Freigeben über

Konfigurieren der Datenverkehrsspiegelung mit einem virtuellen Hyper-V-Switch

Dieser Artikel enthält eine Reihe von Artikeln, die den Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender für IoT beschreiben.

Diagramm einer Statusanzeige mit hervorgehobener Bereitstellung auf Netzwerkebene

In diesem Artikel wird beschrieben, wie der Promiscuous-Modus in einer Hyper-V Vswitch-Umgebung als Workaround für die Konfiguration der Datenverkehrsspiegelung verwendet werden kann, ähnlich wie bei einem SPAN-Port. Ein SPAN-Port in Ihrem Switch spiegelt den lokalen Datenverkehr von Schnittstellen auf dem Switch an eine Schnittstelle auf demselben Switch.

Weitere Informationen finden Sie unter "Datenverkehrsspiegelung mit virtuellen Switches".

Voraussetzungen

Vorbereitungen:

  • Stellen Sie sicher, dass Sie Ihren Plan für die Netzwerküberwachung mit Defender for IoT und die SPAN-Ports, die Sie konfigurieren möchten, verstehen.

    Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.

  • Stellen Sie sicher, dass keine Instanz eines virtuellen Geräts ausgeführt wird.

  • Stellen Sie sicher, dass Sie Ensure SPAN am Datenport Ihres virtuellen Switches und nicht am Verwaltungsport aktiviert haben.

  • Stellen Sie sicher, dass die SPAN-Konfiguration des Datenports nicht mit einer IP-Adresse konfiguriert ist.

Erstellen eines neuen virtuellen Hyper-V-Switches zum Weiterleiten des gespiegelten Datenverkehrs an den virtuellen Computer

Erstellen eines neuen virtuellen Switches mit PowerShell

New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true

Hierbei gilt:

Parameter BESCHREIBUNG
vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches
Ethernet Name des physischen Adapters

Erfahren Sie, wie Sie einen virtuellen Switch mit Hyper-V erstellen und konfigurieren.

Erstellen eines neuen virtuellen Switches mit Hyper-V-Manager

  1. Öffnen Sie den Manager für virtuelle Switches.

  2. Wählen Sie in der Liste Virtuelle SwitchesNeuer virtueller Netzwerkswitch>Extern als dedizierten Netzwerkadaptertyp aus.

    Screenshot der Auswahl eines neuen virtuellen Netzwerks und eines externen Netzwerks vor dem Erstellen des virtuellen Switches.

  3. Wählen Sie "Virtuellen Switch erstellen" aus.

  4. Wählen Sie im Bereich "Verbindungstyp" das Externe Netzwerk aus, und stellen Sie sicher, dass die Option Zulassen des Verwaltungssystems, diesen Netzwerkadapter zu teilen ausgewählt ist. Beispiel:

    Screenshot der Option

  5. Wählen Sie "OK" aus.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch

Verwenden Sie Windows PowerShell oder Hyper-V-Manager, um eine virtuelle SPAN-Schnittstelle an den virtuellen Switch anzufügen, den Sie zuvor erstellt haben.

Wenn Sie PowerShell verwenden, definieren Sie den Namen der neu hinzugefügten Adapterhardware als Monitor. Wenn Sie Hyper-V-Manager verwenden, wird der Name der neu hinzugefügten Adapterhardware auf Network Adapter festgelegt.

Hinzufügen einer virtuellen SPAN-Schnittstelle zum virtuellen Switch mit PowerShell

  1. Wählen Sie den neu hinzugefügten virtuellen SPAN-Switch aus, den Sie zuvor erstellt haben, und führen Sie den folgenden Befehl aus, um einen neuen Netzwerkadapter hinzuzufügen:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Aktivieren Sie mit dem folgenden Befehl die Portspiegelung für die ausgewählte Schnittstelle als SPAN-Ziel:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Hierbei gilt:

    Parameter BESCHREIBUNG
    VK-C1000V-Langlauf-650 Name der virtuellen CPPM-Appliance
    vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches
    Monitor Name des neu hinzugefügten Adapters

  3. Wenn Sie fertig sind, wählen Sie "OK" aus.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch mit Hyper-V-Manager

  1. Wählen Sie unter der Hardwareliste des Hyper-V Managers netzwerkadapter aus.

  2. Wählen Sie im Feld "Virtueller Switch " vSwitch_Span aus.

    Screenshot der Auswahl der folgenden Optionen auf dem virtuellen Switch-Bildschirm.

