Konfigurieren der Datenverkehrsspiegelung mit einem Hyper-V-vSwitch

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender für IoT beschrieben wird.

Diagramm einer Statusanzeige mit hervorgehobener Bereitstellung auf Netzwerkebene.

In diesem Artikel wird beschrieben, wie Sie den Promiscuous-Modus in einer Hyper-V-VSwitch-Umgebung als Problemumgehung für die Konfiguration der Datenverkehrsspiegelung verwenden, ähnlich wie bei einem SPAN-Port. Ein SPAN-Port auf Ihrem Switch spiegelt den lokalen Datenverkehr von Schnittstellen auf dem Switch zu einer anderen Schnittstelle auf demselben Switch.

Weitere Informationen finden Sie unter Datenverkehrsspiegelung mit virtuellen Switches.

Voraussetzungen

Bevor Sie beginnen:

  • Stellen Sie sicher, dass Sie Ihren Plan für die Netzwerküberwachung mit Defender für IoT und die SPAN-Ports kennen, die Sie konfigurieren möchten.

    Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.

  • Stellen Sie sicher, dass keine instance eines virtuellen Anwendung ausgeführt wird.

  • Stellen Sie sicher, dass Sie "Span sicherstellen" für den Datenport Ihres virtuellen Switches und nicht für den Verwaltungsport aktiviert haben.

  • Stellen Sie sicher, dass die SPAN-Konfiguration des Datenports nicht mit einer IP-Adresse konfiguriert ist.

Erstellen eines neuen virtuellen Hyper-V-Switches zum Weiterleiten des gespiegelten Datenverkehrs an den virtuellen Computer

Erstellen eines neuen virtuellen Switches mit PowerShell

New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true

Dabei gilt:

Parameter Beschreibung
vSwitch_Span Neu hinzugefügter Name des virtuellen SPAN-Switches
Ethernet Name des physischen Adapters

Erfahren Sie, wie Sie einen virtuellen Switch mit Hyper-V erstellen und konfigurieren.

Erstellen eines neuen virtuellen Switches mit Hyper-V-Manager

  1. Öffnen Sie den Virtual Switch Manager.

  2. Wählen Sie in der Liste Virtuelle Switchesdie Option Neuer virtueller Netzwerkswitch>Extern als dedizierter Netzwerkadaptertyp aus.

    Screenshot: Auswählen eines neuen virtuellen Netzwerks und eines externen Netzwerks vor dem Erstellen des virtuellen Switches

  3. Wählen Sie Virtuellen Switch erstellen aus.

  4. Wählen Sie im Bereich Verbindungstypdie Option Externes Netzwerk aus, und stellen Sie sicher, dass die Option Managementbetriebssystem die Freigabe dieses Netzwerkadapters erlauben aktiviert ist. Zum Beispiel:

    Screenshot der Option

  5. Wählen Sie OK aus.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch

Verwenden Sie Windows PowerShell oder Hyper-V-Manager, um dem virtuellen Switch, den Sie zuvor erstellt haben, eine virtuelle SPAN-Schnittstelle anzufügen.

Wenn Sie PowerShell verwenden, definieren Sie den Namen der neu hinzugefügten Adapterhardware als Monitor. Wenn Sie Hyper-V-Manager verwenden, wird der Name der neu hinzugefügten Adapterhardware auf Network Adapterfestgelegt.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch mit PowerShell

  1. Wählen Sie den neu hinzugefügten virtuellen SPAN-Switch aus, den Sie zuvor erstellt haben, und führen Sie den folgenden Befehl aus, um einen neuen Netzwerkadapter hinzuzufügen:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Aktivieren Sie die Portspiegelung für die ausgewählte Schnittstelle als Span-Ziel mit dem folgenden Befehl:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Dabei gilt:

    Parameter Beschreibung
    VK-C1000V-LongRunning-650 CPPM VA-Name
    vSwitch_Span Neu hinzugefügter Name des virtuellen SPAN-Switches
    Überwachen Neu hinzugefügter Adaptername

  3. Wenn Sie fertig sind, wählen Sie OK aus.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch mit Hyper-V-Manager

  1. Wählen Sie in der Liste Hardware des Hyper-V-Managers die Option Netzwerkadapter aus.

  2. Wählen Sie im Feld Virtueller Switchdie Option vSwitch_Span aus.

    Screenshot der Auswahl der folgenden Optionen auf dem Bildschirm des virtuellen Switches.

  3. Wählen Sie in der Liste Hardware in der Dropdownliste Netzwerkadapterdie Option Erweiterte Features aus. Wählen Sie im Abschnitt Portspiegelungdie Option Ziel als Spiegelungsmodus für die neue virtuelle Schnittstelle aus.

    Screenshot: Auswahl, die zum Konfigurieren des Spiegelungsmodus erforderlich ist

  4. Wählen Sie OK aus.

Aktivieren von Microsoft NDIS-Erfassungserweiterungen mit PowerShell

Aktivieren Sie die Unterstützung für Microsoft NDIS Capture Extensions für den virtuellen Switch, den Sie zuvor erstellt haben.

So aktivieren Sie Microsoft NDIS-Erfassungserweiterungen für Ihren neuen virtuellen Switch:

Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"

Aktivieren von Microsoft NDIS-Erfassungserweiterungen mit Hyper-V-Manager

Aktivieren Sie die Unterstützung für Microsoft NDIS Capture Extensions für den virtuellen Switch, den Sie zuvor erstellt haben.

So aktivieren Sie Microsoft NDIS-Erfassungserweiterungen für Ihren neuen virtuellen Switch:

  1. Öffnen Sie den Virtual Switch Manager auf dem Hyper-V-Host.

  2. Erweitern Sie in der Liste Virtuelle Switches den Namen vSwitch_Span des virtuellen Switches, und wählen Sie Erweiterungen aus.

  3. Wählen Sie im Feld Erweiterungen wechseln die Option Microsoft NDIS Capture aus.

    Screenshot: Aktivieren von Microsoft NDIS durch Auswahl im Menü

  4. Wählen Sie OK aus.

Konfigurieren des Spiegelungsmodus des Switches

Konfigurieren Sie den Spiegelungsmodus auf dem virtuellen Switch, den Sie zuvor erstellt haben , sodass der externe Port als Spiegelungsquelle definiert wird. Dies umfasst die Konfiguration des virtuellen Hyper-V-Switches (vSwitch_Span), um jeglichen Datenverkehr, der an den externen Quellport gelangt, an einen virtuellen Netzwerkadapter weiterzuleiten, der als Ziel konfiguriert ist.

Führen Sie Folgendes aus, um den externen Port des virtuellen Switches als Quell-Spiegel-Modus festzulegen:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Dabei gilt:

Parameter Beschreibung
vSwitch_Span Name des virtuellen Switches, den Sie zuvor erstellt haben
MonitorMode=2 Quelle
MonitorMode=1 Ziel
MonitorMode=0 Keine

Führen Sie Folgendes aus, um den überwachungsmodus status zu überprüfen:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter Beschreibung
vSwitch_Span Neu hinzugefügter Name des virtuellen SPAN-Switches

Konfigurieren von VLAN-Einstellungen für den Monitoradapter (falls erforderlich)

Wenn der gespiegelte Datenverkehr MIT VLAN-Tags versehen ist, konfigurieren Sie den Monitoradapter der VM so, dass Er Datenverkehr von den gespiegelten VLANs akzeptiert.

Verwenden Sie diesen PowerShell-Befehl, um den Monitoradapter des virtuellen Computers zu aktivieren, um den überwachten Datenverkehr von verschiedenen VLANs zu akzeptieren:

Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10

Dabei gilt:

Parameter Beschreibung
VK-C1000V-LongRunning-650 CPPM VA-Name
1010-1020 VLAN-Bereich, aus dem IoT-Datenverkehr gespiegelt wird
10 Native VLAN-ID der Umgebung

Erfahren Sie mehr über das PowerShell-Cmdlet Set-VMNetworkAdapterVlan .

Überprüfen der Datenverkehrsspiegelung

Versuchen Sie nach dem Konfigurieren der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch SPAN oder Spiegel Port zu empfangen.

Eine PCAP-Beispieldatei hilft Ihnen dabei:

  • Überprüfen der Switchkonfiguration
  • Vergewissern Sie sich, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist.
  • Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden

  1. Verwenden Sie eine Netzwerkprotokollanalyseanwendung wie Wireshark, um eine PCAP-Beispieldatei für einige Minuten aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.

  2. Überprüfen Sie, ob Unicastpakete im Aufzeichnungsdatenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von der Adresse an eine andere gesendet wird.

    Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.

  3. Stellen Sie sicher, dass Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.

    Zum Beispiel:

    Screenshot der Wireshark-Überprüfung.

Nächste Schritte

« Onboarding von OT-Sensoren in Defender für IoT

Bereitstellen von OT-Sensoren für die Cloudverwaltung »

  • Last updated on