Over de installatie van het Azure Defender for IoT-netwerk

Azure Defender for IoT biedt continue bewaking van ICS-bedreigingen en apparaatdetectie. Het platform bevat de volgende onderdelen:

Defender for IoT-sensoren: Sensoren verzamelen ICS-netwerkverkeer met behulp van passieve bewaking (zonder agent). Passieve en niet-actieve sensoren hebben geen invloed op de prestaties van OT- en IoT-netwerken en -apparaten. De sensor maakt verbinding met een SPAN-poort of netwerk-TAP en begint onmiddellijk met het bewaken van uw netwerk. Detecties worden weergegeven in de sensorconsole. Daar kunt u ze bekijken, onderzoeken en analyseren in een netwerkkaart, een apparaatinventaris en een uitgebreid scala aan rapporten. Voorbeelden hiervan zijn risicoanalyserapporten, gegevensanalysequery's en aanvalsvectoren.

On-premises beheerconsole van Defender for IoT: De on-premises beheerconsole biedt een geconsolideerde weergave van alle netwerkapparaten. Het biedt een realtime weergave van de belangrijkste OT- en IoT-risicoindicatoren en -waarschuwingen voor al uw faciliteiten. Dankzij de nauwe integratie met uw SOC-werkstromen en playbooks kunt u eenvoudig prioriteit geven aan risicobeperkingsactiviteiten en correlatie tussen verschillende plaatsen van bedreigingen.

Defender for IoT-portal: Met de Defender for IoT-toepassing kunt u oplossingsapparaten kopen, software installeren en bijwerken en TI-pakketten bijwerken.

Dit artikel bevat informatie over oplossingsarchitectuur, netwerkvoorbereiding, vereisten en meer om u te helpen uw netwerk in te stellen voor gebruik met Defender voor IoT-apparaten. Lezers die met de informatie in dit artikel werken, moeten ervaring hebben met het beheren en beheren van OT- en IoT-netwerken. Voorbeelden zijn automatiseringstechnici, fabrieksmanagers, OT-serviceproviders voor netwerkinfrastructuur, cyberbeveiligingsteams, CISO's of CIO's.

Voor hulp of ondersteuning kunt u contact opnemen met Microsoft-ondersteuning.

Implementatietaken op locatie

Site-implementatietaken zijn onder andere:

Sitegegevens verzamelen

Neem sitegegevens op, zoals:

  • Netwerkgegevens voor sensorbeheer.

  • Sitenetwerkarchitectuur.

  • Fysieke omgeving.

  • Systeemintegraties.

  • Geplande gebruikersreferenties.

  • Configuratiewerkstation.

  • SSL-certificaten (optioneel maar aanbevolen).

  • SMTP-verificatie (optioneel). Als u de SMTP-server wilt gebruiken met verificatie, bereidt u de referenties voor die vereist zijn voor uw server.

  • DNS-servers (optioneel). Bereid het IP-adres en de hostnaam van uw DNS-server voor.

Zie Voorbeeld van een siteboek voor een gedetailleerde lijst en beschrijving van belangrijke site-informatie.

Richtlijnen voor geslaagde bewaking

Als u de optimale plaats wilt vinden om het apparaat te verbinden in elk van uw productienetwerken, raden we u aan deze procedure te volgen:

Diagramvoorbeeld van de installatie van het productienetwerk.

Een configuratiewerkstation voorbereiden

Bereid een Windows werkstation voor, waaronder het volgende:

  • Connectiviteit met de interface voor sensorbeheer.

  • Een ondersteunde browser

  • Terminalsoftware, zoals PuTTY.

Zorg ervoor dat de vereiste firewallregels zijn geopend op het werkstation. Zie Vereisten voor netwerktoegang voor meer informatie.

Ondersteunde browsers

De volgende browsers worden ondersteund voor de sensoren en webtoepassingen van de on-premises beheerconsole:

  • Microsoft Edge (meest recente versie)

  • Safari (meest recente versie, alleen Mac)

  • Chrome (meest recente versie)

  • Firefox (meest recente versie)

Zie Aanbevolen browsers voor meer informatie over ondersteunde browsers.

Vereisten voor netwerktoegang

Controleer of het beveiligingsbeleid van uw organisatie toegang toestaat tot het volgende:

Protocol Transport In/Out Poort Gebruikt Doel Bron Doel
HTTPS TCP IN/UIT 443 Webconsole van sensor en on-premises beheerconsole Toegang tot webconsole Client Sensor- en on-premises beheerconsole
SSH TCP IN/UIT 22 CLI Toegang tot de CLI Client Sensor- en on-premises beheerconsole
SSL TCP IN/UIT 443 Sensor- en on-premises beheerconsole Verbinding tussen het CyberX-platform en het centrale beheerplatform sensor On-premises beheerconsole
NTP UDP IN 123 Time Sync On-premises beheerconsole gebruiken als NTP voor sensor sensor on-premises beheerconsole
NTP UDP IN/UIT 123 Time Sync Sensor verbonden met externe NTP-server, wanneer er geen on-premises beheerconsole is geïnstalleerd sensor NTP
SMTP TCP UIT 25 E-mail De verbinding tussen het CyberX-platform en het beheerplatform en de e-mailserver Sensor- en on-premises beheerconsole E-mailserver
Syslog UDP UIT 514 JAAR Logboeken die vanuit de on-premises beheerconsole naar de Syslog-server worden gestuurd On-premises beheerconsole en sensor Syslog-server
DNS IN/UIT 53 DNS DNS-serverpoort On-premises beheerconsole en sensor DNS-server
LDAP TCP IN/UIT 389 Active Directory De verbinding tussen het CyberX-platform en het beheerplatform met Active Directory On-premises beheerconsole en sensor LDAP-server
Ldaps TCP IN/UIT 636 Active Directory De verbinding tussen het CyberX-platform en het beheerplatform met Active Directory On-premises beheerconsole en sensor LDAPS-server
SNMP UDP UIT 161 Bewaking Externe SNMP-collectoren. On-premises beheerconsole en sensor SNMP-server
WMI UDP UIT 135 bewaking Windows Eindpuntbewaking Sensor Relevant netwerkelement
Tunneling TCP IN 9000

- boven op poort 443

Van eindgebruiker naar de on-premises beheerconsole.

- Poort 22 van de sensor naar de on-premises beheerconsole
bewaking Tunneling Sensor On-premises beheerconsole

Installatie van racks plannen

De installatie van het rek plannen:

  1. Bereid een monitor en een toetsenbord voor op de netwerkinstellingen van uw apparaat.

  2. Wijs de rekruimte voor het apparaat toe.

  3. Er is wisselstroom beschikbaar voor het apparaat.

  4. Bereid de LAN-kabel voor op het verbinden van het beheer met de netwerks switch.

  5. Bereid de LAN-kabels voor op het aansluiten van SWITCH SPAN-poorten (mirror) en of netwerk tikken op het Defender for IoT-apparaat.

  6. Configureer, verbind en valideer SPAN-poorten in de gespiegelde switches, zoals beschreven in de sessie voor architectuurbeoordeling.

  7. Verbinding maken de geconfigureerde SPAN-poort naar een computer met Wireshark en controleer of de poort juist is geconfigureerd.

  8. Open alle relevante firewallpoorten.

Over passieve netwerkbewaking

Het apparaat ontvangt verkeer van meerdere bronnen, via switch mirror-poorten (SPAN-poorten) of via netwerk-TAPs. De beheerpoort is verbonden met het bedrijfs-, bedrijfs- of sensorbeheernetwerk met connectiviteit met een on-premises beheerconsole of de Defender for IoT-portal.

Diagram van een beheerde switch met poortspiegeling.

Purdue-model

In de volgende secties worden Purdue-niveaus beschreven.

Diagram van het Purdue-model.

Niveau 0: Cel en gebied

Niveau 0 bestaat uit een groot aantal sensoren, actuators en apparaten die betrokken zijn bij het basisproductieproces. Deze apparaten voeren de basisfuncties van het industriële automatiserings- en besturingssysteem uit, zoals:

  • Een motor aanrijden.

  • Variabelen meten.

  • Een uitvoer instellen.

  • Het uitvoeren van belangrijke functies, zoals schilderij, verven en bewerken.

Niveau 1: procesbeheer

Niveau 1 bestaat uit ingesloten controllers die het productieproces beheren en bewerken waarvan de belangrijkste functie is om te communiceren met apparaten op niveau 0. In discrete productie zijn deze apparaten programmeerbare logische controllers (NIC's) of externe telemetrie-eenheden (RTUs). In procesproductie wordt de basiscontroller een DCS (Distributed Control System) genoemd.

Niveau 2: Supervisory

Niveau 2 vertegenwoordigt de systemen en functies die zijn gekoppeld aan het runtime-toezicht en de werking van een gebied van een productiefaciliteit. Dit zijn meestal de volgende:

  • Operatorinterfaces of HMIs

  • Waarschuwingen of waarschuwingssystemen

  • Processen verwerken en batchbeheersystemen

  • Werkstations in de controleruimte

Deze systemen communiceren met de PLC's en RTUs in niveau 1. In sommige gevallen communiceren ze of delen ze gegevens met de site- of bedrijfssystemen (niveau 4 en niveau 5) en toepassingen. Deze systemen zijn voornamelijk gebaseerd op standaardcomputerapparatuur en -besturingssystemen (Unix- of Microsoft Windows).

Niveaus 3 en 3.5: siteniveau en industriële perimeternetwerk

Het siteniveau vertegenwoordigt het hoogste niveau van industriële automatisering en controlesystemen. De systemen en toepassingen die op dit niveau bestaan, beheren sitebrede industriële automatisering en controlefuncties. Niveaus 0 tot en met 3 worden beschouwd als essentieel voor sitebewerkingen. De systemen en functies die op dit niveau bestaan, kunnen het volgende omvatten:

  • Productierapportage (bijvoorbeeld cyclustijden, kwaliteitsindex, voorspellend onderhoud)

  • Fabrieksverwerker

  • Gedetailleerde productieplanning

  • Operationeel beheer op siteniveau

  • Apparaat- en materiaalbeheer

  • Patchstartserver

  • Bestandsserver

  • Industriële domein, Active Directory, terminalserver

Deze systemen communiceren met de productiezone en delen gegevens met de bedrijfssystemen (niveau 4 en niveau 5).

Niveaus 4 en 5: Bedrijfs- en bedrijfsnetwerken

Niveau 4 en Niveau 5 vertegenwoordigen de site of het bedrijfsnetwerk waarin de gecentraliseerde IT-systemen en -functies bestaan. De IT-organisatie beheert de services, systemen en toepassingen rechtstreeks op deze niveaus.

Planning voor netwerkbewaking

In de volgende voorbeelden worden verschillende typen topologies voor industriële controlenetwerken weergegeven, samen met overwegingen voor optimale bewaking en plaatsing van sensoren.

Wat moet worden bewaakt?

Verkeer dat door de lagen 1 en 2 gaat, moet worden bewaakt.

Waar moet het Defender for IoT-apparaat verbinding mee maken?

Het Defender for IoT-apparaat moet verbinding maken met de beheerde switches die de industriële communicatie tussen de lagen 1 en 2 zien (in sommige gevallen ook laag 3).

Het volgende diagram is een algemene abstractie van een multitenant netwerk met meerderelayers, met een uitgebreid cyberbeveiligingsecosysteem dat doorgaans wordt beheerd door een SOC en MSSP.

Normaal gesproken worden NTA-sensoren geïmplementeerd in lagen 0 tot en met 3 van het OSI-model.

Diagram van het OSI-model.

Voorbeeld: Ringtopologie

Het ringnetwerk is een topologie waarin elke switch of elk knooppunt verbinding maakt met precies twee andere switches, waardoor één doorlopende route voor het verkeer wordt gevormd.

Diagram van de ringtopologie.

Voorbeeld: Lineaire bus- en stertopologie

In een sternetwerk is elke host verbonden met een centrale hub. In de meest eenvoudige vorm fungeert één centrale hub als een conduit voor het verzenden van berichten. In het volgende voorbeeld worden lagere switches niet bewaakt en wordt het verkeer dat lokaal op deze switches blijft, niet zichtbaar. Apparaten kunnen worden geïdentificeerd op basis van ARP-berichten, maar er ontbreken verbindingsgegevens.