  3. Wählen Sie in der Hardwareliste unter der Dropdownliste "Netzwerkadapter " die Option "Erweiterte Features" aus. Wählen Sie im Abschnitt "Portspiegelung " die Option "Ziel " als Spiegelungsmodus für die neue virtuelle Schnittstelle aus.

    Screenshot der für die Konfiguration des Spiegelungsmodus erforderlichen Auswahl.

  4. Wählen Sie "OK" aus.

Aktivieren der Microsoft NDIS-Aufzeichnungserweiterungen mit PowerShell

Aktivieren Sie die Unterstützung für Microsoft NDIS Capture Extensions für den virtuellen Switch, den Sie zuvor erstellt haben.

So aktivieren Sie Microsoft NDIS-Erfassungserweiterungen für Ihren neuen virtuellen Switch:

Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"

Aktivieren der Microsoft NDIS-Aufzeichnungserweiterungen mit dem Hyper-V-Manager

Aktivieren Sie die Unterstützung für Microsoft NDIS Capture Extensions für den virtuellen Switch, den Sie zuvor erstellt haben.

So aktivieren Sie Microsoft NDIS-Erfassungserweiterungen für Ihren neuen virtuellen Switch:

  1. Öffnen Sie auf dem Hyper-V-Host den Manager für virtuelle Switches.

  2. Erweitern Sie in der Liste "Virtuelle Switches" den Namen vSwitch_Span des virtuellen Switches, und wählen Sie "Erweiterungen" aus.

  3. Wählen Sie im Feld "Switch-Erweiterungen" die Option "Microsoft NDIS Capture" aus.

    Screenshot der Aktivierung von Microsoft NDIS durch Auswahl im Menü

  4. Wählen Sie "OK" aus.

Konfigurieren des Spiegelungsmodus des Switch

Konfigurieren Sie den Spiegelungsmodus auf dem zuvor erstellten virtuellen Switch so, dass der externe Port als Spiegelungsquelle definiert ist. Dazu müssen Sie den virtuellen Hyper-V-Switch (vSwitch_Span) u. a. so konfigurieren, dass der gesamte Datenverkehr, der an den externen Quellport gesendet wird, an den virtuellen Netzwerkadapter weitergeleitet wird, den Sie als Ziel konfiguriert haben.

Um den externen Port des virtuellen Switch als Quellspiegelmodus festzulegen, führen Sie Folgendes aus:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Hierbei gilt:

Parameter BESCHREIBUNG
vSwitch_Span Name des virtuellen Switches, den Sie zuvor erstellt haben
MonitorMode=2 `Source`
MonitorMode=1 Bestimmungsort
MonitorMode=0 Keine

Um den Status des Überwachungsmodus zu überprüfen, führen Sie Folgendes aus:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter BESCHREIBUNG
vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches

Konfigurieren von VLAN-Einstellungen für den Monitoradapter (falls erforderlich)

Wenn der gespiegelte Datenverkehr VLAN markiert ist, konfigurieren Sie den Monitoradapter der VM, um Datenverkehr von den gespiegelten VLANs zu akzeptieren.

Verwenden Sie diesen PowerShell-Befehl, um den Monitoradapter der VM zu aktivieren, um den überwachten Datenverkehr aus verschiedenen VLANs zu akzeptieren:

Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10

Hierbei gilt:

Parameter BESCHREIBUNG
VK-C1000V-Langlauf-650 Name der virtuellen CPPM-Appliance
1010-1020 VLAN-Bereich, aus dem der IoT-Datenverkehr gespiegelt wird
10 Native VLAN-ID der Umgebung

Erfahren Sie mehr über das PowerShell-Cmdlet "Set-VMNetworkAdapterVlan ".

Überprüfen der Datenverkehrsspiegelung

Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.

Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:

  • Überprüfen der Switchkonfiguration
  • Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
  • Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden

  1. Verwenden Sie eine Netzwerkprotokollanalyseanwendung, z. B. Wireshark, um eine PCAP-Beispieldatei für ein paar Minuten aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.

  2. Überprüfen Sie, ob Unicast-Pakete im Aufzeichnungsdatenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.

    Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.

  3. Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.

    Beispiel:

    Screenshot der Wireshark-Überprüfung.

Nächste Schritte

«OT-Sensoren für Defender for IoT einbinden

Bereitstellen von OT-Sensoren für Cloudmanagement »