مشاركة عبر

التحكم في حركة مرور OT التي يراقبها Microsoft Defender for IoT

  • مقالة

هذه المقالة هي واحدة في سلسلة من المقالات التي تصف مسار النشر لمراقبة OT مع Microsoft Defender ل IoT.

Diagram of a progress bar with Fine-tune OT monitoring highlighted.

تعمل مستشعرات شبكة Microsoft Defender ل IoT OT تلقائيا على تشغيل الكشف العميق عن الحزم لحركة مرور تكنولوجيا المعلومات وOT، وحل بيانات جهاز الشبكة، مثل سمات الجهاز وسلوكه.

بعد تثبيت مستشعر شبكة OT وتنشيطه وتكوينه، استخدم الأدوات الموضحة في هذه المقالة لتحليل نسبة استخدام الشبكة التي تم اكتشافها تلقائيا، وإضافة شبكات فرعية إضافية إذا لزم الأمر، والتحكم في معلومات نسبة استخدام الشبكة المضمنة في Defender لتنبيهات IoT.

المتطلبات الأساسية

قبل تنفيذ الإجراءات الواردة في هذه المقالة، يجب أن يكون لديك:

يتم تنفيذ هذه الخطوة من قبل فرق النشر الخاصة بك.

تحليل التوزيع الخاص بك

بعد إعداد مستشعر شبكة OT جديد إلى Microsoft Defender for IoT، تحقق من نشر أداة الاستشعار بشكل صحيح عن طريق تحليل نسبة استخدام الشبكة التي تتم مراقبتها.

لتحليل شبكتك:

  1. سجل الدخول إلى مستشعر OT كمستخدم مسؤول وحدد System settings>Basic>Deployment.

  2. حدد Analyze. يبدأ التحليل، وتظهر علامة تبويب لكل واجهة تتم مراقبتها بواسطة المستشعر. تعرض كل علامة تبويب الشبكات الفرعية التي تم اكتشافها بواسطة الواجهة المشار إليها. على سبيل المثال:

    Screenshot of the Deployment settings page.

  3. تعرض كل علامة تبويب واجهة التفاصيل التالية:

    • الاتصال الحالة، المشار إليها بواسطة أيقونة اتصال باللون الأخضر أو الأحمر في اسم علامة التبويب. على سبيل المثال، في الصورة أعلاه، تظهر واجهة eth1 باللون الأخضر، وبالتالي تكون متصلة.
    • العدد الإجمالي للشبكات الفرعية والشبكات الظاهرية المكتشفة، المعروضة في أعلى علامة التبويب.
    • البروتوكولات المكتشفة على كل شبكة فرعية.
    • عدد العناوين أحادية البث التي تم اكتشافها لكل شبكة فرعية.
    • ما إذا تم الكشف عن نسبة استخدام الشبكة للبث لكل شبكة فرعية، مما يشير إلى شبكة محلية.

  4. انتظر حتى يكتمل التحليل، ثم تحقق من كل علامة تبويب واجهة لفهم ما إذا كانت الواجهة تراقب نسبة استخدام الشبكة ذات الصلة، أو تحتاج إلى مزيد من الضبط الدقيق.

إذا لم تكن نسبة استخدام الشبكة المعروضة على صفحة النشر كما تتوقع، فقد تحتاج إلى ضبط عملية التوزيع عن طريق تغيير موقع المستشعر في الشبكة، أو التحقق من توصيل واجهات المراقبة بشكل صحيح. إذا قمت بإجراء أي تغييرات وتريد تحليل حركة المرور مرة أخرى لمعرفة ما إذا كان قد تم تحسينها، فحدد Analyze مرة أخرى لمشاهدة حالة المراقبة المحدثة.

ضبط قائمة الشبكة الفرعية

بعد تحليل حركة المرور التي يراقبها جهاز الاستشعار الخاص بك ويضبط التوزيع، قد تحتاج إلى ضبط قائمة الشبكة الفرعية بشكل أكبر. استخدم هذا الإجراء للتأكد من تكوين الشبكات الفرعية بشكل صحيح.

بينما يتعلم مستشعر OT تلقائيا الشبكات الفرعية للشبكة أثناء النشر الأولي، نوصي بتحليل نسبة استخدام الشبكة المكتشفة وتحديثها حسب الحاجة لتحسين طرق عرض الخريطة ومخزون الجهاز.

استخدم هذا الإجراء أيضا لتعريف إعدادات الشبكة الفرعية، وتحديد كيفية عرض الأجهزة في خريطة جهاز المستشعر ومخزون جهاز Azure.

  • في خريطة الجهاز، يتم تجميع أجهزة تكنولوجيا المعلومات تلقائيا بواسطة الشبكة الفرعية، حيث يمكنك توسيع كل طريقة عرض شبكة فرعية وطيها للتنقل لأسفل حسب الحاجة.
  • في مخزون جهاز Azure، بمجرد تكوين الشبكات الفرعية، استخدم عامل تصفية موقع الشبكة (المعاينة العامة) لعرض الأجهزة المحلية أو التي تم توجيهها كما هو محدد في قائمة الشبكات الفرعية. يتم عرض جميع الأجهزة المقترنة بالشبكات الفرعية المدرجة كشبكات محلية، بينما سيتم عرض الأجهزة المقترنة بالشبكات الفرعية المكتشفة غير المضمنة في القائمة على أنها تم توجيهها.

بينما يتعلم مستشعر شبكة OT تلقائيا الشبكات الفرعية في شبكتك، نوصي بتأكيد الإعدادات المستفادة وتحديثها حسب الحاجة لتحسين طرق عرض الخريطة ومخزون الجهاز. يتم التعامل مع أي شبكات فرعية غير مدرجة كشبكات فرعية كشبكات خارجية.

تلميح

عندما تكون مستعدا لبدء إدارة إعدادات مستشعر OT على نطاق واسع، حدد الشبكات الفرعية من مدخل Microsoft Azure. بمجرد تطبيق الإعدادات من مدخل Microsoft Azure، تكون الإعدادات على وحدة تحكم المستشعر للقراءة فقط. لمزيد من المعلومات، راجع تكوين إعدادات مستشعر OT من مدخل Microsoft Azure (معاينة عامة).

لضبط الشبكات الفرعية المكتشفة:

  1. سجل الدخول إلى مستشعر OT كمستخدم مسؤول وحدد System settings>Basic>Subnets. على سبيل المثال:

    Screenshot of the Subnets page in the OT sensor settings.

  2. تحديث الشبكات الفرعية المدرجة باستخدام أي من الخيارات التالية:

    الاسم ‏‏الوصف
    استيراد الشبكات الفرعية استيراد . ملف CSV لتعريفات الشبكة الفرعية. يتمّ تحديث معلومات الشبكة الفرعية بالمعلومات التي قمت باستيرادها. إذا قمت باستيراد حقل فارغ، فستفقد البيانات الموجودة في هذا الحقل.
    تصدير الشبكات الفرعية تصدير الشبكات الفرعية المدرجة حاليا إلى . ملف CSV.
    مسح الكل مسح كافة الشبكات الفرعية المعرفة حاليا.
    التعلم التلقائي للشبكة الفرعية محدد بشكل افتراضي. قم بإلغاء تحديد هذا الخيار لمنع المستشعر من الكشف عن الشبكات الفرعية تلقائيا.
    حل جميع حركة مرور الإنترنت على أنها داخلية/خاصة حدد للنظر في جميع عناوين IP العامة كعناوين محلية خاصة. إذا تم تحديدها، يتم التعامل مع عناوين IP العامة كعناوين محلية، ولا يتم إرسال التنبيهات حول نشاط الإنترنت غير المصرح به.

    يقلل هذا الخيار من الإعلامات والتنبيهات المستلمة حول العناوين الخارجية.
    عنوان IP تعريف عنوان IP للشبكة الفرعية.
    قناع تعريف قناع IP للشبكة الفرعية.
    الاسم نوصي بإدخال اسم ذي معنى يحدد دور شبكة الشبكة الفرعية. يمكن أن تحتوي أسماء الشبكة الفرعية على ما يصل إلى 60 حرفا.
    فصل حدد لإظهار هذه الشبكة الفرعية بشكل منفصل عند عرض مخطط الجهاز وفقا لمستوى Purdue.
    إزالة الشبكة الفرعية حدد لإزالة أي شبكات فرعية غير مرتبطة بمجال شبكة IoT/OT.

    في شبكة الشبكة الفرعية، يتم التعرف على الشبكات الفرعية التي تم وضع علامة عليها كشبكة فرعية ICS كشبكات OT. هذا الخيار للقراءة فقط في هذه الشبكة، ولكن يمكنك تعريف شبكة فرعية يدويا ك ICS إذا لم يتم التعرف على شبكة فرعية OT بشكل صحيح.

  3. عند الانتهاء، حدد حفظ لحفظ التحديثات.

تلميح

بمجرد تعطيل إعداد تعلم الشبكة الفرعية التلقائية وتحرير قائمة الشبكة الفرعية لتضمين الشبكات الفرعية المراقبة محليا فقط الموجودة في نطاق IoT/OT الخاص بك، يمكنك تصفية مخزون جهاز Azure حسب موقع الشبكة لعرض الأجهزة المعرفة على أنها محلية فقط. لمزيد من المعلومات، راجع عرض مخزون الجهاز.

تعريف شبكة فرعية يدويا ك ICS

إذا كان لديك شبكة فرعية OT لم يتم وضع علامة عليها تلقائيا كشبكة فرعية ل ICS بواسطة المستشعر، فحرر نوع الجهاز لأي من الأجهزة الموجودة في الشبكة الفرعية ذات الصلة إلى نوع جهاز ICS أو IoT. ثم سيتم وضع علامة تلقائيا على الشبكة الفرعية بواسطة المستشعر كشبكة فرعية ICS.

إشعار

لتغيير الشبكة الفرعية يدويا ليتم وضع علامة عليها ك ICS، قم بتغيير نوع الجهاز في مخزون الجهاز في مستشعر OT. في مدخل Microsoft Azure، يتم وضع علامة على الشبكات الفرعية في قائمة الشبكة الفرعية ك ICS بشكل افتراضي في إعدادات المستشعر.

لتغيير نوع الجهاز لتحديث الشبكة الفرعية يدويا:

  1. سجل الدخول إلى وحدة تحكم مستشعر OT وانتقل إلى مخزون الجهاز.

  2. في شبكة مخزون الجهاز، حدد جهازا من الشبكة الفرعية ذات الصلة، ثم حدد تحرير في شريط الأدوات في أعلى الصفحة.

  3. في الحقل النوع ، حدد نوع جهاز من القائمة المنسدلة المدرجة ضمن ICS أو IoT.

سيتم الآن وضع علامة على الشبكة الفرعية كشبكة فرعية ICS في المستشعر.

للمزيد من المعلومات، راجع تفاصيل تحرير الجهاز.

تخصيص المنفذ وأسماء VLAN

استخدم الإجراءات التالية لإثراء بيانات الجهاز المعروضة في Defender for IoT عن طريق تخصيص أسماء المنفذ وVLAN على مستشعرات شبكة OT.

على سبيل المثال، قد تحتاج إلى تعيين اسم لمنفذ غير مقدم يظهر نشاطا عاليا بشكل غير عادي لاستدعائه، أو لتعيين اسم إلى رقم VLAN من أجل تعريفه بشكل أسرع.

إشعار

بالنسبة لأجهزة الاستشعار المتصلة بالسحابة، قد تبدأ في النهاية في تكوين إعدادات أداة استشعار OT من مدخل Microsoft Azure. بمجرد البدء في تكوين الإعدادات من مدخل Microsoft Azure، تكون أجزاء تسمية VLANs والمنفذ على مستشعرات OT للقراءة فقط. لمزيد من المعلومات، راجع تكوين إعدادات مستشعر OT من مدخل Microsoft Azure.

تخصيص أسماء المنافذ المكتشفة

يقوم Defender for IoT تلقائيا بتعيين الأسماء لمعظم المنافذ المحجوزة عالميا، مثل DHCP أو HTTP. ومع ذلك، قد تحتاج إلى تخصيص اسم منفذ معين لتمييزه، مثل عندما تشاهد منفذا بنشاط عالي الكشف بشكل غير عادي.

يتم عرض أسماء المنافذ في Defender for IoT عند عرض مجموعات الأجهزة من خريطة جهاز مستشعر OT، أو عند إنشاء تقارير مستشعر OT التي تتضمن معلومات المنفذ.

لتخصيص اسم منفذ:

  1. سجل الدخول إلى مستشعر OT كمستخدم مسؤول.

  2. حدد System settings ، ثم ضمن Network monitoring، حدد Port Naming.

  3. في جزء تسمية المنفذ الذي يظهر، أدخل رقم المنفذ الذي تريد تسميته وبروتوكول المنفذ واسم ذي معنى. تتضمن قيم البروتوكول المدعومة: TCP وUDP و BOTH.

  4. حدد + إضافة منفذ لتخصيص منفذ آخر، واحفظ عند الانتهاء.

تخصيص اسم VLAN

يتم اكتشاف شبكات VLAN تلقائيا بواسطة مستشعر شبكة OT أو إضافتها يدويا. لا يمكن تحرير شبكات VLAN المكتشفة تلقائيا أو حذفها، ولكن تتطلب شبكات VLAN المضافة يدويا اسما فريدا. إذا لم تتم تسمية VLAN بشكل صريح، يتم عرض رقم VLAN بدلا من ذلك.

يعتمد دعم VLAN على 802.1q (حتى معرف VLAN 4094).

إشعار

لا تتم مزامنة أسماء VLAN بين مستشعر شبكة OT ووحدة تحكم الإدارة المحلية. إذا كنت ترغب في عرض أسماء VLAN المخصصة على وحدة تحكم الإدارة المحلية، فحدد أسماء VLAN هناك أيضا.

لتكوين أسماء VLAN على مستشعر شبكة OT:

  1. سجل الدخول إلى مستشعر OT كمستخدم مسؤول.

  2. حدد System الإعدادات ثم، ضمن Network monitoring، حدد VLAN Naming.

  3. في جزء تسمية VLAN الذي يظهر، أدخل معرف VLAN واسم VLAN فريدا. يمكن أن تحتوي أسماء VLAN على ما يصل إلى 50 حرفاً من أحرف ASCII.

  4. حدد + Add VLAN لتخصيص VLAN آخر، واحفظ عند الانتهاء.

  5. بالنسبة إلى مفاتيح Cisco: أضف monitor session 1 destination interface XX/XX encapsulation dot1q الأمر إلى تكوين منفذ SPAN، حيث XX/XX هو اسم المنفذ ورقمه.

تكوين نطاق عناوين DHCP

قد تتكون شبكة OT من عناوين IP ثابتة وديناميكية.

  • عادة ما يتم العثور على عناوين ثابتة على شبكات OT من خلال المؤرخين ووحدات التحكم وأجهزة البنية الأساسية للشبكة مثل المحولات وأجهزة التوجيه.
  • عادة ما يتم تنفيذ تخصيص IP الديناميكي على شبكات الضيوف مع أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر الشخصية والهواتف الذكية والمعدات المحمولة الأخرى، باستخدام اتصالات Wi-Fi أو LAN المادية في مواقع مختلفة.

إذا كنت تعمل مع الشبكات الديناميكية، فأنت بحاجة إلى معالجة تغييرات عناوين IP عند حدوثها، عن طريق تحديد نطاقات عناوين DHCP على كل مستشعر شبكة OT. عند تعريف عنوان IP كعنوان DHCP، يحدد Defender for IoT أي نشاط يحدث على نفس الجهاز، بغض النظر عن تغييرات عنوان IP.

لتعريف نطاقات عناوين DHCP:

  1. سجل الدخول إلى مستشعر OT وحدد System settings>Network monitoring>DHCP Ranges.

  2. قم بأحد الإجراءات التالية:

    • لإضافة نطاق واحد، حدد + إضافة نطاق وأدخل نطاق عنوان IP واسما اختياريا للنطاق الخاص بك.
    • لإضافة نطاقات متعددة، قم بإنشاء . ملف CSV مع أعمدة لبيانات من وإلى والاسم لكل نطاق من النطاقات. حدد استيراد لاستيراد الملف إلى مستشعر OT. قيم النطاق المستوردة من . يقوم ملف CSV بالكتابة فوق أي بيانات نطاق تم تكوينها حاليا لجهاز الاستشعار الخاص بك.
    • لتصدير النطاقات المكونة حاليا إلى . ملف CSV، حدد تصدير.
    • لمسح كافة النطاقات المكونة حاليا، حدد مسح الكل.

    يمكن أن تحتوي أسماء النطاقات على ما يصل إلى 256 حرفا.

  3. حدد حفظ لحفظ التغييرات الخاصة بك.

تكوين عوامل تصفية نسبة استخدام الشبكة (متقدمة)

لتقليل تعب التنبيه وتركيز مراقبة الشبكة على نسبة استخدام الشبكة ذات الأولوية العالية، قد تقرر تصفية نسبة استخدام الشبكة التي تتدفق إلى Defender for IoT في المصدر. يتم تكوين عوامل تصفية الالتقاط عبر CLI أداة استشعار OT، وتسمح لك بحظر نسبة استخدام الشبكة ذات النطاق الترددي العالي في طبقة الأجهزة، ما يؤدي إلى تحسين أداء الجهاز واستخدام الموارد.

لمزيد من المعلومات، راجع:

الخطوات التالية

« تكوين إعدادات الوكيل على مستشعر OT

التحقق من مخزون الجهاز المكتشف وتحديثه »