Informacje o konfiguracji sieci usługi Microsoft Defender dla IoT

Usługa Microsoft Defender dla IoT zapewnia ciągłe monitorowanie zagrożeń ICS i odnajdywanie urządzeń. Platforma zawiera następujące składniki:

Czujniki usługi Defender dla IoT: Czujniki zbierają ruch sieciowy ICS przy użyciu pasywnego monitorowania (bez agenta). Czujniki pasywne i nieumyślne mają zerowy wpływ na wydajność sieci i urządzeń OT i IoT. Czujnik łączy się z portem SPAN lub interfejsem TAP sieci i natychmiast rozpoczyna monitorowanie sieci. Wykrycia są wyświetlane w konsoli czujnika. Można tam wyświetlać, badać i analizować je na mapie sieci, w spisie urządzeń i w szerokim zakresie raportów. Przykłady obejmują raporty oceny ryzyka, zapytania wyszukiwania danych i wektory ataków.

Lokalna konsola zarządzania usługi Defender dla IoT: lokalna konsola zarządzania zapewnia skonsolidowany widok wszystkich urządzeń sieciowych. Zapewnia ona w czasie rzeczywistym widok kluczowych wskaźników ryzyka OT i IoT oraz alertów we wszystkich obiektach. Ścisła integracja z przepływami pracy SOC i podręcznikami umożliwia łatwe ustalanie priorytetów działań zaradczych i korelację zagrożeń między witrynami.

Defender dla IoT w Azure Portal: Aplikacja Defender dla IoT może pomóc w zakupie urządzeń rozwiązania, instalowaniu i aktualizowaniu oprogramowania oraz aktualizowaniu pakietów TI.

Ten artykuł zawiera informacje dotyczące architektury rozwiązania, przygotowywania sieci, wymagań wstępnych i innych informacji, które ułatwiają pomyślne skonfigurowanie sieci do pracy z usługą Defender dla urządzeń IoT. Czytelnicy, którzy pracują z informacjami w tym artykule, powinni mieć doświadczenie w pracy z sieciami OT i IoT oraz zarządzaniem nimi. Przykładami mogą być inżynierowie automatyzacji, menedżerowie zakładów, dostawcy usług infrastruktury sieciowej OT, zespoły ds. cyberbezpieczeństwa, WSP lub CIO.

Aby uzyskać pomoc lub pomoc techniczną, skontaktuj się z Pomoc techniczna Microsoft.

Zadania wdrażania w lokacji

Zadania wdrażania lokacji obejmują:

Zbieranie informacji o lokacji

Rejestrowanie informacji o lokacji, takich jak:

  • Informacje o sieci zarządzania czujnikami.

  • Architektura sieci lokacji.

  • Środowisko fizyczne.

  • Integracje systemu.

  • Planowane poświadczenia użytkownika.

  • Konfigurowa stacja robocza.

  • Certyfikaty SSL (opcjonalne, ale zalecane).

  • Uwierzytelnianie SMTP (opcjonalnie). Aby używać serwera SMTP z uwierzytelnianiem, przygotuj poświadczenia wymagane dla serwera.

  • Serwery DNS (opcjonalnie). Przygotuj adres IP i nazwę hosta serwera DNS.

Aby uzyskać szczegółową listę i opis ważnych informacji o witrynie, zobacz Lista kontrolna przedwdeploymentu.

Wytyczne dotyczące pomyślnego monitorowania

Aby znaleźć optymalne miejsce do podłączenia urządzenia w każdej sieci produkcyjnej, zalecamy, aby wykonać tę procedurę:

Diagram przedstawiający przykład konfiguracji sieci produkcyjnej.

Przygotowywanie stacji roboczej konfiguracji

Przygotuj Windows, w tym:

  • Łączność z interfejsem zarządzania czujnikami.

  • Obsługiwana przeglądarka

  • Oprogramowanie terminalowe, takie jak PuTTY.

Upewnij się, że wymagane reguły zapory są otwarte na stacji roboczej. Aby uzyskać szczegółowe informacje, zobacz Wymagania dotyczące dostępu do sieci.

Obsługiwane przeglądarki

W przypadku czujników i lokalnych aplikacji internetowych konsoli zarządzania obsługiwane są następujące przeglądarki:

  • Microsoft Edge (najnowsza wersja)

  • Safari (najnowsza wersja, tylko Mac)

  • Chrome (najnowsza wersja)

  • Firefox (najnowsza wersja)

Aby uzyskać więcej informacji na temat obsługiwanych przeglądarek, zobacz zalecane przeglądarki.

Konfigurowanie certyfikatów

Po zainstalowaniu czujnika i lokalnej konsoli zarządzania generowany jest lokalny certyfikat z podpisem własnym, który jest używany do uzyskiwania dostępu do aplikacji internetowej czujnika. Podczas pierwszego logowania do usługi Defender dla IoT użytkownicy administratora są monitowaniu o podanie certyfikatu SSL/TLS. Ponadto automatycznie jest włączona opcja sprawdzania poprawności tego certyfikatu oraz innych certyfikatów systemowych. Aby uzyskać szczegółowe informacje, zobacz About Certificates (Informacje o certyfikatach).

