Informazioni sulla configurazione di rete di Microsoft Defender per IoT

Microsoft Defender per IoT offre il monitoraggio continuo delle minacce ICS e l'individuazione dei dispositivi. La piattaforma include i componenti seguenti:

Sensori Defender per IoT: I sensori raccolgono il traffico di rete ICS usando il monitoraggio passivo (senza agente). Passivi e non intrusivi, i sensori non hanno alcun impatto sulle prestazioni sulle reti e i dispositivi OT e IoT. Il sensore si connette a una porta SPAN o a un TAP di rete e inizia immediatamente a monitorare la rete. I rilevamenti vengono visualizzati nella console del sensore. Qui è possibile visualizzarli, analizzarli e analizzarli in una mappa di rete, in un inventario dei dispositivi e in un'ampia gamma di report. Ad esempio, report di valutazione dei rischi, data mining query e vettori di attacco.

Defender per la console di gestione locale IoT: la console di gestione locale offre una visualizzazione consolidata di tutti i dispositivi di rete. Offre una visualizzazione in tempo reale dei principali indicatori e avvisi di rischio OT e IoT in tutte le strutture. Strettamente integrato con i flussi di lavoro SOC e i playbook, consente una facile definizione delle priorità delle attività di mitigazione e della correlazione tra siti delle minacce.

Defender per IoT nel portale di Azure: L'applicazione Defender per IoT consente di acquistare appliance della soluzione, installare e aggiornare il software e aggiornare i pacchetti TI.

Questo articolo fornisce informazioni sull'architettura della soluzione, la preparazione della rete, i prerequisiti e altro ancora per configurare correttamente la rete per l'utilizzo con le appliance Defender per IoT. I lettori che lavorano con le informazioni contenute in questo articolo devono avere esperienza nel funzionamento e nella gestione delle reti OT e IoT. Ad esempio tecnici dell'automazione, responsabili di impianti, provider di servizi di infrastruttura di rete OT, team di sicurezza informatica, CISO o CIO.

Per assistenza o supporto, contattare Supporto tecnico Microsoft.

Attività di distribuzione in locale

Le attività di distribuzione del sito includono:

Raccogliere informazioni sul sito

Registrare informazioni sul sito, ad esempio:

  • Informazioni sulla rete di gestione dei sensori.

  • Architettura di rete del sito.

  • Ambiente fisico.

  • Integrazioni di sistema.

  • Credenziali utente pianificate.

  • Workstation di configurazione.

  • Certificati SSL (facoltativi ma consigliati).

  • Autenticazione SMTP (facoltativo). Per usare il server SMTP con l'autenticazione, preparare le credenziali necessarie per il server.

  • Server DNS (facoltativo). Preparare l'INDIRIZZO IP e il nome host del server DNS.

Per un elenco dettagliato e una descrizione delle informazioni importanti sul sito, vedere Elenco di controllo per la predistribuzione.

Linee guida per il monitoraggio riuscito

Per trovare la posizione ottimale per connettere l'appliance in ogni rete di produzione, è consigliabile seguire questa procedura:

Esempio di diagramma dell'installazione della rete di produzione.

Preparare una workstation di configurazione

Preparare una Windows di lavoro, inclusi gli elementi seguenti:

  • Connettività all'interfaccia di gestione dei sensori.

  • Un browser supportato

  • Software terminale, ad esempio PuTTY.

Assicurarsi che le regole del firewall necessarie siano aperte nella workstation. Per informazioni dettagliate, vedere Requisiti di accesso alla rete.

Browser supportati

I browser seguenti sono supportati per i sensori e le applicazioni Web della console di gestione locale:

  • Microsoft Edge (versione più recente)

  • Safari (versione più recente, solo Mac)

  • Chrome (versione più recente)

  • Firefox (versione più recente)

Per altre informazioni sui browser supportati, vedere browser consigliati.

Configurare i certificati

Dopo l'installazione del sensore e della console di gestione locale, viene generato e usato un certificato autofirmato locale per accedere all'applicazione Web del sensore. Quando si accede a Defender per IoT per la prima volta, agli utenti amministratore viene richiesto di fornire un certificato SSL/TLS. Inoltre, viene abilitata automaticamente un'opzione per la convalida per questo certificato e altri certificati di sistema. Per informazioni dettagliate, vedere Informazioni sui certificati.

