IoT için Microsoft Defender ağ kurulumu hakkında

  • Makale
  • Okumak için 18 dakika

IoT için Microsoft Defender sürekli ICS tehdit izleme ve cihaz bulma sağlar. Platform aşağıdaki bileşenleri içerir:

IoT algılayıcıları için Defender: Algılayıcılar pasif (aracısız) izleme kullanarak ICS ağ trafiğini toplar. Pasif ve müdahaleci olmayan algılayıcılar, OT ve IoT ağları ile cihazları üzerinde sıfır performans etkisine sahiptir. Algılayıcı bir SPAN bağlantı noktasına veya ağ TAP'a bağlanır ve hemen ağlarınızı izlemeye başlar. Algılamalar algılayıcı konsolunda görüntülenir. Burada bunları bir ağ haritasında, cihaz envanteri ve çok çeşitli raporlarda görüntüleme, araştırma ve analiz edebilirsiniz. Risk değerlendirme raporları, veri madenciliği sorguları ve saldırı vektörleri örnek olarak verilmiştir.

IoT için Defender şirket içi yönetim konsolu: Şirket içi yönetim konsolu, tüm ağ cihazlarının birleştirilmiş bir görünümünü sağlar. Tüm tesisleriniz genelinde önemli OT ve IoT risk göstergelerinin ve uyarılarının gerçek zamanlı bir görünümünü sağlar. SOC iş akışlarınız ve playbook'lar ile sıkı bir şekilde tümleştirilmiş olan bu özellik, risk azaltma etkinliklerinin ve tehditlerin siteler arası bağıntılarının kolayca önceliklerini belirlemenizi sağlar.

IoT için Defender Azure portal: IoT için Defender uygulaması çözüm gereçleri satın a yüklemenize, yazılımı yüklemenize ve güncelleştirmeniz ve TI paketlerini güncelleştirmeye yardımcı olabilir.

Bu makalede, Ağın IoT cihazları için Defender ile çalışacak şekilde başarıyla hazırlanmasına yardımcı olmak üzere çözüm mimarisi, ağ hazırlığı, önkoşullar ve daha fazlası hakkında bilgi ve bilgiler yer almaktadır. Bu makaledeki bilgilerle çalışan okuyucular, OT ve IoT ağlarını çalıştırma ve yönetmede deneyimlidir. Otomasyon mühendisleri, tesis yöneticileri, OT ağ altyapısı hizmet sağlayıcıları, siber güvenlik ekipleri, CISO'lar veya CIO'lar buna örnek olarak verilmiştir.

Yardım veya destek için Microsoft Desteği.

Yerinde dağıtım görevleri

Site dağıtım görevleri şunlardır:

Site bilgilerini toplama

Şu site bilgilerini kaydetme:

  • Algılayıcı yönetimi ağ bilgileri.

  • Site ağı mimarisi.

  • Fiziksel ortam.

  • Sistem tümleştirmeleri.

  • Planlı kullanıcı kimlik bilgileri.

  • Yapılandırma iş istasyonu.

  • SSL sertifikaları (isteğe bağlı ancak önerilir).

  • SMTP kimlik doğrulaması (isteğe bağlı). SMTP sunucusunu kimlik doğrulamasıyla kullanmak için sunucunuz için gereken kimlik bilgilerini hazırlayın.

  • DNS sunucuları (isteğe bağlı). DNS sunucusunun IP'sini ve ana bilgisayar adını hazırlayın.

Ayrıntılı bir liste ve önemli site bilgileri açıklaması için bkz. Predeployment checklist.

Başarılı izleme yönergeleri

Aleti üretim ağlarının her bir yerinde bağlamak için en uygun yeri bulmak için şu yordamı izlemenizi öneririz:

Üretim ağı kurulumu diyagramı örneği.

Yapılandırma iş istasyonu hazırlama

Aşağıdakiler Windows bir iş istasyonu hazırlayın:

  • Algılayıcı yönetim arabirimine bağlantı.

  • Desteklenen bir tarayıcı

  • PuTTY gibi terminal yazılımı.

İş istasyonunda gerekli güvenlik duvarı kurallarının açık olduğundan emin olun. Ayrıntılar için bkz. Ağ erişim gereksinimleri.

Desteklenen tarayıcılar

Algılayıcılar ve şirket içi yönetim konsolu web uygulamaları için aşağıdaki tarayıcılar desteklenir:

  • Microsoft Edge (en son sürüm)

  • Safari (en so sürüm, yalnızca Mac)

  • Chrome (en son sürüm)

  • Firefox (en son sürüm)

Desteklenen tarayıcılar hakkında daha fazla bilgi için bkz. önerilen tarayıcılar.

Sertifikaları ayarlama

Algılayıcı ve şirket içi yönetim konsolu yüklemesini takip eden, yerel bir otomatik olarak imzalanan sertifika oluşturulur ve algılayıcı web uygulamasına erişmek için kullanılır. IoT için Defender'da ilk kez oturum aken, Yönetici kullanıcılardan bir SSL/TLS sertifikası sağlamaları istenir. Ayrıca, bu sertifikayı ve diğer sistem sertifikalarını doğrulama seçeneği otomatik olarak etkinleştirilir. Ayrıntılar için bkz. Sertifikalar Hakkında.

