Megosztás a következőn keresztül:

Tükrözés konfigurálása egy kapcsoló SPAN porttal

Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti.

Egy folyamatjelző sáv diagramja, amelyen a hálózati szintű üzembe helyezés ki van emelve.

Konfiguráljon egy SPAN-portot a kapcsolón, hogy tükrözhesse a kapcsoló interfészeinek helyi forgalmát egy másik interfészre ugyanazon a kapcsolón.

Ez a cikk mintakonfigurációs folyamatokat és eljárásokat tartalmaz a SPAN-portok Cisco CLI vagy GUI használatával történő konfigurálásához egy Cisco 2960 kapcsolóhoz, amely 24 IOS-t futtató portot tartalmaz.

Fontos

Ez a cikk csak mintautasításként és nem utasításokként szolgál. A tükrözési portok más Cisco operációs rendszereken és más kapcsolómárkákon eltérően vannak konfigurálva. További információkért tekintse meg a kapcsoló dokumentációját.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy tisztában van a Defender for IoT hálózatfigyelési tervével és a konfigurálni kívánt SPAN-portokkal.

További információ: Forgalomtükrözési módszerek az OT-monitorozáshoz.

Minta CLI SPAN port-konfiguráció (Cisco 2960)

Az alábbi parancsok egy mintafolyamatot mutatnak be a SPAN-port cisco 2960-on való konfigurálásához parancssori felületen keresztül:

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

Minta GUI SPAN portkonfiguráció (Cisco 2960)

Ez az eljárás a SPAN-port cisco 2960-on a grafikus felhasználói felületen keresztüli konfigurálásának magas szintű lépéseit ismerteti. További információkért tekintse meg a Cisco vonatkozó dokumentációját.

A kapcsoló konfigurációs felhasználói felületéről:

  1. Adja meg a globális konfigurációs módot.
  2. Konfigurálja az első 23 portot munkamenet forrásaként, és tükrözze csak az RX csomagokat.
  3. Konfigurálja a 24-s portot munkamenet-célhelyként.
  4. Vissza a kiemelt EXEC módba.
  5. Ellenőrizze a porttükrözés konfigurációját.
  6. Mentse a konfigurációt.

Minta CLI SPAN portkonfiguráció több VLAN-nal (Cisco 2960)

Az IoT Defender több, a hálózaton konfigurált VLAN-t is monitorozhat további konfiguráció nélkül, feltéve, hogy a hálózati kapcsoló úgy van konfigurálva, hogy VLAN-címkéket küldjön az IoT Defendernek.

Például a következő parancsokat kell konfigurálni egy Cisco-kapcsolón, hogy támogassa a VLAN-ok monitorozását a Defender for IoT-ben:

Monitorozási munkamenet: A következő parancsok úgy konfigurálják a kapcsolót, hogy VLAN-okat küldjön a SPAN-portra.

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

A Trunk Port F.E. Gi1/1 monitorozása: A következő parancsok konfigurálják a kapcsolót a csomagtérporton konfigurált VLAN-ok támogatásához:

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

Forgalomtükrözés ellenőrzése

A forgalomtükrözés konfigurálása után próbáljon meg mintát kapni a rögzített forgalomból (PCAP-fájl) a SPAN kapcsolóból vagy a tükrözési portról.

A PCAP-mintafájl a következő segítségére lesz:

  • A kapcsoló konfigurációjának ellenőrzése
  • Ellenőrizze, hogy a kapcsolón áthaladó forgalom releváns-e a figyeléshez
  • A sávszélesség és a kapcsoló által észlelt eszközök becsült számának azonosítása

  1. Használjon hálózati protokollelemző alkalmazást, például a Wiresharkot egy PCAP-mintafájl rögzítéséhez néhány percig. Csatlakoztathat például egy laptopot egy porthoz, ahol konfigurálta a forgalomfigyelést.

  2. Ellenőrizze, hogy az Unicast-csomagok szerepelnek-e a rögzítési forgalomban. Az unicast forgalom olyan forgalom, amelyet egy címről egy másik címre küldenek.

    Ha a forgalom nagy része ARP-üzenet, a forgalomtükrözés konfigurációja nem megfelelő.

  3. Ellenőrizze, hogy az OT-protokollok jelen vannak-e az elemzett forgalomban.

    Például:

    Képernyőkép a Wireshark ellenőrzéséről.

Az üzembe helyezés egyirányú átjárókon vagy adatdiódákon keresztül történik.

Az IoT Defendert egyirányú átjárókkal, más néven adatdiódákkal is üzembe helyezheti. Az adatdiódák biztonságos módot biztosítanak a hálózatok monitorozására, mivel csak egyirányú adatáramlást tesznek lehetővé. Ez azt jelenti, hogy az adatok a hálózat biztonságának veszélyeztetése nélkül monitorozásra kerülnek, mivel az adatok nem küldhetők vissza az ellenkező irányba. Adatdióda-megoldások például Waterfall, Owl Cyber Defense vagy Hirschmann.

Ha egyirányú átjárókra van szükség, javasoljuk, hogy telepítse az adatdiódát a SPAN-forgalomra, amely az érzékelő megfigyelési portjára irányul. Használjon például adatdiódát egy bizalmas rendszerből, például egy ipari vezérlőrendszerből érkező forgalom figyelésére, miközben a rendszer teljesen el van különítve a figyelési rendszertől.

Helyezze az OT-érzékelőket az elektronikus peremhálózaton kívülre, és fogadja a forgalmat a diódából. Ebben a forgatókönyvben a felhőből kezelheti a Defender for IoT-érzékelőket, így azok automatikusan frissülnek a legújabb fenyegetésfelderítési csomagokkal.

Következő lépések

« OT-érzékelők integrálása a Defender for IoT-be

OT-érzékelők kiépítése felhőfelügyelethez »