Om nätverkskonfiguration för Microsoft Defender for IoT

Microsoft Defender för IoT levererar kontinuerlig övervakning av ICS-hot och enhetsidentifiering. Plattformen innehåller följande komponenter:

Defender for IoT-sensorer: Sensorer samlar in ICS-nätverkstrafik med hjälp av passiv (agentlös) övervakning. Passiva och icke-inintrusiva sensorer har ingen prestandapåverkan på OT- och IoT-nätverk och enheter. Sensorn ansluter till en SPAN-port eller nätverks-TAP och börjar omedelbart övervaka nätverket. Identifieringar visas i sensorkonsolen. Där kan du visa, undersöka och analysera dem i en nätverkskarta, en enhetsinventering och en omfattande mängd rapporter. Exempel är riskbedömningsrapporter, datautvinningsfrågor och attackvektorer.

Lokal hanteringskonsol för Defender for IoT: Den lokala hanteringskonsolen ger en samlad vy över alla nätverksenheter. Den ger en realtidsvy över viktiga RISK- och IoT-riskindikatorer och -aviseringar i alla dina anläggningar. Nära integrerat med dina SOC-arbetsflöden och spelböcker möjliggör enkel prioritering av åtgärdsaktiviteter och korrelation mellan webbplatser av hot.

Defender for IoT i Azure Portal: Defender for IoT-programmet kan hjälpa dig att köpa lösningsinstallationer, installera och uppdatera programvara och uppdatera TI-paket.

Den här artikeln innehåller information om lösningsarkitektur, nätverksförberedelse, krav med mera som hjälper dig att konfigurera nätverket så att det fungerar med Defender for IoT-installationer. Läsare som arbetar med informationen i den här artikeln bör ha erfarenhet av att driva och hantera OT- och IoT-nätverk. Några exempel är automationstekniker, anläggningschefer, LEVERANTÖRER av infrastrukturtjänster för NÄTVERKET, cybersäkerhetsteam, CISO:er eller CID:er.

Om du behöver hjälp eller support kontaktar du Microsoft Support.

Distributionsuppgifter på plats

Platsdistributionsaktiviteter omfattar:

Samla in webbplatsinformation

Registrera platsinformation, till exempel:

  • Nätverksinformation för sensorhantering.

  • Arkitektur för platsnätverk.

  • Fysisk miljö.

  • Systemintegreringar.

  • Planerade autentiseringsuppgifter för användare.

  • Konfigurationsarbetsstationen.

  • SSL-certifikat (valfritt men rekommenderas).

  • SMTP-autentisering (valfritt). Om du vill använda SMTP-servern med autentisering förbereder du de autentiseringsuppgifter som krävs för servern.

  • DNS-servrar (valfritt). Förbered DNS-serverns IP-adress och värdnamn.

En detaljerad lista och beskrivning av viktig webbplatsinformation finns i Checklista för fördeployment.

Riktlinjer för lyckad övervakning

För att hitta den optimala platsen för att ansluta installationen i vart och ett av dina produktionsnätverk rekommenderar vi att du följer den här proceduren:

Diagramexempel på nätverkskonfiguration för produktion.

Förbereda en konfigurationsarbetsstationen

Förbered en Windows arbetsstation, inklusive följande:

  • Anslutning till gränssnittet för sensorhantering.

  • En webbläsare som stöds

  • Terminalprogramvara, till exempel PuTTY.

Kontrollera att de nödvändiga brandväggsreglerna är öppna på arbetsstationen. Mer information finns i Åtkomstkrav för nätverk.

Webbläsare som stöds

Följande webbläsare stöds för sensorer och lokala webbprogram för hanteringskonsolen:

  • Microsoft Edge (senaste versionen)

  • Safari (senaste versionen, endast Mac)

  • Chrome (senaste versionen)

  • Firefox (senaste versionen)

Mer information om webbläsare som stöds finns i rekommenderade webbläsare.

