Informace o nastavení sítě v programu Microsoft Defender for IoT
Microsoft Defender for IoT zajišťuje nepřetržité monitorování hrozeb ICS a zjišťování zařízení. Platforma zahrnuje následující komponenty:
Senzory Defenderu pro IoT: Senzory shromažďují síťový provoz ICS pomocí pasivního monitorování (bez agentů). Pasivní a neintruzivní senzory nemají žádný vliv na výkon sítí a zařízení OT a IoT. Senzor se připojí k portu SPAN nebo síťovému TAP a okamžitě začne monitorovat vaši síť. Detekce se zobrazují v konzole senzoru. Tam je můžete zobrazit, prozkoumat a analyzovat v mapě sítě, inventáři zařízení a rozsáhlé škále sestav. Mezi příklady patří sestavy posouzení rizik, dotazy dolování dat a vektory útoku.
Místní konzola pro správu služby Defender for IoT: Místní konzola pro správu poskytuje konsolidované zobrazení všech síťových zařízení. Poskytuje v reálném čase informace o klíčových ukazatelích rizika OT a IoT a upozorněních napříč všemi vašimi zařízeními. Je těsně integrovaná s pracovními postupy a playbooky SOC a umožňuje snadnou prioritu aktivit zmírňování a korelaci hrozeb mezi weby.
Defender for IoT v Azure Portal: Aplikace Defender for IoT vám může pomoct s nákupem zařízení řešení, instalací a aktualizací softwaru a aktualizací balíčků TI.
Tento článek obsahuje informace o architektuře řešení, přípravě sítě, požadavcích a dalších požadavcích, které vám pomůžou úspěšně nastavit síť pro práci se zařízeními Defender for IoT. Čtenáři, kteří pracují s informacemi v tomto článku, by měli mít zkušenosti s provozem a správou sítí OT a IoT. Mezi příklady patří technici automatizace, manažeři závodů, poskytovatelé služeb síťové infrastruktury OT, týmy kybernetické bezpečnosti, CISO nebo CMO.
Pokud chcete pomoc nebo podporu, kontaktujte Podpora Microsoftu.
Úlohy nasazení v lokalitě
Mezi úlohy nasazení lokality patří:
Shromáždění informací o webu
Záznam informací o lokalitě, jako jsou:
Informace o síti pro správu senzorů.
Architektura sítě lokality.
Fyzické prostředí.
Systémové integrace.
Plánované přihlašovací údaje uživatele.
Pracovní stanice pro konfiguraci.
Certifikáty SSL (volitelné, ale doporučené)
Ověřování SMTP (volitelné). Pokud chcete používat server SMTP s ověřováním, připravte přihlašovací údaje vyžadované pro váš server.
Servery DNS (volitelné). Připravte IP adresu serveru DNS a název hostitele.
Podrobný seznam a popis důležitých informací o lokalitě najdete v tématu Kontrolní seznam před nasazením.
Úspěšné pokyny pro monitorování
Pokud chcete najít optimální místo pro připojení zařízení v jednotlivých produkčních sítích, doporučujeme postupovat podle tohoto postupu:
Příprava konfigurační pracovní stanice
Připravte Windows pracovní stanici, včetně následujících:
Připojení k rozhraní pro správu senzorů.
Podporovaný prohlížeč
Terminálový software, například PuTTY.
Ujistěte se, že jsou na pracovní stanici otevřená požadovaná pravidla brány firewall. Podrobnosti najdete v tématu Požadavky na přístup k síti.
Podporované prohlížeče
Pro senzory a webové aplikace místní konzoly pro správu jsou podporovány následující prohlížeče:
Microsoft Edge (nejnovější verze)
Safari (nejnovější verze, jen Mac)
Chrome (nejnovější verze)
Firefox (nejnovější verze)
Další informace o podporovaných prohlížečích najdete v doporučených prohlížečích.
Nastavení certifikátů
Po instalaci senzoru a místní konzoly pro správu se vygeneruje místní certifikát podepsaný svým držitelem a použije se pro přístup k webové aplikaci snímače. Při prvním přihlášení k Defenderu for IoT se uživatelům správce zobrazí výzva k zadání certifikátu SSL/TLS. Kromě toho je automaticky povolená možnost ověření certifikátu i dalších systémových certifikátů. Podrobnosti najdete v tématu Informace o certifikátech.