Requisiti di accesso alla rete

Verificare che i criteri di sicurezza dell'organizzazione consentano l'accesso agli elementi seguenti:

Accesso utente al sensore e alla console di gestione

Protocollo Trasporto Ingresso/Uscita Porta Usata Scopo Source (Sorgente) Destination
HTTPS TCP Ingresso/Uscita 443 Per accedere al sensore e alla console Web della console di gestione locale. Accesso alla console Web Client Sensore e console di gestione locale
SSH TCP Ingresso/Uscita 22 CLI Per accedere all'interfaccia della riga di comando. Client Sensore e console di gestione locale

Accesso del sensore portale di Azure

Protocollo Trasporto Ingresso/Uscita Porta Usata Scopo Source (Sorgente) Destination
HTTPS/Websocket TCP Ingresso/Uscita 443 Consente al sensore di accedere alla portale di Azure. (Facoltativo) L'accesso può essere concesso tramite un proxy. Accesso al portale di Azure Sensore Portale di Azure

Accesso del sensore alla console di gestione locale

Protocollo Trasporto Ingresso/Uscita Porta Usata Scopo Source (Sorgente) Destination
SSL TCP Ingresso/Uscita 443 Concedere al sensore l'accesso alla console di gestione locale. Connessione tra il sensore e la console di gestione locale Sensore Console di gestione locale
NTP UDP Ingresso/Uscita 123 Sincronizzazione dell'ora Connette NTP alla console di gestione locale. Sensore Console di gestione locale

Regole del firewall aggiuntive per i servizi esterni (facoltativo)

Aprire queste porte per consentire servizi aggiuntivi per Defender per IoT.

Protocollo Trasporto Ingresso/Uscita Porta Usata Scopo Source (Sorgente) Destination
HTTP TCP In uscita 80 Download CRL per la convalida dei certificati durante il caricamento dei certificati. Accesso al server CRL Sensore e console di gestione locale Server CRL
LDAP TCP Ingresso/Uscita 389 Active Directory Consente alla gestione di Active Directory degli utenti che hanno accesso di accedere al sistema. Console di gestione locale e sensore Server LDAP
LDAPS TCP Ingresso/Uscita 636 Active Directory Consente alla gestione di Active Directory degli utenti che hanno accesso di accedere al sistema. Console di gestione locale e sensore Server LDAPS
SNMP UDP In uscita 161 Monitoraggio Monitora l'integrità del sensore. Console di gestione locale e sensore Server SNMP
SMTP TCP In uscita 25 E-mail Usato per aprire il server di posta elettronica del cliente, per inviare messaggi di posta elettronica per avvisi ed eventi. Sensore e console di gestione locale Server di posta elettronica
syslog UDP In uscita 514 LEEF Log inviati dalla console di gestione locale al server Syslog. Console di gestione locale e sensore Server Syslog
DNS TCP/UDP Ingresso/Uscita 53 DNS Porta del server DNS. Console di gestione locale e sensore Server DNS
WMI TCP/UDP In uscita 135, 1025-65535 Monitoraggio Windows Monitoraggio degli endpoint. Sensore Elemento di rete pertinente
Tunneling TCP In 9000

oltre alla porta 443

Consente l'accesso dal sensore o dall'utente finale alla console di gestione locale.

Porta 22 dal sensore alla console di gestione locale.
Monitoraggio Tunneling Sensore Console di gestione locale
Proxy TCP/UDP Ingresso/Uscita 443 Proxy Per connettere il sensore a un server proxy Console di gestione locale e sensore Server proxy

Pianificare l'installazione del rack

Per pianificare l'installazione del rack:

  1. Preparare un monitoraggio e una tastiera per le impostazioni di rete dell'appliance.

  2. Allocare lo spazio rack per l'appliance.

  3. Avere alimentazione CA disponibile per l'appliance.

  4. Preparare il cavo LAN per la connessione della gestione al commutatore di rete.

  5. Preparare i cavi LAN per la connessione delle porte SPAN (mirror) dello switch e i tocchi di rete all'appliance Defender per IoT.

  6. Configurare, connettere e convalidare le porte SPAN nei commutatori con mirroring, come descritto nella sessione di revisione dell'architettura.

