Настройка сети с Azure Defender для Интернета вещей

Защитник Azure для IoT обеспечивает непрерывный мониторинг угроз ICS и обнаружение устройств. Платформа включает следующие компоненты:

Защитник для датчиков IOT: Датчики собираются сетевой трафик ICS с помощью пассивного мониторинга (без агента). Пассивные и неагрессивные датчики не влияют на производительность сетей и устройств IoT и Интернета вещей. Датчик подключается к порту SPAN или КАСАНИю сети и немедленно начинает наблюдение за сетью. Обнаружения отображаются в консоли датчика. Там можно просматривать, исследовать и анализировать их на карте сети, инвентаризации устройств и в обширном спектре отчетов. Примеры включают отчеты об оценке рисков, запросы интеллектуального анализа данных и векторы атак.

Защитник для локальной консоли управления IOT: локальная консоль управления предоставляет объединенное представление всех сетевых устройств. Она предоставляет представление индикаторов и оповещений о ключевых показателях и предупреждениях в режиме реального времени для всех ваших средств. Тесная интеграция с рабочими процессами SOC и модули PlayBook обеспечивает простое определение приоритетов действий по устранению рисков и взаимной корреляции угроз.

Защитник для портала IOT: Приложение "защитник для Интернета вещей" может помочь в приобретении устройств решений, установке и обновлении программного обеспечения, а также обновлении пакетов TI.

В этой статье содержатся сведения об архитектуре решения, подготовке сети, предварительных требованиях и других целях, которые помогут успешно настроить сеть для работы с защитником для устройств IoT. Читатели, работающие с информацией в этой статье, должны иметь опыт эксплуатации и управления сетями и Интернета вещей. К примерам относятся инженеры автоматизации, руководители завода, поставщики услуг сетевой инфраструктуры, команды кибербезопасности, Цисос или руководители.

Для получения помощи или поддержки обратитесь в службу Служба поддержки Майкрософт.

Задачи развертывания на сайте

К задачам развертывания сайта относятся:

Получение сведений о сайте

Запись сведений о сайте:

  • Сведения о сети управления датчиками.

  • Архитектура сети сайта.

  • Физическая среда.

  • Системные интеграции.

  • Учетные данные запланированного пользователя.

  • Рабочая станция конфигурации.

  • SSL-сертификаты (необязательно, но рекомендуется).

  • Проверка подлинности SMTP (необязательно). Чтобы использовать SMTP-сервер с проверкой подлинности, подготовьте учетные данные, необходимые для сервера.

  • DNS-серверы (необязательно). Подготовьте IP-адрес и имя узла DNS-сервера.

Подробный список и описание важных сведений о сайте см. в разделе пример книги сайта.

Успешные рекомендации по мониторингу

Чтобы найти оптимальное место для подключения устройства к каждой из ваших рабочих сетей, рекомендуется выполнить следующую процедуру:

Пример схемы настройки рабочей сети.

Подготовка рабочей станции конфигурации

Подготовьте рабочую станцию Windows, включая следующие:

  • Подключение к интерфейсу управления датчиками.

  • Поддерживаемый браузер

  • Программное обеспечение терминала, например, выводимое.

Убедитесь, что на рабочей станции открыты необходимые правила брандмауэра. Дополнительные сведения см. в статье требования к сетевому доступу .

Поддерживаемые браузеры

Для датчиков и локальных веб-приложений консоли управления поддерживаются следующие браузеры:

  • Chrome 32 +

  • Microsoft ребра 86 +

  • Internet Explorer 10 или более поздней версии.

Требования к сетевому доступу

Убедитесь, что политика безопасности Организации предоставляет доступ к следующим параметрам:

Протокол Транспорт В/Из Порт Используется Назначение Источник Назначение
HTTPS TCP В/С 443 Веб-консоль датчика и локальной консоли управления Доступ к веб-консоли Клиент Консоль управления датчиком и локальной средой
SSH TCP В/С 22 CLI Доступ к интерфейсу командной строки Клиент Консоль управления датчиком и локальной средой
SSL TCP В/С 443 Консоль управления датчиком и локальной средой Подключение между платформой Циберкс и центральной платформой управления датчик Локальная консоль управления
NTP UDP IN 123 Синхронизация времени Локальная консоль управления использует как NTP для датчика датчик локальная консоль управления
NTP UDP В/С 123 Синхронизация времени Датчик подключен к внешнему NTP-серверу, если локальная консоль управления не установлена датчик NTP
SMTP TCP OUT 25 Email Подключение между платформой Циберкс и платформой управления и почтовым сервером Консоль управления датчиком и локальной средой Сервер электронной почты
Системный журнал UDP OUT 514 лиф Журналы, которые отправляются из локальной консоли управления на сервер syslog Локальная консоль управления и датчик Сервер системного журнала
DNS В/С 53 DNS Порт DNS-сервера Локальная консоль управления и датчик Сервер DNS
LDAP TCP В/С 389 Active Directory Подключение между платформой Циберкс и платформой управления к Active Directory Локальная консоль управления и датчик Сервер LDAP
LDAPS TCP В/С 636 Active Directory Подключение между платформой Циберкс и платформой управления к Active Directory Локальная консоль управления и датчик Сервер LDAPs
SNMP UDP OUT 161 Наблюдение Удаленные собирающие SNMP. Локальная консоль управления и датчик Сервер SNMP
WMI UDP OUT 135 мониторинг Мониторинг конечных точек Windows Sensor Соответствующий элемент сети
Туннелирование TCP IN 9000

— поверх порта 443

От конечного пользователя до локальной консоли управления.

-Порт 22 из датчика в локальную консоль управления
мониторинг Туннелирование Sensor Локальная консоль управления

Планирование установки в стойку

Чтобы спланировать установку в стойку, выполните следующие действия.

  1. Подготовьте монитор и клавиатуру для параметров сети устройства.

  2. Выделение пространства стойки для устройства.

  3. Для устройства можно использовать питание AC.

  4. Подготовьте кабель локальной сети к подключению управления к сетевому коммутатору.

  5. Подготовьте кабели локальной сети для подключения портов переключки (зеркального) и сетевого переключения в защитник для устройства IoT.

  6. Настройте, подключите и проверьте порты диапазона в зеркальных коммутаторах, как описано в сеансе проверки архитектуры.

  7. Подключите настроенный порт диапазона к компьютеру, на котором выполняется Wireshark, и убедитесь, что порт настроен правильно.

  8. Откройте все соответствующие порты брандмауэра.

О пассивном мониторинге сети

Устройство получает трафик из нескольких источников, переключаясь через порты зеркального отображения (порты SPAN) или сетевые подключения. Порт управления подключен к сети управления предприятием, корпоративным или датчикам с подключением к локальной консоли управления или к порталу защитника IoT.

Схема управляемого коммутатора с зеркальным отображением портов.

Модель пурдуе

В следующих разделах описываются уровни Пурдуе.

Схема модели Пурдуе.

Уровень 0: ячейка и область

Уровень 0 состоит из широкого спектра датчиков, исполнителей и устройств, участвующих в базовом производственном процессе. Эти устройства выполняют базовые функции системы автоматизации и управления промышленного класса, такие как:

  • Управление мотором.

  • Измерение переменных.

  • Установка выходных данных.

  • Выполнение ключевых функций, таких как рисование, Велдинг и изгиб.

Уровень 1. Управление процессом

Уровень 1 состоит из встроенных контроллеров, которые контролируют производственный процесс и управляют им, а ключевые функции — взаимосвязь с устройствами уровня 0. В дискретном производстве эти устройства являются программируемыми контроллерами логики (Плкс) или удаленными устройствами телеметрии (Ртус). В процессе производства базовый контроллер называется распределенной системой управления (DCS).

Уровень 2. Супервизор

Уровень 2 представляет системы и функции, связанные с надзором среды выполнения и работой области производственного средства. К ним обычно относятся следующие:

  • Интерфейсы оператора или Хмис

  • Системы сигнализаций или предупреждений

  • Обработка historian и системы управления пакетами

  • Управление рабочими станциями комнаты

Эти системы взаимодействуют с Плкс и Ртус на уровне 1. В некоторых случаях они обмениваются данными с сайтом или корпоративными (уровня 4 и 5) системами и приложениями. Эти системы в основном основаны на стандартном вычислительном оборудовании и операционных системах (UNIX или Microsoft Windows).

Уровни 3 и 3,5: на уровне сайта и в сети периметра предприятия

Уровень сайта представляет самый высокий уровень промышленных систем автоматизации и управления. Системы и приложения, существующие на этом уровне, управляют промышленными функциями автоматизации и управления на уровне сайта. Уровни от 0 до 3 считаются критически важными для операций сайта. Системы и функции, существующие на этом уровне, могут включать следующее:

  • Рабочие отчеты (например, время цикла, индекс качества, прогнозируемое обслуживание)

  • Historian растений

  • Подробное планирование производства

  • Управление операциями на уровне сайта

  • Управление устройствами и материалами

  • Сервер запуска исправлений

  • Файловый сервер

  • Промышленный домен, Active Directory, сервер терминалов

Эти системы взаимодействуют с рабочей зоной и используют данные совместно с системами и приложениями предприятия (уровня 4 и 5).

Уровни 4 и 5: сети предприятия и предприятия

Уровень 4 и уровень 5 представляют собой сайт или корпоративную сеть, в которой существуют централизованные ИТ-системы и функции. ИТ – организация непосредственно управляет службами, системами и приложениями на этих уровнях.

Планирование сетевого мониторинга

В следующих примерах представлены различные типы топологий для сетей промышленного управления, а также рекомендации по оптимальному мониторингу и размещению датчиков.

Что следует отслеживать?

Должен отслеживаться трафик, проходящий через слои 1 и 2.

К чему следует подключаться защитник для устройства IoT?

Защитник для устройства IoT должен подключаться к управляемым коммутаторам, которые видят промышленный обмен данными между слоями 1 и 2 (в некоторых случаях также это уровень 3).

Следующая схема представляет собой общую абстракцию многоуровневой многоклиентской сети с обширной экосистемой кибербезопасности, которая обычно управляется SOC и МССП.

Как правило, датчики НТА развертываются на уровнях 0 – 3 модели OSI.

Схема модели OSI.

Пример: кольцевая топология

Кольцевая сеть — это топология, в которой каждый коммутатор или узел подключается к двум другим коммутаторам, формируя единую непрерывную передачу трафика.

Схема кольцевой топологии.

Пример: линейная шина и топология звезды

В сети типа "звезда" каждый узел подключен к центральному концентратору. В простейшей форме один центральный концентратор выступает в качестве передачи сообщений. В следующем примере низкие параметры не отслеживаются, и трафик, который остается локальным для этих коммутаторов, не будет отображаться. Устройства могут быть идентифицированы на основе сообщений ARP, но сведения о соединении будут отсутствовать.

Схема линейной шины и топологии звезды.

Развертывание с датчика

Ниже приведены некоторые рекомендации по развертыванию нескольких датчиков.

Число Приборов Зависимость Число датчиков
Максимальное расстояние между коммутаторами 80 метров Подготовленный кабель Ethernet Более 1
Число сетей Более 1 Нет физического подключения Более 1
Число коммутаторов Может использовать конфигурацию RSPAN До восьми коммутаторов с локальным диапазоном, близко к датчику на расстоянии кабеля Более 1

Зеркальное отображение трафика

Чтобы просмотреть только релевантную информацию для анализа трафика, необходимо подключить "защитник для платформы Интернета вещей" к порту зеркального отображения на коммутаторе или КОСНУТЬСЯ, включающей только промышленный трафик ICS и СКАДА.

Используйте этот параметр для установки.

Трафик коммутатора можно отслеживать с помощью следующих методов.

ДИАПАЗОН и RSPAN — терминология Cisco. Другие торговые марки коммутаторов имеют схожую функциональность, но могут использовать другую терминологию.

Переключить порт диапазона

Анализатор порта коммутатора отражает локальный трафик от интерфейсов на коммутаторе до интерфейса на том же коммутаторе. Ниже приведены некоторые рекомендации.

  • Убедитесь, что соответствующий коммутатор поддерживает функцию зеркального отображения портов.

  • По умолчанию параметр зеркальное отображение отключен.

  • Рекомендуется настроить все порты коммутатора, даже если к ним не подключены никакие данные. В противном случае фальшивое устройство может быть подключено к неотслеживаемому порту и не будет оповещено о датчике.

  • В сетях, использующих широковещательные или многоадресные сообщения, настройте параметр на зеркальное отображение только приема (Receive). В противном случае многоадресные сообщения будут повторяться для всех активных портов, а пропускная способность будет умножается.

Следующие примеры конфигурации предназначены только для справки и основаны на коммутаторе Cisco 2960 (24 порта) под управлением IOS. Они являются обычными примерами, поэтому не используйте их в качестве инструкций. Зеркальные порты в других операционных системах Cisco и других торговых марках коммутаторов настраиваются по-разному.

Схема терминала настройки порта SPAN. Схема режима конфигурации порта SPAN.

Мониторинг нескольких виртуальных ЛС

Защитник для Интернета вещей позволяет осуществлять мониторинг виртуальных ЛС, настроенных в сети. Настройка защитника для системы IoT не требуется. Пользователь должен убедиться, что коммутатор в сети настроен для отправки тегов VLAN в защитник для Интернета вещей.

В следующем примере показаны необходимые команды, которые должны быть настроены для коммутатора Cisco, чтобы включить мониторинг виртуальных ЛС в защитнике для IoT:

Мониторинг сеанса. Эта команда отвечает за процесс отправки виртуальных ЛС в порт Span.

  • мониторинг исходного интерфейса 1 сеанса Gi1/2

  • мониторинг типа пакетов фильтра сеанса 1 хороший RX

  • мониторинг интерфейса назначения сеанса 1 fastEthernet1/1 Инкапсуляция dot1q

Мониторинг магистрального порта Ф.е. Gi1/1: VLAN настроены на магистральном порте.

  • интерфейс GigabitEthernet1/1

  • dot1q инкапсуляции магистрали свитчпорт

  • Магистральный режим свитчпорт

Удаленный диапазон (RSPAN)

Сеанс удаленного диапазона отражает трафик из нескольких распределенных исходных портов в выделенную удаленную виртуальную ЛС.

Схема удаленного диапазона.

После этого данные в виртуальной ЛС доставляются через магистральные порты по нескольким коммутаторам на конкретный коммутатор, который содержит физический порт назначения. Этот порт подключается к защитнику для платформы IoT.

Дополнительные сведения о RSPAN
  • RSPAN — это расширенная функция, которая требует специальной виртуальной ЛС для передачи трафика, ОХВАТЫВАЮЩего мониторы между коммутаторами. RSPAN не поддерживается для всех коммутаторов. Убедитесь, что параметр поддерживает функцию RSPAN.

  • По умолчанию параметр зеркальное отображение отключен.

  • Удаленная виртуальная ЛС должна быть разрешена на магистральном порте между коммутаторами источника и назначения.

  • Все коммутаторы, подключающиеся к одному сеансу RSPAN, должны принадлежать одному поставщику.

Примечание

Убедитесь, что магистральный порт, совместно использующий удаленную виртуальную ЛС между коммутаторами, не определен как порт источника зеркального сеанса.

Удаленная виртуальная ЛС увеличивает пропускную способность на магистральном порте по размеру пропускной способности зеркального сеанса. Убедитесь, что магистральный порт коммутатора поддерживает это.

Схема удаленной виртуальной ЛС.

Примеры конфигурации RSPAN

RSPAN: на основе Cisco Catalyst 2960 (24 порта).

Пример конфигурации исходного коммутатора:

Снимок экрана конфигурации RSPAN.

  1. Введите режим глобальной конфигурации.

  2. Создайте выделенную виртуальную ЛС.

  3. Найдите виртуальную ЛС в качестве виртуальной ЛС RSPAN.

  4. Вернитесь в режим "настроить терминал".

  5. Настройте все 24 порта в качестве источников сеансов.

  6. Настройте виртуальную ЛС RSPAN в качестве назначения сеанса.

  7. Возврат в режим привилегированного EXEC.

  8. Проверьте конфигурацию зеркального отображения портов.

Пример конфигурации целевого коммутатора:

  1. Введите режим глобальной конфигурации.

  2. Настройте виртуальную ЛС RSPAN в качестве источника сеанса.

  3. Настройте физический порт 24 в качестве назначения сеанса.

  4. Возврат в режим привилегированного EXEC.

  5. Проверьте конфигурацию зеркального отображения портов.

  6. Сохраните конфигурацию.

Активное и пассивное объединение

Активный или пассивный выбор агрегата устанавливается встроенным в сетевой кабель. Он дублирует RX и TX в датчике мониторинга.

Точка доступа к терминалу (TAP) — это аппаратное устройство, которое разрешает передачу сетевого трафика из порта A в порт B, а также с порта B на порт A без прерывания. Он создает точную копию обеих сторон потока трафика непрерывно, не нарушая целостности сети. При необходимости некоторые касания объединяют передачу и получение трафика с помощью параметров коммутатора. Если агрегирование не поддерживается, каждое КАСАНИе использует два порта датчика для мониторинга отправки и получения трафика.

Касания удобны по различным причинам. Они основаны на оборудовании и не могут быть скомпрометированы. Они проходят весь трафик, даже поврежденные сообщения, которые часто переключаются. Они не чувствительны к процессору, поэтому время выполнения пакетов точно так же, как и в случае с низким приоритетной задачей, которая может повлиять на время зеркального отображения пакетов. Для судебных целей лучшим устройством является КАСАНИе.

Для наблюдения за портами можно также использовать агрегаторы. Эти устройства основаны на процессорах и не так безопасны, как аппаратные функции. Они могут не отражать точное время пакетов.

Схема активных и пассивных отвода.

Общие модели TAP

Эти модели были протестированы на совместимость. Другие поставщики и модели также могут быть совместимыми.

Образ — Модель
Снимок экрана Гарланд P1GCCAS. Гарланд P1GCCAS
Снимок экрана ИКСИА TPA2-CU3. ИКСИА TPA2 — CU3
Снимок экрана: USR 4503. US Robotics, USR 4503
Настройка особого КАСАНИя
Гарланд КОСНУТЬСЯ КАСАНИе Robotics США
Убедитесь, что перемычки установлены следующим образом.
Снимок экрана коммутатора Robotics US.
Убедитесь, что режим агрегирования активен.

Проверка развертывания

Самостоятельная инженерная проверка

Обзор схемы сети с помощью и ICS — наиболее эффективный способ определения лучшего места для подключения, где можно получить наиболее подходящий трафик для мониторинга.

Специалисты сайта узнают, как выглядит сеть. Наличие сеанса проверки в локальной сети и рабочих группах обычно приводит к уточнению ожидания и определению лучшего места для подключения устройства.

Релевантная информация:

  • Список известных устройств (электронная таблица)

  • Предполагаемое количество устройств

  • Поставщики и промышленные протоколы

  • Модель переключателей для проверки доступности параметра зеркального отображения портов

  • Сведения о том, кто управляет коммутаторами (например,) и вне зависимости от того, являются ли они внешними ресурсами

  • Список сетей на сайте

Часто задаваемые вопросы

  • Каковы общие цели реализации? Важна ли полная инвентаризация и Точная схема сети?

  • Есть ли в ICS несколько или избыточных сетей? Отслеживаются ли все сети?

  • Существуют ли связи между ICS и корпоративной сетью? Отслеживаются ли эти коммуникации?

  • Настроены ли виртуальные ЛС в структуре сети?

  • Как выполняется обслуживание ICS с фиксированными или временными устройствами?

  • Где находятся брандмауэры, установленные в наблюдаемых сетях?

  • Есть ли какая-либо маршрутизация в наблюдаемых сетях?

  • Какие протоколы активны в наблюдаемых сетях?

  • Если подключиться к этому коммутатору, будет ли отображаться связь между ХМИ и Плкс?

  • Каково физическое расстояние между коммутаторами ICS и корпоративным брандмауэром?

  • Могут ли Неуправляемые коммутаторы заменяться управляемыми коммутаторами или используется ли для этого параметр сети?

  • Есть ли в сети последовательная связь? Если да, отобразите его на диаграмме сети.

  • Если для устройства "защитник для Интернета вещей" должно быть установлено подключение к этому коммутатору, имеется ли в этом CAB-файле физически доступное место в стойке?

Другие замечания

Целью устройства "защитник для Интернета вещей" является мониторинг трафика с уровней 1 и 2.

Для некоторых архитектур устройство защитник для центра Интернета вещей также будет отслеживать уровень 3, если трафик существует на этом уровне. При просмотре архитектуры сайта и принятии решения о том, следует ли отслеживать переключатель, рассмотрите следующие переменные:

  • Каковы затраты и преимущества относительно важности мониторинга этого коммутатора?

  • Если коммутатор является неуправляемым, можно ли отслеживать трафик с помощью коммутатора более высокого уровня?

    Если архитектура ICS является топологией кольца, необходимо отслеживать только один коммутатор в этом кольце.

  • Что такое безопасность или рабочий риск в этой сети?

  • Можно ли отслеживать виртуальную ЛС коммутатора? Отображается ли виртуальная ЛС в другом коммутаторе, который мы можем отслеживать?

Техническая проверка

Получение образца записанного трафика (ПКАП-файла) из порта Switch SPAN (или зеркала) может помочь:

  • Проверьте, правильно ли настроен параметр.

  • Убедитесь, что трафик, проходящий через коммутатор, относится к мониторингу (трафик).

  • Выявление пропускной способности и предполагаемого количества устройств в этом коммутаторе.

Вы можете записать пример файла ПКАП (несколько минут), подключив портативный компьютер к уже настроенному порту SPAN через приложение Wireshark.

Снимок экрана ноутбука, подключенного к порту SPAN. Снимок экрана записи образца файла ПКАП.

Проверка Wireshark

  • Проверьте, имеются ли одноадресные пакеты в записи трафика. Одноадресная рассылка из одного адреса в другой. Если большая часть трафика является сообщениями ARP, то Установка коммутатора будет неправильной.

  • Перейдите в иерархию статистических > протоколов. Убедитесь, что имеются промышленные протоколы.

Снимок экрана проверки Wireshark.

Устранение неполадок

Используйте следующие разделы для устранения неполадок.

Не удается подключиться с помощью веб-интерфейса

  1. Убедитесь, что компьютер, к которому вы пытаетесь подключиться, находится в той же сети, что и устройство.

  2. Убедитесь, что сеть графического пользовательского интерфейса подключена к порту управления датчика.

  3. Проверьте связь с IP-адресом устройства. Если ответ на запрос проверки связи отсутствует:

    1. Подключите монитор и клавиатуру к устройству.

    2. Используйте пользователя и пароль поддержки для входа.

    3. Используйте список Командная сеть для просмотра текущего IP-адреса.

    Снимок экрана команды "список сетей".

  4. Если параметры сети настроены неправильно, используйте следующую процедуру, чтобы изменить ее.

    1. Используйте команду " изменить параметры сети".

    2. Чтобы изменить IP-адрес сети управления, выберите Y.

    3. Чтобы изменить маску подсети, выберите Y.

    4. Чтобы изменить DNS, выберите Y.

    5. Чтобы изменить IP-адрес шлюза по умолчанию, выберите Y.

    6. Для изменения интерфейса ввода (только для датчика) выберите Y.

    7. В качестве интерфейса моста выберите N.

    8. Чтобы применить параметры, выберите Y.

  5. После перезапуска подключитесь с помощью службы поддержки пользователей и используйте команду Network List , чтобы убедиться, что параметры были изменены.

  6. Попробуйте проверить связь и снова подключиться из графического пользовательского интерфейса.

Устройство не отвечает

  1. Подключитесь к устройству с помощью монитора и клавиатуры или воспользуйтесь выводимыми данными, чтобы удаленно подключиться к интерфейсу командной строки.

  2. Используйте учетные данные поддержки для входа.

  3. Используйте команду System работоспособности и убедитесь, что все процессы запущены.

    Снимок экрана команды System работоспособности.

Для устранения других проблем обратитесь в Служба поддержки Майкрософт.

Пример книги сайта

Используйте пример книги сайта для получения и просмотра важной информации, необходимой для настройки сети.

Контрольный список сайта

Проверьте этот список перед развертыванием сайта:

# Задача или действие Состояние Комментарии
1 Заказ устройств.
2 Подготовьте список подсетей в сети.
3 Укажите список виртуальных ЛС для рабочих сетей.
4 Укажите список моделей коммутаторов в сети.
5 Предоставление списка поставщиков и протоколов промышленного оборудования.
6 Укажите сведения о сети для датчиков (IP-адрес, подсеть, D-GW, DNS).
7 Создайте необходимые правила брандмауэра и список доступа.
8 Создайте порты на коммутаторах для наблюдения за портами или настройте сетевые касания по желанию.
9 Подготовка пространства в стойке для датчиков.
10 Подготовьте рабочую станцию для сотрудников.
11 Укажите клавиатуру, монитор и мышь для защитника в стоечном исполнении для устройств IoT.
12 Стойка и кабель для устройств.
13 Выделение ресурсов сайта для поддержки развертывания.
14 Создание групп Active Directory или локальных пользователей.
15 Настройка обучения (самостоятельный обучающий курс).
16 Go или No — Go.
17 Запланируйте дату развертывания.
Дата Примечание Дата развертывания Примечание
Defender для Интернета вещей Имя сайта *
Имя Имя
Положение Положение

Проверка архитектуры

Обзор схемы промышленного сети позволит определить правильное расположение защитника для оборудования IoT.

  1. Просмотр глобальной схемы сети для среды промышленного класса. Пример:

    Схема среды промышленного класса для глобальной сети.

    Примечание

    Защитник для устройства IoT должен быть подключен к коммутатору более низкого уровня, который видит трафик между портами коммутатора.

  2. Укажите приблизительное количество сетевых устройств, которые будут отслеживаться. Эти сведения понадобятся вам при подключении подписки к службе "защитник Azure для Интернета вещей". Во время процесса адаптации вам будет предложено ввести число устройств с шагом в 1000.

  3. Укажите список подсетей для рабочих сетей и описание (необязательно).

    # Имя подсети Описание
    1
    2
    3
    4
  4. Укажите список виртуальных ЛС для рабочих сетей.

    # Имя виртуальной ЛС Описание
    1
    2
    3
    4
  5. Чтобы убедиться, что у коммутаторов есть возможность зеркального отображения портов, укажите номера моделей коммутаторов, к которым должна подключаться защитник для платформы IoT:

    # Параметр Модель Поддержка зеркального отображения трафика (SPAN, RSPAN или None)
    1
    2
    3
    4

    Выполняет ли третья сторона управление коммутаторами? Y или N

    Если да, кто? __________________________________

    Что такое политика? __________________________________

    Пример:

    • Компания

    • Rockwell Automation — Ethernet или IP

    • Emerson — Делтав, Оватион

  6. Существуют ли устройства, взаимодействующие через последовательное подключение в сети? "Да" или "Нет".

    Если да, укажите протокол последовательного взаимодействия: ________________

    Если да, пометьте диаграмму сети, какие устройства взаимодействуют с последовательными протоколами и где они находятся:

  7. Для качества обслуживания по умолчанию датчик имеет значение 1,5 Мбит/с. Укажите, нужно ли изменить его: ________________

    Подразделение (BU): ________________

Спецификации для оборудования сайта

Сеть

Устройство датчика подключено к порту переключить диапазон через сетевой адаптер. Он подключается к корпоративной сети клиента для управления через другой выделенный сетевой адаптер.

Укажите сведения об адресе для сетевого адаптера датчика, который будет подключен в корпоративной сети:

Элемент Устройство 1 Устройство 2 Устройство 3
IP-адрес устройства
Подсеть
Шлюз по умолчанию
DNS
Имя узла

Управление Идрак/iLO/Server

Элемент Устройство 1 Устройство 2 Устройство 3
IP-адрес устройства
Подсеть
Шлюз по умолчанию
DNS

Локальная консоль управления

Элемент Активен Пассивный (при использовании HA)
IP-адрес
Подсеть
Шлюз по умолчанию
DNS

SNMP

Элемент Сведения
IP-адрес
IP-адрес
Имя пользователя
Пароль
Authentication type (Тип проверки подлинности) MD5 или SHA
Шифрование DES или AES
Секретный ключ
Строка сообщества SNMP v2

SSL-сертификат локальной консоли управления

Планируется ли использовать SSL-сертификат? "Да" или "Нет".

Если да, какая служба будет использоваться для ее создания? Какие атрибуты будут включены в сертификат (например, домен или IP-адрес)?

Проверка подлинности SMTP

Планируется ли использовать SMTP для пересылки предупреждений на почтовый сервер? "Да" или "Нет".

Если да, какой метод проверки подлинности будет использоваться?

Active Directory или локальные пользователи

Обратитесь к администратору Active Directory, чтобы создать группу пользователей сайта Active Directory или создать локальных пользователей. Не забудьте подготовить пользователей к работе в течение дня развертывания.

Типы устройств IoT в сети

Тип устройства Число устройств в сети Средняя пропускная способность
Камера
Компьютер X-Ray

См. также раздел

Сведения об установке защитника для IoT