Požadavky na přístup k síti
Ověřte, že vaše zásady zabezpečení organizace umožňují přístup k následujícím akcím:
Uživatelský přístup ke snímači a konzole pro správu
| Protokol | Přenos | In/Out (V/V) | Port | Použito | Účel | Zdroj | Cíl |
|---|---|---|---|---|---|---|---|
| HTTPS | TCP | In/Out (V/V) | 443 | Pro přístup ke snímači a webové konzole místní konzoly pro správu. | Přístup k webové konzole | Klient | Konzola pro správu senzorů a místní konzola pro správu |
| SSH | TCP | In/Out (V/V) | 22 | Rozhraní příkazového řádku | Pro přístup k rozhraní příkazového řádku. | Klient | Konzola pro správu senzorů a místní konzola pro správu |
Přístup senzorů k Azure Portal
| Protokol | Přenos | In/Out (V/V) | Port | Použito | Účel | Zdroj | Cíl |
|---|---|---|---|---|---|---|---|
| HTTPS / Websocket | TCP | Vstupně-výstupní | 443 | Dává snímač přístup k Azure Portal. Volitelné Přístup lze udělit prostřednictvím proxy serveru. | Přístup k Azure Portal | Elektrické | portál Azure |
Přístup snímače k místní konzole pro správu
| Protokol | Přenos | Vstupně-výstupní | Port | Použito | Účel | Zdroj | Cíl |
|---|---|---|---|---|---|---|---|
| SSL | TCP | Vstupně-výstupní | 443 | Poskytněte senzorovi přístup k místní konzole pro správu. | Připojení mezi senzorem a místní konzolou pro správu | Elektrické | Místní Konzola pro správu |
| NTP | UDP | Vstupně-výstupní | 123 | Čas synchronizace | Připojí Protokol NTP k místní konzole pro správu. | Elektrické | Místní Konzola pro správu |
Další pravidla brány firewall pro externí služby (volitelné)
Otevřete tyto porty, abyste povolili další služby pro Defender pro IoT.
| Protokol | Přenos | Vstupně-výstupní | Port | Použito | Účel | Zdroj | Cíl |
|---|---|---|---|---|---|---|---|
| HTTP | TCP | Out | 80 | Stažení seznamu CRL pro ověření certifikátu při nahrávání certifikátů. | Přístup k serveru seznamu odvolaných certifikátů | Senzor a místní Konzola pro správu | Server seznamu CRL |
| LDAP | TCP | Vstupně-výstupní | 389 | Active Directory | Umožňuje službě Active Directory pro uživatele, kteří mají přístup, přihlašovat se k systému. | Místní Konzola pro správu a senzor | Server LDAP |
| LDAPS | TCP | Vstupně-výstupní | 636 | Active Directory | Umožňuje službě Active Directory pro uživatele, kteří mají přístup, přihlašovat se k systému. | Místní Konzola pro správu a senzor | Server LDAPs |
| SNMP | UDP | Out | 161 | Monitorování | Monitoruje stav senzoru. | Místní Konzola pro správu a senzor | Server SNMP |
| SMTP | TCP | Out | 25 | Slouží k otevření poštovního serveru zákazníka, aby bylo možné odesílat e-maily o výstrahách a událostech. | Senzor a místní Konzola pro správu | E-mailový server | |
| Syslog | UDP | Out | 514 | LEEF | Protokoly, které jsou odesílány z místní konzoly pro správu na server syslog. | Místní Konzola pro správu a senzor | Server syslogu |
| DNS | TCP/UDP | Vstupně-výstupní | 53 | DNS | Port serveru DNS. | Místní Konzola pro správu a senzor | Server DNS |
| Rozhraní WMI | TCP/UDP | Out | 135, 1025-65535 | Monitorování | Windows Monitorování koncových bodů. | Senzor | Relevantní síťový prvek |
| Tunelové propojení | TCP | V | 9000 Kromě portu 443 Umožňuje přístup ze senzoru nebo koncového uživatele do místní konzoly pro správu. Port 22 ze senzoru do místní konzoly pro správu. | Monitorování | Tunelové propojení | Senzor | Místní konzola pro správu |
| Proxy server | TCP/UDP | In/Out (V/V) | 443 | Proxy server | Připojení senzoru k proxy server | Místní konzola pro správu a senzor | Proxy server |
Plánování instalace racku
Plánování instalace racku:
Připravte monitor a klávesnici pro nastavení sítě zařízení.
