A Azure Defender for IoT beállítása

Azure Defender for IoT ICS fenyegetésfigyelési és eszközfelderítési szolgáltatását biztosítja. A platform a következő összetevőket tartalmazza:

Defender IoT-érzékelőkhöz: Az érzékelők passzív (ügynök nélküli) figyelés használatával gyűjtik az ICS hálózati forgalmát. Passzív és nem zavaró, az érzékelők teljesítménye nem befolyásolja az ot- és IoT-hálózatokat és -eszközöket. Az érzékelő egy SPAN-porthoz vagy hálózati TAP-hoz csatlakozik, és azonnal megkezdi a hálózat monitorozását. Az észlelések az érzékelő konzolján jelennek meg. Itt megtekintheti, megvizsgálhatja és elemezheti őket egy hálózati térképen, egy eszközleltárban és számos jelentésben. Ilyenek például a kockázatfelmérési jelentések, az adatbányászati lekérdezések és a támadási vektorok.

Defender az IoT-hez helyszíni felügyeleti konzol: A helyszíni felügyeleti konzol az összes hálózati eszköz összevont nézetét biztosítja. Valós idejű nézetet biztosít az összes létesítmény legfontosabb egyszeri és iot-kockázati mutatóiról és riasztásairól. Szorosan integrálva van az SOC-munkafolyamatokkal és -forgatókönyvekkel, lehetővé teszi a kockázatcsökkentési tevékenységek egyszerű rangsorolását és a fenyegetések helyek közötti korrelálását.

Defender az IoT-portálhoz: A Defender for IoT alkalmazás segítséget nyújt a megoldáskészülékek megvásárlásában, a szoftverek telepítésében és frissítésében, valamint a TI-csomagok frissítésében.

Ez a cikk a megoldásarchitektúráról, a hálózat előkészítéséről, az előfeltételekről és sok másról nyújt információkat, amelyek segítenek a hálózat sikeres beállításában a Defender for IoT-berendezésekkel való munka során. Az ebben a cikkben található információkkal dolgozó olvasóknak tapasztaltnak kell lennie az ot- és IoT-hálózatok kezelésében. Ilyenek például az automatizálási mérnökök, az üzemvezetők, az OT hálózati infrastruktúra-szolgáltatók, a kiberbiztonsági csapatok, a CISO-k vagy a CIO-k.

Ha segítségre vagy támogatásra van szüksége, lépjen kapcsolatba a Microsoft ügyfélszolgálata.

Helyszíni üzembe helyezési feladatok

A helytelepítési feladatok a következők:

Helyinformációk gyűjtése

Helyinformációk rögzítésére, például:

  • Érzékelőkezelési hálózati információk.

  • A helyhálózat architektúrája.

  • Fizikai környezet.

  • Rendszerintegrációk.

  • Tervezett felhasználói hitelesítő adatok.

  • Konfigurációs munkaállomás.

  • SSL-tanúsítványok (nem kötelező, de ajánlott).

  • SMTP-hitelesítés (nem kötelező). Ha az SMTP-kiszolgálót hitelesítéssel használja, készítse elő a kiszolgálóhoz szükséges hitelesítő adatokat.

  • DNS-kiszolgálók (nem kötelező). Készítse elő a DNS-kiszolgáló IP-címét és állomásnevét.

A fontos helyinformációk részletes listájáért és leírásért lásd az üzembehelyhezés előtti ellenőrzőlistát.

Sikeres monitorozási irányelvek

Annak érdekében, hogy megtalálja az optimális helyet a berendezés csatlakoztatáshoz az egyes éles hálózatokban, javasoljuk, hogy kövesse az alábbi eljárást:

Példa az éles hálózat beállítására.

Konfigurációs munkaállomás előkészítése

Készítse elő a Windows munkaállomást, beleértve a következőket:

  • Csatlakozás az érzékelőkezelési felülethez.

  • Támogatott böngésző

  • Terminálszoftverek, például a PuTTY.

Győződjön meg arról, hogy a szükséges tűzfalszabályok nyitva vannak a munkaállomáson. Részletekért lásd: Hálózati hozzáférési követelmények.

Támogatott böngészők

Az érzékelők és a helyszíni felügyeleti konzol webalkalmazásai a következő böngészőket támogatják:

  • Microsoft Edge (legújabb verzió)

  • Safari (csak Mac, legújabb verzió)

  • Chrome (legújabb verzió)

  • Firefox (legújabb verzió)

További információ a támogatott böngészőkről: Ajánlott böngészők.

Hálózati hozzáférési követelmények

Ellenőrizze, hogy a szervezeti biztonsági szabályzat engedélyezi-e az alábbiakhoz való hozzáférést:

Protokoll Átvitel Be/ki Port Használt Cél Forrás Cél
HTTPS TCP BE/KI 443 Érzékelő- és helyszíni felügyeleti konzol webkonzolja Hozzáférés a webkonzolhoz Ügyfél Érzékelő- és helyszíni felügyeleti konzol
SSH TCP BE/KI 22 parancssori felület Hozzáférés a CLI-hez Ügyfél Érzékelő- és helyszíni felügyeleti konzol
SSL TCP BE/KI 443 Érzékelő- és helyszíni felügyeleti konzol Kapcsolat a CyberX platform és a központi felügyeleti platform között érzékelő Helyszíni felügyeleti konzol
NTP UDP IN 123 Időszinkronizálás A helyszíni felügyeleti konzol NTP-ként használható az érzékelőhöz érzékelő helyszíni felügyeleti konzol
NTP UDP BE/KI 123 Időszinkronizálás Külső NTP-kiszolgálóhoz csatlakoztatott érzékelő, ha nincs telepítve helyszíni felügyeleti konzol érzékelő NTP
SMTP TCP KI 25 E-mail A CyberX platform, a felügyeleti platform és a levelezési kiszolgáló közötti kapcsolat Érzékelő- és helyszíni felügyeleti konzol E-mail-kiszolgáló
Rendszernapló UDP KI 514 LEEF A helyszíni felügyeleti konzolról a Syslog-kiszolgálóra küldött naplók Helyszíni felügyeleti konzol és érzékelő Syslog-kiszolgáló
DNS BE/KI 53 DNS DNS-kiszolgáló portja Helyszíni felügyeleti konzol és érzékelő DNS-kiszolgáló
LDAP TCP BE/KI 389 Active Directory A CyberX platform és a management platform közötti kapcsolat a Active Directory Helyszíni felügyeleti konzol és érzékelő LDAP-kiszolgáló
LDAPS TCP BE/KI 636 Active Directory A CyberX platform és a management platform közötti kapcsolat a Active Directory Helyszíni felügyeleti konzol és érzékelő LDAPS-kiszolgáló
SNMP UDP KI 161 Figyelés Távoli SNMP-gyűjtők. Helyszíni felügyeleti konzol és érzékelő SNMP-kiszolgáló
WMI UDP KI 135 figyelés Windows Végpontfigyelés Érzékelő Kapcsolódó hálózati elem
Alagútkezelés TCP IN 9000

– a 443-as port tetején

A végfelhasználótól a helyszíni felügyeleti konzolig.

- A 22-es port az érzékelő és a helyszíni felügyeleti konzol között
figyelés Alagútkezelés Érzékelő Helyszíni felügyeleti konzol
HTTP TCP KI 80 Tanúsítvány érvényesítése CRL-fájl letöltése Érzékelő CRL-kiszolgáló

Az állványok telepítésének megtervezése

Az állvány telepítésének megtervéhez:

  1. Készítse elő a monitort és a billentyűzetet a berendezés hálózati beállításaihoz.

  2. Foglaljon le egy állványhelyet a berendezés számára.

  3. A berendezéshez rendelkezésre álló AC-tápellátást kell rendelkezésre álltata.

  4. Készítse elő a LAN-kábelt a felügyelet hálózati kapcsolóhoz való csatlakoztatásához.

  5. Készítse elő a LAN-kábeleket a SPAN-portok (tükrözött) portok és hálózati koppintások a Defender for IoT-berendezéshez való csatlakoztatásához.

  6. Konfigurálja, csatlakoztassa és ellenőrizze a SPAN-portokat a tükrözött kapcsolókban az architektúra-felülvizsgálati munkamenetben leírtak szerint.

  7. Csatlakozás a konfigurált SPAN-portot egy Wiresharkot futtató számítógépre, és ellenőrizze, hogy a port megfelelően van-e konfigurálva.

  8. Nyissa meg az összes megfelelő tűzfalportot.

A passzív hálózatfigyelés

A berendezés több forrásból fogad forgalmat a kapcsolótükrözési portok (SPAN-portok) vagy a hálózati TAPs-k által. A felügyeleti port a helyszíni felügyeleti konzolhoz vagy a Defender for IoT-portálhoz való csatlakozással kapcsolódik az üzleti, vállalati vagy érzékelőkezelési hálózathoz.

Porttükrözéses felügyelt kapcsoló ábrája.

Véglegesen deduplálva modell

A következő szakaszok a véglegesen véglegesen deduplikálható szinteket ismertetik.

A Véglegesen deduplálva modell ábrája.

0. szint: Cella és terület

A 0. szint számos különböző érzékelőből, működtető eszközből és eszközből áll, amelyek részt vesznek az alapszintű gyártási folyamatban. Ezek az eszközök elvégzik az ipari automatizálási és vezérlési rendszer alapvető funkcióit, például:

  • Egy motor vezetése.

  • Változók mérése.

  • Kimenet beállítása.

  • Olyan kulcsfontosságú funkciók végrehajtása, mint a festmények, a festmények és a technikásítás.

1. szint: Folyamatvezérlés

Az 1. szint beágyazott vezérlőkből áll, amelyek a gyártási folyamatot irányítják és manipulálják, amelynek kulcsfontosságú funkciója a 0. szintű eszközökkel való kommunikáció. A diszkrét gyártásban ezek az eszközök programozható logikai vezérlők (PLC-k) vagy távoli telemetriai egységek (RTUS-k). A folyamatiparban az alapszintű vezérlőt elosztott vezérlési rendszernek (DCS) nevezzük.

2. szint: Felügyeleti szint

A 2. szint azokat a rendszereket és funkciókat jelöli, amelyek egy éles létesítmény futásidejű felügyeletéhez és működéséhez kapcsolódnak. Ezek általában a következők:

  • Operátori felületek vagy HBA-k

  • Riasztások vagy riasztási rendszerek

  • Kötegelt és kötegelt kezelési rendszerek feldolgozása

  • Vezérlőtermi munkaállomások

Ezek a rendszerek az 1. szinten kommunikálnak a PLC-ket és az RTUS-okat. Bizonyos esetekben kommunikálnak vagy adatokat osztnak meg a hely vagy a vállalat (4. és 5. szintű) rendszerekkel és alkalmazásokkal. Ezek a rendszerek elsősorban szabványos számítási berendezéseken és operációs rendszereken alapulnak (Unix vagy Microsoft Windows).

3. és 3.5-ös szint: Helyszintű és ipari szegélyhálózat

A webhelyszint az ipari automatizálási és vezérlési rendszerek legmagasabb szintjét képviseli. Az ezen a szinten meglévő rendszerek és alkalmazások a teljes telephelyre kiterjedő ipari automatizálási és vezérlési funkciókat kezelnek. A 0–3. szint kritikus fontosságú a helyműveletek szempontjából. Az ezen a szinten meglévő rendszerek és funkciók a következőket tartalmazhatják:

  • Éles jelentéskészítés (például ciklusidők, minőségi index, prediktív karbantartás)

  • Növények virága

  • Részletes termelési ütemezés

  • Helyszintű műveletek kezelése

  • Eszköz- és anyagkezelés

  • Javítási indítási kiszolgáló

  • Fájlkiszolgáló

  • Ipari tartomány, Active Directory, terminálkiszolgáló

Ezek a rendszerek kommunikálnak az éles zónával, és adatokat osztnak meg a vállalati (4. és 5. szintű) rendszerekkel és alkalmazásokkal.

4. és 5. szint: Üzleti és vállalati hálózatok

A 4. és az 5. szint azt a telephelyet vagy vállalati hálózatot jelenti, ahol a központosított it-rendszerek és funkciók léteznek. Az it-szervezet ezeken a szinteken közvetlenül felügyeli a szolgáltatásokat, rendszereket és alkalmazásokat.

Hálózatfigyelés tervezése

Az alábbi példák különböző topológiákat mutatnak be az ipari vezérlőhálózatok esetében, valamint az érzékelők optimális monitorozásának és elhelyezésének szempontjait.

Mit kell figyelni?

Az 1. és a 2. rétegen áthaladó forgalmat monitorozni kell.

Mihez csatlakozzon a Defender for IoT-berendezés?

A Defender for IoT-berendezésnek csatlakoznia kell a felügyelt kapcsolókhoz, amelyek az 1. és a 2. réteg közötti ipari kommunikációt látják (bizonyos esetekben a 3. réteget is).

Az alábbi ábra egy többrétegű, több-bérlős hálózat általános absztrakciója, amely egy kiterjedt kiberbiztonsági ökoszisztémával, amelyet általában egy SOC és egy MSSP működtet.

Az NTA-érzékelőket általában az OSI-modell 0–3. rétegében telepítik.

Az OSI-modell ábrája.

Példa: Gyűrűs topológia

A körhálózat egy olyan topológia, amelyben minden kapcsoló vagy csomópont pontosan két másik kapcsolóhoz csatlakozik, ami egyetlen folyamatos útvonalat jelent a forgalom számára.

A gyűrűs topológia ábrája.

Példa: Lineáris busz- és csillag topológia

A csillaghálózatban minden gazdagép egy központi központhoz csatlakozik. Legegyszerűbb formájában az egyik központi központ az üzenetek továbbítására kötőrutinként működik. A következő példában az alacsonyabb kapcsolók nincsenek figyelve, és a kapcsolók helyi forgalma nem látható. Előfordulhat, hogy az eszközök ARP-üzenetek alapján azonosíthatók, de a kapcsolati adatok hiányoznak.

A lineáris busz és a csillag topológia diagramja.

Több-többtényezős telepítés

Íme néhány javaslat több érzékelő üzembe helyezéséhez:

Szám Méter Függőség Érzékelők száma
A kapcsolók közötti maximális távolság 80 méter Előkészített Ethernet-kábel Több mint 1
Ot-hálózatok száma Több mint 1 Nincs fizikai kapcsolat Több mint 1
Kapcsolók száma Használhatja az RSPAN-konfigurációt Legfeljebb nyolc, az érzékelőhöz közeli helyi távolságú kapcsoló kábeles távolság alapján Több mint 1

Forgalomtükrözés

Ahhoz, hogy csak a forgalomelemzéshez releváns információkat lássa, csatlakoztatnia kell a Defender for IoT platformot egy kapcsoló tükrözött portjához vagy egy tap-hoz, amely csak ipari ICS- és SCADA-forgalmat tartalmaz.

Használja ezt a kapcsolót a beállításhoz.

A forgalomváltást a következő módszerekkel figyelheti:

A SPAN és az RSPAN a Cisco terminológiája. Más kapcsolók márkái hasonló funkciókkal is rendelkezik, de más terminológiát használhatnak.

SPAN-port váltása

A kapcsolóport-elemző a kapcsoló csatolóiról az ugyanazon a kapcsolón található interfészek közötti helyi forgalmat tükrözi. Néhány szempont:

  • Ellenőrizze, hogy a megfelelő kapcsoló támogatja-e a porttükrözési függvényt.

  • A tükrözés alapértelmezés szerint le van tiltva.

  • Javasoljuk, hogy akkor is konfigurálja a kapcsoló összes portját, ha nincs hozzájuk adatkapcsolat. Ellenkező esetben előfordulhat, hogy egy engedélyezetlen eszköz egy nem figyelt porthoz csatlakozik, és nem kap riasztást az érzékelőről.

  • A szórásos vagy csoportos küldésű üzenetküldést kihasználó ot-hálózatokon konfigurálja a kapcsolót úgy, hogy csak az RX(Receive) átviteleket tükrözötte. Ellenkező esetben a csoportos küldésű üzenetek annyi aktív porton ismétlődnek, és a sávszélesség megszorozva lesz.

Az alábbi konfigurációs példák csak referenciaként szolgálnak, és egy IOS-t futtató Cisco 2960-as kapcsolón (24 porton) alapulnak. Ezek csak tipikus példák, ezért ne használja őket útmutatásként. A más Cisco operációs rendszereken és más kapcsolómárkákon található tükrözött portok eltérő módon vannak konfigurálva.

Span portkonfigurációs terminál ábrája. A SPAN-port konfigurációs módjának ábrája.

Több VLAN monitorozása

A Defender for IoT lehetővé teszi a hálózatban konfigurált VLAN-ek monitorozását. Nem szükséges konfigurálni a Defender for IoT rendszert. A felhasználónak biztosítania kell, hogy a hálózat kapcsolója úgy legyen konfigurálva, hogy VLAN-címkéket küldjön a Defender for IoT-nek.

Az alábbi példa azokat a szükséges parancsokat mutatja be, amelyek a Cisco kapcsolón konfigurálva engedélyezhetők a VLAN-ek figyelése a Defender for IoT-ban:

Munkamenet figyelése: Ez a parancs felel a VLAN-ek SPAN-portra való küldésének folyamatáért.

  • munkamenet figyelése 1. forrásfelület Gi1/2

  • monitor session 1 filter packet type good Rx

  • az 1. munkamenet fastEthernet1/1 beágyazási dot1q célfelületének figyelése

Monitor Trunk Port F.E. Gi1/1: A VN-ek a tönkporton vannak konfigurálva.

  • interfész GigabitEthernet1/1

  • switchport tönk beágyazási dot1q

  • switchport mód tönk

Remote SPAN (RSPAN)

A távoli SPAN-munkamenet több elosztott forrásport forgalmát egy dedikált távoli VLAN-ba tükrözi.

Távoli SPAN ábrája.

A VLAN-ban lévő adatok ezután több kapcsolón keresztül tülönkben lévő portokon keresztül egy adott kapcsolóhoz vannak kézbesítve, amely a fizikai célportot tartalmazza. Ez a port a Defender for IoT platformhoz csatlakozik.

További információ az RSPAN-ről
  • Az RSPAN egy speciális funkció, amely speciális VLAN-t igényel a kapcsolók közötti SPAN-figyelők forgalmának hordozához. Az RSPAN nem minden kapcsolón támogatott. Ellenőrizze, hogy a kapcsoló támogatja-e az RSPAN függvényt.

  • A tükrözés alapértelmezés szerint le van tiltva.

  • A távoli VLAN-t a forrás- és célkapcsolók közötti tönkben található porton kell lehetővé tenni.

  • Az ugyanattól az RSPAN-munkamenettől összekapcsolt kapcsolók mindegyikének ugyanattól a szállítótól kell lennie.

Megjegyzés

Győződjön meg arról, hogy a távoli VLAN-t a kapcsolók között megosztó tönkön található port nincs tükrözött munkamenet-forrásportként definiálva.

A távoli VLAN a tükrözött munkamenet sávszélességének méretével növeli a tönkben található port sávszélességét. Ellenőrizze, hogy a kapcsoló tönkportja támogatja-e ezt.

Távoli VLAN diagramja.

RSPAN-konfigurációs példák

RSPAN: Cisco 2960-as (24 portos) asszitalizáló alapján.

Példa forráskapcsoló-konfigurációra:

Az RSPAN konfigurációjának képernyőképe.

  1. Adja meg a globális konfigurációs módot.

  2. Dedikált VLAN létrehozása.

  3. Azonosítsa a VLAN-t RSPAN VLAN-ként.

  4. Térjen vissza a "terminál konfigurálása" módba.

  5. Konfigurálja mind a 24 portot munkamenet-forrásként.

  6. Konfigurálja az RSPAN VLAN-t a munkamenet célhelyének.

  7. Térjen vissza a kiemelt EXEC módba.

  8. Ellenőrizze a porttükrözés konfigurációját.

Példa célkapcsoló-konfigurációra:

  1. Adja meg a globális konfigurációs módot.

  2. Konfigurálja az RSPAN VLAN-t a munkamenet forrásaként.

  3. Konfigurálja a 24-es fizikai portot a munkamenet céljának.

  4. Térjen vissza a kiemelt EXEC módba.

  5. Ellenőrizze a porttükrözés konfigurációját.

  6. Mentse a konfigurációt.

Aktív és passzív aggregáció TAP

A TAP aktív vagy passzív aggregációja a hálózati kábelen belül van telepítve. RX-et és TX-et is duplikál a monitorozási érzékelőhöz.

A terminál-hozzáférési pont (TAP) egy olyan hardvereszköz, amely megszakítás nélkül engedélyezi a hálózati forgalmat az A portról a B portra és a B portról az A portra. Folyamatosan létrehozza a forgalom mindkét oldalának pontos másolatát a hálózati integritás veszélyeztetése nélkül. Egyes TAP-k aggregált átviteli és fogadási forgalmat a kapcsolóbeállítások használatával továbbítanak és fogadnak, ha szükséges. Ha az összesítés nem támogatott, minden TAP két érzékelőportot használ a küldési és fogadási forgalom figyelése érdekében.

A TAP-k több okból is előnyösek. Ezek hardveralapúak, és nem sérülhet a biztonság. Minden forgalmat áthaladnak, még a sérült üzeneteket is, amelyek gyakran elesnek. Nem érzékenyek a processzorra, ezért a csomagok időzítése pontosan az a pont, ahol a kapcsolók alacsony prioritású feladatként kezelik a tükrözött funkciót, amely hatással lehet a tükrözött csomagok időzítésére. Kriminalisztikai célokra a TAP a legjobb eszköz.

A TAP-összesítők portfigyeléshez is használhatók. Ezek az eszközök processzoralapúak, és nem annyira biztonságosak, mint a hardveres TAT-k. Előfordulhat, hogy nem tükrözik a csomagok pontos időzítését.

Aktív és passzív TAT-k ábrája.

Gyakori TAP-modellek

Ezeket a modelleket kompatibilitási tesztekkel tesztelték. Más szállítók és modellek is kompatibilisek lehetnek.

Kép Modellezés
Képernyőkép a Garland P1GGOTS-ről. Garland P1GGOTS
Az I HYPO TPA2-CU3 képernyőképe. I HYPO TPA2-CU3
Az US Robotics USR 4503 képernyőképe. US Robotics USR 4503
Speciális TAP-konfiguráció
Garland TAP US Robotics TAP
Győződjön meg arról, hogy az ugrók az alábbiak szerint vannak beállítva:
A US Robotics kapcsoló képernyőképe.
Győződjön meg arról, hogy az Összesítés mód aktív.

Üzembe helyezés ellenőrzése

Mérnöki önértékelés

Az ot és az ICS hálózati diagram áttekintése a leghatékonyabb módszer annak meghatározására, hogy mi a legmegfelelőbb hely a kapcsolódáshoz, ahol a monitorozáshoz a leginkább releváns forgalomhoz lehet csatlakozni.

A helymérnökök tudják, hogyan néz ki a hálózatuk. A helyi hálózattal és az üzemeltetési csapatokkal való felülvizsgálati munkamenet általában tisztázza az elvárásokat, és meghatározza a berendezés csatlakoztatásának legjobb helyét.

Releváns információk:

  • Ismert eszközök listája (táblázat)

  • Eszközök becsült száma

  • Szállítók és ipari protokollok

  • Kapcsolók modellje, annak ellenőrzéséhez, hogy a porttükrözés lehetőség elérhető-e

  • Információ arról, hogy ki kezeli a kapcsolókat (például az it-it), és hogy külső erőforrások-e

  • A webhelyen található ot-hálózatok listája

Gyakori kérdések

  • Mik a megvalósítás általános céljai? Fontos a teljes leltár és a pontos hálózati térkép?

  • Több vagy redundáns hálózat is van az ICS-n? Az összes hálózat figyelve van?

  • Van kommunikáció az ICS és a vállalati (üzleti) hálózat között? Figyelik ezeket a kommunikációt?

  • A VNA-k a hálózat kialakítása során vannak konfigurálva?

  • Hogyan történik az ICS karbantartása rögzített vagy átmeneti eszközökkel?

  • Hol vannak telepítve tűzfalak a figyelt hálózatokon?

  • Van útválasztás a figyelt hálózatokban?

  • Milyen EGYSZERI protokollok aktívak a figyelt hálózatokon?

  • Ha ehhez a kapcsolóhoz csatlakozunk, látni fogjuk a KOMMUNIKÁCIÓT a HKI és a PLC-k között?

  • Mekkora a fizikai távolság az ICS-kapcsolók és a vállalati tűzfal között?

  • Lecserélhetők felügyelt kapcsolók a nem felügyelt kapcsolókra, vagy a hálózati TAP-k használata lehetséges?

  • Van soros kommunikáció a hálózaton? Ha igen, mutassa meg a hálózati diagramon.

  • Ha a Defender for IoT-berendezést ehhez a kapcsolóhoz kell csatlakoztatni, van fizikai elérhető állványtér a szekrényben?

További szempontok

A Defender for IoT-berendezés célja az 1. és a 2. rétegből származó forgalom figyelése.

Egyes architektúráknál a Defender for IoT-berendezés a 3. réteget is monitorja, ha ezen a rétegen ot-forgalom van. A helyarchitektúra áttekintése és a kapcsoló monitorozásának eldöntése során vegye figyelembe a következő változókat:

  • Milyen költségeket és előnyöket jelent a kapcsoló monitorozása?

  • Ha egy kapcsoló nem felügyelve van, lehetséges-e egy magasabb szintű kapcsoló forgalmának figyelése?

    Ha az ICS-architektúra egy gyűrűs topológia, akkor ebben a gyűrűben csak egy kapcsolót kell figyelni.

  • Milyen biztonsági vagy működési kockázatnak van kitéve ebben a hálózatban?

  • Lehetséges a kapcsoló VLAN-ának figyelése? Látható ez a VLAN egy másik figyelt kapcsolóban?

Műszaki ellenőrzés

A switch SPAN (vagy tükrözött) portról rögzített forgalom mintái (PCAP-fájl) a következőben segíthetnek:

  • Ellenőrizze, hogy a kapcsoló megfelelően van-e konfigurálva.

  • Ellenőrizze, hogy a kapcsolón áthaladó forgalom releváns-e a monitorozáshoz (OT-forgalom).

  • Azonosítsa a sávszélességet és a kapcsolóban használt eszközök becsült számát.

Minta PCAP-fájlt rögzíthet (néhány perc), ha egy laptopot egy már konfigurált SPAN-porthoz csatlakoztat a Wireshark alkalmazáson keresztül.

Képernyőkép egy SPAN-porthoz csatlakoztatott laptopról. Képernyőkép egy minta PCAP-fájl felvételéről.

Wireshark-ellenőrzés

  • Ellenőrizze, hogy az egyedi küldésű csomagok jelen vannak-e a rögzítési adatforgalomban. Az egyedi küldés az egyik címről a másikra. Ha a forgalom nagy része ARP-üzenetek, akkor a kapcsoló beállítása helytelen.

  • Ugrás a Statistics > Protocol Hierarchy (Statisztikai protokollhierarchia) hierarchiára. Ellenőrizze, hogy az ipari ot protokollok jelen vannak-e.

A Wireshark-érvényesítés képernyőképe.

Hibaelhárítás

A következő szakaszok segítségével háríthatja el a problémákat:

Nem lehet webes felülettel csatlakozni

  1. Ellenőrizze, hogy a csatlakoztatni próbált számítógép ugyanazon a hálózaton található-e, mint a berendezés.

  2. Ellenőrizze, hogy a grafikus felhasználói felület hálózata csatlakoztatva van-e az érzékelő felügyeleti portjához.

  3. Pingelje a berendezés IP-címét. Ha nincs válasz a pingelésre:

    1. Csatlakozás egy monitort és egy billentyűzetet a berendezéshez.

    2. A bejelentkezéshez használja a támogatási felhasználót és a jelszót.

    3. Az aktuális IP-cím a parancshálózati listából látható.

    A hálózati lista parancs képernyőképe.

  4. Ha a hálózati paraméterek helytelenül vannak konfigurálva, a következő eljárással módosíthatja:

    1. Használja a network edit-settings parancsot.

    2. A felügyeleti hálózat IP-címének beállításához válassza az Y lehetőséget.

    3. Az alhálózati maszk beállításának beállításhoz válassza az Y lehetőséget.

    4. A DNS-nek a módosításhoz válassza az Y lehetőséget.

    5. Az alapértelmezett átjáró IP-címének beállítását az Y kiválasztásával módosíthatja.

    6. A bemeneti felület (csak érzékelő esetén) módosítása esetén válassza az Y lehetőséget.

    7. A hídfelülethez válassza az N lehetőséget.

    8. A beállítások alkalmazáshoz válassza az Y lehetőséget.

  5. Az újraindítás után csatlakozzon a felhasználói támogatással, és a hálózati lista paranccsal ellenőrizze, hogy a paraméterek módosultak-e.

  6. Próbáljon meg újra pingelni, majd csatlakozni a grafikus felhasználói felületről.

A berendezés nem válaszol

  1. Csatlakozás és billentyűzettel csatlakoztathatja a berendezéshez, vagy a PuTTY használatával távolról kapcsolódhat a CLI-hez.

  2. A bejelentkezéshez használja a támogatási hitelesítő adatokat.

  3. Használja a rendszer-sanitás parancsot, és ellenőrizze, hogy minden folyamat fut-e.

    Képernyőkép a rendszer-sanitás parancsról.

Egyéb problémák esetén lépjen kapcsolatba a Microsoft ügyfélszolgálata.

Üzembe előtti üzembe állás ellenőrzőlistája

A telepítés előtti ellenőrzőlistát használva lekéri és áttekinti a hálózat beállításához szükséges fontos információkat.

Hely ellenőrzőlistája

Tekintse át ezt a listát a hely üzembe helyezése előtt:

# Feladat vagy tevékenység Állapot Megjegyzések
1 Berendezések megrendelése.
2 Készítse elő a hálózatban található alhálózatok listáját.
3 Adja meg az éles hálózatok VLAN-listáját.
4 Adja meg a hálózatban található kapcsolómodellek listáját.
5 Adja meg az ipari berendezések gyártóinak és protokolljainak listáját.
6 Adja meg az érzékelők hálózati adatait (IP-cím, alhálózat, D-GW, DNS).
7 Külső kapcsolókezelés
8 Hozza létre a szükséges tűzfalszabályokat és a hozzáférési listát.
9 Hozzon létre portfedő portokat a kapcsolókhoz a portfigyeléshez, vagy állítsa be a hálózati koppintásokat a kívánt módon.
10 Állványtér előkészítése érzékelőkészülékek számára.
11 Munkaállomás előkészítése a személyzet számára.
12 Biztosítson billentyűzetet, monitort és egeret a Defender for IoT rack-eszközökhöz.
13 Állványra és kábelekkel.
14 Helyerőforrások lefoglalása az üzembe helyezés támogatásához.
15 Hozzon Active Directory csoportokat vagy helyi felhasználókat.
16 Beállítási képzés (öntanulás).
17 Go vagy no-go.
18 Az üzembe helyezés dátumának ütemezése.
Date Megjegyzés Üzembe helyezés dátuma Megjegyzés
Defender IoT-hez Hely neve*
Név Név
Pozíció Pozíció

Architektúra áttekintése

Az ipari hálózati diagram áttekintésével meghatározhatja a Defender for IoT-berendezések megfelelő helyét.

  1. Globális hálózati diagram – Az ipari ot környezet globális hálózati diagramjának megtekintése. Például:

    A globális hálózat ipari OT-környezetének ábrája.

    Megjegyzés

    A Defender for IoT-berendezést egy alacsonyabb szintű kapcsolóhoz kell csatlakoztatni, amely a kapcsoló portjai közötti forgalmat látja.

  2. Lekötött eszközök – Adja meg a figyelt hálózati eszközök hozzávetőleges számát. Erre az információra szüksége lesz, amikor az előfizetést a Azure Defender for IoT portálra. A beléptatási folyamat során meg kell adnia az eszközök számát 1000-es lépésekben.

  3. (Nem kötelező) Alhálózatok listája – Adja meg az éles hálózatok alhálózati listáját és leírását (nem kötelező).

    # Alhálózat neve Leírás
    1
    2
    3
    4
  4. VLAN-ek – Adja meg az éles hálózatok VLAN-listáját.

    # VLAN neve Leírás
    1
    2
    3
    4
  5. Switch-modellek és tükrözés támogatása – Annak ellenőrzéséhez, hogy a kapcsolók képesek-e porttükrözésre, adja meg a kapcsolómodell számát, amelyekhez a Defender for IoT platformnak csatlakoznia kell:

    # Kapcsoló (switch) Modellezés Forgalomtükrözés támogatása (SPAN, RSPAN vagy nincs)
    1
    2
    3
    4
  6. Harmadik féltől származó kapcsolók kezelése – Egy külső fél kezeli a kapcsolókat? Y vagy N

    Ha igen, ki? __________________________________

    Mi a szabályzatuk? __________________________________

    Például:

    • Siemens

    • Rockwell automatizálása – Ethernet vagy IP

    • Emerson – DeltaV, Ovation

  7. Soros kapcsolat – Vannak olyan eszközök, amelyek soros kapcsolaton keresztül kommunikálnak a hálózaton? Igen vagy nem

    Ha igen, adja meg a következő soros kommunikációs protokollt: _________

    Ha igen, jelölje meg a hálózati diagramon, hogy milyen eszközök kommunikálnak a soros protokollokkal, és hol vannak:

    Hálózati diagram hozzáadása megjelölt soros kapcsolattal

  8. Szolgáltatásminőség – A szolgáltatásminőség (QoS) érdekében az érzékelő alapértelmezett beállítása 1,5 Mb/s. Adja meg, hogy szeretné-e módosítani: ________

    Üzleti egység (BU): ______________

  9. Érzékelő – Helyberendezések specifikációi

    Az érzékelő berendezés hálózati adapteren keresztül csatlakozik a SPAN-port kapcsolójához. Egy másik dedikált hálózati adapteren keresztül csatlakozik az ügyfél vállalati hálózatához a felügyelethez.

    Adja meg a vállalati hálózaton csatlakoztatott érzékelő hálózati adapterének címadatokat:

    Elem 1. berendezés 2. berendezés 3. berendezés
    Berendezés IP-címe
    Alhálózat
    Alapértelmezett átjáró
    DNS
    Állomásnév
  10. iDRAC/iLO/kiszolgálókezelés

    Elem 1. berendezés 2. berendezés 3. berendezés
    Berendezés IP-címe
    Alhálózat
    Alapértelmezett átjáró
    DNS
  11. Helyszíni felügyeleti konzol

    Elem Aktív Passzív (HA használata esetén)
    IP-cím
    Alhálózat
    Alapértelmezett átjáró
    DNS
  12. SNMP

    Elem Részletek
    IP
    IP-cím
    Felhasználónév
    Jelszó
    Hitelesítéstípus MD5 vagy SHA
    Titkosítás DES vagy AES
    Titkos kulcs
    SNMP v2 közösségi sztring
  13. Helyszíni felügyeleti konzol SSL-tanúsítványa

    SSL-tanúsítvány használatát tervezi? Igen vagy nem

    Ha igen, melyik szolgáltatást fogja használni a létrehozásához? Milyen attribútumokat fog tartalmazni a tanúsítvány (például tartomány vagy IP-cím)?

  14. SMTP-hitelesítés

    Azt tervezi, hogy SMTP használatával továbbítja a riasztásokat egy e-mail-kiszolgálóra? Igen vagy nem

    Ha igen, milyen hitelesítési módszert fog használni?

  15. Active Directory vagy helyi felhasználók

    Lépjen kapcsolatba egy Active Directory rendszergazdával, és hozzon létre egy Active Directory felhasználói csoportot, vagy hozzon létre helyi felhasználókat. Mindenképpen készítse elő a felhasználókat az üzembe helyezés napjére.

  16. IoT-eszköztípusok a hálózaton

    Eszköz típusa A hálózatban elérhető eszközök száma Átlagos sávszélesség
    Kamera
    X-ray gép

Következő lépések

A Defender for IoT telepítésének