Contrôler le trafic OT surveillé par Microsoft Defender pour IoT

Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.

Diagramme d’une barre de progression avec réglage précis de la surveillance OT mis en évidence.

Microsoft Defender pour les capteurs réseau IoT OT exécutent automatiquement une détection approfondie des paquets pour le trafic informatique et OT, en résolvant les données des appareils réseau, telles que les attributs et le comportement des appareils.

Après avoir installé, activé et configuré votre capteur réseau OT, utilisez les outils décrits dans cet article pour analyser le trafic détecté automatiquement, ajouter des sous-réseaux supplémentaires si nécessaire et contrôler les informations de trafic incluses dans les alertes Defender pour IoT.

Configuration requise

Avant d’effectuer les procédures décrites dans cet article, vous devez disposer des informations suivantes :

Cette étape est effectuée par vos équipes de déploiement.

Analyser votre déploiement

Après avoir intégré un nouveau capteur réseau OT à Microsoft Defender pour IoT, vérifiez que votre capteur est correctement déployé en analysant le trafic surveillé.

Pour analyser votre réseau :

  1. Connectez-vous à votre capteur OT en tant qu’utilisateur Administration et sélectionnez Paramètres> systèmeDéploiementde base>.

  2. Sélectionnez Analyser. L’analyse commence et un onglet s’affiche pour chaque interface surveillée par le capteur. Chaque onglet affiche les sous-réseaux détectés par l’interface indiquée.

  3. Chaque onglet d’interface affiche les détails suivants :

    • Connexion status, indiquée par une icône de connexion verte ou rouge dans le nom de l’onglet. Par exemple, dans l’image ci-dessus, l’interface eth1 s’affiche en vert et est donc connectée.
    • Nombre total de sous-réseaux et de réseaux locaux virtuels détectés, affiché en haut de l’onglet.
    • Protocoles détectés sur chaque sous-réseau.
    • Nombre d’adresses monodiffusion détectées pour chaque sous-réseau.
    • Indique si le trafic de diffusion est détecté pour chaque sous-réseau, ce qui indique un réseau local.

  4. Attendez la fin de l’analyse, puis case activée chaque onglet de l’interface pour comprendre si l’interface surveille le trafic pertinent ou a besoin d’être affinée.

Si le trafic affiché sur la page Déploiement n’est pas ce que vous attendez, vous devrez peut-être affiner votre déploiement en modifiant l’emplacement du capteur dans le réseau ou en vérifiant que vos interfaces de surveillance sont correctement connectées. Si vous apportez des modifications et souhaitez analyser à nouveau le trafic pour voir s’il est amélioré, sélectionnez à nouveau Analyser pour voir l’état de surveillance mis à jour.

Affiner votre liste de sous-réseaux

Après avoir analysé le trafic que votre capteur surveille et affiné le déploiement, vous devrez peut-être affiner votre liste de sous-réseaux. Utilisez cette procédure pour vous assurer que vos sous-réseaux sont correctement configurés.

Alors que votre capteur OT apprend automatiquement vos sous-réseaux réseau lors du déploiement initial, nous vous recommandons d’analyser le trafic détecté et de les mettre à jour en fonction des besoins pour optimiser vos vues cartographiques et l’inventaire des appareils.

Utilisez également cette procédure pour définir également les paramètres de sous-réseau, en déterminant comment les appareils sont affichés dans la carte des appareils du capteur et l’inventaire des appareils Azure.

  • Dans la carte des appareils, les appareils informatiques sont automatiquement agrégés par sous-réseau, où vous pouvez développer et réduire chaque vue de sous-réseau pour descendre dans la hiérarchie en fonction des besoins.
  • Dans l’inventaire des appareils Azure, une fois les sous-réseaux configurés, utilisez le filtre Emplacement réseau (préversion publique) pour afficher les appareils locaux ou routés comme défini dans votre liste de sous-réseaux. Tous les appareils associés aux sous-réseaux répertoriés sont affichés en tant que locaux, tandis que les appareils associés aux sous-réseaux détectés non inclus dans la liste sont affichés comme routés.

Alors que le capteur réseau OT apprend automatiquement les sous-réseaux de votre réseau, nous vous recommandons de confirmer les paramètres appris et de les mettre à jour si nécessaire pour optimiser vos vues cartographiques et l’inventaire des appareils. Tous les sous-réseaux non répertoriés en tant que sous-réseaux sont traités comme des réseaux externes.

Conseil

Lorsque vous êtes prêt à commencer à gérer les paramètres de votre capteur OT à grande échelle, définissez des sous-réseaux à partir du Portail Azure. Une fois que vous avez appliqué les paramètres à partir du Portail Azure, les paramètres de la console du capteur sont en lecture seule. Pour plus d’informations, consultez Configurer les paramètres du capteur OT à partir du Portail Azure (préversion publique).

Pour affiner vos sous-réseaux détectés :

  1. Connectez-vous à votre capteur OT en tant qu’utilisateur Administration et sélectionnez Paramètres> systèmeSous-réseaux debase>. Par exemple :

    Capture d’écran de la page Sous-réseaux dans les paramètres du capteur OT.

  2. Mettez à jour les sous-réseaux répertoriés à l’aide de l’une des options suivantes :

    Nom Description
    Importer des sous-réseaux Importez un fichier .CSV de définitions de sous-réseau. Les informations de sous-réseau sont mises à jour avec les informations que vous avez importées. Si vous importez un champ vide, vous perdez les données de ce champ.
    Exporter des sous-réseaux Exportez les sous-réseaux actuellement répertoriés dans un fichier .CSV.
    Effacer tout Effacez tous les sous-réseaux actuellement définis.
    Apprentissage automatique des sous-réseaux Sélectionné par défaut. Désactivez cette option pour empêcher le capteur de détecter automatiquement vos sous-réseaux.
    Résoudre tout le trafic Internet en tant qu’interne/privé Sélectionnez cette option pour considérer toutes les adresses IP publiques comme des adresses privées locales. Si cette option est sélectionnée, les adresses IP publiques sont traitées comme des adresses locales, et aucune alerte n’est envoyée en cas d’activité Internet non autorisée.

    Cette option réduit les notifications et les alertes reçues sur les adresses externes.
    Adresse IP Définissez l’adresse IP du sous-réseau.
    Mask Définissez le masque IP du sous-réseau.
    Nom Nous vous recommandons d’entrer un nom explicite qui spécifie le rôle réseau du sous-réseau. Les noms de sous-réseaux peuvent comporter jusqu’à 60 caractères.
    Distincts Sélectionnez cette option pour afficher ce sous-réseau séparément lors de l’affichage de la carte de l’appareil en fonction du niveau Purdue.
    Supprimer un sous-réseau Sélectionnez cette option pour supprimer tous les sous-réseaux qui ne sont pas liés à votre étendue réseau IoT/OT.

    Dans la grille de sous-réseau, les sous-réseaux marqués comme sous-réseau ICS sont reconnus en tant que réseaux OT. Cette option est en lecture seule dans cette grille, mais vous pouvez définir manuellement un sous-réseau comme ICS si un sous-réseau OT n’est pas reconnu correctement.

  3. Lorsque vous avez terminé, sélectionnez Enregistrer pour enregistrer vos mises à jour.

Conseil

Une fois que le paramètre Apprentissage automatique du sous-réseau est désactivé et que la liste des sous-réseaux a été modifiée pour inclure uniquement les sous-réseaux surveillés localement qui se trouvent dans votre étendue IoT/OT, vous pouvez filtrer l’inventaire des appareils Azure par emplacement réseau pour afficher uniquement les appareils définis comme locaux. Pour plus d’informations, consultez Afficher l’inventaire des appareils.

Définir manuellement un sous-réseau comme ICS

Si vous avez un sous-réseau OT qui n’est pas marqué automatiquement comme sous-réseau ICS par le capteur, modifiez le type d’appareil pour l’un des appareils du sous-réseau approprié sur un type d’appareil ICS ou IoT. Le sous-réseau est alors automatiquement marqué par le capteur comme sous-réseau ICS.

Remarque

Pour modifier manuellement le sous-réseau à marquer comme ICS, modifiez le type d’appareil dans l’inventaire des appareils dans le capteur OT. Dans le Portail Azure, les sous-réseaux de la liste des sous-réseaux sont marqués comme ICS par défaut dans les paramètres du capteur.

Pour modifier le type d’appareil afin de mettre à jour manuellement le sous-réseau :

  1. Connectez-vous à votre console de capteur OT et accédez à Inventaire des appareils.

  2. Dans la grille d’inventaire des appareils, sélectionnez un appareil à partir du sous-réseau approprié, puis sélectionnez Modifier dans la barre d’outils en haut de la page.

  3. Dans le champ Type , sélectionnez un type d’appareil dans la liste déroulante répertoriée sous ICS ou IoT.

Le sous-réseau est maintenant marqué comme sous-réseau ICS dans le capteur.

Pour plus d’informations, consultez Modifier les détails de l’appareil.

Personnaliser les noms des ports et des réseaux locaux virtuels

Utilisez les procédures suivantes pour enrichir les données d’appareil affichées dans Defender pour IoT en personnalisant les noms de port et de VLAN sur vos capteurs réseau OT.

Par exemple, vous pouvez attribuer un nom à un port non réservé qui affiche une activité inhabituellement élevée afin de l’appeler, ou affecter un nom à un numéro de réseau local virtuel afin de l’identifier plus rapidement.

Remarque

Pour les capteurs connectés au cloud, vous pouvez éventuellement commencer à configurer les paramètres de capteur OT à partir de la Portail Azure. Une fois que vous avez commencé à configurer les paramètres à partir de la Portail Azure, les volets VLAN et Port naming sur les capteurs OT sont en lecture seule. Pour plus d’informations, consultez Configurer les paramètres du capteur OT à partir de la Portail Azure.

Personnaliser les noms des ports détectés

Defender pour IoT attribue automatiquement des noms à la plupart des ports universellement réservés, tels que DHCP ou HTTP. Toutefois, vous pouvez personnaliser le nom d’un port spécifique pour le mettre en surbrillance, par exemple lorsque vous observez un port avec une activité détectée anormalement élevée.

Les noms de port sont affichés dans Defender pour IoT lors de l’affichage de groupes d’appareils à partir de la carte des appareils du capteur OT ou lorsque vous créez des rapports de capteur OT qui incluent des informations de port.

Pour personnaliser un nom de port :

  1. Connectez-vous à votre capteur OT en tant qu’utilisateur Administration.

  2. Sélectionnez Paramètres système , puis, sous Surveillance du réseau, sélectionnez Nom des ports.

  3. Dans le volet Nommage des ports qui s’affiche, entrez le numéro de port que vous souhaitez nommer, le protocole du port et un nom explicite. Les valeurs de protocole prises en charge sont les suivantes : TCP, UDP et BOTH.

  4. Sélectionnez + Ajouter un port pour personnaliser un autre port, puis Enregistrer lorsque vous avez terminé.

Personnaliser un nom de réseau local virtuel

Les réseaux locaux virtuels sont découverts automatiquement par le capteur réseau OT ou ajoutés manuellement. Les réseaux locaux virtuels découverts automatiquement ne peuvent pas être modifiés ou supprimés, mais les réseaux locaux virtuels ajoutés manuellement nécessitent un nom unique. Si un réseau local virtuel n’est pas explicitement nommé, le numéro du réseau local virtuel est affiché à la place.

La prise en charge du réseau local virtuel est basée sur 802.1q (jusqu’à l’ID VLAN 4094).

Pour configurer des noms de réseaux locaux virtuels sur un capteur réseau OT :

  1. Connectez-vous à votre capteur OT en tant qu’utilisateur Administration.

  2. Sélectionnez Paramètres système , puis, sous Surveillance du réseau, sélectionnez Nommage de réseau local virtuel.

  3. Dans le volet d’affectation de noms de VLAN qui s’affiche, entrez un ID de réseau local virtuel et un nom de réseau local virtuel unique. Les noms de réseaux locaux virtuels peuvent contenir jusqu’à 50 caractères ASCII.

  4. Sélectionnez + Ajouter un réseau local virtuel pour personnaliser un autre réseau local virtuel, puis Enregistrer lorsque vous avez terminé.

  5. Pour les commutateurs Cisco : ajoutez la monitor session 1 destination interface XX/XX encapsulation dot1q commande à la configuration du port SPAN, où XX/XX est le nom et le numéro du port.

Définir des serveurs DNS

Améliorez l’enrichissement des données des appareils en configurant plusieurs serveurs DNS pour effectuer des recherches inversées et résoudre les noms d’hôte ou les noms de domaine complets associés aux adresses IP détectées dans les sous-réseaux réseau. Par exemple, si un capteur découvre une adresse IP, il peut interroger plusieurs serveurs DNS pour résoudre le nom d’hôte. Vous avez besoin de l’adresse du serveur DNS, du port du serveur et des adresses de sous-réseau.

Pour définir la recherche de serveur DNS :

  1. Dans votre console de capteur OT, sélectionnez Paramètres> systèmeSupervision réseau et sous Découverte active, sélectionnez Recherche DNS inversée.

  2. Utilisez les options Planifier la recherche inversée pour définir votre analyse à intervalles fixes, par heure ou à une heure spécifique.

    Si vous sélectionnez Par heures spécifiques, utilisez une horloge de 24 heures, par exemple 14:30 pour 14:30 PM. Sélectionnez le + bouton sur le côté pour ajouter des heures supplémentaires et spécifiques à laquelle vous souhaitez que la recherche s’exécute.

  3. Sélectionnez Ajouter un serveur DNS, puis renseignez vos champs en fonction des besoins pour définir les champs suivants :

    • Adresse du serveur DNS, qui est l’adresse IP du serveur DNS
    • Port du serveur DNS
    • Nombre d’étiquettes, qui correspond au nombre d’étiquettes de domaine que vous souhaitez afficher. Pour obtenir cette valeur, résolvez l’adresse IP réseau en noms de domaine complets de l’appareil. Vous pouvez entrer jusqu’à 30 caractères dans ce champ.
    • Sous-réseaux, c’est-à-dire les sous-réseaux que vous souhaitez que le serveur DNS interroge

  4. Activez l’option Activé en haut pour démarrer la requête de recherche inversée comme prévu, puis sélectionnez Enregistrer pour terminer la configuration.

Pour plus d’informations, consultez Configurer la recherche DNS inversée.

Tester la configuration DNS

Utilisez un appareil de test pour vérifier que les paramètres de recherche DNS inversée que vous avez définis fonctionnent comme prévu.

  1. Dans la console de votre capteur, sélectionnez Paramètres> systèmeSupervision du réseau et sous Découverte active, sélectionnez Recherche DNS inversée.

  2. Assurez-vous que le bouton bascule Activé est sélectionné.

  3. Sélectionnez Tester.

  4. Dans la boîte de dialogue Test de recherche inversée DNS pour le serveur , entrez une adresse dans l’adresse de recherche , puis sélectionnez Test.

Configurer des plages d’adresses DHCP

Votre réseau OT peut être constitué d’adresses IP statiques et dynamiques.

  • Les adresses statiques se trouvent généralement sur les réseaux OT via des historiens, des contrôleurs et des périphériques d’infrastructure réseau tels que des commutateurs et des routeurs.
  • L’allocation d’adresses IP dynamiques est généralement implémentée sur les réseaux invités avec des ordinateurs portables, des PC, des smartphones et d’autres équipements portables, à l’aide de connexions physiques Wi-Fi ou LAN à différents emplacements.

Si vous utilisez des réseaux dynamiques, vous devez gérer les modifications d’adresses IP à mesure qu’elles se produisent, en définissant des plages d’adresses DHCP sur chaque capteur réseau OT. Lorsqu’une adresse IP est définie en tant qu’adresse DHCP, Defender pour IoT identifie toute activité qui se produit sur le même appareil, indépendamment des modifications d’adresse IP.

Pour définir des plages d’adresses DHCP :

  1. Connectez-vous à votre capteur OT et sélectionnez Paramètres> système PlagesDHCPde surveillance> réseau.

  2. Effectuez l’une des opérations suivantes :

    • Pour ajouter une plage unique, sélectionnez + Ajouter une plage et entrez la plage d’adresses IP et un nom facultatif pour votre plage.
    • Pour ajouter plusieurs plages, créez un fichier .CSV avec des colonnes pour les données De, À et Nom pour chacune de vos plages. Sélectionnez Importer pour importer le fichier dans votre capteur OT. Les valeurs de plage importées à partir d’un fichier .CSV remplacent toutes les données de plage actuellement configurées pour votre capteur.
    • Pour exporter des plages actuellement configurées vers un fichier .CSV, sélectionnez Exporter.
    • Pour effacer toutes les plages actuellement configurées, sélectionnez Effacer tout.

    Les noms de plages peuvent comporter jusqu’à 256 caractères.

  3. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer les filtres de capture du trafic (avancé)

Pour réduire la fatigue des alertes et concentrer votre surveillance réseau sur le trafic à haute priorité, vous pouvez décider de filtrer le trafic qui est en streaming dans Defender pour IoT à la source. Les filtres de capture sont configurés via l’interface CLI du capteur OT et vous permettent de bloquer le trafic à bande passante élevée au niveau de la couche matérielle, ce qui optimise les performances Appliance et l’utilisation des ressources.

Pour plus d’informations, consultez Filtres de capture de trafic.

Étapes suivantes

« Configurer les paramètres de proxy sur un capteur OT

Vérifier et mettre à jour votre inventaire d’appareils détecté »

  • Last updated on