  7. Connessione la porta SPAN configurata in un computer che esegue Wireshark e verificare che la porta sia configurata correttamente.

  8. Aprire tutte le porte del firewall pertinenti.

Informazioni sul monitoraggio della rete passiva

L'appliance riceve il traffico da più origini, tramite commutatore di porte mirror (porte SPAN) o da TAP di rete. La porta di gestione è connessa alla rete aziendale, aziendale o di gestione dei sensori con connettività a una console di gestione locale o a Defender per IoT nel portale di Azure.

Diagramma di un commutatore gestito con mirroring delle porte.

Modello di purdue

Le sezioni seguenti descrivono i livelli purdue.

Diagramma del modello Purdue.

Livello 0: cella e area

Il livello 0 è costituito da un'ampia gamma di sensori, attuatori e dispositivi coinvolti nel processo di produzione di base. Questi dispositivi eseguono le funzioni di base del sistema di automazione e controllo industriale, ad esempio:

  • Guida di un motore.

  • Misurazione delle variabili.

  • Impostazione di un output.

  • Esecuzione di funzioni chiave, ad esempio il disegno, laldatura e la curvatura.

Livello 1: Controllo dei processi

Il livello 1 è costituito da controller incorporati che controllano e modificano il processo di produzione la cui funzione chiave è comunicare con i dispositivi di livello 0. Nella produzione discreta, questi dispositivi sono controller di logica programmabili (PLC) o unità di telemetria remote (RTU). Nella produzione di processi, il controller di base è detto sistema di controllo distribuito (DCS).

Livello 2: Supervisione

Il livello 2 rappresenta i sistemi e le funzioni associati alla supervisione di runtime e al funzionamento di un'area di una struttura di produzione. Di seguito sono riportati in genere i seguenti elementi:

  • Interfacce operatore o interfacce HMI

  • Allarmi o sistemi di avviso

  • Processi storici e sistemi di gestione batch

  • Workstation della sala di controllo

Questi sistemi comunicano con le PLC e le RTU nel livello 1. In alcuni casi, comunicano o condividono dati con i sistemi e le applicazioni del sito o dell'organizzazione (livello 4 e 5). Questi sistemi sono basati principalmente su apparecchiature di elaborazione standard e sistemi operativi (Unix o Microsoft Windows).

Livelli 3 e 3.5: rete perimetrale a livello di sito e industriale

Il livello del sito rappresenta il livello più elevato di sistemi di automazione e controllo industriale. I sistemi e le applicazioni esistenti a questo livello gestiscono le funzioni di automazione e controllo industriale a livello di sito. I livelli da 0 a 3 sono considerati critici per le operazioni del sito. I sistemi e le funzioni esistenti a questo livello possono includere quanto segue:

  • Creazione di report di produzione (ad esempio, tempi di ciclo, indice di qualità, manutenzione predittiva)

  • Storico delle piante

  • Pianificazione dettagliata della produzione

  • Gestione delle operazioni a livello di sito

  • Gestione di dispositivi e materiali

  • Server di avvio della patch

  • File server

  • Dominio industriale, Active Directory, terminal server

Questi sistemi comunicano con la zona di produzione e condividono i dati con i sistemi e le applicazioni aziendali (livello 4 e 5).

Livelli 4 e 5: reti aziendali ed aziendali

I livelli 4 e 5 rappresentano il sito o la rete aziendale in cui sono presenti i sistemi e le funzioni IT centralizzati. L'organizzazione IT gestisce direttamente i servizi, i sistemi e le applicazioni a questi livelli.

Pianificazione del monitoraggio di rete

Gli esempi seguenti presentano diversi tipi di topologie per le reti di controllo industriale, oltre a considerazioni per il monitoraggio e il posizionamento ottimali dei sensori.

Che cosa deve essere monitorato?

Il traffico che passa attraverso i livelli 1 e 2 deve essere monitorato.

A cosa deve connettersi l'appliance Defender per IoT?

L'appliance Defender per IoT deve connettersi ai commutatori gestiti che visualizzano le comunicazioni industriali tra i livelli 1 e 2 (in alcuni casi anche il livello 3).

Il diagramma seguente è un'astrazione generale di una rete multistrato e multi-tenant, con un ampio ecosistema di sicurezza informatica in genere gestito da un SOC e mssp.

In genere, i sensori NTA vengono distribuiti nei livelli da 0 a 3 del modello OSI.

Diagramma del modello OSI.

Esempio: Topologia ad anello

La rete circolare è una topologia in cui ogni commutatore o nodo si connette esattamente ad altri due commutatori, formando un unico percorso continuo per il traffico.

Diagramma della topologia ad anello.

Esempio: topologia a bus lineare e a stella

In una rete a stella ogni host è connesso a un hub centrale. Nella sua forma più semplice, un hub centrale funge da condotto per trasmettere messaggi. Nell'esempio seguente i commutatori inferiori non vengono monitorati e il traffico che rimane locale a questi commutatori non verrà visualizzato. I dispositivi potrebbero essere identificati in base ai messaggi ARP, ma le informazioni di connessione saranno mancanti.

Diagramma della topologia lineare del bus e della stella.

Distribuzione multisensore

Di seguito sono riportati alcuni consigli per la distribuzione di più sensori:

Number Metri Dipendenza Numero di sensori
Distanza massima tra i commutatori 80 metri Cavo Ethernet preparato Più di 1
Numero di reti OT Più di 1 Nessuna connettività fisica Più di 1
Numero di opzioni Può usare la configurazione RSPAN Fino a otto commutatori con span locale vicino al sensore tramite distanza di cablaggio Più di 1

Mirroring del traffico

Per visualizzare solo le informazioni rilevanti per l'analisi del traffico, è necessario connettere la piattaforma Defender per IoT a una porta di mirroring su un commutatore o un TAP che includa solo il traffico ICS e SCADA industriale.

Usare questa opzione per la configurazione.

È possibile monitorare il traffico switch usando i metodi seguenti:

SPAN e RSPAN sono termini cisco. Altri marchi di commutatori hanno funzionalità simili, ma potrebbero usare una terminologia diversa.

Passare alla porta SPAN

Un analizzatore di porte del commutatore esegue il mirroring del traffico locale dalle interfacce del commutatore all'interfaccia sullo stesso commutatore. Ecco alcune considerazioni:

  • Verificare che il commutatore pertinente supporti la funzione di mirroring delle porte.

  • L'opzione di mirroring è disabilitata per impostazione predefinita.

  • È consigliabile configurare tutte le porte del commutatore, anche se non sono connessi dati. In caso contrario, un dispositivo non autorizzato potrebbe essere connesso a una porta non monitorata e non verrebbe avvisato sul sensore.

  • Nelle reti OT che utilizzano la messaggistica broadcast o multicast, configurare il commutatore per eseguire il mirroring solo delle trasmissioni RX (Ricezione). In caso contrario, i messaggi multicast verranno ripetuti per il numero di porte attive e la larghezza di banda viene moltiplicata.

Gli esempi di configurazione seguenti sono solo a riferimento e sono basati su un commutatore Cisco 2960 (24 porte) che esegue IOS. Sono solo esempi tipici, quindi non usarli come istruzioni. Le porte mirror in altri sistemi operativi Cisco e in altri marchi di commutatori sono configurate in modo diverso.

Diagramma di un terminale di configurazione della porta SPAN. Diagramma della modalità di configurazione della porta SPAN.

Monitoraggio di più VLAN

Defender per IoT consente il monitoraggio delle VLAN configurate nella rete. Non è necessaria alcuna configurazione del sistema Defender per IoT. L'utente deve assicurarsi che il commutatore nella rete sia configurato per l'invio di tag VLAN a Defender per IoT.

L'esempio seguente illustra i comandi necessari che devono essere configurati nell'opzione Cisco per abilitare il monitoraggio delle VLAN in Defender per IoT:

Sessione di monitoraggio: questo comando è responsabile del processo di invio di VLAN alla porta SPAN.

  • monitorare l'interfaccia di origine della sessione 1 Gi1/2

  • monitor session 1 filter packet type good Rx

  • monitorare l'interfaccia di destinazione della sessione 1 fastEthernet1/1 incapsulamento dot1q

Monitor Trunk Port F.E. Gi1/1: le VLAN sono configurate sulla porta trunk.

  • interfaccia GigabitEthernet1/1

  • incapsulamento trunk switchport dot1q

  • modalità switchport trunk

SPAN remoto (RSPAN)

La sessione SPAN remota rispecchia il traffico proveniente da più porte di origine distribuite in una VLAN remota dedicata.

Diagramma di SPAN remoto.

I dati nella VLAN vengono quindi recapitati tramite porte trunk tra più commutatori a un commutatore specifico che contiene la porta di destinazione fisica. Questa porta si connette alla piattaforma Defender per IoT.

Altre informazioni su RSPAN
  • RSPAN è una funzionalità avanzata che richiede una VLAN speciale per il trasporto del traffico monitorato da SPAN tra commutatori. RSPAN non è supportato in tutti i commutatori. Verificare che l'opzione supporti la funzione RSPAN.

  • L'opzione di mirroring è disabilitata per impostazione predefinita.

  • La VLAN remota deve essere consentita sulla porta trunk tra i commutatori di origine e di destinazione.

  • Tutti i commutatori che connettono la stessa sessione RSPAN devono essere dello stesso fornitore.

Nota

Assicurarsi che la porta trunk che condivide la VLAN remota tra i commutatori non sia definita come porta di origine della sessione mirror.

La VLAN remota aumenta la larghezza di banda sulla porta trunked delle dimensioni della larghezza di banda della sessione con mirroring. Verificare che la porta trunk del commutatore lo supporti.

Diagramma della VLAN remota.

Esempi di configurazione RSPAN

RSPAN: basato su Cisco 2960 (24 porte).

Esempio di configurazione del commutatore di origine:

Screenshot della configurazione RSPAN.

  1. Immettere la modalità di configurazione globale.

  2. Creare una VLAN dedicata.

  3. Identificare la VLAN come VLAN RSPAN.

  4. Tornare alla modalità "configura terminale".

  5. Configurare tutte le 24 porte come origini di sessione.

  6. Configurare la VLAN RSPAN come destinazione della sessione.

  7. Tornare alla modalità EXEC con privilegi.

  8. Verificare la configurazione del mirroring delle porte.

Esempio di configurazione del commutatore di destinazione:

  1. Immettere la modalità di configurazione globale.

  2. Configurare la VLAN RSPAN come origine della sessione.

  3. Configurare la porta fisica 24 come destinazione della sessione.

  4. Tornare alla modalità EXEC con privilegi.

  5. Verificare la configurazione del mirroring delle porte.

  6. Salvare la configurazione.

TAP di aggregazione attiva e passiva

Un TAP di aggregazione attivo o passivo viene installato inline al cavo di rete. Duplica sia RX che TX nel sensore di monitoraggio.

Il punto di accesso terminale (TAP) è un dispositivo hardware che consente il flusso del traffico di rete dalla porta A alla porta B e dalla porta B alla porta A, senza interruzioni. Crea una copia esatta di entrambi i lati del flusso del traffico, in modo continuo, senza compromettere l'integrità della rete. Alcuni TAP aggregano la trasmissione e la ricezione del traffico usando le impostazioni del commutatore, se necessario. Se l'aggregazione non è supportata, ogni TAP usa due porte del sensore per monitorare l'invio e la ricezione del traffico.

I TTAP sono vantaggiosi per vari motivi. Sono basati su hardware e non possono essere compromessi. Passano tutto il traffico, anche i messaggi danneggiati, che i commutatori spesso rilasciano. Non sono sensibili al processore, quindi la tempistica dei pacchetti è esatta quando i commutatori gestiscono la funzione mirror come un'attività con priorità bassa che può influire sulla tempistica dei pacchetti con mirroring. Per scopi legali, un TAP è il dispositivo migliore.

Gli aggregatori TAP possono essere usati anche per il monitoraggio delle porte. Questi dispositivi sono basati su processore e non sono intrinsecamente sicuri come i TTAP hardware. Potrebbero non riflettere l'intervallo esatto dei pacchetti.

Diagramma dei TTAP attivi e passivi.

Modelli TAP comuni

Questi modelli sono stati testati per la compatibilità. Anche altri fornitori e modelli potrebbero essere compatibili.

Immagine Modellare
Screenshot di Garland P1GCCAS. Garland P1GCCAS
Screenshot di IXIA TPA2-CU3. IXIA TPA2-CU3
Screenshot di US Robotics USR 4503. USR USR 4503 della robotica statunitense
Configurazione TAP speciale
Garland TAP TAP della robotica degli Stati Uniti
Assicurarsi che i ponticelli siano impostati come segue:
Screenshot dello switch US Robotics.
Assicurarsi che la modalità aggregazione sia attiva.

Convalida della distribuzione

Revisione self-review di progettazione

Esaminare il diagramma di rete OT e ICS è il modo più efficiente per definire la posizione migliore a cui connettersi, in cui è possibile ottenere il traffico più pertinente per il monitoraggio.

I tecnici del sito conoscono l'aspetto della rete. Avere una sessione di revisione con la rete locale e i team operativi in genere chiarirà le aspettative e definirà la posizione migliore per connettere l'appliance.

Informazioni pertinenti:

  • Elenco di dispositivi noti (foglio di calcolo)

  • Numero stimato di dispositivi

  • Fornitori e protocolli industriali

  • Modello di commutatori, per verificare che l'opzione di mirroring delle porte sia disponibile

  • Informazioni su chi gestisce i commutatori (ad esempio, IT) e se si tratta di risorse esterne

  • Elenco di reti OT nel sito

Domande frequenti

  • Quali sono gli obiettivi complessivi dell'implementazione? Un inventario completo e una mappa di rete accurata sono importanti?

  • Sono presenti più reti ridondanti o nel servizio ICS? Tutte le reti vengono monitorate?

  • Sono presenti comunicazioni tra ICS e la rete aziendale? Queste comunicazioni vengono monitorate?

  • Le VLAN sono configurate nella progettazione della rete?

  • Come viene eseguita la manutenzione del servizio ICS, con dispositivi fissi o temporanei?

  • Dove sono installati i firewall nelle reti monitorate?

  • È presente un routing nelle reti monitorate?

  • Quali protocolli OT sono attivi nelle reti monitorate?

  • Se ci si connette a questo commutatore, verrà visualizzata la comunicazione tra l'HMI e i controller di dominio di rete?

  • Qual è la distanza fisica tra i commutatori ICS e il firewall aziendale?

  • Le opzioni non gestite possono essere sostituite con commutatori gestiti o l'uso di TTU di rete è un'opzione?

  • È presente una comunicazione seriale nella rete? In caso affermativa, mostrarlo nel diagramma di rete.

  • Se l'appliance Defender per IoT deve essere connessa a tale commutatore, è disponibile spazio su rack fisico in tale mobile?

Altre considerazioni

Lo scopo dell'appliance Defender per IoT è monitorare il traffico dai livelli 1 e 2.

Per alcune architetture, l'appliance Defender per IoT monitorerà anche il livello 3, se il traffico OT esiste su questo livello. Mentre si esamina l'architettura del sito e si decide se monitorare un commutatore, prendere in considerazione le variabili seguenti:

  • Qual è il costo/vantaggio rispetto all'importanza del monitoraggio di questo commutatore?

  • Se un commutatore non è gestito, sarà possibile monitorare il traffico da un commutatore di livello superiore?

    Se l'architettura ICS è una topologia ad anello, è necessario monitorare un solo commutatore in questo anello.

  • Qual è il rischio operativo o di sicurezza in questa rete?

  • È possibile monitorare la VLAN del commutatore? La VLAN è visibile in un altro commutatore che è possibile monitorare?

Convalida tecnica

La ricezione di un esempio di traffico registrato (file PCAP) dalla porta SPAN (o mirror) del commutatore consente di:

  • Verificare se l'opzione è configurata correttamente.

  • Verificare se il traffico che passa attraverso il commutatore è rilevante per il monitoraggio (traffico OT).

  • Identificare la larghezza di banda e il numero stimato di dispositivi in questo commutatore.

È possibile registrare un file PCAP di esempio (pochi minuti) connettendo un portatile a una porta SPAN già configurata tramite l'applicazione Wireshark.

Screenshot di un portatile connesso a una porta SPAN. Screenshot della registrazione di un file PCAP di esempio.

Convalida wireshark

  • Verificare che i pacchetti Unicast siano presenti nel traffico di registrazione. Unicast è da un indirizzo a un altro. Se la maggior parte del traffico è di tipo ARP, la configurazione del commutatore non è corretta.

  • Passare a Statistics Protocol Hierarchy > (Gerarchia del protocollo statistiche). Verificare che siano presenti protocolli OT industriali.

Screenshot della convalida wireshark.

Risoluzione dei problemi

Usare queste sezioni per la risoluzione dei problemi:

Non è possibile connettersi tramite un'interfaccia Web

  1. Verificare che il computer che si sta tentando di connettersi si trova nella stessa rete dell'appliance.

  2. Verificare che la rete GUI sia connessa alla porta di gestione sul sensore.

  3. Eseguire il ping dell'indirizzo IP dell'appliance. Se non è presente alcuna risposta al ping:

    1. Connessione un monitor e una tastiera per l'appliance.

    2. Usare l'utente e la password di supporto per accedere.

    3. Usare il comando network list per visualizzare l'indirizzo IP corrente.

    Screenshot del comando network list.

  4. Se i parametri di rete non sono configurati correttamente, usare la procedura seguente per modificarli:

    1. Usare il comando network edit-settings.

    2. Per modificare l'indirizzo IP della rete di gestione, selezionare Y.

    3. Per modificare il subnet mask, selezionare Y.

    4. Per modificare il DNS, selezionare Y.

    5. Per modificare l'indirizzo IP del gateway predefinito, selezionare Y.

    6. Per la modifica dell'interfaccia di input (solo per il sensore), selezionare Y.

    7. Per l'interfaccia del bridge selezionare N.

    8. Per applicare le impostazioni, selezionare Y.

  5. Dopo il riavvio, connettersi con il supporto tecnico e usare il comando network list per verificare che i parametri siano stati modificati.

  6. Provare a eseguire nuovamente il ping e a connettersi dall'interfaccia utente grafica.

L'appliance non risponde

  1. Connessione con un monitor e una tastiera all'appliance o usare PuTTY per connettersi in remoto all'interfaccia della riga di comando.

  2. Usare le credenziali di supporto per accedere.

  3. Usare il comando di sanità del sistema e verificare che tutti i processi siano in esecuzione.

    Screenshot del comando di sanità del sistema.

Per eventuali altri problemi, contattare Supporto tecnico Microsoft.

Elenco di controllo per la pre-distribuzione

Usare l'elenco di controllo per la pre-distribuzione per recuperare ed esaminare le informazioni importanti necessarie per l'installazione della rete.

Elenco di controllo del sito

Esaminare questo elenco prima della distribuzione del sito:

# Attività o attività Status Commenti
1 Ordinare le appliance.
2 Preparare un elenco di subnet nella rete.
3 Fornire un elenco VLAN delle reti di produzione.
4 Fornire un elenco di modelli switch nella rete.
5 Fornire un elenco di fornitori e protocolli delle apparecchiature industriali.
6 Specificare i dettagli di rete per i sensori (indirizzo IP, subnet, D-GW, DNS).
7 Gestione degli switch di terze parti
8 Creare le regole del firewall necessarie e l'elenco di accesso.
9 Creare porte con spanning sui commutatori per il monitoraggio delle porte o configurare i tocchi di rete in base alle esigenze.
10 Preparare lo spazio su rack per gli elettrodomestici dei sensori.
11 Preparare una workstation per il personale.
12 Fornire una tastiera, un monitor e un mouse per i dispositivi rack Defender per IoT.
13 Rack e cablare le appliance.
14 Allocare le risorse del sito per supportare la distribuzione.
15 Creare gruppi di Active Directory o utenti locali.
16 Configurare il training (auto-apprendimento).
17 Go o no-go.
18 Pianificare la data di distribuzione.
Data Nota Data di distribuzione Nota
Defender per IoT Nome sito*
Nome Nome
Posizione Posizione

Revisione dell'architettura

Una panoramica del diagramma di rete industriale consentirà di definire la posizione appropriata per le apparecchiature Defender per IoT.

  1. Diagramma di rete globale: visualizzare un diagramma di rete globale dell'ambiente OT industriale. Ad esempio:

    Diagramma dell'ambiente OT industriale per la rete globale.

    Nota

    L'appliance Defender per IoT deve essere connessa a un commutatore di livello inferiore che vede il traffico tra le porte del commutatore.

  2. Dispositivi di cui è stato eseguito il commit: specificare il numero approssimativo di dispositivi di rete che verranno monitorati. Queste informazioni saranno necessarie quando si esegue l'onboarding della sottoscrizione a Defender per IoT nel portale di Azure. Durante il processo di onboarding, verrà richiesto di immettere il numero di dispositivi in incrementi di 1000.

  3. (Facoltativo) Elenco subnet: specificare un elenco di subnet per le reti di produzione e una descrizione (facoltativo).

    # Nome della subnet Descrizione
    1
    2
    3
    4
  4. VLAN: fornire un elenco VLAN delle reti di produzione.

    # Nome VLAN Descrizione
    1
    2
    3
    4
  5. Supporto del mirroring e dei modelli di commutazione: per verificare che i commutatori siano in grado di eseguire il mirroring delle porte, specificare i numeri di modello del commutatore a cui deve connettersi la piattaforma Defender per IoT:

    # Switch Modello Supporto del mirroring del traffico (SPAN, RSPAN o nessuno)
    1
    2
    3
    4
  6. Gestione dei commutatori di terze parti: una terza parte gestisce i commutatori? Y o N

    In caso affermativa, chi? __________________________________

    Quali sono i criteri? __________________________________

    Ad esempio:

    • Siemens

    • Automazione di Rockwell - Ethernet o IP

    • Emerson - DeltaV, Ovation

  7. Connessione seriale: sono presenti dispositivi che comunicano tramite una connessione seriale nella rete? Sì o No

    In caso affermativa, specificare il protocollo di comunicazione seriale: ________________

    In caso affermativo, contrassegnare nel diagramma di rete quali dispositivi comunicano con i protocolli seriali e dove si trova:

    Aggiungere il diagramma di rete con una connessione seriale contrassegnata

  8. Qualità del servizio: per la qualità del servizio (QoS), l'impostazione predefinita del sensore è 1,5 Mbps. Specificare se si vuole modificarlo: __________________

    Business unit (BU): __________________

  9. Sensore - Specifiche per le apparecchiature del sito

    L'appliance del sensore è connessa per commutare la porta SPAN tramite una scheda di rete. È connesso alla rete aziendale del cliente per la gestione tramite un'altra scheda di rete dedicata.

    Specificare i dettagli dell'indirizzo per la scheda di interfaccia di rete del sensore che verrà connessa nella rete aziendale:

    Elemento Appliance 1 Appliance 2 Appliance 3
    Indirizzo IP dell'appliance
    Subnet
    Gateway predefinito
    DNS
    Nome host
  10. Gestione di iDRAC/iLO/Server

    Elemento Appliance 1 Appliance 2 Appliance 3
    Indirizzo IP dell'appliance
    Subnet
    Gateway predefinito
    DNS
  11. Console di gestione locale

    Elemento Attivo Passivo (quando si usa la a lungo termine)
    Indirizzo IP
    Subnet
    Gateway predefinito
    DNS
  12. SNMP

    Elemento Dettagli
    IP
    Indirizzo IP
    Username
    Password
    Tipo di autenticazione MD5 o SHA
    Crittografia DES o AES
    Chiave privata
    Stringa della community SNMP v2
  13. Certificato SSL della console di gestione locale

    Si prevede di usare un certificato SSL? Sì o No

    In caso affermativa, quale servizio verrà utilizzato per generarlo? Quali attributi verranno inclusi nel certificato (ad esempio, dominio o indirizzo IP)?

  14. Autenticazione SMTP

    Si prevede di usare SMTP per inoltrare gli avvisi a un server di posta elettronica? Sì o No

    In caso affermativa, quale metodo di autenticazione si userà?

  15. Active Directory o utenti locali

    Contattare un amministratore di Active Directory per creare un gruppo utenti del sito di Active Directory o per creare utenti locali. Assicurarsi di avere gli utenti pronti per il giorno della distribuzione.

  16. Tipi di dispositivo IoT nella rete

    Tipo di dispositivo Numero di dispositivi nella rete Larghezza di banda media
    Fotocamera
    Macchina a raggi X

Passaggi successivi

Informazioni sull'installazione di Defender per IoT