Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti.
Ez a cikk azt ismerteti, hogyan használható a Promiscuous mód Hyper-V Vswitch-környezetben a forgalomtükrözés konfigurálásához, hasonlóan a SPAN-porthoz. A kapcsolón lévő SPAN port a kapcsoló interfészeiről a forgalmat ugyanazon kapcsoló egy másik interfészére tükrözi.
További információ: Forgalomtükrözés virtuális kapcsolókkal.
Előfeltételek
Előkészületek:
Győződjön meg arról, hogy tisztában van a Defender for IoT hálózatfigyelési tervével és a konfigurálni kívánt SPAN-portokkal.
További információ: Forgalomtükrözési módszerek az OT-monitorozáshoz.
Győződjön meg arról, hogy nem fut egyetlen virtuális eszköz sem.
Győződjön meg arról, hogy engedélyezte a SPAN beállítást a virtuális kapcsoló adatportján, nem pedig a felügyeleti porton.
Győződjön meg arról, hogy az adatport SPAN konfigurációja nincs IP-címmel konfigurálva.
Új Hyper-V virtuális kapcsoló létrehozása a tükrözött forgalom virtuális gépre való továbbításához
Új virtuális kapcsoló létrehozása a PowerShell-lel
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Helyszín:
| Paraméter | Leírás |
|---|---|
| vSwitch_Span | Újonnan hozzáadott SPAN virtuális kapcsoló neve |
| Ethernet | Fizikai adapter neve |
Ismerje meg, hogyan hozhat létre és konfigurálhat virtuális kapcsolót a Hyper-V használatával
Új virtuális kapcsoló létrehozása a Hyper-V Managerrel
Nyissa meg a Virtual Switch Managert.
A Virtuális kapcsolók listában válassza az Új virtuális hálózati kapcsoló> opciót, amely dedikált, spanned hálózati adaptertípusként szolgál.
Válassza a Virtuális kapcsoló létrehozása lehetőséget.
A Kapcsolat típusa területen válassza a Külső hálózat lehetőséget, és győződjön meg arról, hogy a hálózati adapter megosztásának engedélyezése a felügyeleti operációs rendszer számára jelölőnégyzet be van jelölve. Példa:
Kattintson az OK gombra.
SPAN virtuális adapter csatolása a virtuális kapcsolóhoz
A Windows PowerShell vagy a Hyper-V Manager használatával SPAN virtuális interfészt csatolhat a korábban létrehozott virtuális kapcsolóhoz.
Ha a PowerShellt használja, adja meg az újonnan hozzáadott adapterhardver nevét.Monitor Ha Hyper-V Managert használ, az újonnan hozzáadott adapterhardver neve a következőre Network Adaptervan állítva: .
SPAN virtuális adapter csatolása a virtuális kapcsolóhoz a PowerShell használatával
Válassza ki a korábban létrehozott újonnan hozzáadott SPAN virtuális kapcsolót, és futtassa a következő parancsot egy új hálózati adapter hozzáadásához:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanEngedélyezze a porttükrözést a kiválasztott felülethez a span célhelyként az alábbi paranccsal:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationHelyszín:
Paraméter Leírás VK-C1000V-LongRunning-650 CPPM VA neve vSwitch_Span Újonnan hozzáadott SPAN virtuális kapcsoló neve Monitor Újonnan hozzáadott adapter neve Amikor elkészült, válassza az OK lehetőséget.
SPAN virtuális adapter csatolása a virtuális kapcsolóhoz a Hyper-V Managerrel
A Hyper-V Manager hardverlistájában válassza a Hálózati adapter lehetőséget.
A Virtuális kapcsoló mezőben válassza a vSwitch_Span.
A Hardver listában, a Hálózati adapter legördülő listában válassza a Speciális szolgáltatások lehetőséget. A Porttükrözés szakaszban válassza ki Cél lehetőséget az új virtuális interfész tükrözési módjaként.
Kattintson az OK gombra.
A Microsoft NDIS rögzítési bővítményeinek bekapcsolása a PowerShell-lel
Kapcsolja be a Microsoft NDIS Capture Extensions támogatását a korábban létrehozott virtuális kapcsolóhoz.
A Microsoft NDIS rögzítési bővítményeinek engedélyezése az új virtuális kapcsolóhoz:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
A Microsoft NDIS rögzítési bővítményeinek bekapcsolása a Hyper-V Managerrel
Kapcsolja be a Microsoft NDIS Capture Extensions támogatását a korábban létrehozott virtuális kapcsolóhoz.
A Microsoft NDIS rögzítési bővítményeinek engedélyezése az új virtuális kapcsolóhoz:
Nyissa meg a Virtual Switch Managert a Hyper-V gazdagépen.
A Virtuális kapcsolók listában bontsa ki a virtuális kapcsoló nevét
vSwitch_Span, és válassza a Bővítmények lehetőséget.A Bővítmények váltása mezőben válassza a Microsoft NDIS Capture lehetőséget.
Kattintson az OK gombra.
A kapcsoló tükrözési módjának konfigurálása
Konfigurálja a tükrözési módot a korábban létrehozott virtuális kapcsolón, hogy a külső port tükrözési forrásként legyen definiálva. Ez magában foglalja a Hyper-V virtuális kapcsoló (vSwitch_Span) konfigurálását a külső forrásportra érkező forgalom célként konfigurált virtuális hálózati adapterre való továbbításához.
A virtuális kapcsoló külső portjának forrástükrözési módként való beállításához futtassa a következőt:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Helyszín:
| Paraméter | Leírás |
|---|---|
| vSwitch_Span | A korábban létrehozott virtuális kapcsoló neve |
| MonitorMode=2 | Forrás |
| MonitorMode=1 | Cél |
| MonitorMode=0 | Egyik sem |
A figyelési mód állapotának ellenőrzéséhez futtassa a következőt:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Paraméter | Leírás |
|---|---|
| vSwitch_Span | Újonnan hozzáadott SPAN virtuális kapcsoló neve |
A monitoradapter VLAN-beállításainak konfigurálása (ha szükséges)
Ha a tükrözött forgalom VLAN címkével rendelkezik, konfigurálja a virtuális gép monitoradapterét úgy, hogy fogadja a tükrözött VLAN(ok)ból érkező forgalmat.
Ezzel a PowerShell-paranccsal engedélyezheti a virtuális gép monitorozási adapterének, hogy fogadja a figyelt forgalmat különböző VLAN-okból:
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Helyszín:
| Paraméter | Leírás |
|---|---|
| VK-C1000V-LongRunning-650 | CPPM VA neve |
| 1010-1020 | VLAN-tartomány, amelyből az IoT-forgalom tükrözve van |
| 10 | A környezet natív VLAN-azonosítója |
További információ a Set-VMNetworkAdapterVlan PowerShell-parancsmagról.
Forgalomtükrözés ellenőrzése
A forgalomtükrözés konfigurálása után próbáljon meg mintát kapni a rögzített forgalomból (PCAP-fájl) a SPAN kapcsolóból vagy a tükrözési portról.
A PCAP-mintafájl a következő segítségére lesz:
- A kapcsoló konfigurációjának ellenőrzése
- Ellenőrizze, hogy a kapcsolón áthaladó forgalom releváns-e a figyeléshez
- A sávszélesség és a kapcsoló által észlelt eszközök becsült számának azonosítása
Használjon hálózati protokollelemző alkalmazást, például a Wiresharkot egy PCAP-mintafájl rögzítéséhez néhány percig. Csatlakoztathat például egy laptopot egy porthoz, ahol konfigurálta a forgalomfigyelést.
Ellenőrizze, hogy az Unicast-csomagok szerepelnek-e a rögzítési forgalomban. Az unicast forgalom olyan forgalom, amelyet egy címről egy másik címre küldenek.
Ha a forgalom nagy része ARP-üzenet, a forgalomtükrözés konfigurációja nem megfelelő.
Ellenőrizze, hogy az OT-protokollok jelen vannak-e az elemzett forgalomban.
Példa:
