Ot-hely üzembe helyezésének előkészítése
Ez a cikk az IoT-hez készült Microsoft Defender ot monitorozásának üzembehelyezési útvonalát ismerteti.
A hálózat teljes figyeléséhez láthatóságra lesz szüksége a hálózat összes végponteszközén. Microsoft Defender az IoT-hez a hálózati eszközökön áthaladó forgalmat tükrözi az IoT-alapú Defender hálózati érzékelők felé. Az OT hálózati érzékelők ezután elemzik a forgalmi adatokat, riasztásokat aktiválnak, javaslatokat hoznak létre, és adatokat küldenek az Azure-beli Defender for IoT-nek.
Ez a cikk segít megtervezni, hogy hová helyezzen OT-érzékelőket a hálózatban, hogy a figyelni kívánt forgalom szükség szerint tükrözve legyen, és hogyan készítse elő a webhelyet az érzékelő üzembe helyezésére.
Előfeltételek
Mielőtt megtervezi egy adott webhely OT-monitorozását, győződjön meg arról, hogy megtervezte a teljes OT monitorozási rendszert.
Ezt a lépést az architektúracsapatok hajtják végre.
Tudnivalók az IoT-hez készült Defender monitorozási architektúrájáról
Az alábbi cikkekből többet is megtudhat a hálózat és a Defender for IoT-rendszer összetevőiről és architektúrájáról:
Hálózati diagram létrehozása
Minden szervezet hálózata saját összetettséggel rendelkezik. Hozzon létre egy hálózattérkép-diagramot, amely alaposan felsorolja a hálózat összes eszközét, hogy azonosítani tudja a figyelni kívánt forgalmat.
A hálózati diagram létrehozásakor az alábbi kérdések segítségével azonosíthatja és jegyzetelheti a hálózat különböző elemeit és azok kommunikációját.
Általános kérdések
Mik az általános monitorozási céljai?
Vannak redundáns hálózatai, és vannak olyan területek a hálózati térképen, amelyek nem igényelnek monitorozást, és figyelmen kívül hagyhatók?
Hol vannak a hálózat biztonsági és üzemeltetési kockázatai?
Hálózati kérdések
Mely protokollok aktívak a figyelt hálózatokon?
Konfigurálva vannak a virtuális hálózatok a hálózat kialakításában?
Van útválasztás a figyelt hálózatokban?
Van soros kommunikáció a hálózaton?
Hol vannak telepítve tűzfalak a figyelni kívánt hálózatokon?
Van forgalom egy ipari vezérlőhálózat (ICS) és egy vállalati, üzleti hálózat között? Ha igen, figyeli ezt a forgalmat?
Mi a fizikai távolság a kapcsolók és a vállalati tűzfal között?
Az OT rendszerkarbantartás rögzített vagy átmeneti eszközökkel történik?
Kérdések váltása
Ha egy kapcsoló egyébként nem felügyelt, figyelheti a magasabb szintű kapcsolók forgalmát? Ha például az OT-architektúra körtopológiát használ, a gyűrűben csak egy kapcsolónak kell monitorozást használnia.
A nem felügyelt kapcsolók lecserélhetők felügyelt kapcsolókra, vagy lehetséges a hálózati TAP-k használata?
Figyelheti a kapcsoló VLAN-ját, vagy látható-e a VLAN egy másik, figyelhető kapcsolóban?
Ha hálózati érzékelőt csatlakoztat a kapcsolóhoz, az tükrözni fogja a HMI és a PLC közötti kommunikációt?
Ha hálózati érzékelőt szeretne csatlakoztatni a kapcsolóhoz, van-e fizikai állványterület a kapcsolószekrényben?
Milyen költségek/előnyök járnak az egyes kapcsolók monitorozásával?
A monitorozni kívánt eszközök és alhálózatok azonosítása
Az IoT-alapú Defender hálózati érzékelőinek figyelni és tükrözni kívánt forgalom az a forgalom, amely biztonsági vagy üzemeltetési szempontból a legérdekesebb .
Tekintse át az OT-hálózati diagramot a helymérnökökkel együtt, és határozza meg, hogy hol találja meg a figyeléshez leginkább kapcsolódó forgalmat. Javasoljuk, hogy a várakozások tisztázása érdekében találkozzon a hálózati és az operatív csapatokkal is.
A csapatával együtt hozzon létre egy monitorozni kívánt eszköztáblát a következő részletekkel:
Specifikáció | Description |
---|---|
Szállító | Az eszköz gyártójának szállítója |
Eszköz neve | A folyamatos használat és hivatkozás értelmes neve |
Típus | Az eszköz típusa, például: Kapcsoló, Útválasztó, Tűzfal, Hozzáférési pont stb. |
Hálózati réteg | A monitorozni kívánt eszközök L2 vagy L3 eszközök: - Az L2-eszközök az IP-szegmensen belüli eszközök - Az L3-eszközök az IP-szegmensen kívüli eszközök A mindkét réteget támogató eszközök L3-eszköznek tekinthetők. |
Virtuális hálózatok közötti átkelés | Az eszközön áthaladó VLAN-k azonosítói. Ellenőrizze például ezeket a VLAN-azonosítókat úgy, hogy ellenőrzi az egyes VLAN-okon az átfedő faműveleti módot, és ellenőrzi, hogy áthaladnak-e egy társított porton. |
Átjáró a következőhöz: | Azokat a VLAN-okat, amelyek esetében az eszköz alapértelmezett átjáróként működik. |
Hálózati adatok | Az eszköz IP-címe, alhálózata, D-GW és DNS-gazdagépe |
Protokollok | Az eszközön használt protokollok. Hasonlítsa össze a protokollokat az IoT-hez készült Defender által támogatott protokollok listájával . |
Támogatott forgalomtükrözés | Határozza meg, hogy az egyes eszközök milyen típusú adatforgalmi tükrözést támogatnak, például SPAN, RSPAN, ERSPAN vagy TAP. Ezekkel az információkkal kiválaszthatja a forgalomtükrözési módszereket az OT-érzékelőkhöz. |
Partnerszolgáltatások kezelik? | Írja le, hogy egy partnerszolgáltatás, például a Siemens, a Rockwell vagy az Emerson kezeli-e az eszközt. Ha szükséges, írja le a felügyeleti szabályzatot. |
Soros kapcsolatok | Ha az eszköz soros kapcsolaton keresztül kommunikál, adja meg a soros kommunikációs protokollt. |
Többérzékelős üzembe helyezés megtervezése
Ha több hálózati érzékelő üzembe helyezését tervezi, vegye figyelembe a következő javaslatokat is, amikor eldönti, hol helyezze el az érzékelőket:
Fizikailag csatlakoztatott kapcsolók: Az Ethernet-kábelekkel fizikailag csatlakoztatott kapcsolók esetében minden 80 méter távolságra tervezzen legalább egy érzékelőt.
Több hálózat fizikai kapcsolat nélkül: Ha több hálózata van közöttük fizikai kapcsolat nélkül, tervezzen meg legalább egy érzékelőt minden egyes hálózathoz
RSPAN-támogatással rendelkező kapcsolók: Ha olyan kapcsolókkal rendelkezik, amelyek rsPAN forgalomtükrözést használhatnak, tervezzen meg legalább egy érzékelőt minden nyolc kapcsolóhoz egy helyi SPAN-porttal. Tervezze meg, hogy az érzékelőt elég közel helyezze a kapcsolókhoz, hogy kábellel csatlakoztathassa őket.
Alhálózatok listájának létrehozása
A monitorozni kívánt alhálózatok összesített listáját a teljes hálózaton figyelni kívánt eszközök listája alapján hozhatja létre.
Az érzékelők üzembe helyezése után ezzel a listával ellenőrizheti, hogy a felsorolt alhálózatok automatikusan észlelhetők-e, és szükség szerint manuálisan frissíti a listát.
A tervezett OT-érzékelők listázása
Miután megismerte a Defender for IoT-hez tükrözni kívánt forgalmat, hozzon létre egy teljes listát az összes olyan OT-érzékelőről, amelyet előkészít.
Minden érzékelőhöz sorolja fel a következőt:
Azt jelzi, hogy az érzékelő felhőhöz csatlakoztatott vagy helyileg felügyelt érzékelő lesz-e
A felhőhöz csatlakoztatott érzékelők esetében a használni kívánt felhőkapcsolati módszer .
Függetlenül attól, hogy fizikai vagy virtuális berendezéseket fog használni az érzékelőkhöz, figyelembe véve a szolgáltatásminőséghez (QoS) szükséges sávszélességet. További információ: Melyik berendezésre van szükségem?
Az egyes érzékelőkhöz hozzárendelendő hely és zóna .
Az ugyanabban a helyen vagy zónában lévő érzékelőkből betöltött adatok együtt tekinthetők meg, a rendszer más adataiból szegmentáltan. Ha vannak olyan érzékelőadatok, amelyeket ugyanabban a helyen vagy zónában csoportosítva szeretne megtekinteni, győződjön meg arról, hogy ennek megfelelően rendel hozzá érzékelőhelyeket és zónákat.
Az egyes érzékelőkhöz használni kívánt forgalomtükrözési módszer
Ahogy a hálózat idővel bővül, több érzékelőt is előkészíthet, vagy módosíthatja a meglévő érzékelődefiníciókat.
Fontos
Javasoljuk, hogy ellenőrizze az egyes érzékelők által észlelt eszközök jellemzőit, például az IP- és MAC-címeket. Az ugyanabban a zónában azonos logikai eszközjellemzőkkel rendelkező eszközök automatikusan összevonódnak, és azonos eszközként vannak azonosítva.
Ha például több hálózattal és ismétlődő IP-címmel dolgozik, ügyeljen arra, hogy minden érzékelőt egy másik zónával tervezzen meg, hogy az eszközök megfelelően külön és egyedi eszközként legyenek azonosítva.
További információ: Zónák elválasztása ismétlődő IP-tartományokhoz.
Helyszíni berendezések előkészítése
Ha virtuális berendezéseket használ, győződjön meg arról, hogy a megfelelő erőforrások konfigurálva vannak. További információkért lásd: OT monitorozás virtuális berendezésekkel.
Ha fizikai berendezéseket használ, győződjön meg arról, hogy rendelkezik a szükséges hardverrel. Vásárolhat előre konfigurált berendezéseket, vagy tervezhet szoftvereket telepíteni a saját berendezésére.
Előre konfigurált berendezések vásárlása:
- Nyissa meg az IoT-hez készült Defendert a Azure Portal.
- Válassza az Első lépések>Érzékelő>vásárlása előre konfigurált berendezés>névjegye lehetőséget.
A hivatkozás megnyit egy e-mailt hardware.sales@arrow.comaz IoT-hez készült Defender-berendezések sablonkérelmével.
További információ: Melyik berendezésre van szükségem?
Kiegészítő hardver előkészítése
Ha fizikai berendezéseket használ, győződjön meg arról, hogy minden fizikai berendezéshez a következő további hardverek érhetők el:
- Monitor és billentyűzet
- Kiszolgálószekrény-terület
- AC-teljesítmény
- Lan-kábel a berendezés felügyeleti portjának hálózati kapcsolóhoz való csatlakoztatásához
- LAN-kábelek tükörportok és hálózati terminálelérési pontok (TOP-k) csatlakoztatásához a berendezéshez
Berendezés hálózati adatainak előkészítése
Ha készen áll a berendezésekre, készítsen listát az egyes berendezésekre vonatkozó alábbi részletekről:
- IP-cím
- Alhálózat
- Alapértelmezett átjáró
- Állomásnév
- DNS-kiszolgáló (nem kötelező), a DNS-kiszolgáló IP-címével és a gazdagép nevével
Üzembehelyezési munkaállomás előkészítése
Készítsen elő egy munkaállomást, ahol futtathatja a Defender for IoT üzembehelyezési tevékenységeit. A munkaállomás lehet Windows vagy Mac gép, a következő követelményekkel:
Terminálszoftver, például PuTTY
Támogatott böngésző az érzékelők konzoljaihoz és a Azure Portal való csatlakozáshoz. További információ: Ajánlott böngészők a Azure Portal.
Kötelező tűzfalszabályok konfigurálva, hozzáféréssel a szükséges felületekhez. További információ: Hálózati követelmények.
Hitelesítésszolgáltató által aláírt tanúsítványok előkészítése
Javasoljuk, hogy a hitelesítésszolgáltató által aláírt tanúsítványokat használja az éles környezetekben.
Győződjön meg arról, hogy ismeri a helyszíni erőforrások SSL-/TLS-tanúsítványkövetelményeit. Ha a kezdeti üzembe helyezés során hitelesítésszolgáltató által aláírt tanúsítványt szeretne üzembe helyezni, győződjön meg arról, hogy a tanúsítvány elő van készítve.
Ha úgy dönt, hogy a beépített, önaláírt tanúsítvánnyal telepíti az üzembe helyezést, javasoljuk, hogy később telepítsen egy hitelesítésszolgáltató által aláírt tanúsítványt éles környezetben.
További információkért lásd: