Entrainement
Module
Préparer le déploiement de Microsoft Defender pour IoT - Training
Découvrez comment préparer votre déploiement de Microsoft Defender pour IoT afin de monitorer votre réseau OT.
Ce navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Cet article explique comment utiliser le mode Promiscuous dans un environnement vSwitch Hyper-V comme solution de contournement pour configurer la mise en miroir du trafic, comme un port SPAN. Un port SPAN sur votre commutateur met en miroir le trafic local des interfaces sur le commutateur vers une autre interface sur le même commutateur.
Pour plus d’informations, consultez Mise en miroir du trafic avec des commutateurs virtuels.
Avant de commencer :
Assurez-vous de bien comprendre votre plan de supervision réseau avec Defender pour IoT et les ports SPAN que vous souhaitez configurer.
Pour plus d’informations, consultez les méthodes de mise en miroir de trafic pour la surveillance OT.
Vérifier qu’aucune instance d’appliance virtuelle n’est en cours d’exécution.
Vérifiez que vous avez activé Garantir SPAN sur le port de données de votre commutateur virtuel et non sur le port de gestion.
Vérifier que la configuration SPAN du port de données n’est pas définie avec une adresse IP.
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Où :
Paramètre | Description |
---|---|
vSwitch_Span | Nom du commutateur virtuel SPAN récemment ajouté |
Ethernet | Nom de l’adaptateur physique |
Découvrez comment créer et configurer un commutateur virtuel avec Hyper-V.
Ouvrez le gestionnaire de commutateur virtuel.
Dans la liste Commutateurs virtuels, sélectionnez Nouveau commutateur réseau virtuel>Externe comme type de carte réseau avec SPAN dédiée.
Sélectionnez Créer un commutateur virtuel.
Dans la zone Type de connexion, sélectionnez Réseau externe et vérifiez que l’option Autoriser le système d’exploitation de gestion à partager cette carte réseau est sélectionnée. Par exemple :
Sélectionnez OK.
Utilisez Windows PowerShell ou le Gestionnaire Hyper-V pour attacher une interface virtuelle SPAN au commutateur virtuel que vous avez créé précédemment.
Si vous utilisez PowerShell, définissez le matériel de l’adaptateur récemment ajouté avec le nom Monitor
. Si vous utilisez le gestionnaire Hyper-V, le matériel de l’adaptateur récemment ajouté est défini avec le nom Network Adapter
.
Sélectionnez le commutateur virtuel SPAN récemment ajouté que vous avez créé plus tôt, puis exécutez la commande suivante pour ajouter une nouvelle carte réseau :
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
Activez la mise en miroir des ports pour l’interface sélectionnée comme destination SPAN avec la commande suivante :
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
Où :
Paramètre | Description |
---|---|
VK-C1000V-LongRunning-650 | Nom VA CPPM |
vSwitch_Span | Nom du commutateur virtuel SPAN récemment ajouté |
Surveiller | Nom de l’adaptateur récemment ajouté |
Quand vous avez terminé, sélectionnez OK.
Sous la liste Matériel du gestionnaire Hyper-V, sélectionnez Carte réseau.
Dans le champ Commutateur virtuel, sélectionnez vSwitch_Span.
Dans la liste Matériel, sous la liste déroulante Cartes réseau, sélectionnez Fonctionnalités avancées. Dans la section Mise en miroir des ports, sélectionnez Destination comme mode de mise en miroir pour la nouvelle interface virtuelle.
Cliquez sur OK.
Activez la prise en charge des Extensions Microsoft NDIS Capture pour le commutateur virtuel que vous avez créé précédemment.
Pour activer les extensions Microsoft NDIS Capture pour votre nouveau commutateur virtuel :
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Activez la prise en charge des Extensions Microsoft NDIS Capture pour le commutateur virtuel que vous avez créé précédemment.
Pour activer les extensions Microsoft NDIS Capture pour votre nouveau commutateur virtuel :
Ouvrez le gestionnaire de commutateur virtuel sur l’hôte Hyper-V.
Dans la liste des commutateurs virtuels, développez le nom du commutateur virtuel vSwitch_Span
et sélectionnez Extensions.
Dans le champ Extensions du commutateur, sélectionnez Microsoft NDIS Capture.
Sélectionnez OK.
Configurez le mode de mise en miroir sur le commutateur virtuel que vous avez créé précédemment de manière à définir le port externe comme source de mise en miroir. Cette opération inclut la configuration du commutateur virtuel Hyper-V (vSwitch_Span) pour transférer tout le trafic qui arrive au port source externe vers une carte réseau virtuelle configurée comme destination.
Pour définir le port externe du commutateur virtuel comme mode miroir source, exécutez :
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Où :
Paramètre | Description |
---|---|
vSwitch_Span | Nom du commutateur virtuel que vous avez créé précédemment |
MonitorMode=2 | Source |
MonitorMode=1 | Destination |
MonitorMode=0 | Aucun |
Pour vérifier l’état du mode de supervision, exécutez :
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Paramètre | Description |
---|---|
vSwitch_Span | Nom du commutateur virtuel SPAN récemment ajouté |
Si le serveur Hyper-V se trouve dans un VLAN différent de celui d’où provient le trafic en miroir, configurez l’adaptateur Monitor pour accepter le trafic provenant des VLAN en miroir.
Utilisez cette commande PowerShell pour permettre à l’adaptateur Monitor d’accepter le trafic surveillé à partir de différents VLAN :
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Où :
Paramètre | Description |
---|---|
VK-C1000V-LongRunning-650 | Nom VA CPPM |
1010-1020 | Plage de VLAN à partir de laquelle le trafic IoT est mis en miroir |
10 | ID de VLAN natif de l’environnement |
Découvrez-en plus sur l’applet de commande PowerShell Set-VMNetworkAdapterVlan.
Après configuration de la mise en miroir du trafic, essayez de recevoir un échantillon du trafic enregistré (fichier PCAP) à partir du port SPAN du commutateur (ou miroir).
Un exemple de fichier PCAP vous aidera à :
Utilisez une application d’analyseur de protocole réseau, telle que Wireshark, pour enregistrer un exemple de fichier PCAP pendant quelques minutes. Par exemple, connectez un ordinateur portable à un port où vous avez configuré la supervision du trafic.
Vérifiez que des paquets de monodiffusion sont présents dans le trafic d’enregistrement. Le trafic Unicast est le trafic envoyé d’une adresse à une autre.
Si la majeure partie du trafic est constitué de messages ARP, votre configuration de mise en miroir du trafic n’est pas correcte.
Vérifiez que vos protocoles OT sont présents dans le trafic analysé.
Par exemple :
Entrainement
Module
Préparer le déploiement de Microsoft Defender pour IoT - Training
Découvrez comment préparer votre déploiement de Microsoft Defender pour IoT afin de monitorer votre réseau OT.
Documentation
Découvrez ce qu’il faut faire lorsqu’une ou plusieurs machines virtuelles ont une carte réseau configurée comme source pour la mise en miroir de ports, mais qu’il n’existe aucune destination correspondante sur le commutateur virtuel.
Capture d’extensions - Windows drivers
Capture d’extensions