Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Utilisez le contenu ci-dessous pour découvrir comment planifier votre supervision OT globale avec Microsoft Defender pour IoT, y compris les sites que vous allez surveiller, vos groupes d’utilisateurs et types, etc.
Configuration requise
Avant de commencer à planifier votre déploiement de supervision OT, vérifiez que vous disposez d’un abonnement Azure et d’un plan OT intégré à Defender pour IoT. Pour plus d’informations, consultez Démarrer un Microsoft Defender pour la version d’évaluation IoT.
Cette étape est effectuée par vos équipes d’architecture.
Planifier des sites et des zones OT
Lorsque vous utilisez des réseaux OT, nous vous recommandons de répertorier tous les emplacements où votre organization a des ressources connectées à un réseau, puis de segmenter ces emplacements en sites et zones.
Chaque emplacement physique peut avoir son propre site, qui est ensuite segmenté en zones. Vous allez associer chaque capteur réseau OT à un site et une zone spécifiques, afin que chaque capteur couvre uniquement une zone spécifique de votre réseau.
L’utilisation de sites et de zones prend en charge les principes de Confiance nulle et fournit une granularité supplémentaire de surveillance et de création de rapports.
Par exemple, si votre entreprise en croissance a des usines et des bureaux à Paris, Lagos, Dubaï et Shenzhen, vous pouvez segmenter votre réseau comme suit :
| Site | Zones |
|---|---|
| Bureau de Paris | - Rez-de-chaussée (Invités) - Étage 1 (Ventes) - Étage 2 (Exécutif) |
| Bureau de Lagos | - Rez-de-chaussée (bureaux) - Étages 1 à 2 (Usine) |
| Bureau de Dubaï | - Rez-de-chaussée (Centre de congrès) - Étage 1 (Ventes) - Étage 2 (bureaux) |
| Bureau de Ainsiy | - Rez-de-chaussée (bureaux) - Étages 1 à 2 (Usine) |
Si vous ne planifiez pas de sites et de zones détaillés, Defender pour IoT utilise toujours un site et une zone par défaut à attribuer à tous les capteurs OT.
Pour plus d’informations, consultez Confiance nulle et vos réseaux OT.
Séparation des zones pour les plages d’adresses IP récurrentes
Chaque zone peut prendre en charge plusieurs capteurs, et si vous déployez Defender pour IoT à grande échelle, chaque capteur peut détecter différents aspects du même appareil. Defender pour IoT consolide automatiquement les appareils détectés dans la même zone, avec la même combinaison logique de caractéristiques d’appareil, par exemple la même adresse IP et MAC.
Si vous travaillez avec plusieurs réseaux et que vous avez des appareils uniques avec des caractéristiques similaires, telles que des plages d’adresses IP récurrentes, affectez chaque capteur à une zone distincte afin que Defender pour IoT sache différencier les appareils et identifie chaque appareil de manière unique.
Par exemple, votre réseau peut ressembler à l’image suivante, avec six segments réseau alloués logiquement entre deux sites et zones Defender pour IoT. Notez que cette image montre deux segments réseau avec les mêmes adresses IP provenant de différentes lignes de production.
Dans ce cas, nous vous recommandons de séparer site 2 en deux zones distinctes, afin que les appareils des segments avec des adresses IP récurrentes ne soient pas correctement consolidés et identifiés comme des appareils distincts et uniques dans l’inventaire des appareils.
Par exemple :
Planifier vos utilisateurs
Découvrez qui dans votre organization utilisera Defender pour IoT et quels sont leurs cas d’usage. Bien que votre centre des opérations de sécurité (SOC) et le personnel informatique soient les utilisateurs les plus courants, vous pouvez en avoir d’autres dans votre organization qui auront besoin d’un accès en lecture aux ressources dans Azure ou sur des ressources locales.
Dans Azure, les affectations d’utilisateurs sont basées sur leurs rôles Microsoft Entra ID et RBAC. Si vous segmentez votre réseau en plusieurs sites, choisissez les autorisations que vous souhaitez appliquer par site.
Les capteurs réseau OT prennent en charge les utilisateurs locaux et les synchronisations Active Directory. Si vous utilisez Active Directory, vérifiez que vous disposez des détails d’accès pour le serveur Active Directory.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Microsoft Defender pour la gestion des utilisateurs IoT
- Azure les rôles d’utilisateur et les autorisations pour Defender pour IoT
- Utilisateurs et rôles locaux pour la surveillance OT avec Defender pour IoT
Planifier les connexions de gestion et de capteur OT
Pour les capteurs connectés au cloud, déterminez comment vous connecterez chaque capteur OT à Defender pour IoT dans le cloud Azure, par exemple le type de proxy dont vous pourriez avoir besoin. Pour plus d’informations, consultez Méthodes de connexion de capteurs à Azure.
Si vous travaillez dans un environnement air-gapped ou hybride et que vous avez plusieurs capteurs réseau OT gérés localement, consultez le chemin de déploiement de la gestion des capteurs OT à air gapped.
Planifier des certifications SSL/TLS locales
Nous vous recommandons d’utiliser un certificat SSL/TLS signé par l’autorité de certification avec votre système de production pour garantir la sécurité continue de vos appliances.
Planifiez les certificats et les autorités de certification que vous utiliserez pour chaque capteur OT, les outils que vous utiliserez pour générer les certificats et les attributs que vous incluez dans chaque certificat.
Pour plus d’informations, consultez Exigences de certificat SSL/TLS pour les ressources locales.