Over het instellen van het Microsoft Defender for IoT-netwerk
Microsoft Defender for IoT biedt continue ICS-bedreigingsbewaking en apparaatdetectie. Het platform bevat de volgende onderdelen:
Defender for IoT-sensoren: Sensoren verzamelen ICS-netwerkverkeer met behulp van passieve bewaking (zonder agent). Passieve en niet-actieve sensoren hebben geen invloed op de prestaties van OT- en IoT-netwerken en -apparaten. De sensor maakt verbinding met een SPAN-poort of netwerk-TAP en begint onmiddellijk met het bewaken van uw netwerk. Detecties worden weergegeven in de sensorconsole. Daar kunt u ze bekijken, onderzoeken en analyseren in een netwerkkaart, een apparaatinventaris en een uitgebreid scala aan rapporten. Voorbeelden hiervan zijn risicoanalyserapporten, gegevensanalysequery's en aanvalsvectoren.
On-premises beheerconsole van Defender for IoT: De on-premises beheerconsole biedt een geconsolideerde weergave van alle netwerkapparaten. Het biedt een realtime weergave van de belangrijkste OT- en IoT-risicoindicatoren en -waarschuwingen voor al uw faciliteiten. Dankzij de nauwe integratie met uw SOC-werkstromen en playbooks kunt u eenvoudig prioriteit geven aan risicobeperkingsactiviteiten en correlatie tussen verschillende plaatsen van bedreigingen.
Defender for IoT in de Azure Portal: Met de Defender for IoT-toepassing kunt u oplossingsapparaten kopen, software installeren en bijwerken en TI-pakketten bijwerken.
Dit artikel bevat informatie over oplossingsarchitectuur, netwerkvoorbereiding, vereisten en meer om u te helpen uw netwerk in te stellen voor gebruik met Defender voor IoT-apparaten. Lezers die met de informatie in dit artikel werken, moeten ervaring hebben met het beheren en beheren van OT- en IoT-netwerken. Voorbeelden zijn automatiseringstechnici, fabrieksmanagers, OT-serviceproviders voor netwerkinfrastructuur, cyberbeveiligingsteams, CISO's of CIO's.
Voor hulp of ondersteuning kunt u contact opnemen met Microsoft-ondersteuning.
Implementatietaken op locatie
Site-implementatietaken zijn onder andere:
Sitegegevens verzamelen
Sitegegevens registreren, zoals:
Netwerkgegevens voor sensorbeheer.
Sitenetwerkarchitectuur.
Fysieke omgeving.
Systeemintegraties.
Geplande gebruikersreferenties.
Configuratiewerkstation.
SSL-certificaten (optioneel maar aanbevolen).
SMTP-verificatie (optioneel). Als u de SMTP-server wilt gebruiken met verificatie, bereidt u de referenties voor die vereist zijn voor uw server.
DNS-servers (optioneel). Bereid het IP-adres en de hostnaam van uw DNS-server voor.
Zie Controlelijst voor predeploymentvoor een gedetailleerde lijst en beschrijving van belangrijke site-informatie.
Richtlijnen voor geslaagde bewaking
Als u de optimale plaats wilt vinden om het apparaat te verbinden in elk van uw productienetwerken, raden we u aan deze procedure te volgen:
Een configuratiewerkstation voorbereiden
Bereid een Windows werkstation voor, waaronder het volgende:
Connectiviteit met de interface voor sensorbeheer.
Een ondersteunde browser
Terminalsoftware, zoals PuTTY.
Zorg ervoor dat de vereiste firewallregels zijn geopend op het werkstation. Zie Vereisten voor netwerktoegang voor meer informatie.
Ondersteunde browsers
De volgende browsers worden ondersteund voor de sensoren en webtoepassingen van de on-premises beheerconsole:
Microsoft Edge (meest recente versie)
Safari (meest recente versie, alleen Mac)
Chrome (meest recente versie)
Firefox (meest recente versie)
Zie aanbevolen browsers voor meer informatie over ondersteunde browsers.
Certificaten instellen
Na de installatie van de sensor- en on-premises beheerconsole wordt een lokaal zelf ondertekend certificaat gegenereerd en gebruikt voor toegang tot de sensorwebtoepassing. Wanneer u zich voor het eerst aanmeldt bij Defender for IoT, wordt gebruikers van beheerders gevraagd een SSL/TLS-certificaat op te geven. Daarnaast wordt een optie om te valideren voor dit certificaat en andere systeemcertificaten automatisch ingeschakeld. Zie About Certificates (Over certificaten) voor meer informatie.