Diagram van de lineaire bus- en stertopologie.

Implementatie met meerdere sensoren

Hier volgen enkele aanbevelingen voor het implementeren van meerdere sensoren:

Number Meter Afhankelijkheid Aantal sensoren
De maximale afstand tussen switches 80 meter Voorbereide Ethernet-kabel Meer dan 1
Aantal OT-netwerken Meer dan 1 Geen fysieke connectiviteit Meer dan 1
Aantal switches Kan RSPAN-configuratie gebruiken Maximaal acht switches met lokale span dicht bij de sensor door afstand van bekabeling Meer dan 1

Verkeer spiegelen

Als u alleen relevante informatie voor verkeersanalyse wilt bekijken, moet u het Defender for IoT-platform verbinden met een mirroring-poort op een switch of een TAP die alleen industriële ICS- en SCADA-verkeer bevat.

Gebruik deze schakelknop voor uw installatie.

U kunt switchverkeer bewaken met behulp van de volgende methoden:

SPAN en RSPAN zijn Cisco-terminologie. Andere merken switches hebben vergelijkbare functionaliteit, maar gebruiken mogelijk andere terminologie.

Switch SPAN-poort

Een switchpoortanalyse spiegelt lokaal verkeer van interfaces op de switch naar de interface op dezelfde switch. Hier zijn enkele overwegingen:

  • Controleer of de relevante switch ondersteuning biedt voor de functie voor poortspiegeling.

  • De mirroring-optie is standaard uitgeschakeld.

  • We raden u aan om alle poorten van de switch te configureren, zelfs als er geen gegevens zijn verbonden. Anders is een rogue-apparaat mogelijk verbonden met een niet-gecontroleerd poort en wordt het niet gewaarschuwd op de sensor.

  • Op OT-netwerken die gebruikmaken van broadcast- of multicastberichten, configureert u de switch om alleen RX-verzendingen (Receive) te spiegelen. Anders worden multicast-berichten herhaald voor zoveel actieve poorten en wordt de bandbreedte vermenigvuldigd.

De volgende configuratievoorbeelden zijn alleen ter referentie en zijn gebaseerd op een Cisco 2960-switch (24 poorten) met IOS. Dit zijn slechts typische voorbeelden, dus gebruik ze niet als instructies. Mirror-poorten op andere Cisco-besturingssystemen en andere merken switches zijn anders geconfigureerd.

Diagram van een SPAN-poortconfiguratieterminal. Diagram van de SPAN-poortconfiguratiemodus.

Meerdere VLAN's bewaken

Met Defender for IoT kunnen VLAN's worden gecontroleerd die in uw netwerk zijn geconfigureerd. Er is geen configuratie van het Defender for IoT-systeem vereist. De gebruiker moet ervoor zorgen dat de switch in uw netwerk is geconfigureerd voor het verzenden van VLAN-tags naar Defender for IoT.

In het volgende voorbeeld ziet u de vereiste opdrachten die moeten worden geconfigureerd op de Cisco-switch om bewaking van VLAN's in Defender for IoT in te schakelen:

Sessie bewaken: deze opdracht is verantwoordelijk voor het proces van het verzenden van VLAN's naar de SPAN-poort.

  • sessie 1 broninterface Gi1/2 bewaken

  • monitor sessie 1 filterpakkettype goede Rx

  • monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

Trunk-poort bewaken: Gi1/1: VLAN's zijn geconfigureerd op de Trunk-poort.

  • interface GigabitEthernet1/1

  • switchport trunk encapsulation dot1q

  • trunk switchport mode

Remote SPAN (RSPAN)

De externe SPAN-sessie spiegelt verkeer van meerdere gedistribueerde bronpoorten naar een toegewezen extern VLAN.

Diagram van externe SPAN.

De gegevens in het VLAN worden vervolgens via trunk-poorten geleverd via meerdere switches naar een specifieke switch die de fysieke doelpoort bevat. Deze poort maakt verbinding met het Defender for IoT-platform.

Meer informatie over RSPAN
  • RSPAN is een geavanceerde functie die een speciaal VLAN vereist voor het uitvoeren van het verkeer dat door SPAN tussen switches wordt bewaakt. RSPAN wordt niet ondersteund op alle switches. Controleer of de switch de RSPAN-functie ondersteunt.

  • De optie voor spiegelen is standaard uitgeschakeld.

  • Het externe VLAN moet zijn toegestaan op de trunk-poort tussen de bron- en doelswitches.

  • Alle switches die dezelfde RSPAN-sessie verbinden, moeten van dezelfde leverancier zijn.

Notitie

Zorg ervoor dat de trunk-poort die het externe VLAN tussen de switches deelt, niet is gedefinieerd als een mirror-sessiebronpoort.

Het externe VLAN verhoogt de bandbreedte op de trunked poort door de grootte van de bandbreedte van de gespiegelde sessie. Controleer of de Trunk-poort van de switch dit ondersteunt.

Diagram van extern VLAN.

Voorbeelden van RSPAN-configuratie

RSPAN: Op basis van Cisco-2960 (24 poorten).

Voorbeeld van de configuratie van de brons switch:

Schermopname van RSPAN-configuratie.

  1. Voer de algemene configuratiemodus in.

  2. Maak een toegewezen VLAN.

  3. Identificeer het VLAN als de RSPAN-VLAN.

  4. Ga terug naar de modus Terminal configureren.

  5. Configureer alle 24 poorten als sessiebronnen.

  6. Configureer de RSPAN VLAN als sessiebestemming.

  7. Ga terug naar de bevoegde EXEC-modus.

  8. Controleer de poortspiegelingconfiguratie.

Voorbeeld van configuratie van doels switch:

  1. Voer de algemene configuratiemodus in.

  2. Configureer het RSPAN-VLAN als sessiebron.

  3. Configureer fysieke poort 24 als sessiebestemming.

  4. Ga terug naar de bevoegde EXEC-modus.

  5. Controleer de poortspiegelingconfiguratie.

  6. Sla de configuratie op.

Actieve en passieve aggregatie TAP

Een actieve of passieve aggregatie TAP wordt inline op de netwerkkabel geïnstalleerd. Zowel RX als TX worden gedupliceerd naar de bewakingssensor.

Het terminaltoegangspunt (TAP) is een hardwareapparaat waarmee netwerkverkeer zonder onderbreking van poort A naar poort B en van poort B naar poort A kan stromen. Er wordt continu een exacte kopie van beide zijden van de verkeersstroom gemaakt, zonder dat dit ten koste gaat van de netwerkintegriteit. Sommige TAP's aggregeren indien gewenst het verzenden en ontvangen van verkeer met behulp van switchinstellingen. Als aggregatie niet wordt ondersteund, gebruikt elke TAP twee sensorpoorten om het verzenden en ontvangen van verkeer te bewaken.

TAP's zijn om verschillende redenen voordelig. Ze zijn hardwaregebaseerd en kunnen niet worden aangetast. Ze geven al het verkeer door, zelfs beschadigde berichten, die vaak worden gewisseld. Ze zijn niet processorgevoelig, dus de timing van pakketten is exact waar switches de mirror-functie verwerken als een taak met lage prioriteit die invloed kan hebben op de timing van de gespiegelde pakketten. Voor forensische doeleinden is een TAP het beste apparaat.

TAP-aggregators kunnen ook worden gebruikt voor poortbewaking. Deze apparaten zijn processorgebaseerd en zijn niet zo intrinsiek veilig als hardware-TAPs. Ze geven mogelijk geen exacte timing van pakketten weer.

Diagram van actieve en passieve TAPs.

Algemene TAP-modellen

Deze modellen zijn getest op compatibiliteit. Andere leveranciers en modellen zijn mogelijk ook compatibel.

Installatiekopie Model
Schermopname van Garland P1G SCREENSHOTS. Garland P1GUSES
Schermopname van IXIA TPA2-CU3. IXIA TPA2-CU3
Schermopname van US Robotics USR 4503. US Robotics USR 4503
Speciale TAP-configuratie
Garland TAP US Robotics TAP
Zorg ervoor dat de reeksen als volgt zijn ingesteld:
Schermopname van de amerikaanse roboticaschakelaar.
Zorg ervoor dat de aggregatiemodus actief is.