Konfigurera certifikat

Efter installationen av sensor- och lokal hanteringskonsolen genereras ett lokalt själv signerat certifikat som används för att få åtkomst till sensorwebbappen. När du loggar in på Defender för IoT för första gången uppmanas administratörsanvändare att ange ett SSL/TLS-certifikat. Dessutom aktiveras automatiskt ett alternativ för att verifiera det här certifikatet och andra systemcertifikat. Mer information finns i Om certifikat.

Krav för nätverksåtkomst

Kontrollera att organisationens säkerhetsprincip tillåter åtkomst till följande:

Användaråtkomst till sensorn och hanteringskonsolen

Protokoll Transport In/ut Port Använt Syfte Källa Mål
HTTPS TCP In/ut 443 För att få åtkomst till sensorn och den lokala hanteringskonsolens webbkonsol. Åtkomst till webbkonsolen Client Sensor och lokal hanteringskonsol
SSH TCP In/ut 22 CLI För att få åtkomst till CLI. Client Sensor och lokal hanteringskonsol

Sensoråtkomst till Azure Portal

Protokoll Transport In/ut Port Använt Syfte Källa Mål
HTTPS/Websocket TCP In/ut 443 Ger sensorn åtkomst till Azure Portal. (Valfritt) Åtkomst kan beviljas via en proxyserver. Åtkomst till Azure Portal Sensor Azure Portal

Sensoråtkomst till den lokala hanteringskonsolen

Protokoll Transport In/ut Port Använt Syfte Källa Mål
SSL TCP In/ut 443 Ge sensorn åtkomst till den lokala hanteringskonsolen. Anslutningen mellan sensorn och den lokala hanteringskonsolen Sensor Lokal hanteringskonsol
NTP UDP In/ut 123 Tidssynkronisering Ansluter NTP till den lokala hanteringskonsolen. Sensor Lokal hanteringskonsol

Ytterligare brandväggsregler för externa tjänster (valfritt)

Öppna dessa portar för att tillåta extra tjänster för Defender for IoT.

Protokoll Transport In/ut Port Använt Syfte Källa Mål
HTTP TCP Ut 80 Nedladdning av listan över återkallade certifikat för certifikatverifiering vid uppladdning av certifikat. Åtkomst till CRL-servern Sensor och lokal hanteringskonsol CRL-server
LDAP TCP In/ut 389 Active Directory Tillåter Active Directory-hantering av användare som har åtkomst till att logga in på systemet. Lokal hanteringskonsol och sensor LDAP-server
LDAPS TCP In/ut 636 Active Directory Tillåter Active Directory-hantering av användare som har åtkomst till att logga in på systemet. Lokal hanteringskonsol och sensor LDAPS-server
SNMP UDP Ut 161 Övervakning Övervakar sensorns hälsa. Lokal hanteringskonsol och sensor SNMP-server
SMTP TCP Ut 25 E-post Används för att öppna kundens e-postserver för att skicka e-postmeddelanden för aviseringar och händelser. Sensor och lokal hanteringskonsol E-postserver
Syslog UDP Ut 514 PURF Loggarna som skickas från den lokala hanteringskonsolen till Syslog-servern. Lokal hanteringskonsol och sensor Syslog-server
DNS TCP/UDP In/ut 53 DNS DNS-serverporten. Lokal hanteringskonsol och sensor DNS-server
WMI TCP/UDP Ut 135, 1025-65535 Övervakning Windows Slutpunktsövervakning. Sensor Relevant nätverkselement
Tunneltrafik TCP I 9000

förutom port 443

Tillåter åtkomst från sensorn eller slutanvändaren till den lokala hanteringskonsolen.

Port 22 från sensorn till den lokala hanteringskonsolen.
Övervakning Tunneltrafik Sensor Lokal hanteringskonsol
Proxy TCP/UDP In/ut 443 Proxy Så här ansluter du sensorn till en proxyserver Lokal hanteringskonsol och sensor Proxyserver

Planera rackinstallation

Så här planerar du rackinstallationen:

  1. Förbered en bildskärm och ett tangentbord för installationens nätverksinställningar.

  2. Allokera rackutrymmet för apparaten.

  3. Ha växelström tillgänglig för apparaten.

  4. Förbered LAN-kabeln för att ansluta hanteringen till nätverksväxeln.

  5. Förbered LAN-kablarna för anslutning av span-portar (spegling) och nätverkstryckningar till Defender for IoT-installationen.