Vereisten voor netwerktoegang
Controleer of het beveiligingsbeleid van uw organisatie toegang toestaat tot het volgende:
Gebruikerstoegang tot de sensor en beheerconsole
| Protocol | Transport | In/Out | Poort | Gebruikt | Doel | Bron | Doel |
|---|---|---|---|---|---|---|---|
| HTTPS | TCP | In/Out | 443 | Voor toegang tot de sensor en de webconsole van de on-premises beheerconsole. | Toegang tot webconsole | Client | Sensor- en on-premises beheerconsole |
| SSH | TCP | In/Out | 22 | CLI | Voor toegang tot de CLI. | Client | Sensor- en on-premises beheerconsole |
Sensortoegang tot Azure Portal
| Protocol | Transport | In/Out | Poort | Gebruikt | Doel | Bron | Doel |
|---|---|---|---|---|---|---|---|
| HTTPS/Websocket | TCP | In/Out | 443 | Geeft de sensor toegang tot de Azure Portal. (Optioneel) Toegang kan worden verleend via een proxy. | Toegang tot Azure Portal | Sensor | Azure Portal |
Sensortoegang tot de on-premises beheerconsole
| Protocol | Transport | In/Out | Poort | Gebruikt | Doel | Bron | Doel |
|---|---|---|---|---|---|---|---|
| SSL | TCP | In/Out | 443 | Geef de sensor toegang tot de on-premises beheerconsole. | De verbinding tussen de sensor en de on-premises beheerconsole | Sensor | On-premises beheerconsole |
| NTP | UDP | In/Out | 123 | Time Sync | Verbindt de NTP met de on-premises beheerconsole. | Sensor | On-premises beheerconsole |
Aanvullende firewallregels voor externe services (optioneel)
Open deze poorten om extra services toe te staan voor Defender for IoT.
| Protocol | Transport | In/Out | Poort | Gebruikt | Doel | Bron | Doel |
|---|---|---|---|---|---|---|---|
| HTTP | TCP | Uit | 80 | De CRL-download voor certificaatvalidatie bij het uploaden van certificaten. | Toegang tot de CRL-server | Sensor- en on-premises beheerconsole | CRL-server |
| LDAP | TCP | In/Out | 389 | Active Directory | Hiermee kan Active Directory-beheer van gebruikers die toegang hebben, zich aanmelden bij het systeem. | On-premises beheerconsole en sensor | LDAP-server |
| LDAPS | TCP | In/Out | 636 | Active Directory | Hiermee kan Active Directory-beheer van gebruikers die toegang hebben, zich aanmelden bij het systeem. | On-premises beheerconsole en sensor | LDAPS-server |
| SNMP | UDP | Uit | 161 | Bewaking | Controleert de status van de sensor. | On-premises beheerconsole en sensor | SNMP-server |
| SMTP | TCP | Uit | 25 | Wordt gebruikt om de e-mailserver van de klant te openen om e-mailberichten voor waarschuwingen en gebeurtenissen te verzenden. | Sensor- en on-premises beheerconsole | E-mailserver | |
| Syslog | UDP | Uit | 514 | JAAR | De logboeken die vanuit de on-premises beheerconsole naar de Syslog-server worden verzonden. | On-premises beheerconsole en sensor | Syslog-server |
| DNS | TCP/UDP | In/Out | 53 | DNS | De DNS-serverpoort. | On-premises beheerconsole en sensor | DNS-server |
| WMI | TCP/UDP | Uit | 135, 1025-65535 | Bewaking | Windows Eindpuntbewaking. | Sensor | Relevant netwerkelement |
| Tunneling | TCP | In | 9000 naast poort 443 Hiermee staat u toegang vanaf de sensor of eindgebruiker toe aan de on-premises beheerconsole. Poort 22 van de sensor naar de on-premises beheerconsole. | Bewaking | Tunneling | Sensor | On-premises beheerconsole |
| Proxy | TCP/UDP | In/Out | 443 | Proxy | De sensor verbinden met een proxyserver | On-premises beheerconsole en sensor | Proxyserver |
Installatie van rack plannen
De installatie van het rek plannen:
Bereid een monitor en een toetsenbord voor op de netwerkinstellingen van uw apparaat.