Implementatievalidatie

Zelfbeoordeling van engineering

Het bekijken van uw OT- en ICS-netwerkdiagram is de meest efficiënte manier om de beste plaats te definiëren om verbinding mee te maken, waar u het meest relevante verkeer voor bewaking kunt krijgen.

De sitetechnici weten hoe hun netwerk eruitziet. Een beoordelingssessie met het lokale netwerk en operationele teams zal doorgaans verwachtingen verduidelijken en de beste plaats definiëren om het apparaat te verbinden.

Relevante informatie:

  • Lijst met bekende apparaten (spreadsheet)

  • Geschat aantal apparaten

  • Leveranciers en industriële protocollen

  • Model van switches om te controleren of de optie voor poortspiegeling beschikbaar is

  • Informatie over wie de switches beheert (bijvoorbeeld IT) en of het externe resources zijn

  • Lijst met OT-netwerken op de site

Veelgestelde vragen

  • Wat zijn de algemene doelstellingen van de implementatie? Is een volledige inventarisatie en nauwkeurige netwerkkaart belangrijk?

  • Zijn er meerdere of redundante netwerken in de ICS? Worden alle netwerken bewaakt?

  • Is er communicatie tussen de ICS en het bedrijfsnetwerk (zakelijk) ? Worden deze communicaties bewaakt?

  • Zijn VLAN's geconfigureerd in het netwerkontwerp?

  • Hoe wordt onderhoud van de ICS uitgevoerd, met vaste of tijdelijke apparaten?

  • Waar worden firewalls geïnstalleerd in de bewaakte netwerken?

  • Is er routering in de bewaakte netwerken?

  • Welke OT-protocollen zijn actief in de bewaakte netwerken?

  • Als we verbinding maken met deze switch, zien we dan de communicatie tussen de HMI en de NIC's?

  • Wat is de fysieke afstand tussen de ICS-switches en de firewall van de onderneming?

  • Kunnen niet-beheerde switches worden vervangen door beheerde switches of is het gebruik van netwerk-TAPs een optie?

  • Is er seriële communicatie in het netwerk? Zo ja, dan kunt u deze weergeven in het netwerkdiagram.

  • Als het Defender for IoT-apparaat moet worden aangesloten op die switch, is er dan fysiek beschikbare rekruimte in die behuizing?

Andere overwegingen

Het doel van het Defender for IoT-apparaat is om verkeer van laag 1 en 2 te bewaken.

Voor sommige architecturen bewaakt het Defender for IoT-apparaat ook laag 3, als er OT-verkeer op deze laag bestaat. Houd rekening met de volgende variabelen wanneer u de sitearchitectuur bekijkt en beslist of u een switch wilt bewaken:

  • Wat zijn de kosten/voordelen ten opzichte van het belang van het bewaken van deze switch?

  • Als een switch niet wordt gebruikt, is het dan mogelijk om het verkeer van een switch op een hoger niveau te bewaken?

    Als de ICS-architectuur een ringtopologie is, hoeft slechts één switch in deze ring te worden bewaakt.

  • Wat is het beveiligings- of operationele risico in dit netwerk?

  • Is het mogelijk om het VLAN van de switch te bewaken? Is dat VLAN zichtbaar in een andere switch die we kunnen bewaken?

Technische validatie

Het ontvangen van een voorbeeld van vastgelegd verkeer (PCAP-bestand) van de SWITCH SPAN-poort (of mirror-poort) kan helpen bij het volgende:

  • Controleer of de switch juist is geconfigureerd.

  • Controleer of het verkeer dat via de switch gaat relevant is voor bewaking (OT-verkeer).

  • Identificeer de bandbreedte en het geschatte aantal apparaten in deze switch.

U kunt een voorbeeld van een PCAP-bestand (een paar minuten) opnemen door een laptop te verbinden met een reeds geconfigureerde SPAN-poort via de Wireshark-toepassing.

Schermopname van een laptop die is verbonden met een SPAN-poort. Schermopname van de opname van een PCAP-voorbeeldbestand.