Přidělte zařízení místo v racku.
Musí být pro zařízení k dispozici napájení ze sítě.
Připravte kabel LAN pro připojení správy k síťovému přepínači.
Připravte kabely LAN pro připojení portů SPAN (zrcadlených) přepínačů a síťová klepnutí na zařízení Defender for IoT.
Nakonfigurujte, připojte a ověřte porty SPAN v zrcadlených přepínačích, jak je popsáno v relaci revize architektury.
Připojení nakonfigurovaný port SPAN na počítač se systémem Wireshark a ověřte, že je port správně nakonfigurovaný.
Otevřete všechny příslušné porty brány firewall.
Informace o pasivním monitorování sítě
Zařízení přijímá provoz z více zdrojů, a to buď porty zrcadlení přepínače (porty SPAN), nebo síťovými odp. Port pro správu je připojený k podnikové síti nebo síti pro správu senzorů s připojením k místní konzole pro správu nebo k Defenderu for IoT v Azure Portal.
Purdue model
Následující části popisují úrovně Purdue.
Úroveň 0: Buňka a oblast
Úroveň 0 se skládá ze široké škály senzorů, poháněcích zařízení a zařízení zapojených do základního výrobního procesu. Tato zařízení provádějí základní funkce průmyslového systému automatizace a řízení, jako například:
Řízení motoru.
Měření proměnných
Nastavení výstupu
Provádění klíčových funkcí, jako je obraz, tesařství a posouvání.
Úroveň 1: Řízení procesu
Úroveň 1 se skládá z vložených kontrolerů, které řídí výrobní proces a manipulují s ním, jehož klíčovou funkcí je komunikace se zařízeními úrovně 0. V diskrétní výrobě jsou tato zařízení programovatelné řadiče logiky (PLC) nebo vzdálené jednotky telemetrie (RTU). Při výrobě procesů se základní kontroler nazývá distribuovaný řídicí systém (DCS).
Úroveň 2: Zachytání
Úroveň 2 představuje systémy a funkce související s dohledem modulu runtime a provozem oblasti produkčního zařízení. Obvykle zahrnují následující:
Rozhraní operátorů nebo HMI
Systémy alarmů nebo výstrah
Systémy pro správu dávek a historie procesů
Pracovní stanice řídicí místnosti
Tyto systémy komunikují s plc a RTU na úrovni 1. V některých případech komunikují nebo sdílejí data s webem nebo podnikovými systémy a aplikacemi (úrovně 4 a 5). Tyto systémy jsou primárně založené na standardním výpočetním vybavení a operačních systémech (Unix nebo Microsoft Windows).
Úrovně 3 a 3.5: Hraniční síť na úrovni lokality a průmyslu
Úroveň lokality představuje nejvyšší úroveň průmyslových systémů automatizace a řízení. Systémy a aplikace, které existují na této úrovni, spravují funkce automatizace a řízení průmyslu v celé lokalitě. Úrovně 0 až 3 se považují za kritické pro operace lokality. Systémy a funkce, které existují na této úrovni, mohou zahrnovat následující:
Vytváření sestav v produkčním prostředí (například doby cyklu, index kvality, prediktivní údržba)
Historie podniku
Podrobné plánování produkce
Správa operací na úrovni lokality
Správa zařízení a materiálů
Server pro spuštění opravy
Souborový server
Průmyslových domén, Active Directory, terminálový server
Tyto systémy komunikují s produkční zónou a sdílejí data s podnikovými systémy a aplikacemi úrovně 4 a 5.
Úrovně 4 a 5: Obchodní a podnikové sítě
Úrovně 4 a 5 představují lokalitu nebo podnikovou síť, ve které existují centralizované systémy a funkce IT. IT organizace přímo spravuje služby, systémy a aplikace na těchto úrovních.
Plánování monitorování sítě
Následující příklady představují různé typy topologií pro průmyslové řídicí sítě a také aspekty optimálního monitorování a umísťování senzorů.
Co by se mělo monitorovat?
Provoz, který prochází vrstvami 1 a 2, by se měl monitorovat.
K čemu se má zařízení Defender for IoT připojit?
Zařízení Defender for IoT by se mělo připojit ke spravovaným přepínačům, které vidí průmyslové komunikace mezi vrstvami 1 a 2 (v některých případech také vrstva 3).
Následující diagram znázorňuje obecnou abstrakci vícevrstvé vícetenantské sítě s rozsáhlým ekosystémem kyberbezpečnosti, který obvykle provozuje SOC a MSSP.
Obvykle se senzory NTU nasadí ve vrstvách 0 až 3 modelu OSI.
Příklad: Ring topology
Okruhová síť je topologie, ve které se každý přepínač nebo uzel připojuje k přesně dvěma dalším přepínačům, které tvoří jednu souvislou cestu provozu.
Příklad: Lineární sběrnice a hvězdnicová topologie
V hvězdiné síti je každý hostitel připojený k centrálnímu rozbočovači. Ve své nejjednodušší podobě funguje jedno centrální centrum jako konduit pro přenos zpráv. V následujícím příkladu nejsou monitorovány nižší přepínače a provoz, který zůstává pro tyto přepínače místní, se nebude zobrazit. Zařízení se můžou identifikovat na základě zpráv protokolu ARP, ale budou chybět informace o připojení.
Nasazení multisenzorů
Tady je několik doporučení pro nasazení několika senzorů:
| Číselná | Měřiče | Závislost | Počet senzorů |
|---|---|---|---|
| Maximální vzdálenost mezi přepínači | 80 měřičů | Připravený ethernetový kabel | Více než 1 |
| Počet sítí typu OT. | Více než 1 | Bez fyzického připojení | Více než 1 |
| Počet přepínačů | Dá se použít ke konfiguraci RSPAN | Až osm přepínačů s místním rozsahem blízko ke senzoru podle vzdálenosti kabelů | Více než 1 |
Zrcadlení provozu
Chcete-li zobrazit pouze relevantní informace pro analýzu provozu, je nutné připojit se k portu zrcadlení na přepínači nebo klepnutím, který zahrnuje pouze průmyslový ICS a SCADA provoz, pro platformu IoT.
Přenos přepínačů můžete monitorovat pomocí následujících metod:
Rozsah a RSPAN jsou terminologie Cisco. Jiné značky přepínačů mají podobné funkce, ale mohou používat odlišnou terminologii.
Přepnout port SPAN
Analyzátor portů přepínače zrcadlí místní provoz z rozhraní v přepínači na rozhraní na stejném přepínači. Tady je několik důležitých informací:
Ověřte, zda příslušný přepínač podporuje funkci zrcadlení portů.
Možnost zrcadlení je ve výchozím nastavení zakázána.
Doporučujeme nakonfigurovat všechny porty přepínače, a to i v případě, že k nim nejsou připojená žádná data. V opačném případě může být neoprávněné zařízení připojené k nemonitorovanému portu a na senzoru se neupozorní.
V sítích, které využívají všesměrové vysílání nebo zasílání zpráv vícesměrového vysílání, nakonfigurujte přepínač na zrcadlení jenom pro přenos příjmu (příjem). V opačném případě se zprávy vícesměrového vysílání zopakují pro tolik aktivních portů a šířka pásma se vynásobí.
Následující příklady konfigurace jsou určené jenom pro referenci a jsou založené na přepínači Cisco 2960 (24 portů) se systémem IOS. Jsou to jenom typické příklady, proto je nepoužívejte jako pokyny. Zrcadlené porty v jiných operačních systémech Cisco a dalších značkách přepínačů se konfigurují jinak.
Monitorování více sítí VLAN
Defender pro IoT umožňuje monitorovat sítě VLAN, které jsou ve vaší síti nakonfigurované. Není nutná žádná konfigurace programu Defender pro systém IoT. Uživatel musí zajistit, aby byl přepínač ve vaší síti nakonfigurovaný tak, aby odesílal značky VLAN do programu Defender pro IoT.