Wijs de rekruimte voor het apparaat toe.
Er is wisselstroom beschikbaar voor het apparaat.
Bereid de LAN-kabel voor op het verbinden van het beheer met de netwerks switch.
Bereid de LAN-kabels voor op het verbinden van SWITCH SPAN-poorten (mirror) en tikt in het netwerk op het Defender for IoT-apparaat.
Configureer, verbind en valideer SPAN-poorten in de gespiegelde switches, zoals beschreven in de sessie voor architectuurbeoordeling.
Verbinding maken geconfigureerde SPAN-poort naar een computer met Wireshark en controleer of de poort juist is geconfigureerd.
Open alle relevante firewallpoorten.
Over passieve netwerkbewaking
Het apparaat ontvangt verkeer van meerdere bronnen, ofwel via switch mirror-poorten (SPAN-poorten) of via netwerk-TAPs. De beheerpoort is verbonden met het bedrijfs-, bedrijfs- of sensorbeheernetwerk met connectiviteit met een on-premises beheerconsole of Defender for IoT in de Azure Portal.
Purdue-model
In de volgende secties worden Purdue-niveaus beschreven.
Niveau 0: Cel en gebied
Niveau 0 bestaat uit een groot aantal sensoren, actuators en apparaten die betrokken zijn bij het basisproductieproces. Deze apparaten voeren de basisfuncties van het industriële automatiserings- en controlesysteem uit, zoals:
Een motor aanrijden.
Variabelen meten.
Een uitvoer instellen.
Het uitvoeren van belangrijke functies, zoals schilderij, schilderij en bewerken.
Niveau 1: procesbeheer
Niveau 1 bestaat uit ingesloten controllers die het productieproces beheren en bewerken waarvan de belangrijkste functie is om te communiceren met apparaten op niveau 0. In discrete productie zijn deze apparaten programmeerbare logische controllers (NIC's) of externe telemetrie-eenheden (RTUs). In procesproductie wordt de basiscontroller een DCS (Distributed Control System) genoemd.
Niveau 2: Supervisory
Niveau 2 vertegenwoordigt de systemen en functies die zijn gekoppeld aan het runtime-toezicht en de werking van een gebied van een productiefaciliteit. Dit zijn meestal de volgende:
Operatorinterfaces of HMIs
Waarschuwingen of waarschuwingssystemen
Procesing en batchbeheersystemen
Werkstations in de controleruimte
Deze systemen communiceren met de NIC's en RTUs in Niveau 1. In sommige gevallen communiceren of delen ze gegevens met de systemen en toepassingen van de site of onderneming (niveau 4 en niveau 5). Deze systemen zijn voornamelijk gebaseerd op standaardcomputerapparatuur en -besturingssystemen (Unix of Microsoft Windows).
Niveaus 3 en 3.5: Siteniveau en industriële perimeternetwerk
Het siteniveau vertegenwoordigt het hoogste niveau van industriële automatisering en controlesystemen. De systemen en toepassingen die op dit niveau bestaan, beheren bedrijfsbrede functies voor industriële automatisering en controle. Niveaus 0 tot en met 3 worden beschouwd als essentieel voor sitebewerkingen. De systemen en functies die op dit niveau bestaan, kunnen het volgende omvatten:
Productierapportage (bijvoorbeeld cyclustijden, kwaliteitsindex, voorspellend onderhoud)
Fabrieksverkenner
Gedetailleerde productieplanning
Operationeel beheer op siteniveau
Apparaat- en materiaalbeheer
Server voor het starten van patches
Bestandsserver
Industriële domein, Active Directory, terminalserver
Deze systemen communiceren met de productiezone en delen gegevens met de bedrijfssystemen (niveau 4 en niveau 5).
Niveaus 4 en 5: Bedrijfs- en bedrijfsnetwerken
Niveau 4 en Niveau 5 vertegenwoordigen de site of het bedrijfsnetwerk waar de gecentraliseerde IT-systemen en -functies bestaan. De IT-organisatie beheert de services, systemen en toepassingen rechtstreeks op deze niveaus.
Planning voor netwerkbewaking
In de volgende voorbeelden worden verschillende typen topologies voor industriële controlenetwerken weergegeven, samen met overwegingen voor optimale bewaking en plaatsing van sensoren.
Wat moet worden bewaakt?
Verkeer dat door de lagen 1 en 2 gaat, moet worden bewaakt.
Waar moet het Defender for IoT-apparaat verbinding mee maken?
Het Defender for IoT-apparaat moet verbinding maken met de beheerde switches die de industriële communicatie tussen de lagen 1 en 2 (in sommige gevallen ook laag 3) zien.
Het volgende diagram is een algemene abstractie van een multilayernetwerk met meerderetenants, met een uitgebreid cyberbeveiligingsecosysteem dat doorgaans wordt beheerd door een SOC en MSSP.
Normaal gesproken worden NTA-sensoren geïmplementeerd in lagen 0 tot en met 3 van het OSI-model.
Voorbeeld: Ringtopologie
Het ringnetwerk is een topologie waarin elke switch of elk knooppunt verbinding maakt met exact twee andere switches, waardoor één doorlopende route voor het verkeer wordt gevormd.
Voorbeeld: Lineaire bus- en stertopologie
In een sternetwerk is elke host verbonden met een centrale hub. In de meest eenvoudige vorm fungeert één centrale hub als een conduit voor het verzenden van berichten. In het volgende voorbeeld worden lagere switches niet bewaakt en wordt het verkeer dat lokaal op deze switches blijft, niet zichtbaar. Apparaten kunnen worden geïdentificeerd op basis van ARP-berichten, maar er ontbreken verbindingsgegevens.
Multisensor-implementatie
Hier volgen enkele aanbevelingen voor het implementeren van meerdere sensoren:
| Number | Meter | Afhankelijkheid | Aantal sensoren |
|---|---|---|---|
| De maximale afstand tussen switches | 80 meter | Voorbereide Ethernet-kabel | Meer dan 1 |
| Aantal OT-netwerken | Meer dan 1 | Geen fysieke connectiviteit | Meer dan 1 |
| Aantal switches | Kan RSPAN-configuratie gebruiken | Maximaal acht switches met lokale overspanning dicht bij de sensor door afstand van bekabeling | Meer dan 1 |
Verkeersspiegeling
Als u alleen relevante informatie wilt bekijken voor verkeersanalyse, moet u het Defender for IoT-platform verbinden met een mirroringpoort op een switch of een TAP die alleen industriële ICS- en SCADA-verkeer bevat.
U kunt switchverkeer bewaken met behulp van de volgende methoden:
SPAN en RSPAN zijn Cisco-terminologie. Andere merken switches hebben vergelijkbare functionaliteit, maar gebruiken mogelijk andere terminologie.
SWITCH SPAN-poort
Een switchpoortanalyse spiegelt lokaal verkeer van interfaces op de switch naar de interface op dezelfde switch. Hier zijn enkele overwegingen:
Controleer of de relevante switch ondersteuning biedt voor de functie voor poortspiegeling.
De mirroring-optie is standaard uitgeschakeld.
U wordt aangeraden alle poorten van de switch te configureren, zelfs als er geen gegevens zijn verbonden. Anders is een rogue-apparaat mogelijk verbonden met een niet-gecontroleerde poort en wordt het niet gewaarschuwd op de sensor.
Op OT-netwerken die gebruikmaken van broadcast- of multicastberichten, configureert u de switch zodanig dat alleen RX-verzendingen (Receive) worden gespiegeld. Anders worden multicast-berichten herhaald voor zoveel actieve poorten en wordt de bandbreedte vermenigvuldigd.
De volgende configuratievoorbeelden zijn alleen ter referentie en zijn gebaseerd op een Cisco 2960-switch (24 poorten) met IOS. Dit zijn alleen typische voorbeelden, dus gebruik ze niet als instructies. Mirror-poorten op andere Cisco-besturingssystemen en andere merken switches zijn anders geconfigureerd.
Meerdere VLA's bewaken
Met Defender for IoT kunt u VLA's bewaken die in uw netwerk zijn geconfigureerd. Er is geen configuratie van het Defender for IoT-systeem vereist. De gebruiker moet ervoor zorgen dat de switch in uw netwerk is geconfigureerd voor het verzenden van VLAN-tags naar Defender for IoT.