Wireshark-validatie

  • Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast is van het ene adres naar het andere. Als het grootste deel van het verkeer ARP-berichten is, is de instelling van de switch onjuist.

  • Ga naar Statistics > Protocol Hierarchy. Controleer of er industriële OT-protocollen aanwezig zijn.

Schermopname van Wireshark-validatie.

Problemen oplossen

Gebruik deze secties voor het oplossen van problemen:

Kan geen verbinding maken met behulp van een webinterface

  1. Controleer of de computer die u probeert te verbinden zich in hetzelfde netwerk bevindt als het apparaat.

  2. Controleer of het GUI-netwerk is verbonden met de beheerpoort op de sensor.

  3. Ping het IP-adres van het apparaat. Als er geen reactie is op pingen:

    1. Verbinding maken monitor en een toetsenbord aan het apparaat toe.

    2. Gebruik de ondersteuningsgebruiker en het wachtwoord om u aan te melden.

    3. Gebruik de lijst met opdrachtnetwerk om het huidige IP-adres weer te geven.

    Schermopname van de netwerklijstopdracht.

  4. Als de netwerkparameters onjuist zijn geconfigureerd, gebruikt u de volgende procedure om deze te wijzigen:

    1. Gebruik de opdracht network edit-settings.

    2. Als u het IP-adres van het beheernetwerk wilt wijzigen, selecteert u Y.

    3. Als u het subnetmasker wilt wijzigen, selecteert u Y.

    4. Als u de DNS wilt wijzigen, selecteert u Y.

    5. Als u het standaard-IP-adres van de gateway wilt wijzigen, selecteert u Y.

    6. Selecteer Y voor de wijziging van de invoerinterface (alleen voor sensor).

    7. Selecteer N voor de bruginterface.

    8. Selecteer Y om de instellingen toe te passen.

  5. Nadat u opnieuw hebt opgestart, maakt u verbinding met de gebruikersondersteuning en gebruikt u de opdracht netwerklijst om te controleren of de parameters zijn gewijzigd.

  6. Probeer opnieuw te pingen en verbinding te maken vanuit de gebruikersinterface.

Het apparaat reageert niet

  1. Verbinding maken met een monitor en toetsenbord aan het apparaat of gebruik PuTTY om extern verbinding te maken met de CLI.

  2. Gebruik de ondersteuningsreferenties om u aan te melden.

  3. Gebruik de systeem sanity opdracht en controleer of alle processen worden uitgevoerd.

    Schermopname van de opdracht voor systeem sanity.

Voor andere problemen kunt u contact opnemen met Microsoft-ondersteuning.

Voorbeeld van een siteboek

Gebruik het voorbeeldsiteboek om belangrijke informatie op te halen en te controleren die u nodig hebt voor het instellen van het netwerk.

Controlelijst voor site

Bekijk deze lijst vóór de implementatie van de site:

# Taak of activiteit Status Opmerkingen
1 Apparaten bestellen.
2 Bereid een lijst met subnetten in het netwerk voor.
3 Geef een VLAN-lijst van de productienetwerken op.
4 Geef een lijst met switchmodellen op in het netwerk.
5 Geef een lijst met leveranciers en protocollen van de industriële apparatuur op.
6 Geef netwerkdetails op voor sensoren (IP-adres, subnet, D-GW, DNS).
7 Maak de benodigde firewallregels en de toegangslijst.
8 Maak spanningpoorten op switches voor poortbewaking of configureer netwerk tikt naar wens.
9 Rekruimte voorbereiden voor sensorapparaten.
10 Bereid een werkstation voor personeel voor.
11 Geef een toetsenbord, monitor en muis op voor de Defender for IoT-rekapparaten.
12 De apparaten in een rek plaatsen en bekabelen.
13 Wijs sitebronnen toe ter ondersteuning van implementatie.
14 Active Directory-groepen of lokale gebruikers maken.
15 Training instellen (zelflerend).
16 Ga of nee.
17 Plan de implementatiedatum.
Datum Opmerking Implementatiedatum Opmerking
Defender for IoT Sitenaam*
Name Name
Positie Positie

Architectuurbeoordeling

Met een overzicht van het diagram van het industriële netwerk kunt u de juiste locatie voor de Defender for IoT-apparatuur definiëren.

  1. Bekijk een globaal netwerkdiagram van de industriële OT-omgeving. Bijvoorbeeld:

    Diagram van de industriële OT-omgeving voor het wereldwijde netwerk.

    Notitie

    Het Defender for IoT-apparaat moet zijn verbonden met een switch op lager niveau die het verkeer tussen de poorten op de switch ziet.

  2. Geef het geschatte aantal netwerkapparaten op dat wordt bewaakt. U hebt deze informatie nodig bij het onboarden van uw abonnement Azure Defender for IoT portal. Tijdens het onboardingproces wordt u gevraagd om het aantal apparaten in stappen van 1000 in te voeren.

  3. Geef een subnetlijst op voor de productienetwerken en een beschrijving (optioneel).

    # Subnetnaam Beschrijving
    1
    2
    3
    4
  4. Geef een VLAN-lijst van de productienetwerken op.

    # VLAN-naam Beschrijving
    1
    2
    3
    4
  5. Als u wilt controleren of de switches poortspiegeling hebben, geeft u de switchmodelnummers op waarmee het Defender for IoT-platform verbinding moet maken:

    # Schakelen Model Ondersteuning voor verkeerspiegeling (SPAN, RSPAN of geen)
    1
    2
    3
    4

    Beheert een derde partij de switches? Y of N

    Zo ja, wie? __________________________________

    Wat is hun beleid? __________________________________

    Bijvoorbeeld:

    • Siemens

    • Automatisering van Rockwell: Ethernet of IP

    • Emerson – DeltaV, Ovation

  6. Zijn er apparaten die communiceren via een seriële verbinding in het netwerk? Ja of nee

    Zo ja, geef dan op welk protocol voor seriële communicatie: ________

    Zo ja, markeer in het netwerkdiagram welke apparaten communiceren met seriële protocollen en waar ze zijn:

  7. Voor Quality of Service (QoS) is de standaardinstelling van de sensor 1,5 Mbps. Geef op of u deze wilt wijzigen: _________________

    Bedrijfseenheid (BU): ________________

Specificaties voor site-apparatuur

Netwerk

Het sensorapparaat is verbonden met de SPAN-poort via een netwerkadapter. Het is verbonden met het bedrijfsnetwerk van de klant voor beheer via een andere toegewezen netwerkadapter.

Geef adresgegevens op voor de sensor-NIC die wordt verbonden in het bedrijfsnetwerk:

Item Apparaat 1 Apparaat 2 Apparaat 3
IP-adres van apparaat
Subnet
Standaardgateway
DNS
Hostnaam

iDRAC/iLO/Server-beheer

Item Apparaat 1 Apparaat 2 Apparaat 3
IP-adres van apparaat
Subnet
Standaardgateway
DNS

On-premises beheerconsole

Item Actief Passief (bij gebruik van ha)
IP-adres
Subnet
Standaardgateway
DNS

SNMP

Item Details
IP
IP-adres
Gebruikersnaam
Wachtwoord
Verificatietype MD5 of SHA
Versleuteling DES of AES
Geheime sleutel
SNMP v2-communityreeks

SSL-certificaat van on-premises beheerconsole

Bent u van plan een SSL-certificaat te gebruiken? Ja of nee

Zo ja, welke service gebruikt u om deze te genereren? Welke kenmerken neemt u op in het certificaat (bijvoorbeeld domein of IP-adres)?

SMTP-verificatie

Bent u van plan SMTP te gebruiken om waarschuwingen door te sturen naar een e-mailserver? Ja of nee

Zo ja, welke verificatiemethode gebruikt u?

Active Directory of lokale gebruikers

Neem contact op met een Active Directory-beheerder om een Active Directory-sitegebruikersgroep te maken of lokale gebruikers te maken. Zorg ervoor dat uw gebruikers klaar zijn voor de implementatiedag.

IoT-apparaattypen in het netwerk

Apparaattype Aantal apparaten in het netwerk Gemiddelde bandbreedte
Camera
X-ray machine

Zie ook

Over de installatie van Defender for IoT