  6. Konfigurera, ansluta och verifiera SPAN-portar i speglade växlar enligt beskrivningen i arkitekturgranskningssessionen.

  7. Anslut den konfigurerade SPAN-porten till en dator som kör Wireshark och kontrollera att porten är korrekt konfigurerad.

  8. Öppna alla relevanta brandväggsportar.

Om passiv nätverksövervakning

Installationen tar emot trafik från flera källor, antingen via växelspeglingsportar (SPAN-portar) eller via nätverks-TAP:er. Hanteringsporten är ansluten till företags-, företags- eller sensorhanteringsnätverket med anslutning till en lokal hanteringskonsol eller Defender for IoT i Azure Portal.

Diagram över en hanterad växel med portspegling.

Rensa modell

I följande avsnitt beskrivs purdue-nivåer.

Diagram över Purdue-modellen.

Nivå 0: Cell och område

Nivå 0 består av en mängd olika sensorer, actuatorer och enheter som ingår i den grundläggande tillverkningsprocessen. Dessa enheter utför de grundläggande funktionerna i det industriella automatiserings- och kontrollsystemet, till exempel:

  • Köra en motor.

  • Mäta variabler.

  • Ange utdata.

  • Utföra viktiga funktioner, till exempel tavla, tavlor och tavlor.

Nivå 1: Processkontroll

Nivå 1 består av inbäddade styrenheter som styr och manipulerar tillverkningsprocessen vars nyckelfunktion är att kommunicera med nivå 0-enheterna. I diskret tillverkning är dessa enheter programmerbara logikstyrenheter (PLC) eller fjärrtelemetrienheter (RTU). Vid process tillverkning kallas den grundläggande styrenheten för ett distribuerat kontrollsystem (DCS).

Nivå 2: Bese

Nivå 2 representerar de system och funktioner som är associerade med körningsövervakning och drift av ett område i en produktionsanläggning. Dessa omfattar vanligtvis följande:

  • Operatorgränssnitt eller HMI:er

  • Larm- eller aviseringssystem

  • Bearbeta hanteringssystem för batch- och batchbearbetning

  • Arbetsstationer för kontrollrum

Dessa system kommunicerar med PLC och RTU:er på nivå 1. I vissa fall kommunicerar eller delar de data med webbplatsen eller företaget (nivå 4 och nivå 5) system och program. Dessa system baseras främst på standardutrustning för databehandling och operativsystem (Unix eller Microsoft Windows).

Nivå 3 och 3.5: Platsnivå och branschnätverket

Platsnivån representerar den högsta nivån av industriella automatiserings- och kontrollsystem. De system och program som finns på den här nivån hanterar platsomfattande industriella automatiserings- och kontrollfunktioner. Nivå 0 till 3 anses vara kritisk för platsåtgärder. De system och funktioner som finns på den här nivån kan innehålla följande:

  • Produktionsrapportering (till exempel cykeltider, kvalitetsindex, förutsägande underhåll)

  • Planta skribent

  • Detaljerad produktionsschemaläggning

  • Hantering av åtgärder på platsnivå

  • Enhet- och materialhantering

  • Startserver för korrigering

  • Filserver

  • Branschdomän, Active Directory, terminalserver

Dessa system kommunicerar med produktionszonen och delar data med företagets system och program (nivå 4 och nivå 5).

Nivå 4 och 5: Företags- och företagsnätverk

Nivå 4 och nivå 5 representerar platsen eller företagsnätverket där de centraliserade IT-systemen och funktionerna finns. IT-organisationen hanterar tjänster, system och program direkt på dessa nivåer.

Planera nätverksövervakning

I följande exempel visas olika typer av topologier för industriella kontrollnätverk, tillsammans med överväganden för optimal övervakning och placering av sensorer.

Vad ska övervakas?

Trafik som går genom lagren 1 och 2 bör övervakas.

Vad ska Defender for IoT-enheten ansluta till?

Defender for IoT-enheten ska ansluta till de hanterade växlar som ser den industriella kommunikationen mellan skikten 1 och 2 (i vissa fall även skikt 3).

Följande diagram är en allmän abstraktion av ett nätverk med flera skikt och flera olika nätverk, med ett omfattande ekosystem för cybersäkerhet som vanligtvis drivs av en SOC och MSSP.

Nta-sensorer distribueras vanligtvis i lager 0 till 3 i OSI-modellen.

Diagram över OSI-modellen.

Exempel: Ringtopologi

Ringnätverket är en topologi där varje växel eller nod ansluter till exakt två andra växlar och bildar en enda kontinuerlig väg för trafiken.

Diagram över ringtopologin.

Exempel: Linjär buss och stjärntopologi

I ett star-nätverk är alla värdar anslutna till en central hubb. I sin enklaste form fungerar en central hubb som en kanal för att överföra meddelanden. I följande exempel övervakas inte lägre växlar och trafik som förblir lokal för dessa växlar visas inte. Enheter kan identifieras baserat på ARP-meddelanden, men anslutningsinformation saknas.

Diagram över den linjära buss- och stjärntopologin.

Distribution med flera sensorer

Här är några rekommendationer för att distribuera flera sensorer:

Nummer Meter Beroende Antal sensorer
Maximalt avstånd mellan växlar 80 meter Förberedd Ethernet-kabel Mer än 1
Antal OT-nätverk Mer än 1 Ingen fysisk anslutning Mer än 1
Antal växlar Kan använda RSPAN-konfiguration Upp till åtta växlar med lokalt spann nära sensorn genom kabelavstånd Mer än 1

Trafikspegling

Om du bara vill se relevant information för trafikanalys måste du ansluta Defender for IoT-plattformen till en speglingsport på en växel eller en TAP som endast innehåller industriell ICS- och SCADA-trafik.

Använd den här växeln för konfigurationen.

Du kan övervaka att växla trafik med hjälp av följande metoder:

SPAN och RSPAN är Cisco-terminologi. Andra switchmärken har liknande funktioner men kan använda annan terminologi.

Växla SPAN-port

En växelportanalys speglar lokal trafik från gränssnitt på växeln till gränssnittet på samma växel. Här är några saker att tänka på:

  • Kontrollera att den relevanta växeln stöder portspeglingsfunktionen.

  • Speglingsalternativet är inaktiverat som standard.

  • Vi rekommenderar att du konfigurerar alla växelportar, även om inga data är anslutna till dem. Annars kan en falsk enhet anslutas till en oövervakad port och den skulle inte avisering om sensorn.

  • I OT-nätverk som använder broadcast- eller multicast-meddelanden konfigurerar du växeln så att den endast speglar RX-överföringar (receive). Annars upprepas multicast-meddelanden för så många aktiva portar och bandbredden multipliceras.

Följande konfigurationsexempel är endast referens och baseras på en Cisco 2960-växel (24 portar) som kör IOS. De är vanliga exempel, så använd dem inte som instruktioner. Speglingsportar på andra Cisco-operativsystem och andra switchar är konfigurerade på olika sätt.

Diagram över en span-portkonfigurationsterminal. Diagram över span-portkonfigurationsläget.

Övervaka flera VLAN

Defender for IoT tillåter övervakning av VLAN som konfigurerats i nätverket. Ingen konfiguration av Defender for IoT-systemet krävs. Användaren måste se till att växeln i nätverket är konfigurerad för att skicka VLAN-taggar till Defender för IoT.

I följande exempel visas de nödvändiga kommandon som måste konfigureras på Cisco-växeln för att aktivera övervakning av VLAN i Defender for IoT:

Övervaka session: Det här kommandot ansvarar för processen att skicka VLAN till SPAN-porten.

  • monitor session 1 source interface Gi1/2

  • monitor session 1 filter packet type good Rx

  • monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

Övervaka trunk port F.E. Gi1/1: VLAN är konfigurerade på trunk-porten.

  • gränssnitt GigabitEthernet1/1

  • switchport trunk encapsulation dot1q

  • switchport mode trunk

Fjärr-SPAN (RSPAN)

Span-fjärrsessionen speglar trafik från flera distribuerade källportar till ett dedikerat fjärranslutet VLAN.

Diagram över fjärr-SPAN.

Data i VLAN levereras sedan via trunkerade portar över flera växlar till en specifik växel som innehåller den fysiska målporten. Den här porten ansluter till Defender for IoT-plattformen.

Mer om RSPAN
  • RSPAN är en avancerad funktion som kräver ett särskilt VLAN för att kunna överföra trafiken som SPAN övervakar mellan växlar. RSPAN stöds inte på alla växlar. Kontrollera att växeln stöder RSPAN-funktionen.

  • Speglingsalternativet är inaktiverat som standard.

  • Fjärr-VLAN måste tillåtas på den trunkerade porten mellan käll- och målväxlarna.

  • Alla växlar som ansluter samma RSPAN-session måste komma från samma leverantör.

Anteckning

Kontrollera att trunkporten som delar det fjärranslutna VLAN:et mellan växlarna inte har definierats som källport för speglingssessioner.

Det fjärranslutna VLAN:et ökar bandbredden på den trunkerade porten med storleken på den speglade sessionens bandbredd. Kontrollera att växelns trunkport stöder det.

Diagram över fjärranslutet VLAN.

RSPAN-konfigurationsexempel

RSPAN: Baseras på Ciscos katalysator 2960 (24 portar).

Exempel på konfiguration av källväxel:

Skärmbild av RSPAN-konfiguration.

  1. Gå till globalt konfigurationsläge.

  2. Skapa ett dedikerat VLAN.

  3. Identifiera VLAN som RSPAN VLAN.

  4. Gå tillbaka till läget "konfigurera terminal".

  5. Konfigurera alla 24 portar som sessionskällor.

  6. Konfigurera RSPAN VLAN som sessionsmål.

  7. Gå tillbaka till privilegierat EXEC-läge.

  8. Kontrollera konfigurationen för portspegling.

Exempel på konfiguration av målväxel:

  1. Gå till globalt konfigurationsläge.

  2. Konfigurera RSPAN VLAN som sessionskälla.

  3. Konfigurera den fysiska porten 24 som sessionsmål.

  4. Gå tillbaka till privilegierat EXEC-läge.

  5. Kontrollera konfigurationen för portspegling.

  6. Spara konfigurationen.

TAP för aktiv och passiv aggregering

En aktiv eller passiv TAP-aggregering installeras direkt i nätverkskabeln. Den duplicerar både RX och TX till övervakningssensorn.

Terminalåtkomstpunkten (TAP) är en maskinvaruenhet som gör att nätverkstrafiken kan flöda från port A till port B och från port B till port A, utan avbrott. Den skapar en exakt kopia av båda sidor av trafikflödet, kontinuerligt, utan att äventyra nätverksintegriteten. Vissa TAP:er aggregerar överförings- och mottagningstrafik med hjälp av växelinställningarna om så önskas. Om aggregering inte stöds använder varje TAP två sensorportar för att övervaka skicka och ta emot trafik.

TAP:er är fördelaktiga av olika skäl. De är maskinvarubaserade och kan inte komprometteras. De skickar all trafik, även skadade meddelanden, som växlarna ofta släpper. De är inte processorkänsliga, så pakettidsinställningen är exakt när växlar hanterar speglingsfunktionen som en uppgift med låg prioritet som kan påverka tidsinställningen för speglade paket. Av kriminaltekniska ändamål är tap den bästa enheten.

TAP-aggregatorer kan också användas för portövervakning. Dessa enheter är processorbaserade och är inte lika säkra som maskinvaru-TAP:er. De kanske inte återspeglar exakt tidsinställning för paket.

Diagram över aktiva och passiva TAP:er.

Vanliga TAP-modeller

Dessa modeller har testats för kompatibilitet. Andra leverantörer och modeller kan också vara kompatibla.

Bild Modell
Skärmbild av Garland P1GCCAS. Garland P1GCCAS
Skärmbild av IXIA TPA2-CU3. IXIA TPA2-CU3
Skärmbild av US Robotics USR 4503. US Robotics USR 4503
Särskild TAP-konfiguration
Garland TAP US Robotics TAP
Kontrollera att jumpers är inställda på följande sätt:
Skärmbild av US Robotics-växeln.
Kontrollera att Sammansättningsläge är aktivt.

Distributionsvalidering

Självgranskning av teknik

Att granska ditt OT- och ICS-nätverksdiagram är det effektivaste sättet att definiera den bästa platsen att ansluta till, där du kan få den mest relevanta trafiken för övervakning.

Platsteknikern vet hur nätverket ser ut. Att ha en granskningssession med det lokala nätverket och driftteamen klargör vanligtvis förväntningarna och definierar den bästa platsen för att ansluta installationen.

Relevant information:

  • Lista över kända enheter (kalkylblad)

  • Beräknat antal enheter

  • Leverantörer och industriella protokoll

  • Modell av växlar för att verifiera att alternativet för portspegling är tillgängligt

  • Information om vem som hanterar växlarna (till exempel IT) och om de är externa resurser

  • Lista över OT-nätverk på platsen

Vanliga frågor

  • Vilka är de övergripande målen med implementeringen? Är en fullständig inventering och korrekt nätverkskarta viktig?

  • Finns det flera eller redundanta nätverk i ICS? Övervakas alla nätverk?

  • Finns det kommunikation mellan ICS och företagsnätverket (företag)? Övervakas den här kommunikationen?

  • Är VLAN konfigurerade i nätverksdesignen?

  • Hur utförs underhåll av ICS med fasta eller tillfälliga enheter?

  • Var finns brandväggar installerade i de övervakade nätverken?

  • Finns det någon routning i de övervakade nätverken?

  • Vilka OT-protokoll är aktiva i de övervakade nätverken?

  • Om vi ansluter till den här växeln, kommer vi att se kommunikation mellan HMI och PLC?

  • Vad är det fysiska avståndet mellan ICS-växlarna och företagets brandvägg?

  • Kan ohanterade växlar ersättas med hanterade växlar eller är användningen av nätverks-TAP:er ett alternativ?

  • Finns det någon seriell kommunikation i nätverket? Om ja, visa den i nätverksdiagrammet.

  • Finns det fysiskt tillgängligt rackutrymme i det kabinetten om Defender for IoT-enheten ska anslutas till växeln?

Ytterligare överväganden

Syftet med Defender for IoT-installationen är att övervaka trafik från lager 1 och 2.

För vissa arkitekturer övervakar Defender for IoT-installationen även Layer 3, om DET finns OT-trafik på det här lagret. När du granskar platsarkitekturen och bestämmer om du vill övervaka en växel bör du överväga följande variabler:

  • Vad är kostnaden/fördelen jämfört med vikten av att övervaka den här växeln?

  • Om en växel är ohanterad, kommer det att vara möjligt att övervaka trafiken från en växel på högre nivå?

    Om ICS-arkitekturen är en ringtopologi behöver bara en växel i den här ringen övervakas.

  • Vad är säkerhets- eller driftsrisken i det här nätverket?

  • Går det att övervaka växelns VLAN? Visas det VLAN i en annan växel som vi kan övervaka?

Teknisk validering

Att ta emot ett exempel på registrerad trafik (PCAP-fil) från växelporten SPAN (eller spegling) kan hjälpa dig att:

  • Kontrollera om växeln är korrekt konfigurerad.

  • Kontrollera om den trafik som går genom växeln är relevant för övervakning (OT-trafik).

  • Identifiera bandbredd och beräknat antal enheter i den här växeln.

Du kan spela in en PCAP-exempelfil (några minuter) genom att ansluta en bärbar dator till en redan konfigurerad SPAN-port via Wireshark-programmet.

Skärmbild av en bärbar dator ansluten till en SPAN-port. Skärmbild av inspelning av en PCAP-exempelfil.

Wireshark-validering

  • Kontrollera att Unicast-paket finns i inspelningstrafiken. Unicast är från en adress till en annan. Om den mesta av trafiken är ARP-meddelanden är växelkonfigurationen felaktig.

  • Gå till > Statistikprotokollhierarki. Kontrollera att det finns industriella OT-protokoll.

Skärmbild av Wireshark-validering.

Felsökning

Använd följande avsnitt för felsökning av problem:

Det går inte att ansluta med hjälp av ett webbgränssnitt

  1. Kontrollera att datorn som du försöker ansluta till finns i samma nätverk som installationen.

  2. Kontrollera att GUI-nätverket är anslutet till hanteringsporten på sensorn.

  3. Pinga installationens IP-adress. Om det inte finns något svar på ping:

    1. Anslut en bildskärm och ett tangentbord till enheten.

    2. Använd supportanvändaren och lösenordet för att logga in.

    3. Använd kommandonätverkslistan för att se den aktuella IP-adressen.

    Skärmbild av kommandot för nätverkslistan.

  4. Om nätverksparametrarna är felkonfigurerade använder du följande procedur för att ändra den:

    1. Använd kommandot network edit-settings.

    2. Om du vill ändra IP-adressen för hanteringsnätverket väljer du Y.

    3. Om du vill ändra nätmasken väljer du Y.

    4. Om du vill ändra DNS väljer du Y.

    5. Om du vill ändra IP-adressen för standardgatewayen väljer du Y.

    6. För ändring av indatagränssnittet (endast för sensor) väljer du Y.

    7. För brygggränssnittet väljer du N.

    8. Om du vill tillämpa inställningarna väljer du Y.

  5. När du har startat om ansluter du till användarsupporten och använder nätverkslistekommandot för att verifiera att parametrarna har ändrats.

  6. Försök att pinga och ansluta från det grafiska användargränssnittet igen.

Installationen svarar inte

  1. Anslut med en bildskärm och tangentbord till enheten eller använd PuTTY för att fjärransluta till CLI.

  2. Använd autentiseringsuppgifterna för support för att logga in.

  3. Använd systemets sanity-kommando och kontrollera att alla processer körs.

    Skärmbild av kommandot system sanity.

Om du har andra problem kontaktar du Microsoft Support.

Checklista för fördeployment

Använd checklistan för fördeployment för att hämta och granska viktig information som du behöver för nätverkskonfiguration.

Checklista för webbplats

Granska den här listan före platsdistributionen:

# Uppgift eller aktivitet Status Kommentarer
1 Beställa apparater.
2 Förbered en lista över undernät i nätverket.
3 Ange en VLAN-lista över produktionsnätverken.
4 Ange en lista över switchmodeller i nätverket.
5 Ange en lista över leverantörer och protokoll för den industriella utrustningen.
6 Ange nätverksinformation för sensorer (IP-adress, undernät, D-GW, DNS).
7 Switchhantering från tredje part
8 Skapa nödvändiga brandväggsregler och åtkomstlistan.
9 Skapa flera portar på växlar för portövervakning eller konfigurera nätverkstryckningar efter behov.
10 Förbered rackutrymme för sensorutrustning.
11 Förbereda en arbetsstation för personal.
12 Ange ett tangentbord, en bildskärm och en mus för rackenheterna i Defender for IoT.
13 Racka och kabela apparaterna.
14 Allokera platsresurser som stöd för distribution.
15 Skapa Active Directory-grupper eller lokala användare.
16 Konfigurera träning (självinlärning).
17 Go eller no-go.
18 Schemalägg distributionsdatum.
Datum Obs! Distributionsdatum Obs!
Defender för IoT Platsnamn*
Namn Namn
Position Position

Arkitekturgranskning

Med en översikt över det industriella nätverksdiagrammet kan du definiera rätt plats för Defender for IoT-utrustningen.

  1. Globalt nätverksdiagram – Visa ett globalt nätverksdiagram över den industriella OT-miljön. Ett exempel:

    Diagram över den industriella OT-miljön för det globala nätverket.

    Anteckning

    Defender for IoT-installationen bör vara ansluten till en växel på lägre nivå som ser trafiken mellan portarna på växeln.

  2. Indeade enheter – Ange det ungefärliga antalet nätverksenheter som ska övervakas. Du behöver den här informationen när du börjar registrera din prenumeration på Defender for IoT i Azure Portal. Under onboarding-processen uppmanas du att ange antalet enheter i steg om 1 000.

  3. (Valfritt) Lista över undernät – Ange en undernätslista för produktionsnätverken och en beskrivning (valfritt).

    # Namn på undernät Beskrivning
    1
    2
    3
    4
  4. VLAN – Ange en VLAN-lista över produktionsnätverken.

    # VLAN-namn Beskrivning
    1
    2
    3
    4
  5. Stöd för växelmodeller och spegling – Om du vill kontrollera att växlarna har portspeglingsfunktioner anger du de växelmodellnummer som Defender for IoT-plattformen ska ansluta till:

    # Switch Modell Stöd för trafikspegling (SPAN, RSPAN eller inget)
    1
    2
    3
    4
  6. Switchhantering från tredje part – Hanterar en tredje part växlarna? Y eller N

    Om ja, vem? __________________________________

    Vad är deras princip? __________________________________

    Ett exempel:

    • Siemens

    • Rockwell-automatisering – Ethernet eller IP

    • Emerson – DeltaV, Ovation

  7. Seriell anslutning – Finns det enheter som kommunicerar via en seriell anslutning i nätverket? Ja eller nej

    Om ja, ange vilket protokoll för seriekommunikation: ________________

    Om ja, markera i nätverksdiagrammet vilka enheter som kommunicerar med serieprotokoll och var de är:

    Lägg till ditt nätverksdiagram med markerad seriell anslutning

  8. Tjänstkvalitet – För Tjänstkvalitet (QoS) är standardinställningen för sensorn 1,5 Mbit/s. Ange om du vill ändra den: ________________

    Affärsenhet (BU): ________________

  9. Sensor – Specifikationer för platsutrustning

    Sensorinstallationen är ansluten för att växla SPAN-port via ett nätverkskort. Den är ansluten till kundens företagsnätverk för hantering via ett annat dedikerat nätverkskort.

    Ange adressinformation för det sensornätverksnätverksnätverk som ska anslutas i företagsnätverket:

    Objekt Installation 1 Installation 2 Installation 3
    Enhetens IP-adress
    Undernät
    Standard gateway
    DNS
    Värdnamn
  10. iDRAC/iLO/Server-hantering

    Objekt Installation 1 Installation 2 Installation 3
    Enhetens IP-adress
    Undernät
    Standard gateway
    DNS
  11. Lokal hanteringskonsol

    Objekt Aktiv Passiv (när du använder HA)
    IP-adress
    Undernät
    Standard gateway
    DNS
  12. SNMP

    Objekt Information
    IP-adress
    IP-adress
    Användarnamn
    Lösenord
    Autentiseringstyp MD5 eller SHA
    Kryptering DES eller AES
    Hemlig nyckel
    SNMP v2 community-sträng
  13. SSL-certifikat för lokal hanteringskonsol

    Planerar du att använda ett SSL-certifikat? Ja eller nej

    Om ja, vilken tjänst kommer du att använda för att generera den? Vilka attribut ska du inkludera i certifikatet (till exempel domän eller IP-adress)?

  14. SMTP-autentisering

    Planerar du att använda SMTP för att vidarebefordra aviseringar till en e-postserver? Ja eller nej

    Om ja, vilken autentiseringsmetod ska du använda?

  15. Active Directory eller lokala användare

    Kontakta en Active Directory-administratör för att skapa en Active Directory-webbplatsanvändargrupp eller skapa lokala användare. Se till att dina användare är redo för distributionsdagen.

  16. IoT-enhetstyper i nätverket

    Enhetstyp Antal enheter i nätverket Genomsnittlig bandbredd
    Kamera
    X-ray-dator

Nästa steg

Om Installationen av Defender for IoT