Následující příklad ukazuje vyžadované příkazy, které je třeba nakonfigurovat na přepínači Cisco pro povolení monitorování sítí VLAN v programu Defender pro IoT:
Monitorování relace: Tento příkaz zodpovídá za proces odeslání sítí VLAN do portu span.
monitorování zdrojového rozhraní relace 1 Gi1/2
monitorovat typ paketů filtru relace 1 dobrý příjem
monitorování cílového rozhraní fastEthernet1/1 dot1q zapouzdření relace 1
Monitorovat port F.E. Gi1/1: sítě VLAN jsou nakonfigurovány na portu šachty.
rozhraní GigabitEthernet1/1
dot1q zapouzdření switchport
switchport režimu
Vzdálené rozpětí (RSPAN)
Vzdálená relace rozsahu odráží provoz z více distribuovaných zdrojových portů do vyhrazené vzdálené sítě VLAN.
Data v síti VLAN se pak doručí prostřednictvím prodaných portů mezi několika přepínači a konkrétním přepínačem, který obsahuje fyzický cílový port. Tento port se připojuje k programu Defender pro IoT Platform.
Další informace o RSPAN
RSPAN je pokročilá funkce, která vyžaduje speciální síť VLAN k přenosu provozu mezi přepínači. RSPAN se nepodporuje u všech přepínačů. Ověřte, že přepínač podporuje funkci RSPAN.
Možnost zrcadlení je ve výchozím nastavení zakázána.
Vzdálená síť VLAN musí být povolená na prohlášeném portu mezi zdrojovými a cílovými přepínači.
Všechny přepínače, které spojují stejnou relaci RSPAN, musí být od stejného dodavatele.
Poznámka
Ujistěte se, že port kmene, který sdílí vzdálenou síť VLAN mezi přepínači, není definovaný jako zdrojový port relace zrcadlení.
Vzdálená síť VLAN zvyšuje šířku pásma na prodaném portu podle velikosti šířky pásma zrcadlené relace. Ověřte, zda je na něm podporován port ústředny přepínače.
Příklady konfigurace RSPAN
RSPAN: na základě Cisco Catalyst 2960 (24 portů).
Příklad konfigurace zdrojového přepínače:
Zadejte režim globální konfigurace.
Vytvořte vyhrazenou síť VLAN.
Identifikujte síť VLAN jako RSPAN VLAN.
Vraťte se do režimu konfigurace terminálu.
Nakonfigurujte všechny 24 portů jako zdroje relací.
Nakonfigurujte síť VLAN RSPAN tak, aby byla cílem relace.
Vrátí se do režimu privilegované EXEC.
Ověřte konfiguraci zrcadlení portů.
Příklad konfigurace cílového přepínače:
Zadejte režim globální konfigurace.
Nakonfigurujte síť VLAN RSPAN tak, aby byla zdrojem relace.
Nastavte fyzický port 24 tak, aby byl cílem relace.
Vrátí se do režimu privilegované EXEC.
Ověřte konfiguraci zrcadlení portů.
Konfiguraci uložte.
Aktivní a pasivní agregace klepněte
Klepnutím na aktivní nebo pasivní agregaci se nainstalují vložené do síťového kabelu. V případě, že se ke snímači monitorování duplikuje jak RX, tak i TX.
Koncová přístupová klávesa (klepněte na) je hardwarové zařízení, které umožňuje tok síťového provozu z portu A na port B a z portu B na port A bez přerušení. Vytváří přesnou kopii obou stran toku provozu, a to nepřetržitě, bez narušení integrity sítě. V případě potřeby se v některých případech agreguje přenos a příjem provozu pomocí nastavení přepínače. Pokud není agregace podporovaná, každý klepnutím použije dva porty senzoru k monitorování odesílání a přijímání provozu.
V různých důvodech je výhodné vyklepnutí. Jsou založené na hardwaru a nemůžou být ohrožené. Předávají veškerý provoz, dokonce i poškozené zprávy, které přepínače často přecházejí. Nerozlišují se s procesorem, takže časování paketů je přesné, pokud přepínače zpracovávají funkci zrcadlení jako úlohu s nízkou prioritou, která může ovlivnit načasování zrcadlených paketů. Pro účely forenzní je klepněte na nejlepší zařízení.
Klepnutím na agregátory lze také použít pro monitorování portů. Tato zařízení jsou založená na procesoru a nejsou tak vnitřně zabezpečená jako hardwarové tapsy. Nemusí odrážet přesné načasování paketů.
Běžné modely TAP
Tyto modely byly testovány z důvodu kompatibility. Kompatibilní můžou být i jiní dodavatelé a modely.
| Image | Modelování |
|---|---|
|
Garland P1GCCAS |
|
I NESA TPA2-CU3 |
|
US Robotics USR 4503 |
Speciální konfigurace TAP
| Garland TAP | US Robotics TAP |
|---|---|
Ujistěte se, že jsou sady nastaveny takto:
|
Ujistěte se, že je aktivní režim agregace. |
Ověření nasazení
Technické samohodnoty
Nejefektivnějším způsobem, jak definovat nejlepší místo pro připojení, kde můžete získat nejefektivnější provoz pro monitorování, je kontrola diagramu sítě OT a ICS.
Technici lokality vědí, jak jejich síť vypadá. Kontrola relace s místní sítí a provozními týmy obvykle objasní očekávání a definuje nejlepší místo pro připojení zařízení.
Důležité informace:
Seznam známých zařízení (tabulka)
Odhadovaný počet zařízení
Dodavatelé a průmyslové protokoly
Model přepínačů k ověření, že je k dispozici možnost zrcadlení portů
Informace o tom, kdo přepínače spravuje (například IT) a jestli se jedná o externí prostředky
Seznam sítí OT na webu
Časté dotazy
Jaké jsou celkové cíle implementace? Jsou kompletní inventář a přesná síťová mapa důležitá?
Je v ICS více nebo redundantních sítí? Monitorují se všechny sítě?
Existuje komunikace mezi ICS a podnikovou (podnikovou) sítí? Monitorují se tyto komunikace?
Jsou sítě VLAN nakonfigurované v návrhu sítě?
Jak se provádí údržba služby ICS s pevnými nebo přechodnými zařízeními?
Kde jsou brány firewall nainstalované v monitorovaných sítích?
Je v monitorovaných sítích nějaké směrování?
Jaké protokoly OT jsou aktivní v monitorovaných sítích?
Pokud se k tomuto přepínači připojíme, uvidíme komunikaci mezi HMI a CPC?
Jaká je fyzická vzdálenost mezi přepínači služby ICS a podnikovou bránou firewall?
Je možné nespravované přepínače nahradit spravovanými přepínači, nebo je použití síťových taps možné?
Je v síti nějaká sériová komunikace? Pokud ano, zobrazte ji v diagramu sítě.
Pokud by mělo být zařízení Defender for IoT připojené k přepínači, je v této skříni fyzicky dostupné místo v racku?
Další důležité informace
Účelem zařízení Defender for IoT je monitorování provozu z vrstev 1 a 2.
U některých architektur bude zařízení Defender for IoT monitorovat také vrstvu 3, pokud na této vrstvě existuje provoz OT. Při prohlížení architektury webu a rozhodování, jestli monitorovat přepínač, zvažte následující proměnné:
Jaké jsou náklady a výhody oproti důležitosti monitorování tohoto přepínače?
Pokud je přepínač nespravovaný, bude možné monitorovat provoz z přepínače vyšší úrovně?
Pokud je architektura ICS topologie s kruhem, je potřeba monitorovat pouze jeden přepínač v tomto okruhu.
Jaké je v této síti bezpečnostní nebo provozní riziko?
Je možné monitorovat virtuální sítě VLAN přepínače? Je tato sítě VLAN viditelná v jiném přepínači, který můžeme monitorovat?
Technické ověřování
Příjem ukázky zaznamenaného provozu (souboru PCAP) z portu SPAN (nebo zrcadlení) přepínače může pomoct:
Ověřte, jestli je přepínač správně nakonfigurovaný.
Ověřte, jestli je provoz, který prochází přepínačem, relevantní pro monitorování (provoz OT).
Identifikujte šířku pásma a odhadovaný počet zařízení v tomto přepínači.
Ukázkový soubor PCAP (několik minut) můžete zaznamenat připojením přenosného počítače k už nakonfigurovanému portu SPAN prostřednictvím aplikace Wireshark.
Ověřování Wiresharku
Zkontrolujte, že v záznamech provozu jsou pakety jednosměrového vysílání. Jednosměrové vysílání je z jedné adresy na jinou. Pokud je většina provozu zprávami protokolu ARP, je nastavení přepínače nesprávné.
Přejděte na statistický > protokol hierarchie. Ověřte, že jsou přítomné průmyslové protokoly OT.
Řešení potíží
Při řešení potíží použijte tyto části:
Nelze se připojit pomocí webového rozhraní
Ověřte, že počítač, ke který se pokoušíte připojit, je ve stejné síti jako zařízení.
Ověřte, že je síť s grafickým uživatelským rozhraním připojená k portu pro správu senzoru.
O příkaz ping zadejte IP adresu zařízení. Pokud se na příkaz ping žádná odpověď ne odpověď:
Připojení k zařízení monitor a klávesnici.
Přihlaste se pomocí uživatele podpory a hesla.
Aktuální IP adresu zobrazíte pomocí seznamu síťových příkazů.
Pokud jsou parametry sítě chybně nakonfigurované, změňte je pomocí následujícího postupu:
Použijte příkaz network edit-settings.
Pokud chcete změnit IP adresu sítě pro správu, vyberte Y.
Pokud chcete změnit masku podsítě, vyberte Y.
Pokud chcete změnit DNS, vyberte Y.
Pokud chcete změnit VÝCHOZÍ IP adresu brány, vyberte Y.
Pro změnu vstupního rozhraní (jenom pro senzory) vyberte Y.
Pro rozhraní mostu vyberte N.
Pokud chcete nastavení použít, vyberte Y.
Po restartování se připojte s uživatelskou podporou a pomocí příkazu network list ověřte, že se parametry změnily.
Zkuste příkaz ping a znovu se připojit z grafického uživatelského rozhraní.
Zařízení nereaguje
Připojení k zařízení připojíte pomocí monitoru a klávesnice nebo se pomocí PuTTY vzdáleně připojíte k rozhraní příkazového řádku.
Přihlaste se pomocí přihlašovacích údajů podpory.
Použijte příkaz pro zabezpečení systému a zkontrolujte, že jsou spuštěné všechny procesy.
V případě ostatních problémů se obraťte na Podpora Microsoftu.
Kontrolní seznam před nasazením
Pomocí kontrolního seznamu před nasazením můžete načíst a zkontrolovat důležité informace, které potřebujete k nastavení sítě.
Kontrolní seznam webu
Před nasazením lokality zkontrolujte tento seznam:
| # | Úloha nebo aktivita | Stav | Komentáře |
|---|---|---|---|
| 1 | Objednání zařízení. | ☐ | |
| 2 | Připravte seznam podsítí v síti. | ☐ | |
| 3 | Zadejte seznam sítí VLAN produkčních sítí. | ☐ | |
| 4 | Zadejte seznam modelů přepínačů v síti. | ☐ | |
| 5 | Uveďte seznam dodavatelů a protokolů průmyslového vybavení. | ☐ | |
| 6 | Zadejte podrobnosti o síti pro senzory (IP adresa, podsíť, D-GW, DNS). | ☐ | |
| 7 | Správa přepínačů třetích stran | ☐ | |
| 8 | Vytvořte potřebná pravidla brány firewall a přístupový seznam. | ☐ | |
| 9 | Vytvořte pro monitorování portů více portů nebo podle potřeby nakonfigurujte síťová klepnutí. | ☐ | |
| 10 | Připravte místo v racku pro snímací zařízení. | ☐ | |
| 11 | Připravte pracovní stanici pro pracovníky. | ☐ | |
| 12 | Zadejte klávesnici, monitor a myš pro zařízení racku Defender for IoT. | ☐ | |
| 13 | Do racku a připojte kabely zařízení. | ☐ | |
| 14 | Přidělení prostředků lokality pro podporu nasazení. | ☐ | |
| 15 | Vytvořte skupiny Služby Active Directory nebo místní uživatele. | ☐ | |
| 16 | Nastavení školení (samoobslužné učení) | ☐ | |
| 17 | Go or no-go. | ☐ | |
| 18 | Naplánujte datum nasazení. | ☐ |
| Date (Datum) | Poznámka | Datum nasazení | Poznámka |
|---|---|---|---|
| Defender pro IoT | Název lokality* | ||
| Název | Název | ||
| Pozice | Pozice |
Kontrola architektury
Přehled diagramu průmyslové sítě vám umožní definovat správné umístění zařízení Defender for IoT.
Diagram globální sítě – zobrazení globálního síťového diagramu průmyslového prostředí OT Příklad:
Poznámka
Zařízení Defender for IoT by mělo být připojené k přepínači nižší úrovně, který vidí provoz mezi porty přepínače.
Potvrzená zařízení – Zadejte přibližný počet síťových zařízení, která se budou monitorovat. Tyto informace budete potřebovat při onboardingu předplatného do služby Defender for IoT v Azure Portal. Během procesu onboardingu budete vyzváni k zadání počtu zařízení v přírůstcích po 1 000.
(Volitelné) Seznam podsítí – Zadejte seznam podsítí pro produkční sítě a popis (volitelné).
# Název podsítě Popis 1 2 3 4 Sítě VLAN – Zadejte seznam sítí VLAN produkčních sítí.
# Název sítě VLAN Popis 1 2 3 4 Podpora modelů přepínačů a zrcadlení – Pokud chcete ověřit, že přepínače mají schopnost zrcadlení portů, zadejte čísla modelů přepínačů, ke které se má platforma Defender for IoT připojit:
# Přepínač Modelování Podpora zrcadlení přenosů (SPAN, RSPAN nebo None) 1 2 3 4 Správa přepínačů třetích stran – spravuje přepínače třetí strana? A a N
Pokud ano, kdo? __________________________________
Co je jejich zásada? __________________________________
Příklad:
Siemens
Automatizace služby Rockwell – Ethernet nebo IP
Společností Emerson – DeltaV, Ovation
Sériové připojení – existují zařízení, která komunikují prostřednictvím sériového připojení v síti? Ano nebo Ne
Pokud ano, zadejte, který sériový komunikační protokol: ________________
Pokud ano, označte v diagramu sítě, která zařízení komunikuje se sériovými protokoly a kde jsou:
Přidat diagram sítě s označeným sériovým připojením
Kvalita služeb – pro technologii QoS (Quality of Service) je výchozí nastavení snímače 1,5 MB/s. Určete, zda jej chcete změnit: ________________
Business Unit (BU): ________________
Specifikace senzoru pro vybavení na pracovišti
Zařízení snímače je připojené k přepínači portu SPAN přes síťový adaptér. Je připojený k podnikové síti zákazníka za účelem správy prostřednictvím jiného vyhrazeného síťového adaptéru.
Zadejte podrobnosti adresy pro síťovou kartu senzoru, která bude připojena k podnikové síti:
Položka Zařízení 1 Zařízení 2 Zařízení 3 IP adresa zařízení Podsíť Výchozí brána DNS Název hostitele iDRAC/MOP/Server Management
Položka Zařízení 1 Zařízení 2 Zařízení 3 IP adresa zařízení Podsíť Výchozí brána DNS Místní Konzola pro správu
Položka Aktivní Pasivní (při použití HA) IP adresa Podsíť Výchozí brána DNS SNMP
Položka Podrobnosti IP adresa IP adresa Uživatelské jméno Heslo Typ ověřování MD5 nebo SHA Šifrování DES nebo AES Tajný klíč Řetězec komunity SNMP v2 Certifikát SSL místní konzoly pro správu
Plánujete použít certifikát SSL? Ano nebo Ne
Pokud ano, jakou službu použijete k jejímu vygenerování? Jaké atributy budete do certifikátu zahrnovat (například doména nebo IP adresa)?
Ověřování SMTP
Plánujete používat protokol SMTP k přeposílání výstrah na e-mailový server? Ano nebo Ne
Pokud ano, jakou metodu ověřování budete používat?
Služba Active Directory nebo místní uživatelé
Obraťte se na správce služby Active Directory a vytvořte skupinu uživatelů lokality služby Active Directory nebo vytvořte místní uživatele. Ujistěte se, že jsou vaši uživatelé připraveni na den nasazení.
Typy zařízení IoT v síti
Typ zařízení Počet zařízení v síti Průměrná šířka pásma Camera Rentgenový počítač