In het volgende voorbeeld ziet u de vereiste opdrachten die moeten worden geconfigureerd op de Cisco-switch om bewaking van VLAN's in Defender for IoT in te schakelen:
Sessie bewaken: deze opdracht is verantwoordelijk voor het proces van het verzenden van VLAN's naar de SPAN-poort.
monitor session 1 source interface Gi1/2
monitor sessie 1 filterpakkettype goede Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q
Trunk-poort bewaken: Gi1/1: VLAN's worden geconfigureerd op de Trunk-poort.
interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
trunk in switchportmodus
Remote SPAN (RSPAN)
De externe SPAN-sessie spiegelt verkeer van meerdere gedistribueerde bronpoorten naar een toegewezen extern VLAN.
De gegevens in het VLAN worden vervolgens via trunk-poorten geleverd via meerdere switches naar een specifieke switch die de fysieke doelpoort bevat. Deze poort maakt verbinding met het Defender for IoT-platform.
Meer informatie over RSPAN
RSPAN is een geavanceerde functie die een speciaal VLAN vereist voor het uitvoeren van het verkeer dat door SPAN tussen switches wordt bewaakt. RSPAN wordt niet ondersteund op alle switches. Controleer of de switch de RSPAN-functie ondersteunt.
De mirroring-optie is standaard uitgeschakeld.
Het externe VLAN moet zijn toegestaan op de trunk-poort tussen de bron- en doelswitches.
Alle switches die dezelfde RSPAN-sessie verbinden, moeten van dezelfde leverancier zijn.
Notitie
Zorg ervoor dat de trunk-poort die het externe VLAN tussen de switches deelt, niet is gedefinieerd als een mirror-sessiebronpoort.
Het externe VLAN verhoogt de bandbreedte op de trunked poort door de grootte van de bandbreedte van de gespiegelde sessie. Controleer of de Trunk-poort van de switch dit ondersteunt.
Voorbeelden van RSPAN-configuratie
RSPAN: Op basis van Cisco-2960 (24 poorten).
Voorbeeld van de configuratie van de brons switch:
Voer de algemene configuratiemodus in.
Maak een toegewezen VLAN.
Identificeer het VLAN als de RSPAN-VLAN.
Ga terug naar de terminalmodus configureren.
Configureer alle 24 poorten als sessiebronnen.
Configureer de RSPAN VLAN als sessiebestemming.
Ga terug naar de bevoegde EXEC-modus.
Controleer de poortspiegelingconfiguratie.
Voorbeeld van configuratie van doels switch:
Voer de algemene configuratiemodus in.
Configureer het RSPAN-VLAN als sessiebron.
Configureer fysieke poort 24 als sessiebestemming.
Ga terug naar de bevoegde EXEC-modus.
Controleer de poortspiegelingconfiguratie.
Sla de configuratie op.
Actieve en passieve aggregatie TAP
Een actieve of passieve aggregatie TAP wordt inline op de netwerkkabel geïnstalleerd. Zowel RX als TX worden gedupliceerd naar de bewakingssensor.
Het terminaltoegangspunt (TAP) is een hardwareapparaat waarmee netwerkverkeer zonder onderbreking van poort A naar poort B en van poort B naar poort A kan stromen. Er wordt continu een exacte kopie van beide zijden van de verkeersstroom gemaakt, zonder dat dit ten koste gaat van de netwerkintegriteit. Sommige TAP's aggregeren indien gewenst het verzenden en ontvangen van verkeer met behulp van switchinstellingen. Als aggregatie niet wordt ondersteund, gebruikt elke TAP twee sensorpoorten om het verzenden en ontvangen van verkeer te bewaken.
TAP's zijn om verschillende redenen voordelig. Ze zijn hardwaregebaseerd en kunnen niet worden aangetast. Ze geven al het verkeer door, zelfs beschadigde berichten, die de switches vaak verwijderen. Ze zijn niet processorgevoelig, dus de timing van pakketten is exact waar switches de mirror-functie verwerken als een taak met lage prioriteit die invloed kan hebben op de timing van de gespiegelde pakketten. Voor forensische doeleinden is een TAP het beste apparaat.
TAP-aggregators kunnen ook worden gebruikt voor poortbewaking. Deze apparaten zijn processorgebaseerd en zijn niet zo intrinsiek veilig als hardware-TAPs. Ze geven mogelijk geen exacte timing van pakketten weer.
