Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Pour surveiller entièrement votre réseau, vous aurez besoin d’une visibilité sur tous les appareils de point de terminaison de votre réseau. Microsoft Defender pour IoT reflète le trafic qui transite par vos appareils réseau vers les capteurs réseau Defender pour IoT. Les capteurs réseau OT analysent ensuite vos données de trafic, déclenchent des alertes, génèrent des recommandations et envoient des données à Defender pour IoT dans Azure.
Cet article vous aide à planifier l’emplacement des capteurs OT dans votre réseau afin que le trafic que vous souhaitez surveiller soit mis en miroir selon les besoins et comment préparer votre site pour le déploiement de capteurs.
Configuration requise
Avant de planifier la surveillance OT pour un site spécifique, vérifiez que vous avez planifié votre système de supervision OT global.
Cette étape est effectuée par vos équipes d’architecture.
En savoir plus sur l’architecture de supervision de Defender pour IoT
Utilisez les articles suivants pour en savoir plus sur les composants et l’architecture de votre réseau et du système Defender pour IoT :
Créer un diagramme de réseau
Le réseau de chaque organization aura sa propre complexité. Créez un diagramme de carte réseau qui répertorie minutieusement tous les appareils de votre réseau afin de pouvoir identifier le trafic que vous souhaitez surveiller.
Lors de la création de votre diagramme de réseau, utilisez les questions suivantes pour identifier et prendre des notes sur les différents éléments de votre réseau et la façon dont ils communiquent.
Questions générales
Quels sont vos objectifs globaux de surveillance ?
Avez-vous des réseaux redondants et existe-t-il des zones de votre carte réseau qui n’ont pas besoin de surveillance et que vous pouvez ignorer ?
Où sont les risques opérationnels et de sécurité de votre réseau ?
Questions sur le réseau
Quels protocoles sont actifs sur les réseaux surveillés ?
Les réseaux locaux virtuels sont-ils configurés dans la conception du réseau ?
Existe-t-il un routage dans les réseaux surveillés ?
Existe-t-il une communication série dans le réseau ?
Où sont installés les pare-feu dans les réseaux que vous souhaitez surveiller ?
Existe-t-il un trafic entre un réseau de contrôle industriel (ICS) et un réseau d’entreprise ? Si c’est le cas, ce trafic est-il surveillé ?
Quelle est la distance physique entre vos commutateurs et le pare-feu d’entreprise ?
La maintenance du système OT est-elle effectuée avec des appareils fixes ou temporaires ?
Changer de question
Si un commutateur n’est pas géré, pouvez-vous surveiller le trafic à partir d’un commutateur de niveau supérieur ? Par exemple, si votre architecture OT utilise une topologie en anneau, un seul commutateur de l’anneau doit être monitoré.
Les commutateurs non managés peuvent-ils être remplacés par des commutateurs gérés, ou l’utilisation de TAPs réseau est-elle une option ?
Pouvez-vous surveiller le réseau local virtuel du commutateur ou le réseau local virtuel est-il visible dans un autre commutateur que vous pouvez surveiller ?
Si vous connectez un capteur réseau au commutateur, est-ce qu’il miroir la communication entre l’IHM et les PLC ?
Si vous souhaitez connecter un capteur réseau au commutateur, y a-t-il de l’espace physique disponible dans l’armoire du commutateur ?
Quel est le coût/avantage de la surveillance de chaque commutateur ?
Identifier les appareils et les sous-réseaux que vous souhaitez surveiller
Le trafic que vous souhaitez surveiller et miroir aux capteurs réseau Defender pour IoT est le trafic qui vous intéresse le plus du point de vue de la sécurité ou de l’exploitation.
Passez en revue votre diagramme de réseau OT en collaboration avec vos ingénieurs de site pour définir où vous trouverez le trafic le plus pertinent pour la surveillance. Nous vous recommandons de rencontrer les équipes réseau et opérationnelle pour clarifier les attentes.
Avec votre équipe, créez une table des appareils que vous souhaitez surveiller avec les détails suivants :
| Spécification | Description |
|---|---|
| Fournisseur | Fournisseur de fabrication de l’appareil |
| Nom du périphérique | Un nom explicite pour une utilisation et une référence en cours |
| Type | Le type d’appareil, par exemple : Commutateur, Routeur, Pare-feu, Point d’accès, et ainsi de suite |
| Couche réseau | Les appareils que vous souhaitez surveiller sont des appareils L2 ou L3 : - Les appareils L2 sont des appareils dans le segment IP - Les appareils L3 sont des appareils en dehors du segment IP Les appareils qui prennent en charge les deux couches peuvent être considérés comme des appareils L3. |
| Croisement des réseaux locaux virtuels | ID de tous les réseaux locaux virtuels qui traversent l’appareil. Par exemple, vérifiez ces ID de réseau local virtuel en vérifiant le mode de fonctionnement de l’arborescence couvrante sur chaque réseau local virtuel pour voir s’ils traversent un port associé. |
| Passerelle pour | Réseaux locaux virtuels pour lesquels l’appareil fait office de passerelle par défaut. |
| Détails du réseau | Adresse IP, sous-réseau, D-GW et hôte DNS de l’appareil |
| Protocoles | Protocoles utilisés sur l’appareil. Comparez vos protocoles à la liste des protocoles pris en charge par Defender pour IoT prête à l’emploi. |
| Mise en miroir du trafic prise en charge | Définissez le type de mise en miroir du trafic pris en charge par chaque appareil, par exemple SPAN, RSPAN, ERSPAN ou TAP. Utilisez ces informations pour choisir des méthodes de mise en miroir du trafic pour vos capteurs OT. |
| Géré par les services partenaires ? | Indiquez si un service partenaire, tel que Siemens, Rockwell ou Emerson, gère l’appareil. Le cas échéant, décrivez la stratégie de gestion. |
| Connexions série | Si l’appareil communique via une connexion série, spécifiez le protocole de communication série. |
Calculer des appareils dans votre réseau
Calculez le nombre d’appareils dans chaque site afin de pouvoir acheter des licences Defender pour IoT à la taille appropriée.
Pour calculer le nombre d’appareils dans chaque site :
Collectez le nombre total d’appareils dans votre site et ajoutez-les ensemble.
Supprimez l’un des appareils suivants, qui ne sont pas identifiés comme des appareils individuels par Defender pour IoT :
- Adresses IP Internet publiques
- Groupes multi-cast
- Groupes de diffusion
- Appareils inactifs : appareils pour lesquels aucune activité réseau n’a été détectée pendant plus de 60 jours
Pour plus d’informations, consultez Appareils surveillés par Defender pour IoT.
Planifier un déploiement à plusieurs capteurs
Si vous envisagez de déployer plusieurs capteurs réseau, tenez également compte des recommandations suivantes lorsque vous décidez où placer vos capteurs :
Commutateurs connectés physiquement : pour les commutateurs connectés physiquement par câble Ethernet, veillez à planifier au moins un capteur pour 80 mètres de distance entre les commutateurs.
Plusieurs réseaux sans connectivité physique : si vous avez plusieurs réseaux sans connectivité physique entre eux, prévoyez au moins un capteur pour chaque réseau individuel
Commutateurs avec prise en charge de RSPAN : si vous avez des commutateurs qui peuvent utiliser la mise en miroir du trafic RSPAN, prévoyez au moins un capteur pour chaque huit commutateurs, avec un port SPAN local. Prévoyez de placer le capteur suffisamment près des commutateurs pour pouvoir les connecter par câble.
Créer une liste de sous-réseaux
Créez une liste agrégée de sous-réseaux que vous souhaitez surveiller, en fonction de la liste des appareils que vous souhaitez surveiller sur l’ensemble de votre réseau.
Après avoir déployé vos capteurs, vous utiliserez cette liste pour vérifier que les sous-réseaux répertoriés sont détectés automatiquement et mettre à jour manuellement la liste en fonction des besoins.
Répertorier vos capteurs OT planifiés
Une fois que vous avez compris le trafic que vous souhaitez miroir à Defender pour IoT, créez une liste complète de tous les capteurs OT que vous allez intégrer.
Pour chaque capteur, listez :
Indique si le capteur sera connecté au cloud ou géré localement
Pour les capteurs connectés au cloud, la méthode de connexion cloud que vous utiliserez.
Que vous utilisiez des appliances physiques ou virtuelles pour vos capteurs, compte tenu de la bande passante dont vous aurez besoin pour la qualité de service (QoS). Pour plus d’informations, consultez De quelles appliances ai-je besoin ?
Le site et la zone que vous allez affecter à chaque capteur.
Les données ingérées à partir de capteurs d’un même site ou d’une même zone peuvent être consultées ensemble et segmentées à partir d’autres données de votre système. Si vous souhaitez afficher des données de capteur regroupées dans le même site ou la même zone, veillez à affecter des sites et des zones de capteur en conséquence.
Méthode de mise en miroir du trafic que vous utiliserez pour chaque capteur
À mesure que votre réseau se développe dans le temps, vous pouvez intégrer davantage de capteurs ou modifier vos définitions de capteur existantes.
Importante
Nous vous recommandons de vérifier les caractéristiques des appareils que vous attendez de chaque capteur à détecter, telles que les adresses IP et MAC. Les appareils détectés dans la même zone avec le même ensemble logique de caractéristiques d’appareil sont automatiquement consolidés et identifiés comme le même appareil.
Par exemple, si vous travaillez avec plusieurs réseaux et adresses IP récurrentes, veillez à planifier chaque capteur avec une zone différente afin que les appareils soient correctement identifiés comme des appareils distincts et uniques.
Pour plus d’informations, consultez Séparation des zones pour les plages d’adresses IP récurrentes.
Préparer des appliances locales
Si vous utilisez des appliances virtuelles, vérifiez que les ressources appropriées sont configurées. Pour plus d’informations, consultez Surveillance OT avec des appliances virtuelles.
Si vous utilisez des appliances physiques, vérifiez que vous disposez du matériel requis. Vous pouvez acheter des appliances préconfigurées ou planifier l’installation de logiciels sur vos propres appliances.
Pour acheter des appliances préconfigurées :
- Accédez à Defender pour IoT dans le Portail Azure.
- Sélectionnez Prise en main>Capteur>Acheter préconfiguré Appliance>Contact.
Le lien ouvre un e-mail à hardware.sales@arrow.comavec une demande de modèle pour les appliances Defender pour IoT.
Pour plus d’informations, consultez De quelles appliances ai-je besoin ?
Préparer le matériel auxiliaire
Si vous utilisez des appliances physiques, vérifiez que vous disposez du matériel supplémentaire suivant pour chaque Appliance physique :
- Un moniteur et un clavier
- Espace du rack
- Alimentation secteur
- Un câble LAN pour connecter le port de gestion du Appliance au commutateur réseau
- Câbles LAN pour la connexion de ports miroir (SPAN) et de points d’accès de terminal réseau (TAPs) à votre Appliance
Préparer Appliance détails du réseau
Lorsque vos appliances sont prêtes, dressez une liste des détails suivants pour chaque Appliance :
- Adresse IP
- Sous-réseau
- Passerelle par défaut
- Nom d’hôte
- Serveur DNS (facultatif), avec l’adresse IP du serveur DNS et le nom d’hôte
Préparer une station de travail de déploiement
Préparez une station de travail à partir de laquelle vous pouvez exécuter des activités de déploiement Defender pour IoT. La station de travail peut être un ordinateur Windows ou Mac, avec les exigences suivantes :
Logiciel terminal, tel que PuTTY
Navigateur pris en charge pour la connexion aux consoles de capteur et aux Portail Azure. Pour plus d’informations, consultez navigateurs recommandés pour le Portail Azure.
Règles de pare-feu requises configurées, avec accès ouvert pour les interfaces requises. Pour plus d’informations, consultez Configuration réseau requise.
Préparer les certificats signés par l’autorité de certification
Nous vous recommandons d’utiliser des certificats signés par l’autorité de certification dans les déploiements de production.
Assurez-vous de bien comprendre les exigences de certificat SSL/TLS pour les ressources locales. Si vous souhaitez déployer un certificat signé par l’autorité de certification lors du déploiement initial, veillez à préparer le certificat.
Si vous décidez de déployer avec le certificat auto-signé intégré, nous vous recommandons de déployer ultérieurement un certificat signé par une autorité de certification dans des environnements de production.
Pour plus d’informations, reportez-vous aux rubriques suivantes :