Ağ erişim gereksinimleri

Kuruluş güvenlik ilkenizin aşağıdakilere erişim izni olduğunu doğrulayın:

Algılayıcıya ve yönetim konsoluna kullanıcı erişimi

Protokol Aktarım In/Out Bağlantı noktası Kullanılan Amaç Kaynak Hedef
HTTPS TCP In/Out 443 Algılayıcıya ve şirket içi yönetim konsolu web konsoluna erişmek için. Web konsoluna erişim İstemci Algılayıcı ve şirket içi yönetim konsolu
SSH TCP In/Out 22 CLI CLI'ya erişmek için. İstemci Algılayıcı ve şirket içi yönetim konsolu

Azure portal'a algılayıcı erişimi

Protokol Aktarım In/Out Bağlantı noktası Kullanılan Amaç Kaynak Hedef
HTTPS / Websocket TCP In/Out 443 Algılayıcıya veri Azure portal. (İsteğe bağlı) Erişim bir ara sunucu üzerinden ver olabilir. Azure portal'a erişim Sensör Azure portal

Şirket içi yönetim konsoluna algılayıcı erişimi

Protokol Aktarım In/Out Bağlantı noktası Kullanılan Amaç Kaynak Hedef
SSL TCP In/Out 443 Algılayıcıya şirket içi yönetim konsoluna erişim izni verme. Algılayıcı ile şirket içi yönetim konsolu arasındaki bağlantı Sensör Şirket içi yönetim konsolu
NTP UDP In/Out 123 Zaman Eşitleme NTP'yi şirket içi yönetim konsoluna bağlar. Sensör Şirket içi yönetim konsolu

Dış hizmetler için ek güvenlik duvarı kuralları (isteğe bağlı)

IoT için Defender'a ek hizmetlere izin vermek için bu bağlantı noktalarını açın.

Protokol Aktarım In/Out Bağlantı noktası Kullanılan Amaç Kaynak Hedef
HTTP TCP Out 80 Sertifikaları karşıya yüklerken sertifika doğrulaması için CRL indirmesi. CRL sunucusuna erişim Algılayıcı ve şirket içi yönetim konsolu CRL sunucusu
LDAP TCP In/Out 389 Active Directory Sistemde oturum açmak için erişimi olan kullanıcıların Active Directory yönetimine izin verir. Şirket içi yönetim konsolu ve Algılayıcı LDAP sunucusu
LDAPS TCP In/Out 636 Active Directory Sistemde oturum açmak için erişimi olan kullanıcıların Active Directory yönetimine izin verir. Şirket içi yönetim konsolu ve Algılayıcı LDAPS sunucusu
SNMP UDP Out 161 İzleme Algılayıcının durumunu izler. Şirket içi yönetim konsolu ve Algılayıcı SNMP sunucusu
SMTP TCP Out 25 E-posta Uyarılar ve olaylar için e-posta göndermek amacıyla müşterinin posta sunucusunu açmak için kullanılır. Algılayıcı ve Şirket içi yönetim konsolu E-posta sunucusu
Syslog UDP Out 514 LEEF Şirket içi yönetim konsolundan Syslog sunucusuna gönderilen günlükler. Şirket içi yönetim konsolu ve Algılayıcı Syslog sunucusu
DNS TCP/UDP In/Out 53 DNS DNS sunucusu bağlantı noktası. Şirket içi yönetim konsolu ve Algılayıcı DNS sunucusu
WMI TCP/UDP Out 135, 1025-65535 İzleme Windows Uç Nokta İzleme. Sensör İlgili ağ öğesi
Tünel TCP İçinde 9000

bağlantı noktası 443'e ek olarak

Algılayıcıdan veya son kullanıcıdan şirket içi yönetim konsoluna erişime izin verir.

Algılayıcıdan şirket içi yönetim konsoluna 22. bağlantı noktası.		 İzleme Tünel Sensör Şirket içi yönetim konsolu
Ara sunucu TCP/UDP In/Out 443 Ara sunucu Algılayıcıyı ara sunucuya bağlamak için Şirket içi yönetim konsolu ve Algılayıcı Proxy sunucu

Raf yüklemesini planlama

Raf yüklemenizi planlamak için:

  1. Gereç ağ ayarlarınız için bir izleyici ve klavye hazırlayın.

  2. Alet için raf alanı ayırma.

  3. Alet için AC gücü kullanılabilir.

  4. Yönetimi ağ anahtarına bağlamak için LAN kablosunu hazırlayın.

  5. ANAHTAR SPAN (yansıtma) bağlantı noktalarını bağlamak için LAN kablolarını hazırlayın ve IoT için Defender aletine ağ dokunmaları.

  6. Mimari gözden geçirme oturumunda açıklandığı gibi yansıtılmış anahtarlarda SPAN bağlantı noktalarını yapılandırma, bağlama ve doğrulama.

  7. Bağlan SPAN bağlantı noktasını Wireshark çalıştıran bir bilgisayara bağlayın ve bağlantı noktasının doğru yapılandırıldığından emin olun.

  8. Tüm ilgili güvenlik duvarı bağlantı noktalarını açın.

Pasif ağ izleme hakkında

Gereç, anahtar yansıtma bağlantı noktaları (SPAN bağlantı noktaları) veya ağ TAP'leri tarafından birden çok kaynaktan trafik alır. Yönetim bağlantı noktası, şirket içi yönetim konsoluna veya şirket içi yönetim konsoluna veya şirket içi yönetim konsolunda IoT için Defender'a bağlantısı olan iş, şirket veya algılayıcı yönetim ağına Azure portal.

Bağlantı noktası yansıtma ile yönetilen anahtarın diyagramı.

Purdue modeli

Aşağıdaki bölümlerde Purdue düzeyleri açıklanmaktadır.

Purdue modelinin diyagramı.

Düzey 0: Hücre ve alan

  1. Düzey, temel üretim sürecine dahil olan çok çeşitli algılayıcılardan, aktüatörlerden ve cihazlardan oluşur. Bu cihazlar endüstriyel otomasyon ve denetim sisteminin temel işlevlerini gerçekleştirir, örneğin:

  • Motor kullanma.

  • Değişkenleri ölçme.

  • Çıkış ayarlama.

  • Tablo, ifade ve bağlama gibi önemli işlevleri gerçekleştirme.

1. Düzey: İşlem denetimi

  1. Düzey, temel işlevi Level 0 cihazlarıyla iletişim kurmak olan üretim sürecini kontrol etmek ve işlemek için ekli denetleyicilerden oluşur. Ayrık üretimde, bu cihazlar programlanabilir mantık denetleyicileri (PLC' ler) veya uzak telemetri birimleridir (RTU). İşlem üretimde temel denetleyici, dağıtılmış denetim sistemi (DCS) olarak adlandırılan bir sistemdir.

2. Düzey: Gözetmenlik

  1. Düzey, üretim tesisinin bir alanına yönelik çalışma zamanı denetimi ve çalışmasıyla ilişkili sistemleri ve işlevleri temsil eder. Bunlar genellikle aşağıdakileri içerir:

  • İşleç arabirimleri veya HMIs

  • Alarmlar veya uyarı sistemleri

  • İş birliği ve toplu iş yönetim sistemlerini işleme

  • Oda iş istasyonlarını denetleme

Bu sistemler, 1. Düzey'de PLC'ler ve RCU'lar ile iletişim kurar. Bazı durumlarda, site veya kuruluş (Düzey 4 ve Düzey 5) sistemleri ve uygulamalarıyla iletişim kurar veya veri paylaşırlar. Bu sistemler öncelikli olarak standart bilgi işlem ekipmanını ve işletim sistemlerini (Unix veya Microsoft Windows).

Düzey 3 ve 3,5: Site düzeyinde ve endüstriyel çevre ağı

Site düzeyi, en yüksek endüstriyel otomasyon ve denetim sistemlerini temsil eder. Bu düzeyde mevcut olan sistemler ve uygulamalar, site genelindeki endüstriyel otomasyon ve denetim işlevlerini yönetir. Düzey 0 ile 3, site işlemleri için kritik olarak kabul edilir. Bu düzeyde mevcut olan sistemler ve işlevler aşağıdakileri içerebilir:

  • Üretim raporlaması (döngü süreleri, kalite dizini, tahmine dayalı bakım gibi)

  • Bitki bitkisi

  • Ayrıntılı üretim zamanlaması

  • Site düzeyinde işlem yönetimi

  • Cihaz ve malzeme yönetimi

  • Düzeltme eki başlatma sunucusu

  • Dosya sunucusu

  • Endüstriyel etki alanı, Active Directory, terminal sunucusu

Bu sistemler üretim bölgesiyle iletişim kurar ve kuruluş (Düzey 4 ve Düzey 5) sistemleri ve uygulamalarıyla veri paylaşır.

Düzey 4 ve 5: İş ve kurumsal ağlar

Düzey 4 ve Düzey 5, merkezi IT sistemlerinin ve işlevlerinin bulunduğu siteyi veya kurumsal ağı temsil eder. BU düzeylerde hizmetleri, sistemleri ve uygulamaları doğrudan IT kuruluşu yönetir.

Ağ izleme planlaması

Aşağıdaki örneklerde endüstriyel kontrol ağları için farklı topoloji türleri ve algılayıcıların en iyi şekilde izlenmesi ve yerleştirilmesiyle ilgili dikkat edilmesi gereken noktalar verilmiştir.

Nelerin izlenmesi gerekir?

  1. ve 2. katmandan geçen trafiğin izlenmesi gerekir.

IoT için Defender aleti nelere bağlanmalıdır?

IoT için Defender aleti, 1. ve 2. katmanlar arasındaki endüstriyel iletişimleri (bazı durumlarda da katman 3) göre yönetilen anahtarlara bağlanmalıdır.

Aşağıdaki diyagramda, genellikle SOC ve MSSP tarafından çalıştırılan geniş bir siber güvenlik ekosistemi ile çok katmanlı, çok katmanlı bir ağın genel bir özeti yer almaktadır.

NtA algılayıcıları genellikle OSI modelinin 0-3. katmanlarına dağıtılır.

OSI modelinin diyagramı.

Örnek: Halka topolojisi

Halka ağı, her anahtarın veya düğümün tam olarak iki anahtara bağlandığı bir topolojidir ve trafik için tek bir sürekli yol sağlar.

Halka topolojisi diyagramı.

Örnek: Doğrusal veri yol ve yıldız topolojisi

Yıldız ağına her konak merkezi bir hub'a bağlanır. En basit biçimiyle tek bir merkezi merkez, ileti iletmek için bir bağlantı olarak hareket ediyor. Aşağıdaki örnekte, daha düşük anahtarlar izlanmaz ve bu anahtarlarda yerel olarak kalan trafik görülmez. Cihazlar ARP iletilerine göre belirlense de bağlantı bilgileri eksik olur.

Doğrusal veri yol ve yıldız topolojisi diyagramı.

Çok sunuculu dağıtım

Birden çok algılayıcı dağıtmak için bazı öneriler şu şekildedir:

Sayı Metre Bağımlılık Algılayıcı sayısı
Anahtarlar arasındaki en yüksek uzaklık 80 metre Hazır Ethernet kablosu 1'den fazla
OT ağlarının sayısı 1'den fazla Fiziksel bağlantı yok 1'den fazla
Anahtar sayısı RSPAN yapılandırmasını kullanabilir Kablolama uzaklığıyla yerel aralığın algılayıcıya yakın olduğu en fazla sekiz anahtar 1'den fazla

Trafik yansıtma

Yalnızca trafik analiziyle ilgili bilgileri görmek için, IoT için Defender platformunu bir anahtardaki yansıtma bağlantı noktasına veya yalnızca endüstriyel ICS ve SCADA trafiğini içeren bir TAP'a bağlamanız gerekir.

Kurulumunuz için bu anahtarı kullanın.

Anahtar trafiğini izlemek için aşağıdaki yöntemleri kullanabilirsiniz:

SPAN ve RSPAN Cisco terminolojisidir. Diğer anahtar markalarının işlevleri benzerdir ancak farklı terimler kullanabilir.

SPAN bağlantı noktasını değiştirme

Anahtar bağlantı noktası çözümleyicisi, anahtardaki arabirimlerden aynı anahtardaki arabirime yerel trafiği yansıtıyor. Dikkat edilmesi gereken bazı noktalar:

  • İlgili anahtarın bağlantı noktası yansıtma işlevini desteklediğini doğrulayın.

  • Yansıtma seçeneği varsayılan olarak devre dışıdır.

  • Anahtara hiçbir veri bağlı olsa bile anahtarın tüm bağlantı noktalarını yapılandırmayı öneririz. Aksi takdirde, takip edemeyen bir bağlantı noktasına yanlış bir cihaz bağlanabilir ve algılayıcıda uyarılanmayacaktır.

  • Yayın veya çok noktaya yayın mesajlaşması kullanan OT ağlarında, anahtarı yalnızca RX (Alma) iletimlerini yansıtarak yapılandırabilirsiniz. Aksi takdirde, çok noktaya yayın iletileri, çok sayıda etkin bağlantı noktası için yinelenir ve bant genişliği çarpılır.

Aşağıdaki yapılandırma örnekleri yalnızca başvuru için ve IOS çalıştıran bir Cisco 2960 anahtarını (24 bağlantı noktası) temel alınarak verilmiştir. Bunlar yalnızca tipik örneklerdir, bu nedenle bunları yönergeler olarak kullanmayın. Diğer Cisco işletim sistemlerindeki yansıtma bağlantı noktaları ve diğer anahtar markaları farklı yapılandırılır.

SPAN bağlantı noktası yapılandırma terminali diyagramı. SPAN bağlantı noktası yapılandırma modunun diyagramı.

Birden çok VLAN'i izleme

IoT için Defender, ağ içinde yapılandırılmış VLAN'leri izlemenizi sağlar. IoT için Defender sisteminin yapılandırması gerekmez. Kullanıcının ağ arabiriminde anahtarın IoT için Defender'a VLAN etiketleri gönderecek şekilde yapılandırıldığından emin olması gerekir.

Aşağıdaki örnek, IoT için Defender'da VLAN'leri izlemeyi etkinleştirmek için Cisco anahtarında yapılandırılması gereken gerekli komutları gösterir:

İzleme oturumu: Bu komut, SPAN bağlantı noktasına VLAN gönderme işleminin sorumluluğundadır.

  • monitor session 1 source interface Gi1/2

  • monitor session 1 filter packet type good Rx

  • monitor session 1 destination interface fastEthernet1/1 kapsülleme dot1q

Gövde Bağlantı Noktasını İzleme F.E. Gi1/1: VLAN'ler gövde bağlantı noktası üzerinde yapılandırılır.

  • arabirim GigabitEthernet1/1

  • switchport trunk kapsülleme dot1q

  • anahtar teslimi modu gövdesi

Uzak SPAN (RSPAN)

Uzak SPAN oturumu, birden çok dağıtılmış kaynak bağlantı noktası olan trafiği ayrılmış bir uzak VLAN'a yansıtır.

Uzak SPAN diyagramı.

VLAN'daki veriler daha sonra fiziksel hedef bağlantı noktasını içeren belirli bir anahtara birden çok anahtar arasında gövdeli bağlantı noktaları üzerinden teslim edilir. Bu bağlantı noktası, IoT için Defender platformuna bağlanır.

RSPAN hakkında daha fazla bilgi

  • RSPAN, anahtarlar arasında SPAN tarafından izleyen trafiği taşımak için özel bir VLAN gerektiren gelişmiş bir özelliktir. RSPAN tüm anahtarlarda desteklenmiyor. anahtarının RSPAN işlevini desteklediğini doğrulayın.

  • Yansıtma seçeneği varsayılan olarak devre dışıdır.

  • Kaynak ve hedef anahtarlar arasındaki gövdeli bağlantı noktası üzerinde uzak VLAN'a izin vermelidir.

  • Aynı RSPAN oturumuna bağlanan tüm anahtarların aynı satıcıdan olması gerekir.

Not

Anahtarlar arasında uzak VLAN'ı paylaşan gövde bağlantı noktasının yansıtma oturumu kaynak bağlantı noktası olarak tanımlanmay olduğundan emin olun.

Uzak VLAN, yansıtılmış oturumun bant genişliği boyutuna göre gövdeli bağlantı noktası bant genişliğini artırır. Anahtarın gövde bağlantı noktasının bunu desteklediğini doğrulayın.

Uzak VLAN diyagramı.

RSPAN yapılandırma örnekleri

RSPAN: Cisco katalizör 2960'a (24 bağlantı noktası) göre.

Kaynak anahtarı yapılandırma örneği:

RSPAN yapılandırmasının ekran görüntüsü.

  1. Genel yapılandırma moduna girin.

  2. Ayrılmış bir VLAN oluşturun.

  3. VLAN'ı RSPAN VLAN olarak belirleme.

  4. "Terminali yapılandır" moduna geri dön.

  5. 24 bağlantı noktasının hepsini oturum kaynağı olarak yapılandırma.

  6. RSPAN VLAN'ı oturum hedefi olacak şekilde yapılandırma.

  7. Ayrıcalıklı EXEC moduna geri dön.

  8. Bağlantı noktası yansıtma yapılandırmasını doğrulayın.

Hedef anahtar yapılandırma örneği:

  1. Genel yapılandırma moduna girin.

  2. RSPAN VLAN'ı oturum kaynağı olacak şekilde yapılandırma.

  3. Fiziksel bağlantı noktası 24'ü oturum hedefi olacak şekilde yapılandırma.

  4. Ayrıcalıklı EXEC moduna geri dön.

  5. Bağlantı noktası yansıtma yapılandırmasını doğrulayın.

  6. Yapılandırmayı kaydedin.

Etkin ve pasif toplama TAP

Ağ kablosuna satır içi olarak etkin veya pasif bir toplama TAP yüklenir. Hem RX hem de TX'i izleme algılayıcısı ile yineler.

Terminal erişim noktası (TAP), ağ trafiğinin A bağlantı noktasından B bağlantı noktasına ve B bağlantı noktasından A bağlantı noktasına kesintisiz akışını sağlayan bir donanım cihazıdır. Ağ bütünlüğünü tehlikeye atmadan trafik akışının her iki tarafının da tam bir kopyasını oluşturur. İstenilen bazı TAP'ler anahtar ayarlarını kullanarak trafik iletme ve alma kümelerini kullanır. Toplama desteklenmiyorsa, her TAP gönderme ve alma trafiğini izlemek için iki algılayıcı bağlantı noktası kullanır.

TAP'ler çeşitli nedenlerden dolayı avantajlıdır. Bunlar donanım tabanlıdır ve güvenliği tehlikeye girebilir. Tüm trafiği, hatta hasarlı iletileri geçerler ve bu da anahtarların genellikle düşmesine neden olur. Bunlar işlemciye duyarlı değildir, bu nedenle paketlerin yansıtma işlevini yansıtılmış paketlerin zamanlamasını etkileyebilecek düşük öncelikli bir görev olarak işlediği tam olarak paket zamanlamasıdır. Adli amaçlarla TAP, en iyi cihazdır.

TAP toplamaları, bağlantı noktası izleme için de kullanılabilir. Bu cihazlar işlemci tabanlıdır ve donanım TAP'leri kadar iç güvenli değildir. Bunlar tam paket zamanlamasını yansıtmaz.

Etkin ve pasif TAP'ler diyagramı.

Yaygın TAP modelleri

Bu modeller uyumluluk için test edilmiştir. Diğer satıcılar ve modeller de uyumlu olabilir.

Görüntü Modelleme
Garland P1GAZıS'ın ekran görüntüsü. Garland P1GGLIS
I HIP TPA2-CU3'ü ekran görüntüsü. I HIP TPA2-CU3
US Robotics USR 4503'ü ekran görüntüsü. US Robotics USR 4503
Özel TAP yapılandırması
Garland TAP US Robotics TAP
Atlamaların aşağıdaki gibi ayarlanmış olduğundan emin olun:
US Robotics anahtarının ekran görüntüsü. 		Toplama modunun etkin olduğundan emin olun.

Dağıtım doğrulaması

Mühendislik kendi kendine gözden geçirme

OT ve ICS ağ diyagramınızı gözden geçirmek, bağlanılacak en iyi yeri tanımlamanın en verimli yolu ve izleme için en uygun trafiği elde etmektir.

Site mühendisleri ağlarının nasıl göründüğünü biliyor. Yerel ağ ve operasyon ekipleriyle bir inceleme oturumuna sahip olmak genellikle beklentileri netleştirecek ve aleti bağlamak için en iyi yeri tanımyacaktır.

İlgili bilgiler:

  • Bilinen cihazların listesi (elektronik tablo)

  • Tahmini cihaz sayısı

  • Satıcılar ve endüstriyel protokoller

  • Bağlantı noktası yansıtma seçeneğinin kullanılabilir olduğunu doğrulamak için anahtar modeli

  • Anahtarları (örneğin, IT) yöneten kişi ve bunların dış kaynaklar olup olmadığı hakkında bilgi

  • Sitenin OT ağlarının listesi

Sık sorulan sorular

  • Uygulamanın genel hedefleri nedir? Eksiksiz bir envanter ve doğru ağ eşlemesi önemli mi?

  • ICS'de birden çok veya yedekli ağ var mı? Tüm ağlar izleniyor mu?

  • ICS ile kurumsal (iş) ağı arasında iletişim var mı? Bu iletişimler izleniyor mu?

  • VLAN'lar ağ tasarımında yapılandırılmış mı?

  • Sabit veya geçici cihazlarla ICS bakımı nasıl gerçekleştirilir?

  • Güvenlik duvarları izlenen ağlara nerede yüklenir?

  • izlenen ağlarda herhangi bir yönlendirme var mı?

  • Hangi OT protokolleri izlenen ağlarda etkindir?

  • Bu anahtara bağlanacak olursanız HMI ile PLC'ler arasındaki iletişimi görebilir miyiz?

  • ICS anahtarları ile kurumsal güvenlik duvarı arasındaki fiziksel uzaklık nedir?

  • Yönetilemeyen anahtarlar yönetilen anahtarlarla değiştirilebilir mi yoksa ağ TAP'lerinin kullanımı bir seçenek mi?

  • Ağ içinde seri iletişim var mı? Evet ise ağ diyagramında bunu gösterebilirsiniz.

  • IoT için Defender aletinin bu anahtara bağlı olması gerekirse, bu dolapta fiziksel olarak kullanılabilir raf alanı var mı?

Diğer önemli noktalar

IoT için Defender aletinin amacı, 1. ve 2. katmanlardan gelen trafiği izlemektir.

Bazı mimarilerde, IoT için Defender aleti bu katmanda OT trafiği varsa katman 3'ü de izleyebilir. Site mimarisini gözden geçirip bir anahtarın izlenip izlen olmadığına karar verirken aşağıdaki değişkenleri göz önünde bulundurabilirsiniz:

  • Bu anahtarı izlemenin maliyeti/avantajı nedir?

  • Bir anahtar unmanaged ise, trafiği daha üst düzey bir anahtardan izlemek mümkün mü?

    ICS mimarisi bir halka topolojisi ise, bu halkada yalnızca bir anahtarın izlenmesi gerekir.

  • Bu ağ güvenlik veya operasyonel risk nedir?

  • Anahtarın VLAN'larını izlemek mümkün mü? Bu VLAN, izleyebilen başka bir anahtarda görünür mü?

Teknik doğrulama

Anahtar SPAN (veya yansıtma) bağlantı noktası tarafından kaydedilen trafiğin (PCAP dosyası) bir örneğini almak aşağıdakilere yardımcı olabilir:

  • Anahtarın düzgün yapılandırıldığından emin olun.

  • Anahtardan geçen trafiğin izlemeyle (OT trafiği) ilgili olduğunu onaylayın.

  • Bu anahtarda bant genişliğini ve tahmini cihaz sayısını belirleme.

Wireshark uygulaması aracılığıyla bir dizüstü bilgisayarı zaten yapılandırılmış bir SPAN bağlantı noktasına bağlayarak örnek bir PCAP dosyasını (birkaç dakika) kaydedebilirsiniz.

SPAN bağlantı noktasına bağlı bir dizüstü bilgisayarın ekran görüntüsü. Örnek BIR PCAP dosyasının kaydının ekran görüntüsü.

Wireshark doğrulaması

  • Tek noktaya yayın paketlerinin kayıt trafiğinde mevcut olup olduğunu kontrol edin. Tek noktaya yayın bir adresten diğerine doğru ilerler. Trafiğin çoğu ARP iletileri ise anahtar kurulumu yanlıştır.

  • İstatistik Protokolü > Hiyerarşisi'ne gidin. Endüstriyel OT protokollerinin mevcut olduğunu doğrulayın.

Wireshark doğrulamasının ekran görüntüsü.

Sorun giderme

Sorunları gidermek için şu bölümleri kullanın:

Web arabirimi kullanarak bağlanamıyor

  1. Bağlanmaya çalıştığınız bilgisayarın aletle aynı ağ üzerinde olduğunu doğrulayın.

  2. GUI ağının algılayıcıda yönetim bağlantı noktasına bağlı olduğunu doğrulayın.

  3. Alet IP adresine ping at. Pinge yanıt yoksa:

    1. Bağlan bir monitör ve gereç için klavye kullanın.

    2. Oturum açma için destek kullanıcısını ve parolayı kullanın.

    3. Geçerli IP adresini görmek için komut ağ listesini kullanın.

    Ağ listesi komutunun ekran görüntüsü.

  4. Ağ parametreleri yanlış yapılandırılmışsa, değiştirmek için aşağıdaki yordamı kullanın:

    1. ağ düzenleme ayarları komutunu kullanın.

    2. Yönetim ağı IP adresini değiştirmek için Y'yi seçin.

    3. Alt ağ maskesini değiştirmek için Y'yi seçin.

    4. DNS'yi değiştirmek için Y'yi seçin.

    5. Varsayılan ağ geçidi IP adresini değiştirmek için Y'yi seçin.

    6. Giriş arabirimi değişikliği için (yalnızca algılayıcı için) Y'yi seçin.

    7. Köprü arabirimi için N'yi seçin.

    8. Ayarları uygulamak için Y'yi seçin.

  5. Yeniden başlattıktan sonra kullanıcı desteğine bağlanarak ağ listesi komutunu kullanarak parametrelerin değiştirdiğini doğrulayın.

  6. GUI'den ping atarak bağlanmayı yeniden deneyin.

Alet yanıt vermiyor

  1. gerecle bir izleyici ve klavye ile Bağlan veya clı 'ya uzaktan bağlanmak için putty kullanın.

  2. Oturum açmak için destek kimlik bilgilerini kullanın.

  3. Sistem sağlamlık komutunu kullanın ve tüm işlemlerin çalıştığını denetleyin.

    Sistem sağlamlık komutunun ekran görüntüsü.

Diğer herhangi bir sorun için Microsoft desteğibaşvurun.

Ön dağıtım denetim listesi

Ağ kurulumu için ihtiyaç duyduğunuz önemli bilgileri almak ve gözden geçirmek için ön dağıtım denetim listesini kullanın.

Site denetim listesi

Site dağıtımından önce bu listeyi gözden geçirin:

# Görev veya etkinlik Durum Açıklamalar
1 Cihazları sipariş edin.
2 Ağdaki alt ağların bir listesini hazırlayın.
3 Üretim ağlarının VLAN listesini sağlayın.
4 Ağdaki anahtar modellerinin bir listesini sağlayın.
5 Endüstriyel ekipmanın satıcıların ve protokollerinin bir listesini sağlayın.
6 Sensörler için ağ ayrıntılarını sağlayın (IP adresi, alt ağ, D-GW, DNS).
7 Üçüncü taraf anahtar yönetimi
8 Gerekli güvenlik duvarı kuralları ve erişim listesi oluşturun.
9 Bağlantı noktası izleme için anahtarlar üzerinde kapsayıcı bağlantı noktaları oluşturun veya ağ dokunmayı istediğiniz şekilde yapılandırın.
10 Algılayıcı gereçlerinde raf alanı hazırlayın.
11 Personel için bir iş istasyonu hazırlayın.
12 IoT raf cihazları için Defender için bir klavye, izleyici ve fare sağlayın.
13 Gereçlerden oluşan raf ve kablo.
14 Dağıtımı desteklemek için site kaynaklarını ayırın.
15 Active Directory grupları veya yerel kullanıcılar oluşturun.
16 Eğitimi ayarlayın (kendi kendine öğrenme).
17 Git veya git.
18 Dağıtım tarihini zamanlayın.
Date Not Dağıtım tarihi Not
IoT için Defender Site adı *
Name Name
Konum Konum

Mimari incelemesi

Endüstriyel ağ diyagramına genel bir bakış için, bir Defender for IoT donatımı için uygun konumu tanımlamanızı sağlayacak.

  1. Genel ağ diyagramı -endüstriyel ot ortamının genel bir ağ diyagramını görüntüleyin. Örneğin:

    Küresel ağ için endüstriyel OT ortamının diyagramı.

    Not

    IoT gereci için Defender, anahtardaki bağlantı noktaları arasındaki trafiği gösteren alt düzey bir anahtara bağlanmalıdır.

  2. Kaydedilmiş cihazlar -izlenecek yaklaşık ağ aygıtı sayısını sağlar. Azure portal IoT için aboneliğinizi Defender 'a eklerken bu bilgilere ihtiyacınız olacak. Ekleme işlemi sırasında cihaz sayısını 1000 artışlarla girmeniz istenir.

  3. (Isteğe bağlı) alt ağ listesi -üretim ağları ve açıklama (isteğe bağlı) için bir alt ağ listesi sağlayın.

    # Alt ağ adı Açıklama
    1
    2
    3
    4

  4. VLAN 'lar -ÜRETIM ağlarının VLAN listesini sağlar.

    # VLAN adı Açıklama
    1
    2
    3
    4

  5. Modelleri ve yansıtma desteğini değiştirme -anahtarların, bağlantı noktası yansıtma özelliğine sahip olduğunu doğrulamak Için, IoT Platformu için Defender 'ın bağlanması gereken anahtar modeli numaralarını belirtin:

    # Anahtar Modelleme Trafik yansıtma desteği (SPAN, RSPAN veya None)
    1
    2
    3
    4

  6. Üçüncü taraf anahtar yönetimi -bir üçüncü taraf anahtarları yönetsin mi? Y veya N

    Evet ise kim? __________________________________

    İlkeleri nelerdir? __________________________________

    Örneğin:

    • Siemens

    • Rockwell Otomasyonu – Ethernet veya IP

    • Acil son – DeltaV, omalı

  7. Seri bağlantı -ağdaki bir seri bağlantı aracılığıyla iletişim kuran cihazlar var mı? Evet veya Hayır

    Yanıt Evet ise, hangi seri iletişim protokolünü belirtin: ________________

    Yanıt Evet ise, ağ diyagramında cihazların seri protokolleriyle iletişim kurduğu ve nerede olduğu konusunda işaret ettiği durumlar:

    İşaretli seri bağlantı ile ağ diyagramınızı ekleme

  8. Hizmet kalitesi -hizmet kalitesi (QoS) için, algılayıcı varsayılan ayarı 1,5 MB/sn 'dir. Değiştirmek istediğinizi belirtin: ________________

    İş birimi (BU): ________________

  9. Site ekipmanı için algılayıcı belirtimleri

    Algılayıcı gereci, bir ağ bağdaştırıcısı aracılığıyla anahtar yayma bağlantı noktasına bağlanır. Bu, başka bir adanmış ağ bağdaştırıcısı aracılığıyla yönetim için müşterinin kurumsal ağına bağlanır.

    Şirket ağına bağlanacak algılayıcı NIC 'in adres ayrıntılarını belirtin:

    Öğe Gereç 1 Gereç 2 Gereç 3
    Gereç IP adresi
    Alt ağ
    Varsayılan ağ geçidi
    DNS
    Konak adı

  10. Idrac/ILO/sunucu yönetimi

    Öğe Gereç 1 Gereç 2 Gereç 3
    Gereç IP adresi
    Alt ağ
    Varsayılan ağ geçidi
    DNS

  11. Şirket içi yönetim konsolu

    Öğe Etkin Pasif (HA kullanırken)
    IP Adresi
    Alt ağ
    Varsayılan ağ geçidi
    DNS

  12. SNMP

    Öğe Ayrıntılar
    IP
    IP Adresi
    Kullanıcı adı
    Parola
    Kimlik doğrulaması türü MD5 veya SHA
    Şifreleme DES veya AES
    Gizli anahtar
    SNMP v2 topluluk dizesi

  13. Şirket içi yönetim konsolu SSL sertifikası

    Bir SSL sertifikası kullanmayı planlıyor musunuz? Evet veya Hayır

    Yanıt Evet ise, hangi hizmeti oluşturmak için kullanacaksınız? Sertifikaya hangi öznitelikleri dahil edersiniz (örneğin, etki alanı veya IP adresi)?

  14. SMTP kimlik doğrulaması

    Uyarıları bir e-posta sunucusuna iletmek için SMTP kullanmayı planlıyorsunuz musunuz? Evet veya Hayır

    Yanıt Evet ise, hangi kimlik doğrulama yöntemini kullanacağınızı kullanacaksınız?

  15. Active Directory veya yerel kullanıcılar

    Bir Active Directory site Kullanıcı grubu oluşturmak veya yerel kullanıcılar oluşturmak için bir Active Directory yöneticisiyle iletişim kurun. Kullanıcılarınızın dağıtım günü için hazırlamış olduğunuzdan emin olun.

  16. Ağdaki IoT cihaz türleri

    Cihaz Türü Ağdaki cihaz sayısı Ortalama bant genişliği
    Kamera
    X-ray makinesi

Sonraki adımlar

IoT yüklemesi için Defender hakkında