Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Reihe von Artikeln, die den Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender für IoT beschreiben.
In diesem Artikel wird beschrieben, wie der Promiscuous-Modus in einer Hyper-V Vswitch-Umgebung als Workaround für die Konfiguration der Datenverkehrsspiegelung verwendet werden kann, ähnlich wie bei einem SPAN-Port. Ein SPAN-Port in Ihrem Switch spiegelt den lokalen Datenverkehr von Schnittstellen auf dem Switch an eine Schnittstelle auf demselben Switch.
Weitere Informationen finden Sie unter "Datenverkehrsspiegelung mit virtuellen Switches".
Voraussetzungen
Vorbereitungen:
Stellen Sie sicher, dass Sie Ihren Plan für die Netzwerküberwachung mit Defender for IoT und die SPAN-Ports, die Sie konfigurieren möchten, verstehen.
Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.
Stellen Sie sicher, dass keine Instanz eines virtuellen Geräts ausgeführt wird.
Stellen Sie sicher, dass Sie Ensure SPAN am Datenport Ihres virtuellen Switches und nicht am Verwaltungsport aktiviert haben.
Stellen Sie sicher, dass die SPAN-Konfiguration des Datenports nicht mit einer IP-Adresse konfiguriert ist.
Erstellen eines neuen virtuellen Hyper-V-Switches zum Weiterleiten des gespiegelten Datenverkehrs an den virtuellen Computer
Erstellen eines neuen virtuellen Switches mit PowerShell
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Hierbei gilt:
Parameter | BESCHREIBUNG |
---|---|
vSwitch_Span | Name des neu hinzugefügten virtuellen SPAN-Switches |
Ethernet | Name des physischen Adapters |
Erfahren Sie, wie Sie einen virtuellen Switch mit Hyper-V erstellen und konfigurieren.
Erstellen eines neuen virtuellen Switches mit Hyper-V-Manager
Öffnen Sie den Manager für virtuelle Switches.
Wählen Sie in der Liste Virtuelle SwitchesNeuer virtueller Netzwerkswitch>Extern als dedizierten Netzwerkadaptertyp aus.
Wählen Sie "Virtuellen Switch erstellen" aus.
Wählen Sie im Bereich "Verbindungstyp" das Externe Netzwerk aus, und stellen Sie sicher, dass die Option Zulassen des Verwaltungssystems, diesen Netzwerkadapter zu teilen ausgewählt ist. Beispiel:
Wählen Sie "OK" aus.
Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch
Verwenden Sie Windows PowerShell oder Hyper-V-Manager, um eine virtuelle SPAN-Schnittstelle an den virtuellen Switch anzufügen, den Sie zuvor erstellt haben.
Wenn Sie PowerShell verwenden, definieren Sie den Namen der neu hinzugefügten Adapterhardware als Monitor
. Wenn Sie Hyper-V-Manager verwenden, wird der Name der neu hinzugefügten Adapterhardware auf Network Adapter
festgelegt.
Hinzufügen einer virtuellen SPAN-Schnittstelle zum virtuellen Switch mit PowerShell
Wählen Sie den neu hinzugefügten virtuellen SPAN-Switch aus, den Sie zuvor erstellt haben, und führen Sie den folgenden Befehl aus, um einen neuen Netzwerkadapter hinzuzufügen:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
Aktivieren Sie mit dem folgenden Befehl die Portspiegelung für die ausgewählte Schnittstelle als SPAN-Ziel:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
Hierbei gilt:
Parameter BESCHREIBUNG VK-C1000V-Langlauf-650 Name der virtuellen CPPM-Appliance vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches Monitor Name des neu hinzugefügten Adapters Wenn Sie fertig sind, wählen Sie "OK" aus.
Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch mit Hyper-V-Manager
Wählen Sie unter der Hardwareliste des Hyper-V Managers netzwerkadapter aus.
Wählen Sie im Feld "Virtueller Switch " vSwitch_Span aus.
Wählen Sie in der Hardwareliste unter der Dropdownliste "Netzwerkadapter " die Option "Erweiterte Features" aus. Wählen Sie im Abschnitt "Portspiegelung " die Option "Ziel " als Spiegelungsmodus für die neue virtuelle Schnittstelle aus.
Wählen Sie "OK" aus.
Aktivieren der Microsoft NDIS-Aufzeichnungserweiterungen mit PowerShell
Aktivieren Sie die Unterstützung für Microsoft NDIS Capture Extensions für den virtuellen Switch, den Sie zuvor erstellt haben.
So aktivieren Sie Microsoft NDIS-Erfassungserweiterungen für Ihren neuen virtuellen Switch:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Aktivieren der Microsoft NDIS-Aufzeichnungserweiterungen mit dem Hyper-V-Manager
Aktivieren Sie die Unterstützung für Microsoft NDIS Capture Extensions für den virtuellen Switch, den Sie zuvor erstellt haben.
So aktivieren Sie Microsoft NDIS-Erfassungserweiterungen für Ihren neuen virtuellen Switch:
Öffnen Sie auf dem Hyper-V-Host den Manager für virtuelle Switches.
Erweitern Sie in der Liste "Virtuelle Switches" den Namen
vSwitch_Span
des virtuellen Switches, und wählen Sie "Erweiterungen" aus.Wählen Sie im Feld "Switch-Erweiterungen" die Option "Microsoft NDIS Capture" aus.
Wählen Sie "OK" aus.
Konfigurieren des Spiegelungsmodus des Switch
Konfigurieren Sie den Spiegelungsmodus auf dem zuvor erstellten virtuellen Switch so, dass der externe Port als Spiegelungsquelle definiert ist. Dazu müssen Sie den virtuellen Hyper-V-Switch (vSwitch_Span) u. a. so konfigurieren, dass der gesamte Datenverkehr, der an den externen Quellport gesendet wird, an den virtuellen Netzwerkadapter weitergeleitet wird, den Sie als Ziel konfiguriert haben.
Um den externen Port des virtuellen Switch als Quellspiegelmodus festzulegen, führen Sie Folgendes aus:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Hierbei gilt:
Parameter | BESCHREIBUNG |
---|---|
vSwitch_Span | Name des virtuellen Switches, den Sie zuvor erstellt haben |
MonitorMode=2 | `Source` |
MonitorMode=1 | Bestimmungsort |
MonitorMode=0 | Keine |
Um den Status des Überwachungsmodus zu überprüfen, führen Sie Folgendes aus:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter | BESCHREIBUNG |
---|---|
vSwitch_Span | Name des neu hinzugefügten virtuellen SPAN-Switches |
Konfigurieren von VLAN-Einstellungen für den Monitoradapter (falls erforderlich)
Wenn der gespiegelte Datenverkehr VLAN markiert ist, konfigurieren Sie den Monitoradapter der VM, um Datenverkehr von den gespiegelten VLANs zu akzeptieren.
Verwenden Sie diesen PowerShell-Befehl, um den Monitoradapter der VM zu aktivieren, um den überwachten Datenverkehr aus verschiedenen VLANs zu akzeptieren:
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Hierbei gilt:
Parameter | BESCHREIBUNG |
---|---|
VK-C1000V-Langlauf-650 | Name der virtuellen CPPM-Appliance |
1010-1020 | VLAN-Bereich, aus dem der IoT-Datenverkehr gespiegelt wird |
10 | Native VLAN-ID der Umgebung |
Erfahren Sie mehr über das PowerShell-Cmdlet "Set-VMNetworkAdapterVlan ".
Überprüfen der Datenverkehrsspiegelung
Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.
Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:
- Überprüfen der Switchkonfiguration
- Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
- Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden
Verwenden Sie eine Netzwerkprotokollanalyseanwendung, z. B. Wireshark, um eine PCAP-Beispieldatei für ein paar Minuten aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.
Überprüfen Sie, ob Unicast-Pakete im Aufzeichnungsdatenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.
Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.
Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.
Beispiel: