Ot-hely üzembe helyezésének előkészítése

  • Cikk

Ez a cikk az IoT-hez készült Microsoft Defender ot monitorozásának üzembehelyezési útvonalát ismerteti.

Egy folyamatjelző diagramja, amelyen a Tervezés és előkészítés elem van kiemelve.

A hálózat teljes figyeléséhez láthatóságra lesz szüksége a hálózat összes végponteszközén. Microsoft Defender az IoT-hez a hálózati eszközökön áthaladó forgalmat tükrözi az IoT-alapú Defender hálózati érzékelők felé. Az OT hálózati érzékelők ezután elemzik a forgalmi adatokat, riasztásokat aktiválnak, javaslatokat hoznak létre, és adatokat küldenek az Azure-beli Defender for IoT-nek.

Ez a cikk segít megtervezni, hogy hová helyezzen OT-érzékelőket a hálózatban, hogy a figyelni kívánt forgalom szükség szerint tükrözve legyen, és hogyan készítse elő a webhelyet az érzékelő üzembe helyezésére.

Előfeltételek

Mielőtt megtervezi egy adott webhely OT-monitorozását, győződjön meg arról, hogy megtervezte a teljes OT monitorozási rendszert.

Ezt a lépést az architektúracsapatok hajtják végre.

Tudnivalók az IoT-hez készült Defender monitorozási architektúrájáról

Az alábbi cikkekből többet is megtudhat a hálózat és a Defender for IoT-rendszer összetevőiről és architektúrájáról:

Hálózati diagram létrehozása

Minden szervezet hálózata saját összetettséggel rendelkezik. Hozzon létre egy hálózattérkép-diagramot, amely alaposan felsorolja a hálózat összes eszközét, hogy azonosítani tudja a figyelni kívánt forgalmat.

A hálózati diagram létrehozásakor az alábbi kérdések segítségével azonosíthatja és jegyzetelheti a hálózat különböző elemeit és azok kommunikációját.

Általános kérdések

  • Mik az általános monitorozási céljai?

  • Vannak redundáns hálózatai, és vannak olyan területek a hálózati térképen, amelyek nem igényelnek monitorozást, és figyelmen kívül hagyhatók?

  • Hol vannak a hálózat biztonsági és üzemeltetési kockázatai?

Hálózati kérdések

  • Mely protokollok aktívak a figyelt hálózatokon?

  • Konfigurálva vannak a virtuális hálózatok a hálózat kialakításában?

  • Van útválasztás a figyelt hálózatokban?

  • Van soros kommunikáció a hálózaton?

  • Hol vannak telepítve tűzfalak a figyelni kívánt hálózatokon?

  • Van forgalom egy ipari vezérlőhálózat (ICS) és egy vállalati, üzleti hálózat között? Ha igen, figyeli ezt a forgalmat?

  • Mi a fizikai távolság a kapcsolók és a vállalati tűzfal között?

  • Az OT rendszerkarbantartás rögzített vagy átmeneti eszközökkel történik?

Kérdések váltása

  • Ha egy kapcsoló egyébként nem felügyelt, figyelheti a magasabb szintű kapcsolók forgalmát? Ha például az OT-architektúra körtopológiát használ, a gyűrűben csak egy kapcsolónak kell monitorozást használnia.

  • A nem felügyelt kapcsolók lecserélhetők felügyelt kapcsolókra, vagy lehetséges a hálózati TAP-k használata?

  • Figyelheti a kapcsoló VLAN-ját, vagy látható-e a VLAN egy másik, figyelhető kapcsolóban?

  • Ha hálózati érzékelőt csatlakoztat a kapcsolóhoz, az tükrözni fogja a HMI és a PLC közötti kommunikációt?

  • Ha hálózati érzékelőt szeretne csatlakoztatni a kapcsolóhoz, van-e fizikai állványterület a kapcsolószekrényben?

  • Milyen költségek/előnyök járnak az egyes kapcsolók monitorozásával?

A monitorozni kívánt eszközök és alhálózatok azonosítása

Az IoT-alapú Defender hálózati érzékelőinek figyelni és tükrözni kívánt forgalom az a forgalom, amely biztonsági vagy üzemeltetési szempontból a legérdekesebb .

Tekintse át az OT-hálózati diagramot a helymérnökökkel együtt, és határozza meg, hogy hol találja meg a figyeléshez leginkább kapcsolódó forgalmat. Javasoljuk, hogy a várakozások tisztázása érdekében találkozzon a hálózati és az operatív csapatokkal is.

A csapatával együtt hozzon létre egy monitorozni kívánt eszköztáblát a következő részletekkel:

Specifikáció Description
Szállító Az eszköz gyártójának szállítója
Eszköz neve A folyamatos használat és hivatkozás értelmes neve
Típus Az eszköz típusa, például: Kapcsoló, Útválasztó, Tűzfal, Hozzáférési pont stb.
Hálózati réteg A monitorozni kívánt eszközök L2 vagy L3 eszközök:
- Az L2-eszközök az IP-szegmensen belüli eszközök
- Az L3-eszközök az IP-szegmensen kívüli eszközök

A mindkét réteget támogató eszközök L3-eszköznek tekinthetők.
Virtuális hálózatok közötti átkelés Az eszközön áthaladó VLAN-k azonosítói. Ellenőrizze például ezeket a VLAN-azonosítókat úgy, hogy ellenőrzi az egyes VLAN-okon az átfedő faműveleti módot, és ellenőrzi, hogy áthaladnak-e egy társított porton.
Átjáró a következőhöz: Azokat a VLAN-okat, amelyek esetében az eszköz alapértelmezett átjáróként működik.
Hálózati adatok Az eszköz IP-címe, alhálózata, D-GW és DNS-gazdagépe
Protokollok Az eszközön használt protokollok. Hasonlítsa össze a protokollokat az IoT-hez készült Defender által támogatott protokollok listájával .
Támogatott forgalomtükrözés Határozza meg, hogy az egyes eszközök milyen típusú adatforgalmi tükrözést támogatnak, például SPAN, RSPAN, ERSPAN vagy TAP.

Ezekkel az információkkal kiválaszthatja a forgalomtükrözési módszereket az OT-érzékelőkhöz.
Partnerszolgáltatások kezelik? Írja le, hogy egy partnerszolgáltatás, például a Siemens, a Rockwell vagy az Emerson kezeli-e az eszközt. Ha szükséges, írja le a felügyeleti szabályzatot.
Soros kapcsolatok Ha az eszköz soros kapcsolaton keresztül kommunikál, adja meg a soros kommunikációs protokollt.

Többérzékelős üzembe helyezés megtervezése

Ha több hálózati érzékelő üzembe helyezését tervezi, vegye figyelembe a következő javaslatokat is, amikor eldönti, hol helyezze el az érzékelőket:

  • Fizikailag csatlakoztatott kapcsolók: Az Ethernet-kábelekkel fizikailag csatlakoztatott kapcsolók esetében minden 80 méter távolságra tervezzen legalább egy érzékelőt.

  • Több hálózat fizikai kapcsolat nélkül: Ha több hálózata van közöttük fizikai kapcsolat nélkül, tervezzen meg legalább egy érzékelőt minden egyes hálózathoz

  • RSPAN-támogatással rendelkező kapcsolók: Ha olyan kapcsolókkal rendelkezik, amelyek rsPAN forgalomtükrözést használhatnak, tervezzen meg legalább egy érzékelőt minden nyolc kapcsolóhoz egy helyi SPAN-porttal. Tervezze meg, hogy az érzékelőt elég közel helyezze a kapcsolókhoz, hogy kábellel csatlakoztathassa őket.

Alhálózatok listájának létrehozása

A monitorozni kívánt alhálózatok összesített listáját a teljes hálózaton figyelni kívánt eszközök listája alapján hozhatja létre.

Az érzékelők üzembe helyezése után ezzel a listával ellenőrizheti, hogy a felsorolt alhálózatok automatikusan észlelhetők-e, és szükség szerint manuálisan frissíti a listát.

A tervezett OT-érzékelők listázása

Miután megismerte a Defender for IoT-hez tükrözni kívánt forgalmat, hozzon létre egy teljes listát az összes olyan OT-érzékelőről, amelyet előkészít.

Minden érzékelőhöz sorolja fel a következőt:

  • Azt jelzi, hogy az érzékelő felhőhöz csatlakoztatott vagy helyileg felügyelt érzékelő lesz-e

  • A felhőhöz csatlakoztatott érzékelők esetében a használni kívánt felhőkapcsolati módszer .

  • Függetlenül attól, hogy fizikai vagy virtuális berendezéseket fog használni az érzékelőkhöz, figyelembe véve a szolgáltatásminőséghez (QoS) szükséges sávszélességet. További információ: Melyik berendezésre van szükségem?

  • Az egyes érzékelőkhöz hozzárendelendő hely és zóna .

    Az ugyanabban a helyen vagy zónában lévő érzékelőkből betöltött adatok együtt tekinthetők meg, a rendszer más adataiból szegmentáltan. Ha vannak olyan érzékelőadatok, amelyeket ugyanabban a helyen vagy zónában csoportosítva szeretne megtekinteni, győződjön meg arról, hogy ennek megfelelően rendel hozzá érzékelőhelyeket és zónákat.

  • Az egyes érzékelőkhöz használni kívánt forgalomtükrözési módszer

Ahogy a hálózat idővel bővül, több érzékelőt is előkészíthet, vagy módosíthatja a meglévő érzékelődefiníciókat.

Fontos

Javasoljuk, hogy ellenőrizze az egyes érzékelők által észlelt eszközök jellemzőit, például az IP- és MAC-címeket. Az ugyanabban a zónában azonos logikai eszközjellemzőkkel rendelkező eszközök automatikusan összevonódnak, és azonos eszközként vannak azonosítva.

Ha például több hálózattal és ismétlődő IP-címmel dolgozik, ügyeljen arra, hogy minden érzékelőt egy másik zónával tervezzen meg, hogy az eszközök megfelelően külön és egyedi eszközként legyenek azonosítva.

További információ: Zónák elválasztása ismétlődő IP-tartományokhoz.

Helyszíni berendezések előkészítése

  • Ha virtuális berendezéseket használ, győződjön meg arról, hogy a megfelelő erőforrások konfigurálva vannak. További információkért lásd: OT monitorozás virtuális berendezésekkel.

  • Ha fizikai berendezéseket használ, győződjön meg arról, hogy rendelkezik a szükséges hardverrel. Vásárolhat előre konfigurált berendezéseket, vagy tervezhet szoftvereket telepíteni a saját berendezésére.

    Előre konfigurált berendezések vásárlása:

    1. Nyissa meg az IoT-hez készült Defendert a Azure Portal.
    2. Válassza az Első lépések>Érzékelő>vásárlása előre konfigurált berendezés>névjegye lehetőséget.

    A hivatkozás megnyit egy e-mailt hardware.sales@arrow.comaz IoT-hez készült Defender-berendezések sablonkérelmével.

További információ: Melyik berendezésre van szükségem?

Kiegészítő hardver előkészítése

Ha fizikai berendezéseket használ, győződjön meg arról, hogy minden fizikai berendezéshez a következő további hardverek érhetők el:

  • Monitor és billentyűzet
  • Kiszolgálószekrény-terület
  • AC-teljesítmény
  • Lan-kábel a berendezés felügyeleti portjának hálózati kapcsolóhoz való csatlakoztatásához
  • LAN-kábelek tükörportok és hálózati terminálelérési pontok (TOP-k) csatlakoztatásához a berendezéshez

Berendezés hálózati adatainak előkészítése

Ha készen áll a berendezésekre, készítsen listát az egyes berendezésekre vonatkozó alábbi részletekről:

  • IP-cím
  • Alhálózat
  • Alapértelmezett átjáró
  • Állomásnév
  • DNS-kiszolgáló (nem kötelező), a DNS-kiszolgáló IP-címével és a gazdagép nevével

Üzembehelyezési munkaállomás előkészítése

Készítsen elő egy munkaállomást, ahol futtathatja a Defender for IoT üzembehelyezési tevékenységeit. A munkaállomás lehet Windows vagy Mac gép, a következő követelményekkel:

  • Terminálszoftver, például PuTTY

  • Támogatott böngésző az érzékelők konzoljaihoz és a Azure Portal való csatlakozáshoz. További információ: Ajánlott böngészők a Azure Portal.

  • Kötelező tűzfalszabályok konfigurálva, hozzáféréssel a szükséges felületekhez. További információ: Hálózati követelmények.

Hitelesítésszolgáltató által aláírt tanúsítványok előkészítése

Javasoljuk, hogy a hitelesítésszolgáltató által aláírt tanúsítványokat használja az éles környezetekben.

Győződjön meg arról, hogy ismeri a helyszíni erőforrások SSL-/TLS-tanúsítványkövetelményeit. Ha a kezdeti üzembe helyezés során hitelesítésszolgáltató által aláírt tanúsítványt szeretne üzembe helyezni, győződjön meg arról, hogy a tanúsítvány elő van készítve.

Ha úgy dönt, hogy a beépített, önaláírt tanúsítvánnyal telepíti az üzembe helyezést, javasoljuk, hogy később telepítsen egy hitelesítésszolgáltató által aláírt tanúsítványt éles környezetben.

További információkért lásd:

Következő lépések

« Az OT monitorozási rendszer megtervezése

Ot érzékelők előkészítése az IoT-hez készült Defenderhez »