Datenverkehrsspiegelungsmethoden für die OT-Überwachung
In diesem Artikel werden unterstützte Datenverkehrsspiegelungsmethoden für die OT-Überwachung mit Microsoft Defender for IoT vorgestellt.
Um sicherzustellen, dass Defender for IoT nur Datenverkehr analysiert, den Sie überwachen möchten, empfiehlt es sich, die Datenverkehrsspiegelung auf einem Switch oder Terminalzugangspunkt (Terminal Access Point, TAP) zu konfigurieren, der nur industriellen ICS- und SCADA-Datenverkehr umfasst.
Hinweis
SPAN und RSPAN sind Cisco-Terminologie. Switches anderer Marken weisen ähnliche Funktionalität auf, verwenden aber möglicherweise eine abweichende Terminologie.
Unterstützte Spiegelungsmethoden
Die Entscheidung, welche Datenverkehrsspiegelungsmethode verwendet werden soll, hängt von Ihrer Netzwerkkonfiguration sowie von den Anforderungen Ihrer Organisation ab.
Von Defender for IoT werden folgende Methoden unterstützt:
| Methode | BESCHREIBUNG |
|---|---|
| Ein Switch-SPAN-Port | Spiegelt den lokalen Datenverkehr von Schnittstellen auf dem Switch an eine andere Schnittstelle auf dem gleichen Switch. |
| RSPAN-Port (Remote SPAN) | Spiegelt Datenverkehr von mehreren verteilten Quellports in ein dediziertes Remote-VLAN. |
| ERSPAN (Encapsulated Remote Switched Port Analyzer) | Spiegelt Eingabeschnittstellen an die Überwachungsschnittstelle Ihres OT-Sensors. |
| Aktive oder passive Aggregation (TAP) | Bei dieser Methode wird ein TAP für aktive oder passive Aggregation inline in Ihrem Netzwerkkabel installiert, um Datenverkehr an den OT-Netzwerksensor zu duplizieren. Dies ist die beste Methode für die forensische Überwachung. |
| Ein ESXi-vSwitch | Spiegelt Datenverkehr unter Verwendung des Promiscuous-Modus auf einem ESXi-vSwitch. |
| Ein Hyper-V-vSwitch | Spiegelt Datenverkehr unter Verwendung des Promiscuous-Modus auf einem Hyper-V-vSwitch. |
Empfehlungen zum Portbereich der Spiegelung
Es empfiehlt sich, die Datenverkehrsspiegelung von allen Ports Ihres Switchs zu konfigurieren, auch wenn keine Daten mit ihnen verbunden sind. Andernfalls können nicht autorisierte Geräte später eine Verbindung mit einem nicht überwachten Port herstellen, ohne von den Netzwerksensoren von Defender for IoT erkannt zu werden.
Konfigurieren Sie bei OT-Netzwerken, die Broadcast- oder Multicastnachrichten verwenden, die Datenverkehrsspiegelung nur für eingehende Übertragungen (RX). Multicastnachrichten werden für alle relevanten aktiven Ports wiederholt und beanspruchen unnötig Bandbreite.
Nächste Schritte
Weitere Informationen finden Sie unter: