Bagikan melalui

Mengontrol lalu lintas OT yang dipantau oleh Pertahanan Microsoft untuk IoT

  • Artikel

Artikel ini adalah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT.

Diagram of a progress bar with Fine-tune OT monitoring highlighted.

Sensor jaringan Microsoft Defender for IoT OT secara otomatis menjalankan deteksi paket mendalam untuk lalu lintas IT dan OT, menyelesaikan data perangkat jaringan, seperti atribut dan perilaku perangkat.

Setelah menginstal, mengaktifkan, dan mengonfigurasi sensor jaringan OT Anda, gunakan alat yang dijelaskan dalam artikel ini untuk menganalisis lalu lintas yang terdeteksi secara otomatis, menambahkan subnet tambahan jika diperlukan, dan mengontrol informasi lalu lintas yang disertakan dalam pemberitahuan Defender for IoT.

Prasyarat

Sebelum melakukan prosedur dalam artikel ini, Anda harus memiliki:

Langkah ini dilakukan oleh tim penyebaran Anda.

Menganalisis penyebaran Anda

Setelah onboarding sensor jaringan OT baru ke Pertahanan Microsoft untuk IoT, validasi bahwa sensor Anda disebarkan dengan benar dengan menganalisis lalu lintas yang dipantau.

Untuk menganalisis jaringan Anda:

  1. Masuk ke sensor OT Anda sebagai pengguna Admin dan pilih Penyebaran Dasar>pengaturan>sistem.

  2. Pilih Analisis. Analisis dimulai, dan tab ditampilkan untuk setiap antarmuka yang dipantau oleh sensor. Setiap tab memperlihatkan subnet yang terdeteksi oleh antarmuka yang ditunjukkan. Misalnya:

    Screenshot of the Deployment settings page.

  3. Setiap tab antarmuka memperlihatkan detail berikut:

    • status Koneksi ion, ditunjukkan oleh ikon koneksi hijau atau merah di nama tab. Misalnya, pada gambar di atas, antarmuka eth1 menunjukkan sebagai hijau, dan karenanya terhubung.
    • Jumlah total subnet dan VLAN yang terdeteksi, diperlihatkan di bagian atas tab.
    • Protokol yang terdeteksi pada setiap subnet.
    • Jumlah alamat unicast yang terdeteksi untuk setiap subnet.
    • Apakah lalu lintas siaran terdeteksi untuk setiap subnet, menunjukkan jaringan lokal.

  4. Tunggu hingga analisis selesai, lalu periksa setiap tab antarmuka untuk memahami apakah antarmuka memantau lalu lintas yang relevan, atau memerlukan penyempurnaan lebih lanjut.

Jika lalu lintas yang ditampilkan di halaman Penyebaran tidak seperti yang Anda harapkan, Anda mungkin perlu menyempurnakan penyebaran dengan mengubah lokasi sensor di jaringan, atau memverifikasi bahwa antarmuka pemantauan Anda terhubung dengan benar. Jika Anda membuat perubahan dan ingin menganalisis lalu lintas lagi untuk melihat apakah lalu lintas ditingkatkan, pilih Analisis lagi untuk melihat status pemantauan yang diperbarui.

Menyempurnakan daftar subnet Anda

Setelah menganalisis lalu lintas yang dipantau sensor Anda dan menyempurnakan penyebaran, Anda mungkin perlu menyempurnakan lebih lanjut daftar subnet Anda. Gunakan prosedur ini untuk memastikan bahwa subnet Anda dikonfigurasi dengan benar.

Meskipun sensor OT Anda secara otomatis mempelajari subnet jaringan Anda selama penyebaran awal, sebaiknya analisis lalu lintas yang terdeteksi dan memperbaruinya sesuai kebutuhan untuk mengoptimalkan tampilan peta dan inventarisasi perangkat Anda.

Gunakan juga prosedur ini untuk juga menentukan pengaturan subnet, menentukan bagaimana perangkat ditampilkan di peta perangkat sensor dan inventori perangkat Azure.

  • Di peta perangkat, perangkat TI secara otomatis dikumpulkan oleh subnet, di mana Anda dapat memperluas dan menciutkan setiap tampilan subnet untuk menelusuri sesuai kebutuhan.
  • Di inventori perangkat Azure, setelah subnet dikonfigurasi, gunakan filter Lokasi jaringan (Pratinjau publik) untuk melihat perangkat lokal atau yang dirutekan seperti yang didefinisikan dalam daftar subnet Anda. Semua perangkat yang terkait dengan subnet yang tercantum ditampilkan sebagai lokal, sementara perangkat yang terkait dengan subnet yang terdeteksi tidak disertakan dalam daftar akan ditampilkan sebagai dirutekan.

Meskipun sensor jaringan OT secara otomatis mempelajari subnet di jaringan Anda, sebaiknya konfirmasi pengaturan yang dipelajari dan perbarui sesuai kebutuhan untuk mengoptimalkan tampilan peta dan inventarisasi perangkat Anda. Subnet apa pun yang tidak terdaftar sebagai subnet diperlakukan sebagai jaringan eksternal.

Tip

Saat Anda siap untuk mulai mengelola pengaturan sensor OT dalam skala besar, tentukan subnet dari portal Azure. Setelah Anda menerapkan pengaturan dari portal Azure, pengaturan pada konsol sensor bersifat baca-saja. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan sensor OT dari portal Azure (Pratinjau publik).

Untuk menyempurnakan subnet yang terdeteksi:

  1. Masuk ke sensor OT Anda sebagai pengguna Admin dan pilih Pengaturan sistem>Subnet Dasar.> Misalnya:

    Screenshot of the Subnets page in the OT sensor settings.

  2. Perbarui subnet yang tercantum menggunakan salah satu opsi berikut:

    Nama Deskripsi
    Mengimpor subnet Impor . File CSV definisi subnet. Informasi subnet diperbarui dengan informasi yang Anda impor. Jika Anda mengimpor bidang kosong, Anda akan kehilangan data di bidang tersebut.
    Mengekspor subnet Ekspor subnet yang saat ini tercantum ke . File CSV.
    Bersihkan semua Hapus semua subnet yang ditentukan saat ini.
    Pembelajaran subnet otomatis Dipilih secara default. Hapus opsi ini untuk mencegah sensor mendeteksi subnet Anda secara otomatis.
    Mengatasi semua lalu lintas Internet sebagai internal/privat Pilih untuk mempertimbangkan semua alamat IP publik sebagai alamat privat lokal. Jika dipilih, alamat IP publik diperlakukan sebagai alamat lokal, dan pemberitahuan tidak dikirim tentang aktivitas internet yang tidak sah.

    Opsi ini mengurangi pemberitahuan dan pemberitahuan yang diterima tentang alamat eksternal.
    Alamat IP Tentukan alamat IP subnet.
    Masker Tentukan masker IP subnet.
    Nama Kami menyarankan agar Anda memasukkan nama yang bermakna yang menentukan peran jaringan subnet. Nama subnet dapat memiliki hingga 60 karakter.
    Terpisah Pilih untuk menampilkan subnet ini secara terpisah saat menampilkan peta perangkat sesuai dengan tingkat Purdue.
    Menghapus subnet Pilih untuk menghapus subnet apa pun yang tidak terkait dengan cakupan jaringan IoT/OT Anda.

    Di kisi subnet, subnet yang ditandai sebagai subnet ICS dikenali sebagai jaringan OT. Opsi ini bersifat baca-saja di kisi ini, tetapi Anda dapat menentukan subnet secara manual sebagai ICS jika ada subnet OT yang tidak dikenali dengan benar.

  3. Setelah selesai, pilih Simpan untuk menyimpan pembaruan Anda.

Tip

Setelah pengaturan Pembelajaran subnet otomatis dinonaktifkan dan daftar subnet telah diedit untuk menyertakan hanya subnet yang dipantau secara lokal yang ada dalam cakupan IoT/OT Anda, Anda dapat memfilter inventarisasi perangkat Azure berdasarkan lokasi Jaringan untuk melihat hanya perangkat yang ditentukan sebagai lokal. Untuk informasi selengkapnya, lihat Melihat inventaris perangkat.

Menentukan subnet secara manual sebagai ICS

Jika Anda memiliki subnet OT yang tidak ditandai secara otomatis sebagai subnet ICS oleh sensor, edit jenis perangkat untuk salah satu perangkat di subnet yang relevan ke jenis perangkat ICS atau IoT. Subnet kemudian akan secara otomatis ditandai oleh sensor sebagai subnet ICS.

Catatan

Untuk mengubah subnet secara manual agar ditandai sebagai ICS, ubah jenis perangkat dalam inventaris perangkat di sensor OT. Dalam portal Azure, subnet dalam daftar subnet ditandai sebagai ICS secara default dalam pengaturan sensor.

Untuk mengubah jenis perangkat agar memperbarui subnet secara manual:

  1. Masuk ke konsol sensor OT Anda dan buka Inventori perangkat.

  2. Di kisi inventarisasi perangkat, pilih perangkat dari subnet yang relevan, lalu pilih Edit di toolbar di bagian atas halaman.

  3. Di bidang Jenis, pilih jenis perangkat dari daftar dropdown yang tercantum di bawah ICS atau IoT.

Subnet sekarang akan ditandai sebagai subnet ICS dalam sensor.

Untuk informasi selengkapnya, lihat Mengedit detail perangkat.

Menyesuaikan nama port dan VLAN

Gunakan prosedur berikut untuk memperkaya data perangkat yang ditampilkan di Defender for IoT dengan menyesuaikan nama port dan VLAN pada sensor jaringan OT Anda.

Misalnya, Anda mungkin ingin menetapkan nama ke port yang tidak dilayani yang menunjukkan aktivitas yang luar biasa tinggi untuk memanggilnya, atau menetapkan nama ke nomor VLAN untuk mengidentifikasinya lebih cepat.

Catatan

Untuk sensor yang terhubung ke cloud, Anda akhirnya dapat mulai mengonfigurasi pengaturan sensor OT dari portal Azure. Setelah Anda mulai mengonfigurasi pengaturan dari portal Azure, panel penamaan VLAN dan Port pada sensor OT bersifat baca-saja. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan sensor OT dari portal Azure.

Menyesuaikan nama port yang terdeteksi

Defender untuk IoT secara otomatis menetapkan nama ke sebagian besar port yang dicadangkan secara universal, seperti DHCP atau HTTP. Namun, Anda mungkin ingin menyesuaikan nama port tertentu untuk menyorotinya, seperti saat Anda menonton port dengan aktivitas yang terdeteksi sangat tinggi.

Nama port ditampilkan di Defender for IoT saat melihat grup perangkat dari peta perangkat sensor OT, atau saat Anda membuat laporan sensor OT yang menyertakan informasi port.

Untuk mengkustomisasi nama port:

  1. Masuk ke sensor OT Anda sebagai pengguna Admin .

  2. Pilih Pengaturan sistem lalu, di bawah Pemantauan jaringan, pilih Penamaan Port.

  3. Di panel Penamaan port yang muncul, masukkan nomor port yang ingin Anda beri nama, protokol port, dan nama yang bermakna. Nilai protokol yang didukung meliputi: TCP, UDP, dan KEDUANYA.

  4. Pilih + Tambahkan port untuk mengkustomisasi port lain, dan Simpan setelah Selesai.

Menyesuaikan nama VLAN

VLAN ditemukan secara otomatis oleh sensor jaringan OT atau ditambahkan secara manual. VLAN yang ditemukan secara otomatis tidak dapat diedit atau dihapus, tetapi VLAN yang ditambahkan secara manual memerlukan nama yang unik. Jika VLAN tidak diberi nama secara eksplisit, nomor VLAN ditampilkan sebagai gantinya.

Dukungan VLAN didasarkan pada 802.1q (hingga VLAN ID 4094).

Catatan

Nama VLAN tidak disinkronkan antara sensor jaringan OT dan konsol manajemen lokal. Jika Anda ingin melihat nama VLAN yang disesuaikan di konsol manajemen lokal, tentukan nama VLAN di sana juga.

Untuk mengonfigurasi nama VLAN pada sensor jaringan OT:

  1. Masuk ke sensor OT Anda sebagai pengguna Admin .

  2. Pilih Pengaturan sistem lalu, di bawah Pemantauan jaringan, pilih Penamaan VLAN.

  3. Di panel penamaan VLAN yang muncul, masukkan ID VLAN dan nama VLAN unik. Nama VLAN dapat berisi hingga 50 karakter ASCII.

  4. Pilih + Tambahkan VLAN untuk mengkustomisasi VLAN lain, dan Simpan setelah selesai.

  5. Untuk sakelar Cisco: Tambahkan monitor session 1 destination interface XX/XX encapsulation dot1q perintah ke konfigurasi port SPAN, di mana XX/XX adalah nama dan jumlah port.

Mengonfigurasi rentang alamat DHCP

Jaringan OT Anda mungkin terdiri dari alamat IP statis dan dinamis.

  • Alamat statis biasanya ditemukan di jaringan OT melalui sejarawan, pengontrol, dan perangkat infrastruktur jaringan seperti sakelar dan router.
  • Alokasi IP dinamis biasanya diterapkan pada jaringan tamu dengan laptop, PC, smartphone, dan peralatan portabel lainnya, menggunakan koneksi fisik Wi-Fi atau LAN di lokasi yang berbeda.

Jika Anda bekerja dengan jaringan dinamis, Anda perlu menangani perubahan alamat IP saat terjadi, dengan menentukan rentang alamat DHCP pada setiap sensor jaringan OT. Ketika alamat IP didefinisikan sebagai alamat DHCP, Defender untuk IoT mengidentifikasi aktivitas apa pun yang terjadi pada perangkat yang sama, terlepas dari perubahan alamat IP.

Untuk menentukan rentang alamat DHCP:

  1. Masuk ke sensor OT Anda dan pilih Pengaturan sistem Pemantauan jaringan>>Rentang DHCP.

  2. Lakukan salah satu langkah berikut:

    • Untuk menambahkan satu rentang, pilih + Tambahkan rentang dan masukkan rentang alamat IP dan nama opsional untuk rentang Anda.
    • Untuk menambahkan beberapa rentang, buat . File CSV dengan kolom untuk data Dari, Ke, dan Nama untuk setiap rentang Anda. Pilih Impor untuk mengimpor file ke sensor OT Anda. Nilai rentang yang diimpor dari . File CSV menimpa data rentang apa pun yang saat ini dikonfigurasi untuk sensor Anda.
    • Untuk mengekspor rentang yang saat ini dikonfigurasi ke . File CSV, pilih Ekspor.
    • Untuk menghapus semua rentang yang saat ini dikonfigurasi, pilih Hapus semua.

    Nama rentang dapat memiliki hingga 256 karakter.

  3. Pilih Simpan untuk menerapkan perubahan.

Mengonfigurasi filter lalu lintas (tingkat lanjut)

Untuk mengurangi kelelahan pemberitahuan dan memfokuskan pemantauan jaringan Anda pada lalu lintas prioritas tinggi, Anda dapat memutuskan untuk memfilter lalu lintas yang mengalir ke Defender untuk IoT di sumbernya. Filter pengambilan dikonfigurasi melalui CLI sensor OT, dan memungkinkan Anda memblokir lalu lintas bandwidth tinggi di lapisan perangkat keras, mengoptimalkan performa appliance dan penggunaan sumber daya.

Untuk informasi selengkapnya, lihat:

Langkah berikutnya

« Mengonfigurasi pengaturan proksi pada sensor OT

Verifikasi dan perbarui inventori perangkat yang terdeteksi »