Vorbereiten einer OT-Standortbereitstellung
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.
Um Ihr Netzwerk vollständig zu überwachen, benötigen Sie Sichtbarkeit auf allen Endpunktgeräten in Ihrem Netzwerk. Microsoft Defender for IoT spiegelt den Datenverkehr, der sich durch Ihre Netzwerkgeräte bewegt, an Defender for IoT-Netzwerksensoren. OT-Netzwerksensoren analysieren dann Ihre Datenverkehrsdaten, lösen Warnungen aus, generieren Empfehlungen und senden Daten an Defender for IoT in Azure.
In diesem Artikel erfahren Sie, wo OT-Sensoren in Ihrem Netzwerk platziert werden sollten, damit der Datenverkehr, den Sie überwachen möchten, wie erforderlich gespiegelt wird, und wie Sie Ihren Standort für die Sensorbereitstellung vorbereiten.
Voraussetzungen
Bevor Sie die OT-Überwachung für einen bestimmten Standort planen, stellen Sie sicher, dass Sie Ihr gesamtes OT-Überwachungssystem geplant haben.
Dieser Schritt wird von Ihren Architekturteams ausgeführt.
Informationen zur Überwachungsarchitektur von Defender for IoT
Verwenden Sie die folgenden Artikel, um mehr über die Komponenten und die Architektur in Ihrem Netzwerk und im Defender for IoT-System zu erfahren:
Erstellen eines Netzwerkdiagramms
Jedes Netzwerk einer Organisation weist eine eigene Komplexität auf. Erstellen Sie ein Netzwerkübersichtsdiagramm, das alle Geräte in Ihrem Netzwerk sorgfältig auflistet, damit Sie den Datenverkehr identifizieren können, den Sie überwachen möchten.
Nutzen Sie beim Erstellen Ihres Netzwerkdiagramms die folgenden Fragen, um die verschiedenen Elemente in Ihrem Netzwerk und deren Kommunikation zu identifizieren und sich Notizen zu machen.
Allgemeine Fragen
Was sind Ihre allgemeinen Überwachungsziele?
Verfügen Sie über redundante Netzwerke, und gibt es Bereiche Ihrer Netzwerkübersicht, die nicht überwacht werden müssen und die Sie ignorieren können?
Wo liegen die Sicherheits- und Betriebsrisiken Ihres Netzwerks?
Fragen zum Netzwerk
Welche OT-Protokolle sind in überwachten Netzwerken aktiv?
Sind VLANs im Netzwerkentwurf konfiguriert?
Gibt es Routing in den überwachten Netzwerken?
Gibt es serielle Kommunikation im Netzwerk?
Wo sind Firewalls in den Netzwerken installiert, die Sie überwachen möchten?
Gibt es Datenverkehr zwischen einem ICS-Netzwerk (Industrial Control System, industrielles Steuerungssystem) und einem Unternehmensnetzwerk? Falls ja, wird dieser Datenverkehr überwacht?
Wie groß ist die physische Entfernung zwischen den Switches und der Unternehmensfirewall?
Erfolgt die Wartung des OT-Systems mit festen oder nicht stationären Geräten?
Fragen zu Switches
Kann bei einem ansonsten nicht verwalteten Switch der Datenverkehr über einen Switch einer höheren Ebene überwacht werden? Wenn Ihre OT-Architektur beispielsweise eine Ringtopologie verwendet, muss nur ein Switch im Ring überwacht werden.
Können nicht verwaltete Switches durch verwaltete Switches ersetzt werden, oder ist der Einsatz von Netzwerk-TAPs eine Option?
Können Sie das VLAN des Switches überwachen, oder ist das VLAN in einem anderen Switch sichtbar, den Sie überwachen können?
Wenn Sie einen Netzwerksensor mit dem Switch verbinden, spiegelt er die Kommunikation zwischen HMI und PLCs?
Wenn Sie einen Netzwerksensor mit dem Switch verbinden möchten, ist im Schrank des Switches physischer Rackplatz verfügbar?
Was sind die Kosten/Vorteile der Überwachung der einzelnen Switches?
Identifizieren der Geräte und Subnetze, die Sie überwachen möchten
Der Datenverkehr, den Sie überwachen und an Defender for IoT-Netzwerksensoren spiegeln möchten, ist der Datenverkehr, der aus Sicherheits- oder Betriebsperspektive für Sie am interessantesten ist.
Überprüfen Sie zusammen mit den Standortfachleuten das OT-Netzwerk, um zu definieren, wo der relevanteste Datenverkehr für die Überwachung vorhanden ist. Treffen Sie sich am besten mit den Netzwerk- und Betriebsteams, um die Erwartungen zu besprechen.
Erstellen Sie zusammen mit Ihrem Team eine Tabelle der Geräte, die Sie überwachen möchten, mit den folgenden Details:
Spezifikation | BESCHREIBUNG |
---|---|
Hersteller | Der Hersteller des Geräts |
Gerätename | Ein aussagekräftiger Name für die fortlaufende Verwendung und Referenz |
Typ | Der Gerätetyp, z. B. Switch, Router, Firewall, Zugriffspunkt usw. |
Netzwerkebene | Die Geräte, die Sie überwachen möchten, sind entweder L2- oder L3-Geräte: - L2-Geräte sind Geräte innerhalb des IP-Segments - L3-Geräte sind Geräte außerhalb des IP-Segments Geräte, die beide Ebenen unterstützen, können als L3-Geräte betrachtet werden. |
Durchquerende VLANs | Die IDs von VLANs, die das Gerät durchqueren. Überprüfen Sie beispielsweise diese VLAN-IDs, indem Sie den Betriebsmodus für die übergreifende Struktur für jedes VLAN überprüfen, um festzustellen, ob sie einen zugeordneten Port durchqueren. |
Gateway für | Die VLANs, für die das Gerät als Standardgateway fungiert. |
Netzwerkdetails | IP-Adresse, Subnetz, D-GW und DNS-Host des Geräts |
Protokolle | Auf dem Gerät verwendete Protokolle. Vergleichen Sie Ihre Protokolle mit der Liste der standardmäßig unterstützten Protokolle von Defender for IoT. |
Unterstützte Datenverkehrsspiegelung | Definieren Sie, welche Art von Datenverkehrsspiegelung von jedem Gerät unterstützt wird, z. B. SPAN, RSPAN, ERSPAN oder TAP. Verwenden Sie diese Informationen, um Methoden für die Datenverkehrsspiegelung für Ihre OT-Sensoren auszuwählen. |
Von Partnerdiensten verwaltet? | Beschreiben Sie, ob ein Partnerdienst, wie Siemens, Rockwell oder Emerson, das Gerät verwaltet. Beschreiben Sie ggf. die Verwaltungsrichtlinie. |
Serielle Verbindungen | Wenn das Gerät über eine serielle Verbindung kommuniziert, geben Sie das serielle Kommunikationsprotokoll an. |
Berechnen von Geräten in Ihrem Netzwerk
Berechnen Sie die Anzahl der Geräte an jedem Standort, damit Sie Defender for IoT-Lizenzen in der richtigen Größe erwerben können.
So berechnen Sie die Anzahl der Geräte an jedem Standort
Erfassen Sie die Gesamtanzahl von Geräten an Ihrem Standort, und addieren Sie sie.
Entfernen Sie die folgenden Geräte, die in Defender for IoT nicht als committete Geräte gelten:
- Öffentliche Internet-IP-Adressen
- Multicastgruppen
- Broadcastgruppen
- Inaktive Geräte: Geräte, bei denen seit mehr als 60 Tagen keine Netzwerkaktivität erkannt wurde
Weitere Informationen finden Sie unter Von Defender für IoT überwachte Geräte.
Planen einer Bereitstellung mit mehreren Sensoren
Wenn Sie planen, mehrere Netzwerksensoren bereitzustellen, berücksichtigen Sie bei der Platzierung der Sensoren auch die folgenden Empfehlungen:
Physisch verbundene Switches: Bei Switches, die physisch per Ethernetkabel verbunden sind, sollten Sie mindestens alle 80 Meter einen Sensor zwischen Switches planen.
Mehrere Netzwerke ohne physische Konnektivität: Wenn Sie über mehrere Netzwerke ohne physische Konnektivität verfügen, planen Sie für jedes einzelne Netzwerk mindestens einen Sensor.
Switches mit RSPAN-Unterstützung: Wenn Sie über Switches verfügen, die die RSPAN-Datenverkehrsspiegelung verwenden können, planen Sie für alle acht Switches mindestens einen Sensor mit einem lokalen SPAN-Port. Planen Sie, den Sensor so nah an den Switches zu platzieren, dass Sie sie per Kabel verbinden können.
Erstellen einer Liste von Subnetzen
Erstellen Sie basierend auf der Liste der Geräte, die Sie im gesamten Netzwerk überwachen möchten, eine aggregierte Liste der Subnetze, die Sie überwachen möchten.
Nachdem Sie Ihre Sensoren bereitgestellt haben, verwenden Sie diese Liste, um zu überprüfen, ob die aufgeführten Subnetze automatisch erkannt werden. Aktualisieren Sie die Liste bei Bedarf manuell.
Auflisten der geplanten OT-Sensoren
Nachdem Sie den Datenverkehr untersucht haben, den Sie an Defender for IoT spiegeln möchten, erstellen Sie eine vollständige Liste aller OT-Sensoren, für die Sie ein Onboarding durchführen möchten.
Listen Sie für jeden Sensor Folgendes auf:
Ob es sich bei dem Sensor um einen mit der Cloud verbundenen oder einen lokal verwalteten Sensor handelt
Für mit der Cloud verbundene Sensoren die Cloudverbindungsmethode, die Sie verwenden.
Ob Sie physische oder virtuelle Geräte für Ihre Sensoren verwenden. Berücksichtigen Sie dabei die Bandbreite, die Sie für QoS (Quality of Service) benötigen. Weitere Informationen finden Sie unter Welche Appliances benötige ich?
Den Standort und die Zone, die Sie jedem Sensor zuweisen.
Daten, die von Sensoren am selben Standort oder in derselben Zone erfasst werden, können zusammen angezeigt und von anderen Daten in Ihrem System getrennt werden. Wenn es Sensordaten gibt, die Sie gruppiert am gleichen Standort oder in derselben Zone anzeigen möchten, stellen Sie sicher, dass Sie Sensorstandorte und -zonen entsprechend zuweisen.
Die Methode für die Datenverkehrsspiegelung, die Sie für jeden Sensor verwenden.
Wenn Ihr Netzwerk mit der Zeit erweitert wird, können Sie weitere Sensoren integrieren oder Ihre vorhandenen Sensordefinitionen ändern.
Wichtig
Es wird empfohlen, die Merkmale der Geräte zu überprüfen, die von den einzelnen Sensoren erkannt werden sollen, z. B. IP- und MAC-Adressen. Geräte, die in derselben Zone mit demselben logischen Satz von Gerätemerkmalen erkannt werden, werden automatisch konsolidiert und als ein einzelnes Gerät identifiziert.
Wenn Sie beispielsweise mit mehreren Netzwerken und wiederkehrenden IP-Adressen arbeiten, sollten Sie jeden Sensor mit einer anderen Zone planen, damit Geräte ordnungsgemäß als separate und eindeutige Geräte identifiziert werden.
Weitere Informationen finden Sie unter Trennen von Zonen für wiederkehrende IP-Bereiche.
Vorbereiten lokaler Geräte
Wenn Sie virtuelle Geräte verwenden, stellen Sie sicher, dass die relevanten Ressourcen konfiguriert sind. Weitere Informationen finden Sie unter OT-Überwachung mit virtuellen Geräten.
Wenn Sie physische Geräte verwenden, stellen Sie sicher, dass Sie über die erforderliche Hardware verfügen. Sie können vorkonfigurierte Geräte kaufen oder die Installation von Software auf Ihren eigenen Geräten planen.
So kaufen Sie vorkonfigurierte Geräte
- Navigieren Sie im Azure-Portal zu Defender für IoT.
- Wählen Sie Erste Schritte>Sensor>Vorkonfigurierte Geräte kaufen>Kontakt aus.
Mit dem Link wird eine E-Mail an hardware.sales@arrow.com mit einer Vorlagenanforderung für Defender for IoT-Geräte geöffnet.
Weitere Informationen finden Sie unter Welche Appliances benötige ich?
Vorbereiten von zusätzlicher Hardware
Wenn Sie physische Geräte verwenden, stellen Sie sicher, dass für jedes physische Gerät die folgende zusätzliche Hardware verfügbar ist:
- Ein Monitor und eine Tastatur
- Platzbedarf im Rack
- AC-Strom
- Ein LAN-Kabel zum Verbinden des Verwaltungsports des Geräts mit dem Netzwerkswitch
- LAN-Kabel zum Verbinden von Spiegelports (SPAN) und Terminalzugangspunkten (Terminal Access Points, TAPs) des Netzwerks mit Ihrem Gerät
Vorbereiten von Netzwerkdetails der Geräte
Wenn Ihre Geräte bereit sind, erstellen Sie eine Liste der folgenden Details für jedes Gerät:
- IP-Adresse
- Subnet
- Standardgateway
- Hostname
- DNS-Server (optional), mit der IP-Adresse und dem Hostnamen des DNS-Servers
Vorbereiten einer Arbeitsstation für die Bereitstellung
Bereiten Sie eine Arbeitsstation vor, auf der Sie Defender for IoT-Bereitstellungsaktivitäten ausführen können. Die Arbeitsstation kann ein Windows- oder Mac-Computer mit den folgenden Anforderungen sein:
Terminalsoftware, z. B. PuTTY
Ein unterstützter Browser zum Herstellen einer Verbindung mit Sensorkonsolen und dem Azure-Portal. Weitere Informationen finden Sie unter Empfohlene Browser für das Azure-Portal.
Konfigurierte erforderliche Firewallregeln, bei denen der Zugriff für erforderliche Schnittstellen geöffnet ist. Weitere Informationen finden Sie unter Netzwerkanforderungen.
Vorbereiten der von einer Zertifizierungsstelle signierten Zertifikate
Es wird empfohlen, in Produktionsbereitstellungen Zertifikate zu verwenden, die von einer Zertifizierungsstelle signiert wurden.
Sie müssen die SSL/TLS-Zertifikatanforderungen für lokale Ressourcen kennen. Wenn Sie während der ersten Bereitstellung ein von einer Zertifizierungsstelle signiertes Zertifikat bereitstellen möchten, muss das Zertifikat vorbereitet sein.
Wenn Sie sich für die Bereitstellung mit dem integrierten, selbstsignierten Zertifikat entscheiden, empfiehlt es sich, später ein von einer Zertifizierungsstelle signiertes Zertifikat in Produktionsumgebungen bereitzustellen.
Weitere Informationen finden Sie unter: