Az IoT-hez készült Defender üzembe helyezése az OT-monitorozáshoz
Ez a cikk a Defender for IoT for OT monitorozáshoz való üzembe helyezéséhez szükséges magas szintű lépéseket ismerteti. További információt az egyes üzembe helyezési lépésekről az alábbi szakaszokban talál, beleértve a vonatkozó kereszthivatkozásokat is.
Az alábbi képen a végpontok közötti ot monitorozás üzembehelyezési útvonalának fázisai láthatók, az egyes fázisokért felelős csapattal együtt.
Bár a csapatok és a beosztások különböző szervezetekben különböznek, az IoT-hez készült Defender összes üzembe helyezéséhez kommunikációra van szükség a hálózat és az infrastruktúra különböző területeiért felelős személyek között.
Tipp
A folyamat minden lépése eltérő időt vehet igénybe. Az OT-érzékelő aktiválási fájljának letöltése például öt percet is igénybe vehet, míg a forgalomfigyelés konfigurálása a szervezet folyamatától függően napokig vagy akár hetekig is eltarthat.
Javasoljuk, hogy a következő lépésre való lépés előtt ne várja meg, hogy befejeződjön az egyes lépések folyamata. Győződjön meg arról, hogy folytatja a folytatást a még folyamatban lévő lépéseken a befejezésük érdekében.
Előfeltételek
Mielőtt elkezdené megtervezni az OT monitorozási üzembe helyezését, győződjön meg arról, hogy rendelkezik Egy Azure-előfizetéssel és egy OT-csomaggal az IoT-hez készült Defender előkészítésekor.
További információ: Microsoft Defender indítása az IoT-próbaverzióhoz.
Tervezés és előkészítés
Az alábbi képen a tervezési és előkészítési fázis lépései láthatók. A tervezési és előkészítési lépéseket az architektúra csapatai kezelik.
Az OT monitorozási rendszerének megtervezése
Tervezze meg a monitorozási rendszer alapvető adatait, például:
Helyek és zónák: Döntse el, hogyan szegmentálhatja a monitorozni kívánt hálózatot olyan helyek és zónák használatával, amelyek a világ különböző pontjait jelölhetik.
Érzékelőkezelés: Döntse el, hogy felhőalapú vagy levegőalapú, helyileg felügyelt OT-érzékelőket vagy mindkettő hibrid rendszerét fogja-e használni. Ha felhőalapú érzékelőket használ, válasszon egy csatlakozási módszert, például közvetlenül vagy proxyn keresztül.
Felhasználók és szerepkörök: Az egyes érzékelőkhöz szükséges felhasználói típusok és az egyes tevékenységekhez szükséges szerepkörök listája.
További információ: Az ot monitorozási rendszer megtervezése az IoT-hez készült Defenderrel.
Tipp
Ha több helyileg felügyelt érzékelőt használ, érdemes lehet üzembe helyezni egy helyszíni felügyeleti konzolt is a központi láthatóság és felügyelet érdekében.
Felkészülés az OT-hely üzembe helyezésére
Adjon meg további részleteket a rendszerben tervezett összes webhelyhez, beleértve a következőket:
Hálózati diagram. Azonosítsa az összes monitorozni kívánt eszközt, és hozzon létre egy jól definiált alhálózatlistát. Az érzékelők üzembe helyezése után ezzel a listával ellenőrizheti, hogy a monitorozni kívánt alhálózatok lefedik-e az IoT-hez készült Defendert.
Érzékelők listája: A figyelni kívánt forgalom, alhálózatok és eszközök listájának használatával létrehozhatja a szükséges OT-érzékelők listáját, és azt, hogy hol lesznek elhelyezve a hálózatban.
Forgalomtükrözési módszerek: Válasszon egy forgalomtükrözési módszert az egyes OT-érzékelőkhöz, például span porthoz vagy TAP-hoz.
Berendezések: Készítse elő az üzembehelyezési munkaállomást és minden hardveres vagy virtuálisgép-berendezést, amit a tervezett OT-érzékelőkhöz használni fog. Ha előre konfigurált berendezéseket használ, mindenképpen rendelje meg őket.
További információ: Ot-hely üzembe helyezésének előkészítése.
Érzékelők előkészítése az Azure-ba
Az alábbi képen a fedélzeti érzékelők fázisában szereplő lépés látható. Az érzékelőket az üzembehelyezési csapatok iktatják be az Azure-ba.
OT-érzékelők előkészítése a Azure Portal
Az IoT-hez készült Defendernek annyi OT-érzékelőt kell előkészítenie, amennyit tervezett. Mindenképpen töltse le az egyes OT-érzékelőkhöz megadott aktiválási fájlokat, és mentse őket olyan helyre, amely elérhető lesz az érzékelőgépekről.
További információ: Az OT-érzékelők előkészítése az IoT-hez készült Defenderbe.
