A Microsoft Defender for IoT által figyelt OT-forgalom szabályozása

  • Cikk

Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti.

Diagram of a progress bar with Fine-tune OT monitoring highlighted.

A Microsoft Defender for IoT OT hálózati érzékelők automatikusan mély csomagészlelést futtatnak az informatikai és az OT-forgalomhoz, feloldva a hálózati eszköz adatait, például az eszközattribútumokat és a viselkedést.

Az OT-hálózati érzékelő telepítése, aktiválása és konfigurálása után a cikkben ismertetett eszközökkel elemezheti az automatikusan észlelt forgalmat, szükség esetén további alhálózatokat vehet fel, és szabályozhatja a Defender for IoT-riasztások forgalmi adatait.

Előfeltételek

A cikkben szereplő eljárások végrehajtása előtt a következőkre van szükség:

Ezt a lépést az üzembehelyezési csapatok hajtják végre.

Az üzembe helyezés elemzése

Miután egy új OT hálózati érzékelőt helyezett a Microsoft Defender for IoT-be, ellenőrizze, hogy az érzékelő megfelelően van-e üzembe helyezve a figyelt forgalom elemzésével.

A hálózat elemzése:

  1. Jelentkezzen be az OT-érzékelőbe Rendszergazda felhasználóként, és válassza a Rendszerbeállítások>alapszintű>üzembe helyezés lehetőséget.

  2. Válassza az Elemzés lehetőséget. Elindul az elemzés, és megjelenik egy lap az érzékelő által figyelt minden egyes felülethez. Minden lapon a megadott felület által észlelt alhálózatok láthatók. Példa:

    Screenshot of the Deployment settings page.

  3. Minden felületlapon a következő részletek láthatók:

    • Csatlakozás ion állapota, amelyet a tabulátor nevében egy zöld vagy piros kapcsolat ikon jelez. A fenti képen például az eth1 felület zöldként jelenik meg, ezért csatlakoztatva van.
    • A lap tetején látható észlelt alhálózatok és VLAN-k teljes száma.
    • Az egyes alhálózatokon észlelt protokollok.
    • Az egyes alhálózatokhoz észlelt egyedi küldési címek száma.
    • Azt jelzi, hogy a rendszer észleli-e az egyes alhálózatok szórásos forgalmát, ami egy helyi hálózatot jelez.

  4. Várjon, amíg az elemzés befejeződik, majd ellenőrizze az egyes felületi lapokat, hogy a felület figyeli-e a releváns forgalmat, vagy további finomhangolásra van szükség.

Ha az Üzembe helyezés lapon látható forgalom nem az elvárt, akkor lehet, hogy finomhangolnia kell az üzembe helyezést az érzékelő hálózati helyének módosításával, vagy annak ellenőrzésével, hogy a monitorozási felületek megfelelően vannak-e csatlakoztatva. Ha módosításokat végez, és újra szeretné elemezni a forgalmat, hogy lássa, javult-e, az Elemzés gombra kattintva megtekintheti a frissített figyelési állapotot.

Az alhálózatok listájának finomhangolása

Az érzékelő által figyelt forgalom elemzése és az üzembe helyezés finomhangolása után előfordulhat, hogy tovább kell finomhangolnia az alhálózati listát. Ezzel az eljárással győződjön meg arról, hogy az alhálózatok megfelelően vannak konfigurálva.

Bár az OT-érzékelő a kezdeti üzembe helyezés során automatikusan megtanulja a hálózati alhálózatokat, javasoljuk az észlelt forgalom elemzését és szükség szerinti frissítését a térképnézetek és az eszközleltár optimalizálása érdekében.

Ezzel az eljárással alhálózati beállításokat is meghatározhat, meghatározva, hogy az eszközök hogyan jelenjenek meg az érzékelő eszköztérképén és az Azure-eszközleltárban.

  • Az eszköztérképen az informatikai eszközöket automatikusan összesíti az alhálózat, ahol kibonthatja és összecsukhatja az egyes alhálózati nézeteket, hogy szükség szerint lehatoljon.
  • Az Azure-eszközleltárban az alhálózatok konfigurálása után a Hálózati hely (nyilvános előzetes verzió) szűrővel megtekintheti az alhálózatok listájában meghatározott helyi vagy irányított eszközöket. A felsorolt alhálózatokhoz társított összes eszköz helyiként jelenik meg, míg a listában nem szereplő észlelt alhálózatokhoz társított eszközök irányítva jelennek meg.

Bár az OT hálózati érzékelő automatikusan megtanulja a hálózat alhálózatait, javasoljuk, hogy erősítse meg a tanult beállításokat, és szükség szerint frissítse őket a térképnézetek és az eszközleltár optimalizálása érdekében. Az alhálózatként nem felsorolt alhálózatok külső hálózatokként lesznek kezelve.

Tipp.

Ha készen áll arra, hogy nagy léptékben kezelje az OT-érzékelő beállításait, alhálózatokat definiáljon az Azure Portalról. Miután az Azure Portalon alkalmazta a beállításokat, az érzékelőkonzol beállításai írásvédettek lesznek. További információ: Az OT-érzékelő beállításainak konfigurálása az Azure Portalról (nyilvános előzetes verzió).

Az észlelt alhálózatok finomhangolása:

  1. Jelentkezzen be az OT-érzékelőbe Rendszergazda felhasználóként, és válassza a Rendszerbeállítások>alapszintű>alhálózatok lehetőséget. Példa:

    Screenshot of the Subnets page in the OT sensor settings.

  2. Frissítse a felsorolt alhálózatokat az alábbi lehetőségek bármelyikével:

    Név Leírás
    Alhálózatok importálása Importálás egy . Alhálózat-definíciók CSV-fájlja. Az alhálózat adatai frissülnek az importált információkkal. Ha üres mezőt importál, elveszíti az abban a mezőben lévő adatokat.
    Alhálózatok exportálása Exportálja a jelenleg felsorolt alhálózatokat egy . CSV-fájl.
    Az összes törlése Törölje az összes jelenleg definiált alhálózatot.
    Automatikus alhálózati tanulás Alapértelmezés szerint ki van választva. Törölje ezt a beállítást, hogy az érzékelő ne észlelje automatikusan az alhálózatokat.
    Az összes internetes forgalom feloldása belső/privátként Válassza ki, ha az összes nyilvános IP-címet magánhálózati, helyi címként szeretné figyelembe venni. Ha ki van választva, a nyilvános IP-címek helyi címként lesznek kezelve, és a rendszer nem küld riasztásokat jogosulatlan internetes tevékenységről.

    Ez a beállítás csökkenti a külső címekről kapott értesítéseket és riasztásokat.
    IP-cím Adja meg az alhálózat IP-címét.
    Maszk Határozza meg az alhálózat IP-maszkját.
    Név Javasoljuk, hogy adjon meg egy értelmes nevet, amely meghatározza az alhálózat hálózati szerepkörét. Az alhálózatnevek legfeljebb 60 karakterből állhatnak.
    Szegregált Ha ezt az alhálózatot külön szeretné megjeleníteni, az eszköztérkép Purdue-szint szerinti megjelenítésekor.
    Alhálózat eltávolítása Válassza ki az IoT/OT hálózati hatókörhöz nem kapcsolódó alhálózatok eltávolítását.

    Az alhálózati rácsban az ICS-alhálózatként megjelölt alhálózatok OT-hálózatokként vannak felismerve. Ez a beállítás írásvédett ebben a rácsban, de manuálisan is megadhat egy alhálózatot ICS-ként , ha a rendszer nem ismeri fel megfelelően az OT-alhálózatot.

  3. Ha elkészült, a frissítések mentéséhez válassza a Mentés lehetőséget.

Tipp.

Ha az automatikus alhálózati tanulási beállítás le van tiltva, és az alhálózati lista úgy lett szerkesztve, hogy csak a helyileg figyelt alhálózatok szerepeljenek az IoT/OT-hatókörben, az Azure-eszközleltárat hálózati hely szerint szűrve csak a helyiként meghatározott eszközöket tekintheti meg. További információ: Az eszközleltár megtekintése.

Alhálózat manuális definiálása ICS-ként

Ha olyan OT-alhálózattal rendelkezik, amelyet az érzékelő nem jelöl meg automatikusan ICS-alhálózatként, módosítsa a megfelelő alhálózaton lévő eszközök eszköztípusát ICS- vagy IoT-eszköztípusra. Ezt követően az érzékelő automatikusan ICS-alhálózatként jelöli meg az alhálózatot.

Feljegyzés

Ha manuálisan szeretné módosítani az ICS-ként megjelölendő alhálózatot, módosítsa az eszköz típusát az eszközleltárban az OT-érzékelőben. Az Azure Portalon az alhálózatok listájában lévő alhálózatok alapértelmezés szerint ICS-ként vannak megjelölve az érzékelő beállításai között.

Az eszköz típusának módosítása az alhálózat manuális frissítéséhez:

  1. Jelentkezzen be az OT-érzékelő konzoljára, és nyissa meg az Eszközleltárat.

  2. Az eszközleltárrácson válasszon ki egy eszközt a megfelelő alhálózatból, majd válassza a Lap tetején található eszköztár Szerkesztés elemét.

  3. A Típus mezőben válasszon ki egy eszköztípust az ICS vagy az IoT alatt felsorolt legördülő listából.

Az alhálózat mostantól ICS-alhálózatként lesz megjelölve az érzékelőben.

További információ: Eszközadatok szerkesztése.

Port- és VLAN-nevek testreszabása

Az alábbi eljárásokkal bővítheti a Defender for IoT-ben látható eszközadatokat a port- és VLAN-nevek testreszabásával az OT-hálózati érzékelőkön.

Előfordulhat például, hogy olyan nevet szeretne hozzárendelni egy nem fenntartott porthoz, amely szokatlanul magas aktivitást mutat a meghíváshoz, vagy egy nevet szeretne hozzárendelni egy VLAN-számhoz, hogy gyorsabban azonosíthassa azt.

Feljegyzés

A felhőalapú érzékelők esetében előfordulhat, hogy végül elkezdi konfigurálni az OT-érzékelő beállításait az Azure Portalról. Miután megkezdte a beállítások konfigurálását az Azure Portalról, az OT-érzékelők VLAN-jai és portelnevezési paneljei írásvédettek lesznek. További információ: Az OT-érzékelő beállításainak konfigurálása az Azure Portalról.

Az észlelt portok nevének testreszabása

Az IoT Defender automatikusan neveket rendel a legtöbb univerzálisan fenntartott porthoz, például DHCP-hez vagy HTTP-hez. Előfordulhat azonban, hogy testre szeretné szabni egy adott port nevét, hogy kiemelje azt, például amikor szokatlanul magas észlelési aktivitású portot néz.

A portnevek akkor jelennek meg az IoT Defenderben, ha eszközcsoportokat tekint meg az OT-érzékelő eszköztérképéről, vagy amikor portinformációkat tartalmazó OT-érzékelőjelentéseket hoz létre.

Portnév testreszabása:

  1. Jelentkezzen be az OT-érzékelőbe Rendszergazda felhasználóként.

  2. Válassza a Rendszerbeállítások lehetőséget, majd a Hálózatfigyelés területen válassza a Portelnevezés lehetőséget.

  3. A megjelenő Portelnevezés panelen adja meg a megnevezni kívánt portszámot, a port protokollját és egy értelmes nevet. A támogatott protokollértékek a következők: TCP, UDP és BOTH.

  4. Válassza a + Port hozzáadása lehetőséget egy másik port testreszabásához, a Mentés pedig ha elkészült.

VLAN-név testreszabása

A VLAN-okat az OT hálózati érzékelő automatikusan felderíti, vagy manuálisan adja hozzá. Az automatikusan felderített VLAN-okat nem lehet szerkeszteni vagy törölni, de a manuálisan hozzáadott VLAN-k egyedi nevet igényelnek. Ha a VLAN nem explicit módon van elnevezve, a VLAN száma jelenik meg helyette.

A VLAN támogatása a 802.1q-n alapul (a 4094-es VLAN-azonosítóig).

Feljegyzés

A VLAN-nevek nincsenek szinkronizálva az OT hálózati érzékelő és a helyszíni felügyeleti konzol között. Ha testre szabott VLAN-neveket szeretne megtekinteni a helyszíni felügyeleti konzolon, itt is definiálja a VLAN-neveket .

VLAN-nevek konfigurálása egy OT hálózati érzékelőn:

  1. Jelentkezzen be az OT-érzékelőbe Rendszergazda felhasználóként.

  2. Válassza a Rendszer Gépház lehetőséget, majd a Hálózatfigyelés területen válassza a VLAN elnevezését.

  3. A megjelenő VLAN-elnevezési panelen adjon meg egy VLAN-azonosítót és egy egyedi VLAN-nevet. A VLAN-nevek legfeljebb 50 ASCII-karaktert tartalmazhatnak.

  4. Válassza a + VLAN hozzáadása lehetőséget egy másik VLAN testreszabásához, és mentés , ha elkészült.

  5. Cisco kapcsolók esetén: Adja hozzá a monitor session 1 destination interface XX/XX encapsulation dot1q parancsot a SPAN-port konfigurációjához, ahol az XX/XX a port neve és száma.

DHCP-címtartományok konfigurálása

Az OT-hálózat statikus és dinamikus IP-címekből is állhat.

  • A statikus címek általában az OT-hálózatokon találhatók a történészeken, vezérlőken és hálózati infrastruktúra-eszközökön, például kapcsolókon és útválasztókon keresztül.
  • A dinamikus IP-kiosztást általában laptopokkal, pc-kkel, okostelefonokkal és más hordozható berendezésekkel rendelkező vendéghálózatokon valósítják meg, wi-Fi vagy LAN fizikai kapcsolatok használatával különböző helyeken.

Ha dinamikus hálózatokkal dolgozik, az IP-címek változásait az egyes OT-hálózati érzékelők DHCP-címtartományainak meghatározásával kell kezelnie. Ha egy IP-cím DHCP-címként van definiálva, az IoT-hez készült Defender azonosítja az ugyanazon az eszközön zajló összes tevékenységet, függetlenül attól, hogy az IP-cím megváltozik-e.

DHCP-címtartományok definiálása:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások>hálózat monitorozása>DHCP-tartományokat.

  2. Tegye a következők egyikét:

    • Egyetlen tartomány hozzáadásához válassza a + Tartomány hozzáadása lehetőséget, és adja meg az IP-címtartományt és a tartomány opcionális nevét.
    • Több tartomány hozzáadásához hozzon létre egy . CSV-fájl az egyes tartományok Feladó, To és Név adatainak oszlopaival. Az Importálás lehetőséget választva importálhatja a fájlt az OT-érzékelőbe. Tartományértékek importálása egy . A CSV-fájl felülírja az érzékelőhöz jelenleg konfigurált tartományadatokat.
    • A jelenleg konfigurált tartományok exportálása egy . CSV-fájl, válassza az Exportálás lehetőséget.
    • Az összes jelenleg konfigurált tartomány törléséhez válassza az Összes törlése lehetőséget.

    A tartománynevek legfeljebb 256 karakter hosszúságúak lehetnek.

  3. Válassza a Mentés lehetőséget a módosítások mentéséhez.

Forgalomszűrők konfigurálása (speciális)

A riasztások kifáradtságának csökkentése és a hálózati monitorozás magas prioritású forgalomra való összpontosítása érdekében dönthet úgy, hogy a forrásnál lévő Defender for IoT-be streamelt forgalmat szűri. A rögzítési szűrők az OT-érzékelő parancssori felületén vannak konfigurálva, és lehetővé teszik a nagy sávszélességű forgalom letiltását a hardverrétegen, optimalizálva a berendezés teljesítményét és az erőforrás-használatot.

További információkért lásd:

Következő lépések

« Proxybeállítások konfigurálása egy OT-érzékelőn

Ellenőrizze és frissítse az észlelt eszközleltárat »