إعداد نشر موقع OT
هذه المقالة هي واحدة في سلسلة من المقالات التي تصف مسار النشر لمراقبة OT مع Microsoft Defender ل IoT.
لمراقبة شبكتك بالكامل، ستحتاج إلى رؤية على جميع أجهزة نقطة النهاية في شبكتك. يعكس Microsoft Defender ل IoT نسبة استخدام الشبكة التي تنتقل عبر أجهزة الشبكة إلى مستشعرات شبكة Defender for IoT. ثم تحلل مستشعرات شبكة OT بيانات نسبة استخدام الشبكة الخاصة بك، وتشغل التنبيهات، وتنشئ توصيات، وترسل البيانات إلى Defender for IoT في Azure.
تساعدك هذه المقالة على التخطيط لمكان وضع مستشعرات OT في شبكتك بحيث يتم عكس نسبة استخدام الشبكة التي تريد مراقبتها كما هو مطلوب، وكيفية إعداد موقعك لنشر أداة الاستشعار.
المتطلبات الأساسية
قبل التخطيط لمراقبة OT لموقع معين، تأكد من أنك خططت لنظام مراقبة OT العام.
يتم تنفيذ هذه الخطوة من قبل فرق البنية الخاصة بك.
تعرف على بنية مراقبة Defender for IoT
استخدم المقالات التالية لفهم المزيد حول المكونات والهندسة في شبكتك ونظام Defender for IoT:
إنشاء رسم تخطيطي للشبكة
سيكون لشبكة كل مؤسسة تعقيدها الخاص. إنشاء رسم تخطيطي لخريطة الشبكة يسرد بدقة جميع الأجهزة في شبكتك بحيث يمكنك تحديد نسبة استخدام الشبكة التي تريد مراقبتها.
أثناء إنشاء الرسم التخطيطي للشبكة، استخدم الأسئلة التالية لتحديد العناصر المختلفة في شبكتك وكيفية اتصالها وتدوينها.
General questions
ما هي أهداف المراقبة الشاملة الخاصة بك؟
هل لديك أي شبكات زائدة عن الحاجة، وهل هناك مناطق من خريطة الشبكة لا تحتاج إلى مراقبة ويمكنك تجاهلها؟
أين توجد المخاطر الأمنية والتشغيلية لشبكتك؟
أسئلة الشبكة
ما البروتوكولات النشطة على الشبكات المراقبة؟
هل تم تكوين شبكات VLAN في تصميم الشبكة؟
هل هناك أي توجيه في الشبكات المراقبة؟
هل هناك أي اتصال تسلسلي في الشبكة؟
أين يتم تثبيت جدران الحماية في الشبكات التي تريد مراقبتها؟
هل هناك نسبة استخدام الشبكة بين شبكة التحكم الصناعي (ICS) وشبكة الأعمال والمؤسسة؟ إذا كان الأمر كذلك، هل تتم مراقبة نسبة استخدام الشبكة هذه؟
ما المسافة الفعلية بين مفاتيح التبديل وجدار حماية المؤسسة؟
هل تتم صيانة نظام OT مع الأجهزة الثابتة أو العابرة؟
تبديل الأسئلة
إذا كان مفتاح التبديل غير مدار بطريقة أخرى، فهل يمكنك مراقبة نسبة استخدام الشبكة من مفتاح تبديل عالي المستوى؟ على سبيل المثال، إذا كانت بنية OT تستخدم مخطط حلقة، فإن مفتاح تبديل واحد فقط في الحلقة يحتاج إلى المراقبة.
هل يمكن استبدال مفاتيح تبديل مدارة بمفاتيح التبديل غير المدارة، أم أن استخدام TAPs للشبكة اختياري؟
هل يمكنك مراقبة VLAN الخاص بالتبديل، أو هل VLAN مرئي في مفتاح تبديل آخر يمكنك مراقبته؟
إذا قمت بتوصيل مستشعر شبكة بالتبديل، هل سيعكس الاتصال بين HMI وPLCs؟
إذا كنت ترغب في توصيل مستشعر شبكة بالتبديل، هل هناك مساحة حامل فعلية متوفرة في خزانة المفتاح؟
ما هي تكلفة/فائدة مراقبة كل مفتاح تبديل؟
تحديد الأجهزة والشبكات الفرعية التي تريد مراقبتها
نسبة استخدام الشبكة التي تريد مراقبتها وعكسها إلى مستشعرات شبكة Defender for IoT هي نسبة استخدام الشبكة الأكثر إثارة للاهتمام بالنسبة لك من منظور أمني أو تشغيلي.
راجع الرسم التخطيطي لشبكة OT مع مهندسي الموقع لتحديد المكان الذي ستجد فيه حركة المرور الأكثر صلة للمراقبة. نوصي بالاجتماع مع كل من فرق الشبكة والتشغيل لتوضيح التوقعات.
مع فريقك، أنشئ جدولا للأجهزة التي تريد مراقبتها بالتفاصيل التالية:
| تخصيص | الوصف |
|---|---|
| المورد | بائع تصنيع الجهاز |
| اسم الجهاز | اسم ذي معنى للاستخدام والمرجع المستمرين |
| النوع | نوع الجهاز، مثل: التبديلوالموجهوجدار الحمايةونقطة الوصول وما إلى ذلك |
| طبقة الشبكة | الأجهزة التي ستحتاج إلى مراقبتها هي إما أجهزة L2 أو L3: - أجهزة L2 هي أجهزة داخل مقطع IP - أجهزة L3 هي أجهزة خارج مقطع IP يمكن اعتبار الأجهزة التي تدعم كلتا الطبقتين أجهزة L3. |
| عبور شبكات VLAN | معرفات أي شبكات VLAN التي تعبر الجهاز. على سبيل المثال، تحقق من معرفات VLAN هذه عن طريق التحقق من وضع عملية شجرة الامتداد على كل VLAN لمعرفة ما إذا كانت تعبر منفذا مقترنا. |
| بوابة ل | شبكات VLAN التي يعمل الجهاز كبوابة افتراضية لها. |
| تفاصيل الشبكة | عنوان IP الخاص بالجهاز والشبكة الفرعية وD-GW ومضيف DNS |
| البروتوكولات | البروتوكولات المستخدمة على الجهاز. قارن بروتوكولاتك بقائمة بروتوكولات Defender for IoT المدعومة الجاهزة. |
| النسخ المتطابق لنسبة استخدام الشبكة المدعومة | حدد نوع النسخ المتطابق لنسبة استخدام الشبكة الذي يدعمه كل جهاز، مثل SPAN أو RSPAN أو ERSPAN أو TAP. استخدم هذه المعلومات لاختيار أساليب النسخ المتطابق لنسبة استخدام الشبكة لأجهزة استشعار OT. |
| هل تتم إدارتها بواسطة خدمات الشركاء؟ | وصف ما إذا كانت خدمة شريكة، مثل Siemens أو Rockwell أو Emerson، تدير الجهاز. إذا كان ذلك مناسبا، فصف نهج الإدارة. |
| الاتصالات التسلسلية | إذا كان الجهاز يتصل عبر اتصال تسلسلي، فحدد بروتوكول الاتصال التسلسلي. |
تخطيط توزيع متعدد المستشعرات
إذا كنت تخطط لنشر أجهزة استشعار شبكة متعددة، ففكر أيضا في التوصيات التالية عند تحديد مكان وضع أدوات الاستشعار الخاصة بك:
مفاتيح التبديل المتصلة فعليا: بالنسبة للتبديلات المتصلة فعليا بواسطة كبل Ethernet، تأكد من التخطيط لمستشعر واحد على الأقل لكل 80 مترا من المسافة بين المفاتيح.
شبكات متعددة بدون اتصال فعلي: إذا كان لديك شبكات متعددة دون أي اتصال فعلي بينها، فخطط لمستشعر واحد على الأقل لكل شبكة فردية
مفاتيح التبديل مع دعم RSPAN: إذا كان لديك مفاتيح تبديل يمكنها استخدام النسخ المتطابق لنسبة استخدام الشبكة RSPAN، فخطط لمستشعر واحد على الأقل لكل ثمانية مفاتيح تبديل، مع منفذ SPAN محلي. خطط لوضع أداة الاستشعار بالقرب بما فيه الكفاية من مفاتيح التبديل بحيث يمكنك توصيلها بواسطة الكبل.
إنشاء قائمة بالشبكات الفرعية
أنشئ قائمة مجمعة بالشبكات الفرعية التي تريد مراقبتها، استنادا إلى قائمة الأجهزة التي تريد مراقبتها عبر شبكتك بأكملها.
بعد نشر أدوات الاستشعار الخاصة بك، ستستخدم هذه القائمة للتحقق من اكتشاف الشبكات الفرعية المدرجة تلقائيا، وتحديث القائمة يدويا حسب الحاجة.
سرد مستشعرات OT المخطط لها
بعد فهم نسبة استخدام الشبكة التي تريد عكسها إلى Defender for IoT، قم بإنشاء قائمة كاملة بجميع مستشعرات OT التي ستقوم بإلحاقها.
لكل أداة استشعار، قم بإدراج:
ما إذا كان المستشعر سيكون مستشعرا متصلا بالسحابة أو مدارا محليا
بالنسبة لأجهزة الاستشعار المتصلة بالسحابة، فإن أسلوب اتصال السحابة الذي ستستخدمه.
