Menyebarkan Defender untuk IoT untuk pemantauan OT

  • Artikel

Artikel ini menjelaskan langkah-langkah tingkat tinggi yang diperlukan untuk menyebarkan Defender for IoT untuk pemantauan OT. Pelajari selengkapnya tentang setiap langkah penyebaran di bagian di bawah ini, termasuk referensi silang yang relevan untuk detail selengkapnya.

Gambar berikut menunjukkan fase dalam jalur penyebaran pemantauan OT end-to-end, bersama dengan tim yang bertanggung jawab untuk setiap fase.

Meskipun tim dan jabatan pekerjaan berbeda di berbagai organisasi, semua penyebaran Defender for IoT memerlukan komunikasi antara orang-orang yang bertanggung jawab atas berbagai area jaringan dan infrastruktur Anda.

Diagram jalur penyebaran pemantauan OT.

Tip

Setiap langkah dalam proses dapat memakan waktu yang berbeda. Misalnya, mengunduh file aktivasi sensor OT mungkin memakan waktu lima menit, sementara mengonfigurasi pemantauan lalu lintas mungkin memakan waktu berhari-hari atau bahkan berpekanan, tergantung pada proses organisasi Anda.

Kami menyarankan agar Anda memulai proses untuk setiap langkah tanpa menunggunya selesai sebelum melanjutkan ke langkah berikutnya. Pastikan untuk terus menindaklanjuti langkah apa pun yang masih dalam proses untuk memastikan penyelesaiannya.

Prasyarat

Sebelum Anda mulai merencanakan penyebaran pemantauan OT, pastikan Anda memiliki langganan Azure dan paket OT yang di-onboard defender untuk IoT.

Untuk informasi selengkapnya, lihat Memulai Microsoft Defender untuk uji coba IoT.

Merencanakan dan mempersiapkan

Gambar berikut menunjukkan langkah-langkah yang disertakan dalam fase perencanaan dan persiapan. Langkah-langkah perencanaan dan persiapan ditangani oleh tim arsitektur Anda.

Diagram langkah-langkah yang disertakan dalam tahap perencanaan dan persiapan.

Merencanakan sistem pemantauan OT Anda

Rencanakan detail dasar tentang sistem pemantauan Anda, seperti:

  • Situs dan zona: Tentukan bagaimana Anda akan mensegmentasi jaringan yang ingin Anda pantau menggunakan situs dan zona yang dapat mewakili lokasi di seluruh dunia.

  • Manajemen sensor: Tentukan apakah Anda akan menggunakan sensor OT yang terhubung ke cloud atau bersinar udara, yang dikelola secara lokal, atau sistem hibrid keduanya. Jika Anda menggunakan sensor yang terhubung ke cloud, pilih metode koneksi, seperti menyambungkan secara langsung atau melalui proksi.

  • Pengguna dan peran: Daftar jenis pengguna yang Anda butuhkan di setiap sensor, dan peran yang mereka butuhkan untuk setiap aktivitas.

Untuk informasi selengkapnya, lihat Merencanakan sistem pemantauan OT Anda dengan Defender for IoT.

Tip

Jika Anda menggunakan beberapa sensor yang dikelola secara lokal, Anda mungkin juga ingin menyebarkan konsol manajemen lokal untuk visibilitas dan manajemen pusat.

Mempersiapkan penyebaran situs OT

Tentukan detail tambahan untuk setiap situs yang direncanakan dalam sistem Anda, termasuk:

  • Diagram jaringan. Identifikasi semua perangkat yang ingin Anda pantau dan buat daftar subnet yang ditentukan dengan baik. Setelah Anda menyebarkan sensor, gunakan daftar ini untuk memverifikasi bahwa semua subnet yang ingin Anda pantau dicakup oleh Defender untuk IoT.

  • Daftar sensor: Gunakan daftar lalu lintas, subnet, dan perangkat yang ingin Anda pantau untuk membuat daftar sensor OT yang akan Anda butuhkan dan di mana mereka akan ditempatkan di jaringan Anda.

  • Metode pencerminan lalu lintas: Pilih metode pencerminan lalu lintas untuk setiap sensor OT, seperti port SPAN atau TAP.

  • Appliance: Siapkan stasiun kerja penyebaran dan perangkat keras atau appliance VM apa pun yang akan Anda gunakan untuk setiap sensor OT yang telah Anda rencanakan. Jika Anda menggunakan appliance yang telah dikonfigurasi sebelumnya, pastikan untuk memesannya.

Untuk informasi selengkapnya, lihat Menyiapkan penyebaran situs OT.

Sensor onboard ke Azure

Gambar berikut menunjukkan langkah yang disertakan dalam fase sensor onboard. Sensor di-onboard ke Azure oleh tim penyebaran Anda.

Diagram fase sensor onboard.

Sensor OT onboard pada portal Azure

Onboard sensor OT sebanyak yang Anda rencanakan ke Defender for IoT. Pastikan untuk mengunduh file aktivasi yang disediakan untuk setiap sensor OT dan menyimpannya di lokasi yang akan dapat diakses dari mesin sensor Anda.

Untuk informasi selengkapnya, lihat Menyetor sensor OT ke Defender for IoT.

Penyiapan jaringan situs

Gambar berikut menunjukkan langkah-langkah yang disertakan dalam frasa penyiapan jaringan situs. Langkah-langkah jaringan situs ditangani oleh tim konektivitas Anda.

Diagram fase penyiapan jaringan situs.

Mengonfigurasi pencerminan lalu lintas di jaringan Anda

Gunakan paket yang telah Anda buat sebelumnya untuk mengonfigurasi pencerminan lalu lintas di tempat-tempat di jaringan Tempat Anda akan menyebarkan sensor OT dan mencerminkan lalu lintas ke Defender untuk IoT.

Untuk informasi selengkapnya, lihat:

Provisi untuk manajemen cloud

Konfigurasikan aturan firewall apa pun untuk memastikan bahwa appliance sensor OT Anda akan dapat mengakses Defender for IoT di cloud Azure. Jika Anda berencana untuk terhubung melalui proksi, Anda akan mengonfigurasi pengaturan tersebut hanya setelah menginstal sensor Anda.

Lewati langkah ini untuk sensor OT apa pun yang direncanakan akan di-air-gapped dan dikelola secara lokal, baik langsung di konsol sensor, atau melalui konsol manajemen lokal.

Untuk informasi selengkapnya, lihat Memprovisikan sensor OT untuk manajemen cloud.

Menyebarkan sensor OT Anda

Gambar berikut menunjukkan langkah-langkah yang disertakan dalam fase penyebaran sensor. Sensor OT disebarkan dan diaktifkan oleh tim penyebaran Anda.

Diagram fase penyebaran sensor OT.

Memasang sensor OT Anda

Jika Anda menginstal perangkat lunak Defender for IoT pada appliance Anda sendiri, unduh perangkat lunak penginstalan dari portal Azure dan instal di appliance sensor OT Anda.

Setelah menginstal perangkat lunak sensor OT Anda, jalankan beberapa pemeriksaan untuk memvalidasi penginstalan dan konfigurasi.

Untuk informasi selengkapnya, lihat:

Lewati langkah-langkah ini jika Anda membeli appliance yang telah dikonfigurasi sebelumnya.

Mengaktifkan sensor OT dan penyiapan awal Anda

Gunakan wizard penyiapan awal untuk mengonfirmasi pengaturan jaringan, mengaktifkan sensor, dan menerapkan sertifikat SSH/TLS.

Untuk informasi selengkapnya, lihat Mengonfigurasi dan mengaktifkan sensor OT Anda.

Mengonfigurasi koneksi proksi

Jika Anda telah memutuskan untuk menggunakan proksi untuk menyambungkan sensor Anda ke cloud, siapkan proksi Anda dan konfigurasikan pengaturan pada sensor Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan proksi pada sensor OT.

Lewati langkah ini dalam situasi berikut:

  • Untuk sensor OT apa pun tempat Anda terhubung langsung ke Azure, tanpa proksi
  • Untuk sensor apa pun yang direncanakan akan di-air-gapped dan dikelola secara lokal, baik langsung di konsol sensor, atau melalui konsol manajemen lokal.

Mengonfigurasi pengaturan opsional

Kami menyarankan agar Anda mengonfigurasi koneksi Direktori Aktif untuk mengelola pengguna lokal pada sensor OT Anda, dan juga menyiapkan pemantauan kesehatan sensor melalui SNMP.

Jika Anda tidak mengonfigurasi pengaturan ini selama penyebaran, Anda juga dapat mengembalikan dan mengonfigurasinya nanti.

Untuk informasi selengkapnya, lihat:

Mengkalibrasi dan menyempurnakan pemantauan OT

Gambar berikut menunjukkan langkah-langkah yang terlibat dalam kalibrasi dan penyempurnaan pemantauan OT dengan sensor yang baru disebarkan. Aktivitas kalibrasi dan penyempurnaan dilakukan oleh tim penyebaran Anda.

Diagram fase kalibrasi dan penyempurnaan.

Mengontrol pemantauan OT pada sensor Anda

Secara default, sensor OT Anda mungkin tidak mendeteksi jaringan yang tepat yang ingin Anda pantau, atau mengidentifikasinya dengan tepat seperti yang Anda inginkan untuk melihatnya ditampilkan. Gunakan daftar yang telah Anda buat sebelumnya untuk memverifikasi dan mengonfigurasi subnet secara manual, menyesuaikan nama port dan VLAN, dan mengonfigurasi rentang alamat DHCP sesuai kebutuhan.

Untuk informasi selengkapnya, lihat Mengontrol lalu lintas OT yang dipantau oleh Microsoft Defender untuk IoT.

Memverifikasi dan memperbarui inventori perangkat yang terdeteksi

Setelah perangkat Anda terdeteksi sepenuhnya, tinjau inventaris perangkat dan ubah detail perangkat sesuai kebutuhan. Misalnya, Anda dapat mengidentifikasi entri perangkat duplikat yang dapat digabungkan, jenis perangkat, atau properti lain untuk dimodifikasi, dan banyak lagi.

Untuk informasi selengkapnya, lihat Memverifikasi dan memperbarui inventori perangkat Anda yang terdeteksi.

Pelajari pemberitahuan OT untuk membuat garis besar jaringan

Pemberitahuan yang dipicu oleh sensor OT Anda mungkin menyertakan beberapa pemberitahuan yang ingin Anda abaikan secara teratur, atau Pelajari, sebagai lalu lintas yang diotorisasi.

Tinjau semua pemberitahuan dalam sistem Anda sebagai triase awal. Langkah ini membuat garis besar lalu lintas jaringan untuk Defender for IoT agar berfungsi dengan bergerak maju.

Untuk informasi selengkapnya, lihat Membuat garis besar pemberitahuan OT yang dipelajari.

Pembelajaran garis besar berakhir

Sensor OT Anda akan tetap dalam mode Pembelajaran selama lalu lintas baru terdeteksi dan Anda memiliki pemberitahuan yang tidak tertangani.

Diagram fase penyebaran di mana pembelajaran dasar berakhir.

Saat pembelajaran dasar berakhir, proses penyebaran pemantauan OT selesai, dan Anda akan melanjutkan dalam mode operasional untuk pemantauan yang sedang berlangsung. Dalam mode operasional, aktivitas apa pun yang berbeda dari data garis besar Anda akan memicu pemberitahuan.

Tip

Nonaktifkan mode pembelajaran secara manual jika Anda merasa bahwa pemberitahuan saat ini di Defender untuk IoT mencerminkan lalu lintas jaringan Anda secara akurat, dan mode pembelajaran belum berakhir secara otomatis.

Menyambungkan data Defender for IoT ke SIEM Anda

Setelah Defender for IoT disebarkan, kirim pemberitahuan keamanan dan kelola insiden OT/IoT dengan mengintegrasikan Defender for IoT dengan platform informasi keamanan dan manajemen peristiwa (SIEM) Anda serta alur kerja dan alat SOC yang ada. Integrasikan pemberitahuan Defender for IoT dengan SIEM organisasi Anda dengan mengintegrasikan dengan Microsoft Sentinel dan memanfaatkan Microsoft Defender out-of-the-box untuk solusi IoT, atau dengan membuat aturan penerusan ke sistem SIEM lainnya. Defender for IoT terintegrasi out-of-the-box dengan Microsoft Sentinel, serta berbagai sistem SIEM, seperti Splunk, IBM QRadar, LogRhythm, Fortinet, dan banyak lagi.

Untuk mengetahui informasi selengkapnya, lihat:

Setelah mengintegrasikan pemberitahuan Defender for IoT dengan SIEM, kami merekomendasikan langkah-langkah berikut untuk mengoperasionalkan pemberitahuan OT/IoT dan mengintegrasikannya sepenuhnya dengan alur kerja dan alat SOC yang ada:

  • Identifikasi dan tentukan ancaman keamanan IoT/OT yang relevan dan insiden SOC yang ingin Anda pantau berdasarkan kebutuhan dan lingkungan OT spesifik Anda.

  • Buat aturan deteksi dan tingkat keparahan di SIEM. Hanya insiden yang relevan yang akan dipicu, sehingga mengurangi kebisingan yang tidak perlu. Misalnya, Anda akan menentukan perubahan kode PLC yang dilakukan dari perangkat yang tidak sah, atau di luar jam kerja, sebagai insiden tingkat keparahan tinggi karena keakuratan tinggi dari pemberitahuan khusus ini.

    Di Microsoft Azure Sentinel, solusi Microsoft Defender for IoT mencakup serangkaian aturan deteksi siap pakai, yang dibuat khusus untuk data Defender for IoT, dan membantu Anda menyempurnakan insiden yang dibuat di Sentinel.

  • Tentukan alur kerja yang sesuai untuk mitigasi, dan buat playbook investigasi otomatis untuk setiap kasus penggunaan. Di Microsoft Azure Sentinel, solusi Microsoft Defender for IoT mencakup playbook siap pakai untuk respons otomatis terhadap pemberitahuan Defender for IoT.

Langkah berikutnya

Sekarang setelah Anda memahami langkah-langkah penyebaran sistem pemantauan OT, Anda siap untuk memulai!

Rencanakan sistem pemantauan OT Anda dengan Defender for IoT ยป