Webhely hálózatkezelésének beállítása
Az alábbi képen a webhely hálózatkezelési beállítási kifejezésének lépései láthatók. A helyek hálózatkezelési lépéseit a kapcsolati csapatok kezelik.
Forgalomtükrözés konfigurálása a hálózaton
A korábban létrehozott tervekkel konfigurálhatja a forgalomtükrözést a hálózat azon pontjain, ahol OT-érzékelőket fog üzembe helyezni, és a forgalmat az IoT-hez készült Defenderben fogja tükrözni.
További információkért lásd:
- Tükrözés konfigurálása kapcsoló SPAN-porttal
- Forgalomtükrözés konfigurálása távoli SPAN (RSPAN) porttal
- Aktív vagy passzív összesítés konfigurálása (TAP)
- Az érzékelő monitorozási felületeinek frissítése (ERSPAN konfigurálása)
- Forgalomtükrözés konfigurálása ESXi vSwitch használatával
- Forgalomtükrözés konfigurálása Hyper-V vSwitch használatával
Kiépítés a felhőkezeléshez
Konfiguráljon tűzfalszabályokat annak biztosítására, hogy az OT-érzékelő berendezéseinek hozzáférése legyen az IoT-hez készült Defenderhez az Azure-felhőben. Ha proxyn keresztül szeretne csatlakozni, ezeket a beállításokat csak az érzékelő telepítése után fogja konfigurálni.
Hagyja ki ezt a lépést minden olyan OT-érzékelő esetében, amelyet a tervek szerint helyileg, közvetlenül az érzékelőkonzolon vagy egy helyszíni felügyeleti konzolon keresztül felügyelnek.
További információ: OT-érzékelők kiépítése a felhőkezeléshez.
Az OT-érzékelők üzembe helyezése
Az alábbi képen az érzékelő üzembe helyezési fázisának lépései láthatók. Az OT-érzékelőket az üzembehelyezési csapat helyezi üzembe és aktiválja.
Az OT-érzékelők telepítése
Ha a Defender for IoT-szoftvert a saját készülékére telepíti, töltse le a telepítőszoftvert a Azure Portal, és telepítse az OT-érzékelő berendezésére.
Az OT érzékelő szoftver telepítése után futtasson több ellenőrzést a telepítés és a konfiguráció ellenőrzéséhez.
További információkért lásd:
- OT monitorozási szoftver telepítése OT-érzékelőkre
- Az OT érzékelő szoftver telepítésének ellenőrzése
Ha előre konfigurált berendezéseket vásárol, hagyja ki ezeket a lépéseket.
Az OT-érzékelők aktiválása és a kezdeti beállítás
A kezdeti telepítővarázslóval erősítse meg a hálózati beállításokat, aktiválja az érzékelőt, és alkalmazza az SSH-/TLS-tanúsítványokat.
További információ: Az OT-érzékelő konfigurálása és aktiválása.
Proxykapcsolatok konfigurálása
Ha úgy döntött, hogy proxyval csatlakoztatja az érzékelőket a felhőhöz, állítsa be a proxyt, és konfigurálja az érzékelő beállításait. További információ: Proxybeállítások konfigurálása EGY OT-érzékelőn.
Hagyja ki ezt a lépést a következő helyzetekben:
- Bármely olyan OT-érzékelő esetében, ahol közvetlenül az Azure-hoz csatlakozik, proxy nélkül
- Minden olyan érzékelő esetében, amelyet helyileg, közvetlenül az érzékelőkonzolon vagy egy helyszíni felügyeleti konzolon terveznek leképezni és felügyelni.
Opcionális beállítások konfigurálása
Javasoljuk, hogy konfiguráljon egy Active Directory-kapcsolatot a helyszíni felhasználók OT-érzékelőn való kezeléséhez, valamint az érzékelő állapotának SNMP-n keresztüli monitorozásához.
Ha nem konfigurálja ezeket a beállításokat az üzembe helyezés során, később is visszatérhet és konfigurálhatja őket.
További információkért lásd:
Ot-monitorozás kalibrálása és finomhangolása
Az alábbi képen az újonnan üzembe helyezett érzékelővel végzett OT-monitorozás kalibrálásának és finomhangolásának lépései láthatók. A kalibrálási és finomhangolási tevékenységeket az üzembehelyezési csapat végzi.
Ot-monitorozás vezérlése az érzékelőn
Alapértelmezés szerint előfordulhat, hogy az OT-érzékelő nem észleli a figyelni kívánt hálózatokat, vagy pontosan úgy azonosítja őket, ahogyan meg szeretné jeleníteni őket. Használja a korábban létrehozott listákat az alhálózatok ellenőrzéséhez és manuális konfigurálásához, a port- és VLAN-nevek testreszabásához, valamint a DHCP-címtartományok szükség szerinti konfigurálásához.
További információ: Az IoT-Microsoft Defender által figyelt OT-forgalom szabályozása.
Az észlelt eszközleltár ellenőrzése és frissítése
Az eszközök teljes észlelése után tekintse át az eszközleltárt, és szükség szerint módosítsa az eszköz részleteit. Azonosíthatja például az egyesíthető ismétlődő eszközbejegyzéseket, a módosítandó eszköztípusokat vagy egyéb tulajdonságokat stb.
További információ: Az észlelt eszközleltár ellenőrzése és frissítése.
Ot-riasztások megismerása hálózati alapkonfiguráció létrehozásához
Az OT-érzékelő által aktivált riasztások több riasztást is tartalmazhatnak, amelyeket érdemes rendszeresen figyelmen kívül hagyni, vagy a Learnt engedélyezett forgalomként.
Tekintse át a rendszer összes riasztását kezdeti osztályozásként. Ez a lépés létrehoz egy hálózati forgalom-alapkonfigurációt az IoT-hez készült Defender számára a továbblépéshez.
További információ: Az OT-riasztások megtanult alapkonfigurációjának létrehozása.
Az alapkonfigurációs tanulás véget ér
Az OT-érzékelők mindaddig Tanulási módban maradnak, amíg az új forgalmat észleli, és nem kezelt riasztásokkal rendelkezik.
Amikor az alapszintű tanulás véget ér, az egyszeri felügyelet üzembehelyezési folyamata befejeződött, és a folyamatos monitorozáshoz továbbra is működőképes módban folytathatja. Működési módban az alapadatoktól eltérő tevékenységek riasztást aktiválnak.
Tipp
Kapcsolja ki manuálisan a tanulási módot , ha úgy érzi, hogy az IoT-hez készült Defender aktuális riasztásai pontosan tükrözik a hálózati forgalmat, és a tanulási mód még nem fejeződött be automatikusan.
A Defender for IoT-adatok csatlakoztatása a SIEM-hez
Az IoT-hez készült Defender üzembe helyezése után küldjön biztonsági riasztásokat, és kezelje az OT/IoT-incidenseket. Ehhez integrálja a Defender for IoT-t a biztonsági információ- és eseménykezelési (SIEM) platformmal, valamint a meglévő SOC-munkafolyamatokkal és -eszközökkel. Integrálja a Defender for IoT-riasztásokat a szervezeti SIEM-sel a Microsoft Sentinel integrálásával és az IoT-megoldáshoz készült beépített Microsoft Defender kihasználásával, vagy más SIEM-rendszerekre irányuló továbbítási szabályok létrehozásával. Az IoT-hez készült Defender beépített integrálható a Microsoft Sentinellel, valamint számos SIEM-rendszert, például a Splunkot, az IBM QRadart, a LogRhythmet, a Fortinetet stb.
További információkért lásd:
- OT threat monitoring in enterprise SOCs
- Oktatóanyag: Az IoT-hez készült Microsoft Defender csatlakoztatása a Microsoft Sentinelhez
- Helyszíni OT hálózati érzékelők csatlakoztatása a Microsoft Sentinelhez
- Integráció a Microsofttal és a partnerszolgáltatásokkal
- Stream Defender for IoT cloud alerts to a partner SIEM
Miután integrálta a Defender for IoT-riasztásokat egy SIEM-sel, javasoljuk a következő lépéseket az OT/IoT-riasztások üzembe helyezéséhez és a meglévő SOC-munkafolyamatokkal és -eszközökkel való teljes integrálásához:
Azonosítsa és határozza meg a releváns IoT/OT biztonsági fenyegetéseket és SOC-incidenseket, amelyek monitorozását az adott ot-igények és környezet alapján szeretné ellenőrizni.
Észlelési szabályok és súlyossági szintek létrehozása az SIEM-ben. Csak a releváns incidensek aktiválódnak, ezáltal csökkentve a szükségtelen zajt. Például a nem engedélyezett eszközökről vagy munkaidőn kívül végrehajtott PLC-kódmódosításokat az adott riasztás magas megbízhatósága miatt nagy súlyosságú incidensként definiálná.
A Microsoft Sentinelben az IoT-megoldáshoz készült Microsoft Defender beépített észlelési szabályokat tartalmaz, amelyek kifejezetten a Defender for IoT-adatokhoz készültek, és segítenek a Sentinelben létrehozott incidensek finomhangolásában.
Határozza meg a megfelelő munkafolyamatot a kockázatcsökkentéshez, és hozzon létre automatizált vizsgálati forgatókönyveket minden egyes használati esethez. A Microsoft Sentinelben az IoT-Microsoft Defender megoldás beépített forgatókönyveket tartalmaz az IoT-alapú Defender riasztásokra való automatikus reagáláshoz.
Következő lépések
Most, hogy megismerte az OT monitorozási rendszer üzembe helyezésének lépéseit, készen áll az első lépésekre!