Freigeben über


Vorbereiten einer OT-Standortbereitstellung

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.

Diagramm einer Statusleiste mit hervorgehobenem Text „Planung und Vorbereitung“.

Um Ihr Netzwerk vollständig zu überwachen, benötigen Sie Sichtbarkeit auf allen Endpunktgeräten in Ihrem Netzwerk. Microsoft Defender for IoT spiegelt den Datenverkehr, der sich durch Ihre Netzwerkgeräte bewegt, an Defender for IoT-Netzwerksensoren. OT-Netzwerksensoren analysieren dann Ihre Datenverkehrsdaten, lösen Warnungen aus, generieren Empfehlungen und senden Daten an Defender for IoT in Azure.

In diesem Artikel erfahren Sie, wo OT-Sensoren in Ihrem Netzwerk platziert werden sollten, damit der Datenverkehr, den Sie überwachen möchten, wie erforderlich gespiegelt wird, und wie Sie Ihren Standort für die Sensorbereitstellung vorbereiten.

Voraussetzungen

Bevor Sie die OT-Überwachung für einen bestimmten Standort planen, stellen Sie sicher, dass Sie Ihr gesamtes OT-Überwachungssystem geplant haben.

Dieser Schritt wird von Ihren Architekturteams ausgeführt.

Informationen zur Überwachungsarchitektur von Defender for IoT

Verwenden Sie die folgenden Artikel, um mehr über die Komponenten und die Architektur in Ihrem Netzwerk und im Defender for IoT-System zu erfahren:

Erstellen eines Netzwerkdiagramms

Jedes Netzwerk einer Organisation weist eine eigene Komplexität auf. Erstellen Sie ein Netzwerkübersichtsdiagramm, das alle Geräte in Ihrem Netzwerk sorgfältig auflistet, damit Sie den Datenverkehr identifizieren können, den Sie überwachen möchten.

Nutzen Sie beim Erstellen Ihres Netzwerkdiagramms die folgenden Fragen, um die verschiedenen Elemente in Ihrem Netzwerk und deren Kommunikation zu identifizieren und sich Notizen zu machen.

Allgemeine Fragen

  • Was sind Ihre allgemeinen Überwachungsziele?

  • Verfügen Sie über redundante Netzwerke, und gibt es Bereiche Ihrer Netzwerkübersicht, die nicht überwacht werden müssen und die Sie ignorieren können?

  • Wo liegen die Sicherheits- und Betriebsrisiken Ihres Netzwerks?

Fragen zum Netzwerk

  • Welche OT-Protokolle sind in überwachten Netzwerken aktiv?

  • Sind VLANs im Netzwerkentwurf konfiguriert?

  • Gibt es Routing in den überwachten Netzwerken?

  • Gibt es serielle Kommunikation im Netzwerk?

  • Wo sind Firewalls in den Netzwerken installiert, die Sie überwachen möchten?

  • Gibt es Datenverkehr zwischen einem ICS-Netzwerk (Industrial Control System, industrielles Steuerungssystem) und einem Unternehmensnetzwerk? Falls ja, wird dieser Datenverkehr überwacht?

  • Wie groß ist die physische Entfernung zwischen den Switches und der Unternehmensfirewall?

  • Erfolgt die Wartung des OT-Systems mit festen oder nicht stationären Geräten?

Fragen zu Switches

  • Kann bei einem ansonsten nicht verwalteten Switch der Datenverkehr über einen Switch einer höheren Ebene überwacht werden? Wenn Ihre OT-Architektur beispielsweise eine Ringtopologie verwendet, muss nur ein Switch im Ring überwacht werden.

  • Können nicht verwaltete Switches durch verwaltete Switches ersetzt werden, oder ist der Einsatz von Netzwerk-TAPs eine Option?

  • Können Sie das VLAN des Switches überwachen, oder ist das VLAN in einem anderen Switch sichtbar, den Sie überwachen können?

  • Wenn Sie einen Netzwerksensor mit dem Switch verbinden, spiegelt er die Kommunikation zwischen HMI und PLCs?

  • Wenn Sie einen Netzwerksensor mit dem Switch verbinden möchten, ist im Schrank des Switches physischer Rackplatz verfügbar?

  • Was sind die Kosten/Vorteile der Überwachung der einzelnen Switches?

Identifizieren der Geräte und Subnetze, die Sie überwachen möchten

Der Datenverkehr, den Sie überwachen und an Defender for IoT-Netzwerksensoren spiegeln möchten, ist der Datenverkehr, der aus Sicherheits- oder Betriebsperspektive für Sie am interessantesten ist.

Überprüfen Sie zusammen mit den Standortfachleuten das OT-Netzwerk, um zu definieren, wo der relevanteste Datenverkehr für die Überwachung vorhanden ist. Treffen Sie sich am besten mit den Netzwerk- und Betriebsteams, um die Erwartungen zu besprechen.

Erstellen Sie zusammen mit Ihrem Team eine Tabelle der Geräte, die Sie überwachen möchten, mit den folgenden Details:

Spezifikation BESCHREIBUNG
Hersteller Der Hersteller des Geräts
Gerätename Ein aussagekräftiger Name für die fortlaufende Verwendung und Referenz
Typ Der Gerätetyp, z. B. Switch, Router, Firewall, Zugriffspunkt usw.
Netzwerkebene Die Geräte, die Sie überwachen möchten, sind entweder L2- oder L3-Geräte:
- L2-Geräte sind Geräte innerhalb des IP-Segments
- L3-Geräte sind Geräte außerhalb des IP-Segments

Geräte, die beide Ebenen unterstützen, können als L3-Geräte betrachtet werden.
Durchquerende VLANs Die IDs von VLANs, die das Gerät durchqueren. Überprüfen Sie beispielsweise diese VLAN-IDs, indem Sie den Betriebsmodus für die übergreifende Struktur für jedes VLAN überprüfen, um festzustellen, ob sie einen zugeordneten Port durchqueren.
Gateway für Die VLANs, für die das Gerät als Standardgateway fungiert.
Netzwerkdetails IP-Adresse, Subnetz, D-GW und DNS-Host des Geräts
Protokolle Auf dem Gerät verwendete Protokolle. Vergleichen Sie Ihre Protokolle mit der Liste der standardmäßig unterstützten Protokolle von Defender for IoT.
Unterstützte Datenverkehrsspiegelung Definieren Sie, welche Art von Datenverkehrsspiegelung von jedem Gerät unterstützt wird, z. B. SPAN, RSPAN, ERSPAN oder TAP.

Verwenden Sie diese Informationen, um Methoden für die Datenverkehrsspiegelung für Ihre OT-Sensoren auszuwählen.
Von Partnerdiensten verwaltet? Beschreiben Sie, ob ein Partnerdienst, wie Siemens, Rockwell oder Emerson, das Gerät verwaltet. Beschreiben Sie ggf. die Verwaltungsrichtlinie.
Serielle Verbindungen Wenn das Gerät über eine serielle Verbindung kommuniziert, geben Sie das serielle Kommunikationsprotokoll an.

Berechnen von Geräten in Ihrem Netzwerk

Berechnen Sie die Anzahl der Geräte an jedem Standort, damit Sie Defender for IoT-Lizenzen in der richtigen Größe erwerben können.

So berechnen Sie die Anzahl der Geräte an jedem Standort

  1. Erfassen Sie die Gesamtanzahl von Geräten an Ihrem Standort, und addieren Sie sie.

  2. Entfernen Sie die folgenden Geräte, die in Defender for IoT nicht als committete Geräte gelten:

    • Öffentliche Internet-IP-Adressen
    • Multicastgruppen
    • Broadcastgruppen
    • Inaktive Geräte: Geräte, bei denen seit mehr als 60 Tagen keine Netzwerkaktivität erkannt wurde

Weitere Informationen finden Sie unter Von Defender für IoT überwachte Geräte.

Planen einer Bereitstellung mit mehreren Sensoren

Wenn Sie planen, mehrere Netzwerksensoren bereitzustellen, berücksichtigen Sie bei der Platzierung der Sensoren auch die folgenden Empfehlungen:

  • Physisch verbundene Switches: Bei Switches, die physisch per Ethernetkabel verbunden sind, sollten Sie mindestens alle 80 Meter einen Sensor zwischen Switches planen.

  • Mehrere Netzwerke ohne physische Konnektivität: Wenn Sie über mehrere Netzwerke ohne physische Konnektivität verfügen, planen Sie für jedes einzelne Netzwerk mindestens einen Sensor.

  • Switches mit RSPAN-Unterstützung: Wenn Sie über Switches verfügen, die die RSPAN-Datenverkehrsspiegelung verwenden können, planen Sie für alle acht Switches mindestens einen Sensor mit einem lokalen SPAN-Port. Planen Sie, den Sensor so nah an den Switches zu platzieren, dass Sie sie per Kabel verbinden können.

Erstellen einer Liste von Subnetzen

Erstellen Sie basierend auf der Liste der Geräte, die Sie im gesamten Netzwerk überwachen möchten, eine aggregierte Liste der Subnetze, die Sie überwachen möchten.

Nachdem Sie Ihre Sensoren bereitgestellt haben, verwenden Sie diese Liste, um zu überprüfen, ob die aufgeführten Subnetze automatisch erkannt werden. Aktualisieren Sie die Liste bei Bedarf manuell.

Auflisten der geplanten OT-Sensoren

Nachdem Sie den Datenverkehr untersucht haben, den Sie an Defender for IoT spiegeln möchten, erstellen Sie eine vollständige Liste aller OT-Sensoren, für die Sie ein Onboarding durchführen möchten.

Listen Sie für jeden Sensor Folgendes auf:

Wenn Ihr Netzwerk mit der Zeit erweitert wird, können Sie weitere Sensoren integrieren oder Ihre vorhandenen Sensordefinitionen ändern.

Wichtig

Es wird empfohlen, die Merkmale der Geräte zu überprüfen, die von den einzelnen Sensoren erkannt werden sollen, z. B. IP- und MAC-Adressen. Geräte, die in derselben Zone mit demselben logischen Satz von Gerätemerkmalen erkannt werden, werden automatisch konsolidiert und als ein einzelnes Gerät identifiziert.

Wenn Sie beispielsweise mit mehreren Netzwerken und wiederkehrenden IP-Adressen arbeiten, sollten Sie jeden Sensor mit einer anderen Zone planen, damit Geräte ordnungsgemäß als separate und eindeutige Geräte identifiziert werden.

Weitere Informationen finden Sie unter Trennen von Zonen für wiederkehrende IP-Bereiche.

Vorbereiten lokaler Geräte

  • Wenn Sie virtuelle Geräte verwenden, stellen Sie sicher, dass die relevanten Ressourcen konfiguriert sind. Weitere Informationen finden Sie unter OT-Überwachung mit virtuellen Geräten.

  • Wenn Sie physische Geräte verwenden, stellen Sie sicher, dass Sie über die erforderliche Hardware verfügen. Sie können vorkonfigurierte Geräte kaufen oder die Installation von Software auf Ihren eigenen Geräten planen.

    So kaufen Sie vorkonfigurierte Geräte

    1. Navigieren Sie im Azure-Portal zu Defender für IoT.
    2. Wählen Sie Erste Schritte>Sensor>Vorkonfigurierte Geräte kaufen>Kontakt aus.

    Mit dem Link wird eine E-Mail an hardware.sales@arrow.com mit einer Vorlagenanforderung für Defender for IoT-Geräte geöffnet.

Weitere Informationen finden Sie unter Welche Appliances benötige ich?

Vorbereiten von zusätzlicher Hardware

Wenn Sie physische Geräte verwenden, stellen Sie sicher, dass für jedes physische Gerät die folgende zusätzliche Hardware verfügbar ist:

  • Ein Monitor und eine Tastatur
  • Platzbedarf im Rack
  • AC-Strom
  • Ein LAN-Kabel zum Verbinden des Verwaltungsports des Geräts mit dem Netzwerkswitch
  • LAN-Kabel zum Verbinden von Spiegelports (SPAN) und Terminalzugangspunkten (Terminal Access Points, TAPs) des Netzwerks mit Ihrem Gerät

Vorbereiten von Netzwerkdetails der Geräte

Wenn Ihre Geräte bereit sind, erstellen Sie eine Liste der folgenden Details für jedes Gerät:

  • IP-Adresse
  • Subnet
  • Standardgateway
  • Hostname
  • DNS-Server (optional), mit der IP-Adresse und dem Hostnamen des DNS-Servers

Vorbereiten einer Arbeitsstation für die Bereitstellung

Bereiten Sie eine Arbeitsstation vor, auf der Sie Defender for IoT-Bereitstellungsaktivitäten ausführen können. Die Arbeitsstation kann ein Windows- oder Mac-Computer mit den folgenden Anforderungen sein:

  • Terminalsoftware, z. B. PuTTY

  • Ein unterstützter Browser zum Herstellen einer Verbindung mit Sensorkonsolen und dem Azure-Portal. Weitere Informationen finden Sie unter Empfohlene Browser für das Azure-Portal.

  • Konfigurierte erforderliche Firewallregeln, bei denen der Zugriff für erforderliche Schnittstellen geöffnet ist. Weitere Informationen finden Sie unter Netzwerkanforderungen.

Vorbereiten der von einer Zertifizierungsstelle signierten Zertifikate

Es wird empfohlen, in Produktionsbereitstellungen Zertifikate zu verwenden, die von einer Zertifizierungsstelle signiert wurden.

Sie müssen die SSL/TLS-Zertifikatanforderungen für lokale Ressourcen kennen. Wenn Sie während der ersten Bereitstellung ein von einer Zertifizierungsstelle signiertes Zertifikat bereitstellen möchten, muss das Zertifikat vorbereitet sein.

Wenn Sie sich für die Bereitstellung mit dem integrierten, selbstsignierten Zertifikat entscheiden, empfiehlt es sich, später ein von einer Zertifizierungsstelle signiertes Zertifikat in Produktionsumgebungen bereitzustellen.

Weitere Informationen finden Sie unter:

Nächste Schritte