Algemene TAP-modellen
Deze modellen zijn getest op compatibiliteit. Andere leveranciers en modellen zijn mogelijk ook compatibel.
| Installatiekopie | Model |
|---|---|
|
Garland P1GUSES |
|
IXIA TPA2-CU3 |
|
US Robotics USR 4503 |
Speciale TAP-configuratie
| Garland TAP | US Robotics TAP |
|---|---|
Zorg ervoor dat de reeksen als volgt zijn ingesteld:
|
Zorg ervoor dat de aggregatiemodus actief is. |
Implementatievalidatie
Zelfbeoordeling van engineering
Het bekijken van uw OT- en ICS-netwerkdiagram is de meest efficiënte manier om de beste plaats te definiëren om verbinding mee te maken, waar u het meest relevante verkeer voor bewaking kunt krijgen.
De sitetechnici weten hoe hun netwerk eruitziet. Een beoordelingssessie met het lokale netwerk en operationele teams zal doorgaans verwachtingen verduidelijken en de beste plaats definiëren om het apparaat te verbinden.
Relevante informatie:
Lijst met bekende apparaten (spreadsheet)
Geschat aantal apparaten
Leveranciers en industriële protocollen
Model van switches om te controleren of de optie voor poortspiegeling beschikbaar is
Informatie over wie de switches beheert (bijvoorbeeld IT) en of het externe resources zijn
Lijst met OT-netwerken op de site
Veelgestelde vragen
Wat zijn de algemene doelstellingen van de implementatie? Is een volledige inventarisatie en nauwkeurige netwerkkaart belangrijk?
Zijn er meerdere of redundante netwerken in de ICS? Worden alle netwerken bewaakt?
Is er communicatie tussen de ICS en het bedrijfsnetwerk ?? Worden deze communicaties bewaakt?
Zijn VLAN's geconfigureerd in het netwerkontwerp?
Hoe wordt onderhoud van de ICS uitgevoerd, met vaste of tijdelijke apparaten?
Waar worden firewalls geïnstalleerd in de bewaakte netwerken?
Is er routering in de bewaakte netwerken?
Welke OT-protocollen zijn actief in de bewaakte netwerken?
Als we verbinding maken met deze switch, zien we dan de communicatie tussen de HMI en de NIC's?
Wat is de fysieke afstand tussen de ICS-switches en de firewall van de onderneming?
Kunnen niet-beheerde switches worden vervangen door beheerde switches of is het gebruik van netwerk-TAPs een optie?
Is er seriële communicatie in het netwerk? Zo ja, dan kunt u deze weergeven in het netwerkdiagram.
Als het Defender for IoT-apparaat moet worden aangesloten op die switch, is er dan fysiek beschikbare rekruimte in die behuizing?
Andere overwegingen
Het doel van het Defender for IoT-apparaat is om verkeer van laag 1 en 2 te bewaken.
Voor sommige architecturen bewaakt het Defender for IoT-apparaat ook laag 3, als er OT-verkeer op deze laag bestaat. Houd rekening met de volgende variabelen terwijl u de sitearchitectuur bekijkt en beslist of u een switch wilt bewaken:
Wat zijn de kosten/voordelen ten opzichte van het belang van het bewaken van deze switch?
Als een switch niet wordt gebruikt, is het dan mogelijk om het verkeer van een switch op een hoger niveau te bewaken?
Als de ICS-architectuur een ringtopologie is, hoeft slechts één switch in deze ring te worden bewaakt.
Wat is het beveiligings- of operationele risico in dit netwerk?
Is het mogelijk om het VLAN van de switch te bewaken? Is dat VLAN zichtbaar in een andere switch die we kunnen bewaken?
Technische validatie
Het ontvangen van een voorbeeld van vastgelegd verkeer (PCAP-bestand) van de switch SPAN-poort (of mirror)-poort kan helpen bij het volgende:
Controleer of de switch juist is geconfigureerd.
Controleer of het verkeer dat via de switch gaat relevant is voor bewaking (OT-verkeer).
Identificeer de bandbreedte en het geschatte aantal apparaten in deze switch.
U kunt een voorbeeld van een PCAP-bestand (een paar minuten) opnemen door een laptop te verbinden met een reeds geconfigureerde SPAN-poort via de Wireshark-toepassing.
Wireshark-validatie
Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast is van het ene adres naar het andere. Als het meeste verkeer ARP-berichten is, is de configuratie van de switch onjuist.
Ga naar Statistics > Protocol Hierarchy. Controleer of er industriële OT-protocollen aanwezig zijn.
Problemen oplossen
Gebruik deze secties voor het oplossen van problemen:
Kan geen verbinding maken met behulp van een webinterface
Controleer of de computer die u probeert te verbinden zich in hetzelfde netwerk bevindt als het apparaat.
Controleer of het GUI-netwerk is verbonden met de beheerpoort op de sensor.
Ping het IP-adres van het apparaat. Als er geen reactie is op pingen:
Verbinding maken monitor en een toetsenbord op het apparaat.
Gebruik de ondersteuningsgebruiker en het wachtwoord om u aan te melden.
Gebruik de lijst met opdrachtnetwerk om het huidige IP-adres weer te geven.
Als de netwerkparameters onjuist zijn geconfigureerd, gebruikt u de volgende procedure om deze te wijzigen:
Gebruik de opdracht network edit-settings.
Als u het IP-adres van het beheernetwerk wilt wijzigen, selecteert u Y.
Selecteer Y om het subnetmasker te wijzigen.
Als u de DNS wilt wijzigen, selecteert u Y.
Als u het ip-adres van de standaardgateway wilt wijzigen, selecteert u Y.
Selecteer Y voor de wijziging van de invoerinterface (alleen voor sensor).
Selecteer N voor de interface van de brug.
Selecteer Y om de instellingen toe te passen.
Nadat u opnieuw hebt opgestart, maakt u verbinding met de gebruikersondersteuning en gebruikt u de opdracht netwerklijst om te controleren of de parameters zijn gewijzigd.
Probeer opnieuw te pingen en verbinding te maken vanuit de gebruikersinterface.
Het apparaat reageert niet
Verbinding maken met een monitor en toetsenbord aan het apparaat of gebruik PuTTY om extern verbinding te maken met de CLI.
Gebruik de ondersteuningsreferenties om u aan te melden.
Gebruik de systeem sanity opdracht en controleer of alle processen worden uitgevoerd.
Voor andere problemen kunt u contact opnemen met Microsoft-ondersteuning.
Controlelijst voor pre-ployment
Gebruik de controlelijst voor vooraf instellen om belangrijke informatie op te halen en te controleren die u nodig hebt voor het instellen van het netwerk.
Controlelijst voor site
Bekijk deze lijst vóór de implementatie van de site:
| # | Taak of activiteit | Status | Opmerkingen |
|---|---|---|---|
| 1 | Apparaten bestellen. | ☐ | |
| 2 | Bereid een lijst met subnetten in het netwerk voor. | ☐ | |
| 3 | Geef een VLAN-lijst van de productienetwerken op. | ☐ | |
| 4 | Geef een lijst met switchmodellen op in het netwerk. | ☐ | |
| 5 | Geef een lijst met leveranciers en protocollen van de industriële apparatuur op. | ☐ | |
| 6 | Geef netwerkdetails op voor sensoren (IP-adres, subnet, D-GW, DNS). | ☐ | |
| 7 | Switchbeheer van derden | ☐ | |
| 8 | Maak de benodigde firewallregels en de toegangslijst. | ☐ | |
| 9 | Maak spanningpoorten op switches voor poortbewaking of configureer netwerk tikt naar wens. | ☐ | |
| 10 | Rekruimte voorbereiden voor sensorapparaten. | ☐ | |
| 11 | Bereid een werkstation voor personeel voor. | ☐ | |
| 12 | Geef een toetsenbord, monitor en muis op voor de Defender for IoT-rackapparaten. | ☐ | |
| 13 | De apparaten in een rek plaatsen en bekabelen. | ☐ | |
| 14 | Wijs sitebronnen toe ter ondersteuning van implementatie. | ☐ | |
| 15 | Active Directory-groepen of lokale gebruikers maken. | ☐ | |
| 16 | Stel training in (zelflerend). | ☐ | |
| 17 | Ga of nee. | ☐ | |
| 18 | Plan de implementatiedatum. | ☐ |
| Datum | Opmerking | Implementatiedatum | Opmerking |
|---|---|---|---|
| Defender for IoT | Sitenaam* | ||
| Name | Name | ||
| Positie | Positie |
Architectuurbeoordeling
Met een overzicht van het diagram van het industriële netwerk kunt u de juiste locatie voor de Defender for IoT-apparatuur definiëren.
Globaal netwerkdiagram: bekijk een globaal netwerkdiagram van de industriële OT-omgeving. Bijvoorbeeld:
Notitie
Het Defender for IoT-apparaat moet zijn verbonden met een switch op lager niveau die het verkeer tussen de poorten op de switch ziet.
Vastgelegde apparaten: geef het geschatte aantal netwerkapparaten op dat wordt bewaakt. U hebt deze informatie nodig bij het onboarden van uw abonnement op Defender for IoT in Azure Portal. Tijdens het onboardingproces wordt u gevraagd om het aantal apparaten in stappen van 1000 in te voeren.
(Optioneel) Subnetlijst: geef een subnetlijst op voor de productienetwerken en een beschrijving (optioneel).
# Subnetnaam Beschrijving 1 2 3 4 VLAN's: geef een VLAN-lijst van de productienetwerken op.
# VLAN-naam Beschrijving 1 2 3 4 Ondersteuning voor switchmodellen en mirroring: als u wilt controleren of de switches poortspiegeling hebben, geeft u de switchmodelnummers op waarmee het Defender for IoT-platform verbinding moet maken:
# Schakelen Model Ondersteuning voor verkeerspiegeling (SPAN, RSPAN of geen) 1 2 3 4 Switchbeheer van derden: beheert een derde partij de switches? Y of N
Zo ja, wie? __________________________________
Wat is hun beleid? __________________________________
Bijvoorbeeld:
Siemens
Automatisering van Rockwell: Ethernet of IP
Emerson – DeltaV, Ovation
Seriële verbinding: zijn er apparaten die communiceren via een seriële verbinding in het netwerk? Ja of nee
Zo ja, geef dan op welk protocol voor seriële communicatie: ________
Zo ja, markeer in het netwerkdiagram welke apparaten communiceren met seriële protocollen en waar ze zijn:
Uw netwerkdiagram met gemarkeerde seriële verbinding toevoegen
Quality of Service: voor Quality of Service (QoS) is de standaardinstelling van de sensor 1,5 Mbps. Geef op of u deze wilt wijzigen: _________________
Bedrijfseenheid (BU): _________________
Sensor : specificaties voor site-apparatuur
Het sensorapparaat is verbonden met de SPAN-poort via een netwerkadapter. Het is verbonden met het bedrijfsnetwerk van de klant voor beheer via een andere toegewezen netwerkadapter.
Geef adresgegevens op voor de sensor-NIC die wordt verbonden in het bedrijfsnetwerk:
Item Apparaat 1 Apparaat 2 Apparaat 3 IP-adres van apparaat Subnet Standaardgateway DNS Hostnaam iDRAC/iLO/Server-beheer
Item Apparaat 1 Apparaat 2 Apparaat 3 IP-adres van apparaat Subnet Standaardgateway DNS On-premises beheerconsole
Item Actief Passief (bij gebruik van ha) IP-adres Subnet Standaardgateway DNS SNMP
Item Details IP IP-adres Gebruikersnaam Wachtwoord Verificatietype MD5 of SHA Versleuteling DES of AES Geheime sleutel SNMP v2-communityreeks SSL-certificaat van on-premises beheerconsole
Bent u van plan een SSL-certificaat te gebruiken? Ja of nee
Zo ja, welke service gebruikt u om deze te genereren? Welke kenmerken neemt u op in het certificaat (bijvoorbeeld domein of IP-adres)?
SMTP-verificatie
Bent u van plan SMTP te gebruiken om waarschuwingen door te sturen naar een e-mailserver? Ja of nee
Zo ja, welke verificatiemethode gebruikt u?
Active Directory of lokale gebruikers
Neem contact op met een Active Directory-beheerder om een Active Directory-sitegebruikersgroep te maken of lokale gebruikers te maken. Zorg ervoor dat uw gebruikers gereed zijn voor de implementatiedag.
IoT-apparaattypen in het netwerk
Apparaattype Aantal apparaten in het netwerk Gemiddelde bandbreedte Camera X-ray machine