Wymagania dotyczące dostępu do sieci

Sprawdź, czy zasady zabezpieczeń organizacji zezwalają na dostęp do następujących danych:

Dostęp użytkownika do czujnika i konsoli zarządzania

Protokół Transport We/Wy Port Użyte Przeznaczenie Element źródłowy Element docelowy
HTTPS TCP We/Wy 443 Aby uzyskać dostęp do czujnika i konsoli sieci Web lokalnej konsoli zarządzania. Dostęp do konsoli sieci Web Klient Czujnik i lokalna konsola zarządzania
Protokół SSH TCP We/Wy 22 Interfejs wiersza polecenia Aby uzyskać dostęp do interfejsu wiersza polecenia. Klient Czujnik i lokalna konsola zarządzania

Dostęp z czujników do Azure Portal

Protokół Transport We/Wy Port Użyte Przeznaczenie Element źródłowy Element docelowy
HTTPS/Websocket TCP We/Wy 443 Zapewnia czujnikowi dostęp do Azure Portal. (Opcjonalnie) Dostęp można przyznać za pośrednictwem serwera proxy. Dostęp do Azure Portal Czujnik Azure Portal

Dostęp z czujników do lokalnej konsoli zarządzania

Protokół Transport We/Wy Port Użyte Przeznaczenie Element źródłowy Element docelowy
Protokół SSL TCP We/Wy 443 Zapewnij czujnikowi dostęp do lokalnej konsoli zarządzania. Połączenie między czujnikiem i lokalną konsolą zarządzania Czujnik Lokalna konsola zarządzania
NTP UDP We/Wy 123 Synchronizacja czasu Łączy NTP z lokalną konsolą zarządzania. Czujnik Lokalna konsola zarządzania

Dodatkowe reguły zapory dla usług zewnętrznych (opcjonalnie)

Otwórz te porty, aby zezwolić na dodatkowe usługi dla usługi Defender dla IoT.

Protokół Transport We/Wy Port Użyte Przeznaczenie Element źródłowy Element docelowy
HTTP TCP Out 80 Pobieranie listy CRL w celu weryfikacji certyfikatu podczas przekazywania certyfikatów. Dostęp do serwera listy CRL Czujnik i lokalna konsola zarządzania Serwer listy CRL
LDAP TCP We/Wy 389 Active Directory Umożliwia usłudze Active Directory zarządzanie użytkownikami, którzy mają dostęp, aby zalogować się do systemu. Lokalna konsola zarządzania i czujnik Serwer LDAP
LDAPS TCP We/Wy 636 Active Directory Umożliwia usłudze Active Directory zarządzanie użytkownikami, którzy mają dostęp, aby zalogować się do systemu. Lokalna konsola zarządzania i czujnik Serwer LDAPS
SNMP UDP Out 161 Monitorowanie Monitoruje kondycję czujnika. Lokalna konsola zarządzania i czujnik Serwer SNMP
SMTP TCP Out 25 E-mail Służy do otwierania serwera poczty klienta w celu wysyłania wiadomości e-mail dotyczących alertów i zdarzeń. Czujnik i lokalna konsola zarządzania Serwer poczty e-mail
Dziennik systemu UDP Out 514 BIRF Dzienniki wysyłane z lokalnej konsoli zarządzania do serwera Syslog. Lokalna konsola zarządzania i czujnik Serwer Syslog
DNS TCP/UDP We/Wy 53 DNS Port serwera DNS. Lokalna konsola zarządzania i czujnik Serwer DNS
WMI TCP/UDP Out 135, 1025-65535 Monitorowanie Windows Monitorowanie punktu końcowego. Czujnik Odpowiedni element sieci
Tunelowanie TCP W 9000

oprócz portu 443

Zezwala na dostęp z czujnika lub użytkownika końcowego do lokalnej konsoli zarządzania.

Port 22 z czujnika do lokalnej konsoli zarządzania.
Monitorowanie Tunelowanie Czujnik Lokalna konsola zarządzania
Serwer proxy TCP/UDP We/Wy 443 Serwer proxy Aby podłączyć czujnik do serwera proxy Lokalna konsola zarządzania i czujnik Serwer proxy

Planowanie instalacji stojaka

Aby zaplanować instalację stojaka:

  1. Przygotuj monitor i klawiaturę dla ustawień sieciowych urządzenia.

  2. Przydziel miejsce na stojaku dla urządzenia.

  3. Urządzenie ma dostępne zasilanie prądem zmiennym.

  4. Przygotuj kabel SIECI LAN do podłączenia zarządzania do przełącznika sieciowego.

  5. Przygotuj kable LAN do łączenia portów przełącznika SPAN (dublowany), a następnie naciśnij sieć z urządzeniem usługi Defender dla IoT.

  6. Skonfiguruj, połącz i zweryfikuj porty SPAN w zdubitych przełącznikach zgodnie z opisem w sesji przeglądu architektury.

  7. Połączenie skonfigurowany port SPAN na komputerze z uruchomionym programem Wireshark i sprawdź, czy port jest poprawnie skonfigurowany.

  8. Otwórz wszystkie odpowiednie porty zapory.

Informacje o pasywnym monitorowaniu sieci

Urządzenie odbiera ruch z wielu źródeł za pomocą portów dublowania przełącznika (portów SPAN) lub przez tapowanie sieci. Port zarządzania jest połączony z firmową, firmową lub siecią zarządzania czujnikami z łącznością z lokalną konsolą zarządzania lub usługą Defender for IoT w Azure Portal.

Diagram przełącznika zarządzanego z dublowania portów.

Model przeczyszczania

W poniższych sekcjach opisano poziomy purdue.

Diagram modelu Purdue.

Poziom 0: komórka i obszar

Poziom 0 składa się z szerokiej gamy czujników, czujników i urządzeń biorących udział w podstawowym procesie produkcyjnym. Te urządzenia pełnią podstawowe funkcje systemu automatyzacji przemysłowej i sterowania, takie jak:

  • Prowadzenie silnika.

  • Mierzenie zmiennych.

  • Ustawianie danych wyjściowych.

  • Wykonywanie kluczowych funkcji, takich jak malowanie, cykanie i krętowanie.

Poziom 1. Kontrola procesu

Poziom 1 składa się z osadzonych kontrolerów, które kontrolują proces produkcji i manipulują nim, których kluczową funkcją jest komunikacja z urządzeniami poziomu 0. W produkcji dyskretnej te urządzenia są programowalnymi kontrolerami logiki (PLC) lub zdalnymi jednostkami telemetrii (RKU). W procesie produkcji podstawowy kontroler jest nazywany rozproszonym systemem sterowania (DCS).

Poziom 2: Pomówienie

Poziom 2 reprezentuje systemy i funkcje skojarzone z nadzorem środowiska uruchomieniowego i działaniem obszaru obiektu produkcyjnego. Zazwyczaj obejmują one następujące elementy:

  • Interfejsy operatorów lub interfejsy HMI

  • Alarmy lub systemy alertów

  • Historia procesów i systemy zarządzania partiami

  • Stacje robocze w pomieszczeniu sterowania

Te systemy komunikują się z komputerami PLC i R RTU na poziomie 1. W niektórych przypadkach komunikują się lub współdzielą dane z systemami i aplikacjami lokacji lub przedsiębiorstwa (poziom 4 i poziom 5). Te systemy są oparte głównie na standardowym sprzęcie obliczeniowym i systemach operacyjnych (Unix lub Microsoft Windows).

Poziomy 3 i 3.5: Sieć obwodowa na poziomie lokacji i przemysłowej

Poziom lokacji reprezentuje najwyższy poziom automatyzacji przemysłowej i systemów sterowania. Systemy i aplikacje, które istnieją na tym poziomie, zarządzają automatyzacją przemysłowej i funkcjami sterowania w całej lokacji. Poziomy od 0 do 3 są uważane za krytyczne dla operacji lokacji. Systemy i funkcje, które istnieją na tym poziomie, mogą obejmować następujące elementy:

  • Raportowanie produkcyjne (na przykład czasy cyklu, indeks jakości, konserwacja predykcyjna)

  • Historia roślin

  • Szczegółowe planowanie produkcyjne

  • Zarządzanie operacjami na poziomie lokacji

  • Zarządzanie urządzeniami i materiałami

  • Serwer uruchamiania poprawek

  • Serwer plików

  • Domena przemysłowe, usługa Active Directory, serwer terminali

Te systemy komunikują się ze strefą produkcyjną i współdzielą dane z systemami i aplikacjami przedsiębiorstwa (poziom 4 i 5).

Poziomy 4 i 5: Sieci firmowe i korporacyjne

Poziom 4 i poziom 5 reprezentują sieć lokacji lub przedsiębiorstwa, w której istnieją scentralizowane systemy i funkcje IT. Organizacja IT bezpośrednio zarządza usługami, systemami i aplikacjami na tych poziomach.

Planowanie monitorowania sieci

W poniższych przykładach przedstawiono różne typy topologii dla sieci sterowania przemysłowego, a także zagadnienia dotyczące optymalnego monitorowania i umieszczania czujników.

Co powinno być monitorowane?

Ruch, który przechodzi przez warstwy 1 i 2, powinien być monitorowany.

Z czym powinno się łączyć urządzenie usługi Defender dla IoT?

Urządzenie usługi Defender dla IoT powinno łączyć się z zarządzanymi przełącznikami, które widzą komunikację przemysłowymi między warstwami 1 i 2 (w niektórych przypadkach również w warstwie 3).

Na poniższym diagramie przedstawiono ogólną abstrakcję wielowarstwowej, wielowęziowej sieci z rozległym ekosystemem cyberbezpieczeństwa zwykle obsługiwanym przez soc i mssp.

Zazwyczaj czujniki NTA są wdrażane w warstwach od 0 do 3 modelu OSI.

Diagram modelu OSI.

Przykład: Topologia pierścienia

Sieć pierścieniowa to topologia, w której każdy przełącznik lub węzeł łączy się z dokładnie dwoma innymi przełącznikami, tworząc jedną ciągłą ścieżkę dla ruchu.

Diagram topologii pierścienia.

Przykład: magistrala liniowa i topologia gwiazdy

W sieci gwiazdy każdy host jest połączony z centralnym koncentratorem. W najprostszej postaci jeden centralny koncentrator pełni rolę kanału przesyłania komunikatów. W poniższym przykładzie niższe przełączniki nie są monitorowane, a ruch pozostaje lokalny dla tych przełączników nie będzie widoczny. Urządzenia mogą być identyfikowane na podstawie komunikatów ARP, ale brakuje informacji o połączeniu.

Diagram topologii magistrali liniowej i gwiazdy.

Wdrożenie wielosensorowe

Oto kilka zaleceń dotyczących wdrażania wielu czujników:

Liczba Metrów Zależność Liczba czujników
Maksymalna odległość między przełącznikami 80 metrów Przygotowany kabel Ethernet Więcej niż 1
Liczba sieci OT Więcej niż 1 Brak łączności fizycznej Więcej niż 1
Liczba przełączników Może używać konfiguracji funkcji RSPAN Maksymalnie osiem przełączników z zasięgiem lokalnym blisko czujnika przy użyciu odległości okablowania Więcej niż 1

Dublowanie ruchu

Aby wyświetlić tylko istotne informacje dotyczące analizy ruchu, należy połączyć platformę Defender dla IoT z portem dublowania na przełączniku lub interfejsem TAP, który obejmuje tylko przemysłowym ruchem ICS i SCADA.

Użyj tego przełącznika dla konfiguracji.

Możesz monitorować przełączanie ruchu przy użyciu następujących metod:

Span i RSPAN to terminologia firmy Cisco. Inne marki przełączników mają podobne funkcje, ale mogą korzystać z innej terminologii.

Przełącz port SPAN

Analizator portów przełącznika dubluje ruch lokalny z interfejsów przełącznika do interfejsu na tym samym przełączniku. Oto kilka kwestii do rozważenia:

  • Sprawdź, czy odpowiedni przełącznik obsługuje funkcję dublowania portów.

  • Opcja dublowania jest domyślnie wyłączona.

  • Zalecamy skonfigurowanie wszystkich portów przełącznika, nawet jeśli żadne dane nie są do nich podłączone. W przeciwnym razie nieautoryzowane urządzenie może być podłączone do niemonitorowanego portu i nie będzie powiadamiane na czujniku.

  • W sieciach OT, które korzystają z obsługi komunikatów emisji lub multiemisji, skonfiguruj przełącznik tak, aby odzwierciedlał tylko transmisje rx (receive). W przeciwnym razie komunikaty multiemisji będą powtarzane dla tylu aktywnych portów, a przepustowość zostanie pomnożona.

Poniższe przykłady konfiguracji są tylko dla odwołania i są oparte na przełączniku Cisco 2960 (24 porty) z systemem iOS. Są to tylko typowe przykłady, więc nie używaj ich jako instrukcji. Porty dublowane w innych systemach operacyjnych Cisco i innych markach przełączników są skonfigurowane inaczej.

Diagram terminalu konfiguracji portu SPAN. Diagram przedstawiający tryb konfiguracji portu SPAN.

Monitorowanie wielu sieci V LAN

Program Defender dla IoT umożliwia monitorowanie sieci V LAN skonfigurowanych w sieci. Nie jest wymagana żadna konfiguracja systemu usługi Defender dla IoT. Użytkownik musi upewnić się, że przełącznik w sieci jest skonfigurowany do wysyłania tagów sieci VLAN do usługi Defender for IoT.

W poniższym przykładzie pokazano wymagane polecenia, które należy skonfigurować w przełączniku cisco, aby włączyć monitorowanie sieci V LAN w u programie Defender dla IoT:

Monitorowanie sesji: to polecenie jest odpowiedzialne za proces wysyłania sieci VLAN do portu SPAN.

  • monitorowanie sesji 1 interfejsu źródłowego Gi1/2

  • monitor session 1 filter packet type good Rx

  • monitorowanie sesji 1 interfejsu docelowego fastEthernet1/1 hermetyzacji dot1q

Monitoruj port magistrali F.E. Gi1/1: sieci VLAN są konfigurowane na porcie magistrali.

  • interfejs GigabitEthernet1/1

  • switchport trunk encapsulation dot1q

  • magistrala trybu switchport

Remote SPAN (RSPAN)

Sesja zdalnego SPAN dubluje ruch z wielu rozproszonych portów źródłowych do dedykowanej zdalnej sieci VLAN.

Diagram zdalnego span.

Dane w sieci VLAN są następnie dostarczane przez porty magistralowane przez wiele przełączników do określonego przełącznika zawierającego fizyczny port docelowy. Ten port łączy się z platformą Defender for IoT.

Więcej informacji na temat RSPAN
  • Funkcja RSPAN jest zaawansowaną funkcją, która wymaga specjalnej sieci VLAN do przenoszenia ruchu monitorów SPAN między przełącznikami. RSPAN nie jest obsługiwana na wszystkich przełącznikach. Sprawdź, czy przełącznik obsługuje funkcję RSPAN.

  • Opcja dublowania jest domyślnie wyłączona.

  • Zdalna sieci VLAN musi być dozwolona na magistrali portu między przełącznikami źródłowym i docelowym.

  • Wszystkie przełączniki, które łączą tę samą sesję RSPAN, muszą pochodzić od tego samego dostawcy.

Uwaga

Upewnij się, że port magistrali współużytkowania zdalnej sieci VLAN między przełącznikami nie jest zdefiniowany jako port źródłowy sesji dublowania.

Zdalna sieci VLAN zwiększa przepustowość na porcie magistrali o rozmiar dublowanych przepustowości sesji. Sprawdź, czy port magistrali przełącznika to obsługuje.

Diagram zdalnej sieci VLAN.

Przykłady konfiguracji RSPAN

RSPAN: oparte na cisco cisco 2960 (24 porty).

Przykład konfiguracji przełącznika źródłowego:

Zrzut ekranu przedstawiający konfigurację RSPAN.

  1. Wprowadź tryb konfiguracji globalnej.

  2. Utwórz dedykowaną sieci VLAN.

  3. Zidentyfikuj sieci VLAN jako RSPAN sieci VLAN.

  4. Wróć do trybu "konfigurowanie terminalu".

  5. Skonfiguruj wszystkie 24 porty jako źródła sesji.

  6. Skonfiguruj sieci VLAN RSPAN jako miejsce docelowe sesji.

  7. Wróć do uprzywilejowanego trybu EXEC.

  8. Sprawdź konfigurację dublowania portów.

Przykład konfiguracji przełącznika docelowego:

  1. Wprowadź tryb konfiguracji globalnej.

  2. Skonfiguruj RSPAN sieci VLAN jako źródło sesji.

  3. Skonfiguruj port fizyczny 24 jako miejsce docelowe sesji.

  4. Wróć do uprzywilejowanego trybu EXEC.

  5. Sprawdź konfigurację dublowania portów.

  6. Zapisz konfigurację.

Aktywny i pasywny interfejs TAP agregacji

Aktywny lub pasywny interfejs TAP agregacji jest instalowany w tekście kabla sieciowego. Duplikuje zarówno jednostki RX, jak i TX do czujnika monitorowania.

Terminalowy punkt dostępu (TAP) to urządzenie sprzętowe, które umożliwia przepływ ruchu sieciowego z portu A do portu B i z portu B do portu A bez zakłóceń. Tworzy dokładną kopię obu stron przepływu ruchu, w sposób ciągły, bez naruszania integralności sieci. Niektóre podsieć podsumowy agregują przesyłanie i odbieranie ruchu przy użyciu ustawień przełącznika, jeśli jest to konieczne. Jeśli agregacja nie jest obsługiwana, każdy interfejs TAP używa dwóch portów czujnika do monitorowania wysyłania i odbierania ruchu.

Tane są korzystne z różnych powodów. Są one oparte na sprzęcie i nie mogą zostać naruszone. Przechodzą cały ruch, nawet uszkodzone komunikaty, które przełączniki często spadają. Nie są one wrażliwe na procesor, dlatego chronometraż pakietów to dokładnie miejsce, w którym przełączniki obsługują funkcję dublowania jako zadanie o niskim priorytecie, które może mieć wpływ na czas dublowanych pakietów. W celach śledczych najlepszym urządzeniem jest naciśnięcie przycisku TAP.

Agregatory TAP mogą być również używane do monitorowania portów. Te urządzenia są oparte na procesorze i nie są tak bezpieczne wewnętrznie jak sprzętowe tapsy. Mogą one nie odzwierciedlać dokładnego chronometrażu pakietów.

Diagram aktywnych i pasywnych podsieć.

Typowe modele TAP

Te modele zostały przetestowane pod kątem zgodności. Inni dostawcy i modele mogą być również zgodni.

Obraz Model
Zrzut ekranu przedstawiający garland P1GCCAS. Garland P1GCCAS
Zrzut ekranu przedstawiający moduł TPA2-CU3 i jego układ. IXIA TPA2-CU3
Zrzut ekranu przedstawiający us robotics USR 4503. US Robotics USR 4503
Specjalna konfiguracja tap
Garland TAP US Robotics TAP
Upewnij się, że zworki są ustawione w następujący sposób:
Zrzut ekranu przedstawiający przełącznik US Robotics.
Upewnij się, że tryb agregacji jest aktywny.

Walidacja wdrożenia

Inżynieria — samodzielny przegląd

Przeglądanie diagramu sieciowego OT i ICS jest najbardziej wydajnym sposobem definiowania najlepszego miejsca do nawiązania połączenia, z którym można uzyskać najbardziej odpowiedni ruch do monitorowania.

Inżynierowie lokacji wiedzą, jak wygląda ich sieć. Sesja przeglądu z siecią lokalną i zespołami operacyjnymi zwykle wyjaśnia oczekiwania i definiuje najlepsze miejsce do połączenia urządzenia.

Odpowiednie informacje:

  • Lista znanych urządzeń (arkusz kalkulacyjny)

  • Szacowana liczba urządzeń

  • Dostawcy i protokoły przemysłowe

  • Model przełączników w celu sprawdzenia, czy opcja dublowania portów jest dostępna

  • Informacje o tym, kto zarządza przełącznikami (na przykład IT) i czy są to zasoby zewnętrzne

  • Lista sieci OT w lokacji

Często zadawane pytania

  • Jakie są ogólne cele implementacji? Czy pełny spis i dokładna mapa sieci są ważne?

  • Czy w usługach ICS istnieje wiele lub nadmiarowe sieci? Czy wszystkie sieci są monitorowane?

  • Czy istnieje komunikacja między usługami ICS i siecią przedsiębiorstwa (firmową)? Czy ta komunikacja jest monitorowana?

  • Czy sieci V LAN są skonfigurowane w projekcie sieci?

  • Jak jest wykonywana konserwacja usług ICS z urządzeniami stałymi lub przejściowymi?

  • Gdzie są instalowane zapory w monitorowanych sieciach?

  • Czy w monitorowanych sieciach istnieje routing?

  • Jakie protokoły OT są aktywne w monitorowanych sieciach?

  • Jeśli połączymy się z tym przełącznikiem, czy zobaczymy komunikację między przełącznikiem HMI i komputerami PLC?

  • Jaka jest fizyczna odległość między przełącznikami ICS i zaporą przedsiębiorstwa?

  • Czy nieza zarządzanie przełącznikami można zastąpić przełącznikami zarządzanymi, czy też użycie tapsów sieciowych jest opcją?

  • Czy w sieci istnieje komunikacja szeregowa? Jeśli tak, pokaż go na diagramie sieciowym.

  • Jeśli urządzenie usługi Defender dla IoT powinno być podłączone do tego przełącznika, czy w tym stojaku jest dostępne fizyczne miejsce na stojaku?

Inne zagadnienia

Celem urządzenia usługi Defender dla IoT jest monitorowanie ruchu z warstw 1 i 2.

W przypadku niektórych architektur urządzenie usługi Defender dla IoT będzie również monitorować warstwę 3, jeśli ruch OT istnieje w tej warstwie. Podczas przeglądania architektury lokacji i podejmowania decyzji o monitorowaniu przełącznika należy wziąć pod uwagę następujące zmienne:

  • Jaki jest koszt/korzyść w porównaniu z znaczeniem monitorowania tego przełącznika?

  • Jeśli przełącznik jest niezaimażowany, czy będzie można monitorować ruch z przełącznika wyższego poziomu?

    Jeśli architektura ICS jest topologią pierścienia, należy monitorować tylko jeden przełącznik w tym pierścieniu.

  • Jakie jest bezpieczeństwo lub ryzyko operacyjne w tej sieci?

  • Czy jest możliwe monitorowanie sieci VLAN przełącznika? Czy ta sieci VLAN jest widoczna w innym przełączniku, który można monitorować?

Walidacja techniczna

Odbieranie próbki zarejestrowanego ruchu (pliku PCAP) z portu SPAN przełącznika (lub dublowania) może pomóc w:

  • Sprawdź, czy przełącznik jest prawidłowo skonfigurowany.

  • Sprawdź, czy ruch, który przechodzi przez przełącznik, jest istotny dla monitorowania (ruchu OT).

  • Zidentyfikuj przepustowość i szacowaną liczbę urządzeń w tym przełączniku.

Przykładowy plik PCAP można zarejestrować (kilka minut), łącząc laptop z już skonfigurowanym portem SPAN za pośrednictwem aplikacji Wireshark.

Zrzut ekranu przedstawiający laptop podłączony do portu SPAN. Zrzut ekranu przedstawiający rejestrowanie przykładowego pliku PCAP.

Weryfikacja wireshark

  • Sprawdź, czy pakiety emisji pojedynczej są obecne w ruchu rejestrowania. Emisja pojedyncza jest z jednego adresu na inny. Jeśli większość ruchu to komunikaty ARP, konfiguracja przełącznika jest nieprawidłowa.

  • Przejdź do > hierarchii protokołu Statystyka. Sprawdź, czy są obecne przemysłowe protokoły OT.

Zrzut ekranu przedstawiający weryfikację oprogramowania Wireshark.

Rozwiązywanie problemów

Poniższe sekcje zawierają informacje na temat rozwiązywania problemów:

Nie można nawiązać połączenia przy użyciu interfejsu internetowego

  1. Sprawdź, czy komputer, który próbujesz nawiązać połączenie, znajduje się w tej samej sieci co urządzenie.

  2. Sprawdź, czy sieć graficznego interfejsu użytkownika jest podłączona do portu zarządzania w czujniku.

  3. Wyślij polecenie ping do adresu IP urządzenia. Jeśli nie ma odpowiedzi na polecenie ping:

    1. Połączenie monitor i klawiaturę do urządzenia.

    2. Użyj użytkownika pomocy technicznej i hasła, aby się zalogować.

    3. Użyj listy sieci poleceń, aby wyświetlić bieżący adres IP.

    Zrzut ekranu przedstawiający polecenie listy sieci.

  4. Jeśli parametry sieci są nieprawidłowo skonfigurowane, zmień je za pomocą następującej procedury:

    1. Użyj polecenia network edit-settings.

    2. Aby zmienić adres IP sieci zarządzania, wybierz pozycję Y.

    3. Aby zmienić maskę podsieci, wybierz pozycję Y.

    4. Aby zmienić system DNS, wybierz pozycję Y.

    5. Aby zmienić domyślny adres IP bramy, wybierz pozycję Y.

    6. W przypadku zmiany interfejsu wejściowego (tylko dla czujnika) wybierz pozycję Y.

    7. W przypadku interfejsu mostka wybierz pozycję N.

    8. Aby zastosować ustawienia, wybierz pozycję Y.

  5. Po ponownym uruchomieniu połącz się z pomocą techniczną dla użytkowników i użyj polecenia listy sieci, aby sprawdzić, czy parametry zostały zmienione.

  6. Spróbuj wysłać polecenie ping i ponownie nawiązać połączenie z graficznego interfejsu użytkownika.

Urządzenie nie odpowiada

  1. Połączenie z monitorem i klawiaturą do urządzenia lub użyj aplikacji PuTTY, aby połączyć się zdalnie z interfejsem wiersza polecenia.

  2. Zaloguj się przy użyciu poświadczeń pomocy technicznej.

  3. Użyj polecenia sanity systemu i sprawdź, czy wszystkie procesy są uruchomione.

    Zrzut ekranu przedstawiający polecenie sanity systemu.

W przypadku innych problemów skontaktuj się z Pomoc techniczna Microsoft.

Lista kontrolna przedwdeploymentu

Lista kontrolna przedwdeploymentu umożliwia pobranie i przejrzenie ważnych informacji potrzebnych do konfiguracji sieci.

Lista kontrolna witryny

Przejrzyj tę listę przed wdrożeniem lokacji:

# Zadanie lub działanie Stan Komentarze
1 Zamawianie urządzeń.
2 Przygotuj listę podsieci w sieci.
3 Podaj listę sieci VLAN sieci produkcyjnych.
4 Podaj listę modeli przełączników w sieci.
5 Podaj listę dostawców i protokołów sprzętu przemysłowego.
6 Podaj szczegóły sieci dla czujników (adres IP, podsieć, D-GW, DNS).
7 Zarządzanie przełącznikami innych firm
8 Utwórz niezbędne reguły zapory i listę dostępu.
9 Utwórz porty obejmujące wiele portów na przełącznikach na potrzeby monitorowania portów lub skonfiguruj naciśnięcia sieci zgodnie z potrzebami.
10 Przygotowanie miejsca w stojaku dla urządzeń czujników.
11 Przygotowanie stacji roboczej dla personelu.
12 Udostępnij klawiaturę, monitor i mysz dla urządzeń w stojaku usługi Defender for IoT.
13 Montuj urządzenia w stojaku i podłącz je do kabli.
14 Przydzielanie zasobów lokacji do obsługi wdrożenia.
15 Tworzenie grup usługi Active Directory lub użytkowników lokalnych.
16 Konfigurowanie szkolenia (samouczeniu).
17 Go lub no-go.
18 Zaplanuj datę wdrożenia.
Data Uwaga Data wdrożenia Uwaga
Defender dla IoT Nazwa witryny*
Nazwa Nazwa
Położenie Położenie

Przegląd architektury

Przegląd diagramu sieci przemysłowej umożliwi zdefiniowanie odpowiedniej lokalizacji dla sprzętu usługi Defender dla IoT.

  1. Globalny diagram sieci — wyświetlanie globalnego diagramu sieciowego przemysłowego środowiska OT. Przykład:

    Diagram przedstawiający przemysłowe środowisko OT dla sieci globalnej.

    Uwaga

    Urządzenie usługi Defender dla IoT powinno być połączone z przełącznikiem niższego poziomu, który widzi ruch między portami przełącznika.

  2. Zatwierdzone urządzenia — podaj przybliżoną liczbę monitorowanych urządzeń sieciowych. Te informacje będą potrzebne podczas dołączania subskrypcji do usługi Defender dla IoT w Azure Portal. Podczas procesu dołączania zostanie wyświetlony monit o wprowadzenie liczby urządzeń w przyrostach co 1000.

  3. (Opcjonalnie) Lista podsieci — podaj listę podsieci dla sieci produkcyjnych i opis (opcjonalnie).

    # Nazwa podsieci Opis
    1
    2
    3
    4
  4. Sieci VLAN — podaj listę sieci VLAN sieci produkcyjnych.

    # Nazwa sieci VLAN Opis
    1
    2
    3
    4
  5. Obsługa modeli przełączników i dublowania — aby sprawdzić, czy przełączniki mają funkcję dublowania portów, podaj numery modeli przełączników, z które powinna łączyć się platforma Defender dla IoT:

    # Przełącznik Model Obsługa dublowania ruchu (SPAN, RSPAN lub brak)
    1
    2
    3
    4
  6. Zarządzanie przełącznikami innych firm — czy przełącznikami zarządza inne firmy? Y lub N

    Jeśli tak, kto? __________________________________

    Jakie są ich zasady? __________________________________

    Przykład:

    • Siemens

    • Automatyzacja Rockwell — Sieć Ethernet lub IP

    • Emerson — DeltaV, Ovation

  7. Połączenie szeregowe — czy istnieją urządzenia, które komunikują się za pośrednictwem połączenia szeregowego w sieci? Tak lub Nie

    Jeśli tak, określ protokół komunikacji szeregowej: ________________

    Jeśli tak, oznacz na diagramie sieci, jakie urządzenia komunikują się z protokołami szeregowym i gdzie są:

    Dodawanie diagramu sieciowego z oznaczonym połączeniem szeregowym

  8. Quality of Service — w przypadku Quality of Service (QoS) domyślnym ustawieniem czujnika jest 1,5 Mb/s. Określ, czy chcesz ją zmienić: ________________

    Jednostka biznesowa (BU): ________________

  9. Czujnik — specyfikacje sprzętu lokacji

    Urządzenie czujnika jest podłączone do przełączania portu SPAN za pośrednictwem karty sieciowej. Jest on połączony z siecią firmową klienta w celu zarządzania za pośrednictwem innej dedykowanej karty sieciowej.

    Podaj szczegóły adresu karty sieciowej czujnika, która będzie połączona w sieci firmowej:

    Element Urządzenie 1 Urządzenie 2 Urządzenie 3
    Adres IP urządzenia
    Podsieć
    Brama domyślna
    DNS
    Nazwa hosta
  10. iDRAC/iLO/Zarządzanie serwerem

    Element Urządzenie 1 Urządzenie 2 Urządzenie 3
    Adres IP urządzenia
    Podsieć
    Brama domyślna
    DNS
  11. Lokalna konsola zarządzania

    Element Aktywna Pasywne (w przypadku korzystania z ha)
    Adres IP
    Podsieć
    Brama domyślna
    DNS
  12. SNMP

    Element Szczegóły
    Adres IP
    Adres IP
    Nazwa użytkownika
    Hasło
    Typ uwierzytelniania MD5 lub SHA
    Szyfrowanie DES lub AES
    Klucz tajny
    Ciąg społeczności SNMP v2
  13. Certyfikat SSL lokalnej konsoli zarządzania

    Czy planujesz używać certyfikatu SSL? Tak lub Nie

    Jeśli tak, jakiej usługi użyjemy do jej wygenerowania? Jakie atrybuty zostaną uwzględnić w certyfikacie (na przykład domena lub adres IP)?

  14. Uwierzytelnianie SMTP

    Czy planujesz używać protokołu SMTP do przekazywania alertów do serwera poczty e-mail? Tak lub Nie

    Jeśli tak, jakiej metody uwierzytelniania użyjemy?

  15. Usługa Active Directory lub użytkownicy lokalni

    Skontaktuj się z administratorem usługi Active Directory, aby utworzyć grupę użytkowników lokacji usługi Active Directory lub utworzyć użytkowników lokalnych. Upewnij się, że użytkownicy są gotowi do dnia wdrożenia.

  16. Typy urządzeń IoT w sieci

    Typ urządzenia Liczba urządzeń w sieci Średnia przepustowość
    Aparat fotograficzny
    Maszyna x-ray

Następne kroki

Informacje o instalacji usługi Defender dla IoT