سواء كنت ستستخدم الأجهزة الفعلية أو الظاهرية لأجهزة الاستشعار الخاصة بك، مع مراعاة النطاق الترددي الذي ستحتاج إليه لجودة الخدمة (QoS). لمزيد من المعلومات، راجع ما هي الأجهزة التي أحتاجها؟
الموقع والمنطقة التي ستقوم بتعيينها لكل أداة استشعار.
يمكن عرض البيانات التي يتم استيعابها من أدوات الاستشعار في نفس الموقع أو المنطقة معا، وتقسيمها من بيانات أخرى في النظام الخاص بك. إذا كانت هناك بيانات أداة استشعار تريد عرضها مجمعة معا في نفس الموقع أو المنطقة، فتأكد من تعيين مواقع الاستشعار والمناطق وفقا لذلك.
طريقة النسخ المتطابق لنسبة استخدام الشبكة التي ستستخدمها لكل أداة استشعار
مع توسع شبكتك في الوقت المناسب، يمكنك إلحاق المزيد من أدوات الاستشعار أو تعديل تعريفات أداة الاستشعار الموجودة لديك.
هام
نوصي بالتحقق من خصائص الأجهزة التي تتوقع أن يكتشفها كل مستشعر، مثل عناوين IP وMAC. يتم دمج الأجهزة التي يتم اكتشافها في نفس المنطقة بنفس المجموعة المنطقية من خصائص الجهاز تلقائيا ويتم تعريفها على أنها نفس الجهاز.
على سبيل المثال، إذا كنت تعمل مع شبكات متعددة وعناوين IP متكررة، فتأكد من تخطيط كل مستشعر بمنطقة مختلفة بحيث يتم تعريف الأجهزة بشكل صحيح كأجهزة منفصلة وفريدة.
لمزيد من المعلومات، راجع فصل المناطق لنطاقات IP المتكررة.
إعداد الأجهزة المحلية
إذا كنت تستخدم الأجهزة الظاهرية، فتأكد من تكوين الموارد ذات الصلة. لمزيد من المعلومات، راجع مراقبة OT باستخدام الأجهزة الظاهرية.
إذا كنت تستخدم أجهزة فعلية، فتأكد من أن لديك الأجهزة المطلوبة. يمكنك شراء أجهزة تم تكوينها مسبقا، أو التخطيط لتثبيت البرامج على أجهزتك الخاصة.
لشراء أجهزة تم تكوينها مسبقا:
- في مدخل Microsoft Azure، انتقل إلى Defender for IoT.
- حدد Getting started>Sensor>Buy preconfifigured appliance>Contact.
يفتح الارتباط رسالة بريد إلكتروني إلى hardware.sales@arrow.comمع طلب قالب لأجهزة Defender for IoT.
لمزيد من المعلومات، راجع ما هي الأجهزة التي أحتاجها؟
إعداد الأجهزة المساعدة
إذا كنت تستخدم أجهزة فعلية، فتأكد من توفر الأجهزة الإضافية التالية لكل جهاز فعلي:
- جهاز عرض ولوحة مفاتيح
- مساحة الحامل
- طاقة التيار المتردد
- كبل LAN لتوصيل منفذ إدارة الجهاز بمفتاح تبديل الشبكة
- كبلات LAN لتوصيل منافذ المرآة (SPAN) ونقاط الوصول إلى محطة الشبكة (TAPs) بجهازك
إعداد تفاصيل شبكة الجهاز
عندما تكون أجهزتك جاهزة، قم بعمل قائمة بالتفاصيل التالية لكل جهاز:
- عنوان IP
- الشبكة الفرعية
- البوابة الافتراضية
- اسم المضيف
- خادم DNS (اختياري)، مع عنوان IP لخادم DNS واسم المضيف
إعداد محطة عمل التوزيع
قم بإعداد محطة عمل حيث يمكنك تشغيل Defender لأنشطة توزيع IoT. يمكن أن تكون محطة العمل جهاز Windows أو Mac، مع المتطلبات التالية:
البرامج الطرفية، مثل PuTTY
مستعرض مدعوم للاتصال بوحدات تحكم المستشعر ومدخل Azure. لمزيد من المعلومات، راجع المستعرضات الموصى بها لمدخل Azure.
تم تكوين قواعد جدار الحماية المطلوبة، مع فتح الوصول للواجهات المطلوبة. لمزيد من المعلومات، راجع متطلبات الشبكة.
إعداد الشهادات الموقعة على CA
نوصي باستخدام الشهادات الموقعة من CA في عمليات توزيع الإنتاج.
تأكد من فهم متطلبات شهادة SSL/TLS للموارد المحلية. إذا كنت ترغب في نشر شهادة موقعة من CA أثناء النشر الأولي، فتأكد من إعداد الشهادة.
إذا قررت النشر باستخدام الشهادة المضمنة الموقعة ذاتيا، نوصي بنشر شهادة موقعة من قبل المرجع المصدق في بيئات الإنتاج لاحقا.
لمزيد من المعلومات، راجع:
الخطوات التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