OT izleme için IoT için Defender'ı dağıtma

Bu makalede, OT izlemesi için IoT için Defender'ı dağıtmak için gereken üst düzey adımlar açıklanmaktadır. Daha fazla ayrıntı için ilgili çapraz başvurular da dahil olmak üzere aşağıdaki bölümlerde her dağıtım adımı hakkında daha fazla bilgi edinin.

Aşağıdaki görüntüde, her aşamadan sorumlu ekiple birlikte uçtan uca OT izleme dağıtım yolundaki aşamalar gösterilmektedir.

Ekipler ve iş unvanları farklı kuruluşlar arasında farklılık gösterse de, tüm IoT için Defender dağıtımları ağınızın ve altyapınızın farklı alanlarından sorumlu kişiler arasında iletişim gerektirir.

İpucu

İşlemdeki her adım farklı bir zaman alabilir. Örneğin, bir OT algılayıcı etkinleştirme dosyasının indirilmesi beş dakika, trafik izlemenin yapılandırılması ise kuruluşunuzun işlemlerine bağlı olarak günler, hatta haftalar sürebilir.

Sonraki adıma geçmeden önce her adım için işlemin tamamlanacağını beklemeden başlatmanızı öneririz. Tamamlanmasını sağlamak için devam eden adımları takip etmeye devam edin.

Önkoşullar

OT izleme dağıtımınızı planlamaya başlamadan önce bir Azure aboneliğiniz ve IoT için Defender'a eklenmiş bir OT planınız olduğundan emin olun.

Daha fazla bilgi için bkz. IoT denemesi için Microsoft Defender başlatma.

Planlama ve hazırlama

Aşağıdaki görüntüde planlama ve hazırlama aşamasında yer alan adımlar gösterilmektedir. Planlama ve hazırlama adımları mimari ekipleriniz tarafından işlenir.

OT izleme sisteminizi planlama

İzleme sisteminizle ilgili temel ayrıntıları planlayın, örneğin:

• Siteler ve bölgeler: Dünyanın her yanındaki konumları temsil ebilen siteleri ve bölgeleri kullanarak izlemek istediğiniz ağı nasıl segmentlere ayırmaya karar verin.

• Algılayıcı yönetimi: Buluta bağlı mı yoksa havayla kaplı, yerel olarak yönetilen OT algılayıcıları mı yoksa her ikisinin de hibrit sistemini mi kullanacağınıza karar verin. Buluta bağlı algılayıcılar kullanıyorsanız, doğrudan veya ara sunucu aracılığıyla bağlanma gibi bir bağlantı yöntemi seçin.

• Kullanıcılar ve roller: Her algılayıcıda ihtiyacınız olacak kullanıcı türlerinin ve her etkinlik için ihtiyaç duyacakları rollerin listesi.

Daha fazla bilgi için bkz. IoT için Defender ile OT izleme sisteminizi planlama.

İpucu

Yerel olarak yönetilen birkaç algılayıcı kullanıyorsanız merkezi görünürlük ve yönetim için bir şirket içi yönetim konsolu da dağıtmak isteyebilirsiniz.

OT sitesi dağıtımına hazırlanma

Sisteminizde planlanan her site için şu ek ayrıntıları tanımlayın:

• Ağ diyagramı. İzlemek istediğiniz tüm cihazları belirleyin ve iyi tanımlanmış bir alt ağ listesi oluşturun. Algılayıcılarınızı dağıttıktan sonra, izlemek istediğiniz tüm alt ağların IoT için Defender kapsamında olduğunu doğrulamak için bu listeyi kullanın.

• Algılayıcı listesi: İhtiyacınız olacak OT algılayıcılarının ve bunların ağınızda nereye yerleştirileceğine ilişkin bir liste oluşturmak için izlemek istediğiniz trafik, alt ağlar ve cihazların listesini kullanın.

• Trafik yansıtma yöntemleri: Span bağlantı noktası veya TAP gibi her OT algılayıcısı için bir trafik yansıtma yöntemi seçin.

• Gereçler: Planladığınız ot algılayıcılarının her biri için bir dağıtım iş istasyonu ve kullanmakta olduğunuz tüm donanım veya VM gereçlerini hazırlayın. Önceden yapılandırılmış gereçler kullanıyorsanız, bunları sıraladığınızdan emin olun.

Daha fazla bilgi için bkz . OT site dağıtımı hazırlama.

Algılayıcıları Azure'a ekleme

Aşağıdaki görüntüde, ekleme algılayıcıları fazında yer alan adım gösterilmektedir. Algılayıcılar dağıtım ekipleriniz tarafından Azure'a eklenir.

OT algılayıcılarını Azure portal

IoT için Defender'a planladığınız kadar OT algılayıcısı ekleme. Her OT algılayıcısı için sağlanan etkinleştirme dosyalarını indirdiğinizden ve bunları algılayıcı makinelerinizden erişilebilecek bir konuma kaydettiğinizden emin olun.

Daha fazla bilgi için bkz. IoT için Defender'a OT algılayıcıları ekleme.

Site ağı kurulumu

Aşağıdaki görüntüde, site ağı kurulum tümceciğine dahil edilen adımlar gösterilmektedir. Site ağı adımları bağlantı ekipleriniz tarafından işlenir.

Ağınızda trafik yansıtmayı yapılandırma

Ağınızdaki OT algılayıcılarını dağıtacağınız ve trafiği IoT için Defender'a yansıtacağınız yerlerde trafik yansıtmayı yapılandırmak için daha önce oluşturduğunuz planları kullanın.

Daha fazla bilgi için bkz.

• SPAN anahtar bağlantı noktasıyla yansıtmayı yapılandırma
• Uzak SPAN (RSPAN) bağlantı noktasıyla trafik yansıtmayı yapılandırma
• Etkin veya pasif toplamayı yapılandırma (TAP)
• Algılayıcının izleme arabirimlerini güncelleştirme (ERSPAN'ı yapılandırma)
• ESXi vSwitch ile trafik yansıtmayı yapılandırma
• Hyper-V vSwitch ile trafik yansıtmayı yapılandırma

Bulut yönetimi için sağlama

OT algılayıcı gereçlerinizin Azure bulutundaki IoT için Defender'a erişebildiğinden emin olmak için tüm güvenlik duvarı kurallarını yapılandırın. Ara sunucu aracılığıyla bağlanmayı planlıyorsanız, bu ayarları yalnızca algılayıcınızı yükledikten sonra yapılandıracaksınız.

Doğrudan algılayıcı konsolunda veya bir şirket içi yönetim konsolu aracılığıyla havayla eşlenmesi ve yerel olarak yönetilmesi planlanan ot algılayıcıları için bu adımı atlayın.

Daha fazla bilgi için bkz . Bulut yönetimi için OT algılayıcıları sağlama.

OT algılayıcılarınızı dağıtma

Aşağıdaki görüntüde algılayıcı dağıtım aşamasına dahil edilen adımlar gösterilmektedir. OT algılayıcıları dağıtım ekibiniz tarafından dağıtılır ve etkinleştirilir.

OT algılayıcılarınızı yükleme

IoT için Defender yazılımını kendi gereçlerinize yüklüyorsanız, yükleme yazılımını Azure portal indirin ve OT algılayıcı gerecinize yükleyin.

OT algılayıcı yazılımınızı yükledikten sonra yüklemeyi ve yapılandırmayı doğrulamak için birkaç denetim çalıştırın.

Daha fazla bilgi için bkz.

• OT algılayıcılarına OT izleme yazılımı yükleme
• OT algılayıcı yazılım yüklemesini doğrulama

Önceden yapılandırılmış gereçler satın alıyorsanız bu adımları atlayın.

OT algılayıcılarınızı ve ilk kurulumu etkinleştirin

Ağ ayarlarını onaylamak, algılayıcıyı etkinleştirmek ve SSH/TLS sertifikalarını uygulamak için bir ilk kurulum sihirbazı kullanın.

Daha fazla bilgi için bkz. OT algılayıcınızı yapılandırma ve etkinleştirme.

Ara sunucu bağlantılarını yapılandırma

Algılayıcılarınızı buluta bağlamak için ara sunucu kullanmaya karar verdiyseniz ara sunucunuzu ayarlayın ve algılayıcınızdaki ayarları yapılandırın. Daha fazla bilgi için bkz. OT algılayıcıda ara sunucu ayarlarını yapılandırma.

Aşağıdaki durumlarda bu adımı atlayın:

• Ara sunucu olmadan doğrudan Azure'a bağlandığınız tüm OT algılayıcıları için
• Doğrudan algılayıcı konsolunda veya bir şirket içi yönetim konsolu aracılığıyla havadan eşlenmesi ve yerel olarak yönetilmesi planlanan tüm algılayıcılar için.

İsteğe bağlı ayarları yapılandırma

OT algılayıcınızdaki şirket içi kullanıcıları yönetmek ve SNMP aracılığıyla algılayıcı sistem durumunu izlemek için bir Active Directory bağlantısı yapılandırmanızı öneririz.

Bu ayarları dağıtım sırasında yapılandırmazsanız, daha sonra döndürebilir ve yapılandırabilirsiniz.

Daha fazla bilgi için bkz.

• OT sensöründe SNMP MIB izlemesini ayarlama
• Active Directory bağlantısı yapılandırma

OT izlemesini ayarlama ve hassas ayarlama

Aşağıdaki görüntüde, yeni dağıtılan algılayıcınızla OT izlemesini ayarlama ve hassas ayarlama adımları gösterilmektedir. Kalibrasyon ve ince ayar etkinlikleri dağıtım ekibiniz tarafından gerçekleştirilir.

Algılayıcınızda OT izlemeyi denetleme

Varsayılan olarak OT algılayıcınız, izlemek istediğiniz ağları tam olarak algılamayabilir veya bunları tam olarak görüntülenmesini istediğiniz şekilde tanımlamayabilir. Alt ağları doğrulamak ve el ile yapılandırmak, bağlantı noktası ve VLAN adlarını özelleştirmek ve gerektiğinde DHCP adres aralıklarını yapılandırmak için daha önce oluşturduğunuz listeleri kullanın.

Daha fazla bilgi için bkz. IoT için Microsoft Defender tarafından izlenen OT trafiğini denetleme.

Algılanan cihaz envanterinizi doğrulama ve güncelleştirme

Cihazlarınız tam olarak algılandıktan sonra cihaz envanterini gözden geçirin ve cihaz ayrıntılarını gerektiği gibi değiştirin. Örneğin, birleştirilebilen yinelenen cihaz girdilerini, değiştirilecek cihaz türlerini veya diğer özellikleri ve daha fazlasını tanımlayabilirsiniz.

Daha fazla bilgi için bkz. Algılanan cihaz envanterinizi doğrulama ve güncelleştirme.

Ağ temeli oluşturmak için OT uyarılarını öğrenin

OT algılayıcınız tarafından tetiklenen uyarılar, düzenli olarak yoksaymak isteyeceğiniz birkaç uyarı veya yetkili trafik olarak Learn içerebilir.

İlk önceliklendirme olarak sisteminizdeki tüm uyarıları gözden geçirin. Bu adım, IoT için Defender'ın ilerlemeyle çalışması için bir ağ trafiği temeli oluşturur.

Daha fazla bilgi için bkz. OT uyarılarının öğrenilen bir temelini oluşturma.

Temel öğrenme sona eriyor

Yeni trafik algılandığında ve işlenmeyen uyarılarınız olduğu sürece OT algılayıcılarınız Öğrenme modunda kalır.

Temel öğrenme sona erdiğinde OT izleme dağıtım işlemi tamamlanır ve sürekli izleme için işlem modunda devam edersiniz. İşlem modunda, temel verilerinizden farklı olan tüm etkinlikler bir uyarı tetikler.

İpucu

IoT için Defender'daki geçerli uyarıların ağ trafiğinizi doğru yansıttığını ve öğrenme modunun otomatik olarak sona ermediğini düşünüyorsanız öğrenme modunu el ile kapatın.

IoT için Defender verilerini SIEM'inize bağlama

IoT için Defender dağıtıldıktan sonra Güvenlik bilgileri ve olay yönetimi (SIEM) platformunuz ve mevcut SOC iş akışları ve araçlarınızla IoT için Defender'ı tümleştirerek güvenlik uyarıları gönderin ve OT/IoT olaylarını yönetin. Microsoft Sentinel ile tümleştirerek ve IoT çözümü için kullanıma hazır Microsoft Defender yararlanarak veya diğer SIEM sistemlerine iletme kuralları oluşturarak IoT için Defender uyarılarını kurumsal SIEM'inizle tümleştirin. IoT için Defender, Microsoft Sentinel'in yanı sıra Splunk, IBM QRadar, LogRhythm, Fortinet ve daha fazlası gibi çok çeşitli SIEM sistemleriyle kullanıma hazır bir şekilde tümleşir.

Daha fazla bilgi için bkz.

• Kurumsal SOC'lerde OT tehdit izleme
• Öğretici: Microsoft Sentinel ile IoT için Microsoft Defender bağlama
• Şirket içi OT ağ algılayıcılarını Microsoft Sentinel'e bağlama
• Microsoft ve iş ortağı hizmetleriyle tümleştirmeler
• IoT için Stream Defender bulut uyarılarını bir iş ortağı SIEM'sine aktar

IoT için Defender uyarılarını bir SIEM ile tümleştirdikten sonra, OT/IoT uyarılarını kullanıma hazır hale getirmek ve bunları mevcut SOC iş akışlarınız ve araçlarınızla tam olarak tümleştirmek için aşağıdaki adımları öneririz:

• Belirli OT gereksinimlerinize ve ortamınıza göre izlemek istediğiniz ilgili IoT/OT güvenlik tehditlerini ve SOC olaylarını belirleyin ve tanımlayın.

• SIEM'de algılama kuralları ve önem derecesi düzeyleri oluşturun. Yalnızca ilgili olaylar tetiklenerek gereksiz gürültü azaltılır. Örneğin, yetkisiz cihazlardan veya çalışma saatleri dışında gerçekleştirilen PLC kod değişikliklerini, bu uyarının yüksek uygunluk nedeniyle yüksek önem derecesinde bir olay olarak tanımlarsınız.

  Microsoft Sentinel'de IoT için Microsoft Defender çözümü, özellikle IoT için Defender verileri için oluşturulan ve Sentinel'de oluşturulan olaylarda ince ayar yapmanızı sağlayan bir dizi kullanıma hazır algılama kuralı içerir.

• Azaltma için uygun iş akışını tanımlayın ve her kullanım örneği için otomatik araştırma playbook'ları oluşturun. Microsoft Sentinel'de IoT için Microsoft Defender çözümü, IoT için Defender uyarılarına otomatik yanıt vermek için kullanıma hazır playbook'ları içerir.

Sonraki adımlar

OT izleme sistemi dağıtım adımlarını anladığınıza göre artık başlamaya hazırsınız!

IoT için Defender ile OT izleme sisteminizi planlama »