة الديناميكية. على سبيل المثال:

  • يعمل تقرير استخراج البيانات وتقرير جرد الأجهزة على دمج جميع الأنشطة المستفادة من الجهاز ككيان واحد، بغض النظر عن تغييرات عنوان IP. تشير هذه التقارير إلى العناوين التي تم تعريفها على أنها عناوين DHCP.

    Screenshot that shows device inventory.

  • تشير نافذة خصائص الجهاز إلى ما إذا كان قد تم تعريف الجهاز على أنه جهاز DHCP.

لتعيين نطاق عناوين DHCP:

  1. في القائمة الجانبية، حدد النظام الإعدادات>مراقبة>الشبكةنطاقات DHCP.

  2. حدد نطاقا جديدا عن طريق تعيين قيم منوإلى .

  3. اختياريا: حدد اسم النطاق، حتى 256 حرفا.

  4. لتصدير النطاقات إلى ملف CSV، حدد تصدير.

  5. لإضافة نطاقات متعددة يدويا من ملف CSV، حدد استيراد ثم حدد الملف.

    ملاحظة

    تقوم النطاقات التي تستوردها من ملف CSV بالكتابة فوق إعدادات النطاق الموجودة.

  6. حدد "Save".

تكوين خوادم DNS للحصول على دقة بحث عكسية

لتحسين إثراء الجهاز، يمكنك تكوين خوادم DNS متعددة لإجراء عمليات بحث عكسية. يمكنك حل أسماء المضيفين أو FQDNs المقترنة بعناوين IP المكتشفة في الشبكات الفرعية للشبكة. على سبيل المثال، إذا اكتشف المستشعر عنوان IP، فقد يستفسر عن خوادم DNS متعددة لحل اسم المضيف.

يتم دعم جميع تنسيقات CIDR.

يظهر اسم المضيف في مخزون الجهاز وخريطة الجهاز وفي التقارير.

يمكنك جدولة جداول دقة البحث العكسي لفواصل زمنية محددة كل ساعة، مثل كل 12 ساعة. أو يمكنك جدولة وقت محدد.

لتعريف خوادم DNS:

  1. حدد إعدادات>النظاممراقبة الشبكة، ثم حدد عكس بحث DNS.

  2. حدد إضافة خادم DNS.

  3. في الحقل "جدولة البحث العكسي "، اختر إما:

    • الفواصل الزمنية (في الساعة).

    • وقت محدد. استخدم التنسيق الأوروبي. على سبيل المثال، استخدم الساعة 14:30 ظهرا وليس الساعة 2:30 ظهرا.

  4. في حقل عنوان خادم DNS ، أدخل عنوان IP لنظام أسماء النطاقات.

  5. في حقل منفذ خادم DNS، أدخل منفذ DNS .

  6. حل عناوين IP الشبكة إلى FQDNs الجهاز. في الحقل "عدد التسميات "، أضف عدد تسميات المجالات المراد عرضها. يتم عرض ما يصل إلى 30 حرفًا من اليسار إلى اليمين.

  7. في الحقل "الشبكات الفرعية"، أدخل الشبكات الفرعية التي تريد أن يقوم خادم DNS بالاستعلام عنها.

  8. حدد مفتاح التبديل تمكين إذا كنت تريد بدء البحث العكسي.

  9. حدد "Save".

اختبار تكوين DNS

باستخدام جهاز اختبار، تحقق من أن الإعدادات التي حددتها تعمل بشكل صحيح:

  1. تمكين تبديل بحث DNS .

  2. حدد اختبار.

  3. أدخل عنوانا في عنوان البحث لاختبار البحث العكسي لنظام أسماء النطاقات للخادم مربع الحوار.

  4. حدد اختبار.

تكوين مراقبة نقطة النهاية Windows

باستخدام إمكانية مراقبة نقطة النهاية Windows، يمكنك تكوين Microsoft Defender لإنترنت الأشياء لفحص الأنظمة Windows بشكل انتقائي. يوفر لك ذلك معلومات أكثر تركيزا ودقة حول أجهزتك، مثل مستويات حزمة الخدمة.

يمكنك تكوين الفحص باستخدام نطاقات ومضيفين محددين ، وتكوينه ليتم تنفيذه فقط كلما رغبت في ذلك. يمكنك إنجاز الفحص الانتقائي باستخدام أجهزة إدارة Windows (WMI)، وهي لغة البرمجة النصية القياسية من Microsoft لإدارة أنظمة Windows.

ملاحظة

  • يمكنك تشغيل فحص واحد فقط في كل مرة.
  • يمكنك الحصول على أفضل النتائج مع المستخدمين الذين لديهم امتيازات المجال أو المسؤول المحلي.
  • قبل بدء تكوين WMI، قم بتكوين قاعدة جدار حماية تفتح حركة المرور الصادرة من المستشعر إلى الشبكة الفرعية الممسوحة ضوئيا باستخدام منفذ UDP 135 وكافة منافذ TCP فوق 1024.

عند الانتهاء من المسبار ، يتوفر ملف سجل يحتوي على جميع محاولات التحقيق من خيار تصدير سجل. يحتوي السجل على كافة عناوين IP التي تم فحصها. لكل عنوان IP، يعرض السجل معلومات النجاح والفشل. هناك أيضا رمز خطأ ، وهو عبارة عن سلسلة مجانية مشتقة من الاستثناء. يتم الاحتفاظ بفحص السجل الأخير فقط في النظام.

يمكنك إجراء عمليات فحص مجدولة أو عمليات فحص يدوية. عند الانتهاء من الفحص، يمكنك عرض النتائج في ملف CSV.

المتطلبات الأساسية

تكوين قاعدة جدار حماية تفتح حركة المرور الصادرة من المستشعر إلى الشبكة الفرعية الممسوحة ضوئيا باستخدام منفذ UDP 135 وكافة منافذ TCP فوق 1024.

لتكوين فحص تلقائي:

  1. حدد إعدادات>النظاممراقبة الشبكة، ثم حدد Windows مراقبة نقطة النهاية (WMI).

  2. في القسم تحرير تكوين نطاقات المسح الضوئي ، أدخل النطاقات التي تريد مسحها ضوئيا وأضف اسم المستخدم وكلمة المرور.

  3. حدد الطريقة التي تريد بها تشغيل الفحص:

    • حسب الفواصل الزمنية الثابتة (بالساعات): قم بتعيين جدول الفحص وفقا للفواصل الزمنية بالساعات.

    • حسب أوقات محددة: قم بتعيين جدول الفحص وفقا لأوقات محددة وحدد حفظ الفحص.

  4. حدد "Save". يتم إغلاق مربع الحوار.

لإجراء فحص يدوي:

  1. حدد نطاقات المسح الضوئي.

  2. حدد حفظالتغييرات وتطبيقها ، ثم حدد المسح الضوئي يدويا.

لعرض نتائج المسح الضوئي:

  1. عند الانتهاء من الفحص، حدد عرض نتائج المسح الضوئي. يتم تنزيل ملف .csv يحتوي على نتائج الفحص إلى جهاز الكمبيوتر الخاص بك.

الخطوات التالية

لمزيد من المعلومات، انظر: