Controllare il traffico OT monitorato da Microsoft Defender per IoT

  • Articolo

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.

Diagram of a progress bar with Fine-tune OT monitoring highlighted.

I sensori di rete OT di Microsoft Defender per IoT eseguono automaticamente il rilevamento avanzato dei pacchetti per il traffico IT e OT, risolvendo i dati dei dispositivi di rete, ad esempio attributi e comportamento del dispositivo.

Dopo l'installazione, l'attivazione e la configurazione del sensore di rete OT, usare gli strumenti descritti in questo articolo per analizzare il traffico rilevato automaticamente, aggiungere subnet aggiuntive, se necessario, e controllare le informazioni sul traffico incluse negli avvisi di Defender per IoT.

Prerequisiti

Prima di eseguire le procedure descritte in questo articolo, è necessario disporre di:

Questo passaggio viene eseguito dai team di distribuzione.

Analizzare la distribuzione

Dopo l'onboarding di un nuovo sensore di rete OT in Microsoft Defender per IoT, verificare che il sensore venga distribuito correttamente analizzando il traffico monitorato.

Per analizzare la rete:

  1. Accedere al sensore OT come utente Amministrazione e selezionare Impostazioni di sistema>Distribuzione di base.>

  2. Seleziona Analizza. Viene avviata l'analisi e viene visualizzata una scheda per ogni interfaccia monitorata dal sensore. Ogni scheda mostra le subnet rilevate dall'interfaccia indicata. Ad esempio:

    Screenshot of the Deployment settings page.

  3. Ogni scheda dell'interfaccia mostra i dettagli seguenti:

    • Connessione stato, indicato da un'icona di connessione verde o rossa nel nome della scheda. Nell'immagine precedente, ad esempio, l'interfaccia eth1 viene visualizzata come verde ed è quindi connessa.
    • Numero totale di subnet e VLAN rilevate, visualizzate nella parte superiore della scheda.
    • I protocolli rilevati in ogni subnet.
    • Numero di indirizzi unicast rilevati per ogni subnet.
    • Indica se il traffico di trasmissione viene rilevato per ogni subnet, che indica una rete locale.

  4. Attendere il completamento dell'analisi e quindi controllare ogni scheda dell'interfaccia per capire se l'interfaccia sta monitorando il traffico pertinente o richiede un'ulteriore ottimizzazione.

Se il traffico visualizzato nella pagina Distribuzione non è quello previsto, potrebbe essere necessario ottimizzare la distribuzione modificando il percorso del sensore nella rete o verificando che le interfacce di monitoraggio siano connesse correttamente. Se si apportano modifiche e si vuole analizzare di nuovo il traffico per verificare se è migliorato, selezionare di nuovo Analizza per visualizzare lo stato di monitoraggio aggiornato.

Ottimizzare l'elenco di subnet

Dopo aver analizzato il traffico monitorato dal sensore e aver ottimizzato la distribuzione, potrebbe essere necessario ottimizzare ulteriormente l'elenco di subnet. Usare questa procedura per assicurarsi che le subnet siano configurate correttamente.

Mentre il sensore OT apprende automaticamente le subnet di rete durante la distribuzione iniziale, è consigliabile analizzare il traffico rilevato e aggiornarli in base alle esigenze per ottimizzare le visualizzazioni mappa e l'inventario dei dispositivi.

Usare anche questa procedura per definire anche le impostazioni della subnet, determinando la modalità di visualizzazione dei dispositivi nella mappa dei dispositivi del sensore e nell'inventario dei dispositivi di Azure.

  • Nella mappa dei dispositivi i dispositivi IT vengono aggregati automaticamente in base alla subnet, in cui è possibile espandere e comprimere ogni visualizzazione subnet per eseguire il drill-down in base alle esigenze.
  • Nell'inventario dei dispositivi di Azure, dopo aver configurato le subnet, usare il filtro Percorso di rete (anteprima pubblica) per visualizzare i dispositivi locali o indirizzati come definito nell'elenco delle subnet. Tutti i dispositivi associati alle subnet elencate vengono visualizzati come locali, mentre i dispositivi associati alle subnet rilevate non inclusi nell'elenco verranno visualizzati come instradati.

Mentre il sensore di rete OT apprende automaticamente le subnet nella rete, è consigliabile confermare le impostazioni apprese e aggiornarle in base alle esigenze per ottimizzare le visualizzazioni mappa e l'inventario dei dispositivi. Tutte le subnet non elencate come subnet vengono considerate come reti esterne.

Suggerimento

Quando si è pronti per iniziare a gestire le impostazioni del sensore OT su larga scala, definire le subnet dal portale di Azure. Dopo aver applicato le impostazioni dalla portale di Azure, le impostazioni nella console del sensore sono di sola lettura. Per altre informazioni, vedere Configurare le impostazioni del sensore OT dal portale di Azure (anteprima pubblica).

Per ottimizzare le subnet rilevate:

  1. Accedere al sensore OT come utente Amministrazione e selezionare Impostazioni di sistema>Subnet di base.> Ad esempio:

    Screenshot of the Subnets page in the OT sensor settings.

  2. Aggiornare le subnet elencate usando una delle opzioni seguenti:

    Nome Descrizione
    Importare subnet Importare un oggetto . File CSV di definizioni di subnet. Le informazioni sulla subnet vengono aggiornate con le informazioni importate. Se si importa un campo vuoto, si perdono i dati in tale campo.
    Esportare le subnet Esportare le subnet attualmente elencate in un oggetto . File CSV.
    Cancella tutto Cancellare tutte le subnet attualmente definite.
    Apprendimento automatico delle subnet Questa opzione è selezionata per impostazione predefinita. Deselezionare questa opzione per impedire al sensore di rilevare automaticamente le subnet.
    Risolvere tutto il traffico Internet come interno/privato Selezionare questa opzione per considerare tutti gli indirizzi IP pubblici come indirizzi locali privati. Se questa opzione è selezionata, gli indirizzi IP pubblici vengono considerati come indirizzi locali e gli avvisi non vengono inviati per attività Internet non autorizzate.

    Questa opzione riduce le notifiche e gli avvisi ricevuti sugli indirizzi esterni.
    Indirizzo IP Definire l'indirizzo IP della subnet.
    Maschera Definire la maschera IP della subnet.
    Nome È consigliabile immettere un nome significativo che specifica il ruolo di rete della subnet. I nomi delle subnet possono contenere fino a 60 caratteri.
    Segregati Selezionare questa subnet separatamente quando si visualizza la mappa del dispositivo in base al livello Purdue.
    Rimuovere la subnet Selezionare questa opzione per rimuovere tutte le subnet che non sono correlate all'ambito di rete IoT/OT.

    Nella griglia della subnet le subnet contrassegnate come subnet ICS vengono riconosciute come reti OT. Questa opzione è di sola lettura in questa griglia, ma è possibile definire manualmente una subnet come ICS se non è stata riconosciuta correttamente una subnet OT.

  3. Al termine, selezionare Salva per salvare gli aggiornamenti.

Suggerimento

Dopo aver disabilitato l'impostazione Apprendimento automatico subnet e l'elenco di subnet è stato modificato per includere solo le subnet monitorate localmente nell'ambito IoT/OT, è possibile filtrare l'inventario dei dispositivi di Azure in base al percorso di rete per visualizzare solo i dispositivi definiti come locali. Per altre informazioni, vedere Visualizzare l'inventario dei dispositivi.

Definire manualmente una subnet come ICS

Se si dispone di una subnet OT che non viene contrassegnata automaticamente come subnet ICS dal sensore, modificare il tipo di dispositivo per uno dei dispositivi nella subnet pertinente in un tipo di dispositivo ICS o IoT. La subnet verrà quindi contrassegnata automaticamente dal sensore come subnet ICS.

Nota

Per modificare manualmente la subnet da contrassegnare come ICS, modificare il tipo di dispositivo nell'inventario dei dispositivi nel sensore OT. Nella portale di Azure le subnet nell'elenco di subnet vengono contrassegnate come ICS per impostazione predefinita nelle impostazioni del sensore.

Per modificare il tipo di dispositivo in modo da aggiornare manualmente la subnet:

  1. Accedere alla console del sensore OT e passare a Inventario dispositivi.

  2. Nella griglia di inventario dei dispositivi selezionare un dispositivo dalla subnet pertinente e quindi selezionare Modifica nella barra degli strumenti nella parte superiore della pagina.

  3. Nel campo Tipo selezionare un tipo di dispositivo dall'elenco a discesa elencato in ICS o IoT.

La subnet verrà ora contrassegnata come subnet ICS nel sensore.

Per altre informazioni, vedere Modificare i dettagli del dispositivo.

Personalizzare i nomi di porta e VLAN

Usare le procedure seguenti per arricchire i dati del dispositivo visualizzati in Defender per IoT personalizzando i nomi di porta e VLAN nei sensori di rete OT.

Ad esempio, è possibile assegnare un nome a una porta non riservato che mostra un'attività insolitamente elevata per chiamarla o assegnare un nome a un numero VLAN per identificarlo più rapidamente.

Nota

Per i sensori connessi al cloud, è possibile iniziare a configurare le impostazioni del sensore OT dal portale di Azure. Dopo aver avviato la configurazione delle impostazioni dal portale di Azure, le VLAN e i riquadri di denominazione delle porte nei sensori OT sono di sola lettura. Per altre informazioni, vedere Configurare le impostazioni del sensore OT dal portale di Azure.

Personalizzare i nomi delle porte rilevate

Defender per IoT assegna automaticamente i nomi alle porte più riservate universalmente, ad esempio DHCP o HTTP. Tuttavia, è possibile personalizzare il nome di una porta specifica per evidenziarla, ad esempio quando si osserva una porta con attività rilevate insolitamente elevate.

I nomi delle porte vengono visualizzati in Defender per IoT quando si visualizzano i gruppi di dispositivi dalla mappa del dispositivo del sensore OT o quando si creano report del sensore OT che includono informazioni sulla porta.

Per personalizzare un nome di porta:

  1. Accedere al sensore OT come utente Amministrazione.

  2. Selezionare Impostazioni di sistema e quindi in Monitoraggio della rete selezionare Denominazione porta.

  3. Nel riquadro Denominazione porta visualizzato immettere il numero di porta che si vuole assegnare, il protocollo della porta e un nome significativo. I valori del protocollo supportati includono: TCP, UDP e BOTH.

  4. Selezionare + Aggiungi porta per personalizzare un'altra porta e Salva al termine.

Personalizzare un nome VLAN

Le VLAN vengono individuate automaticamente dal sensore di rete OT o aggiunte manualmente. Le VLAN individuate automaticamente non possono essere modificate o eliminate, ma le VLAN aggiunte manualmente richiedono un nome univoco. Se una VLAN non è denominata in modo esplicito, viene invece visualizzato il numero della VLAN.

Il supporto di VLAN si basa su 802.1q (fino all'ID VLAN 4094).

Nota

I nomi VLAN non vengono sincronizzati tra il sensore di rete OT e la console di gestione locale. Se si vogliono visualizzare nomi VLAN personalizzati nella console di gestione locale, definire anche i nomi VLAN.

Per configurare i nomi VLAN in un sensore di rete OT:

  1. Accedere al sensore OT come utente Amministrazione.

  2. Selezionare System Impostazioni (Sistema Impostazioni) e quindi in Network monitoring (Monitoraggio rete) selezionare VLAN Naming (Denominazione VLAN).

  3. Nel riquadro di denominazione VLAN visualizzato immettere un ID VLAN e un nome VLAN univoco. I nomi VLAN possono contenere fino a 50 caratteri ASCII.

  4. Selezionare + Aggiungi VLAN per personalizzare un'altra VLAN e Salvare al termine.

  5. Per i commutatori Cisco: aggiungere il monitor session 1 destination interface XX/XX encapsulation dot1q comando alla configurazione della porta SPAN, dove XX/XX è il nome e il numero della porta.

Configurare gli intervalli di indirizzi DHCP

La rete OT potrebbe essere costituita da indirizzi IP statici e dinamici.

  • Gli indirizzi statici si trovano in genere nelle reti OT tramite storici, controller e dispositivi dell'infrastruttura di rete, ad esempio commutatori e router.
  • L'allocazione IP dinamica viene in genere implementata nelle reti guest con portatili, PC, smartphone e altre apparecchiature portatili, usando connessioni fisiche Wi-Fi o LAN in posizioni diverse.

Se si lavora con reti dinamiche, è necessario gestire le modifiche degli indirizzi IP man mano che si verificano, definendo gli intervalli di indirizzi DHCP in ogni sensore di rete OT. Quando un indirizzo IP viene definito come indirizzo DHCP, Defender per IoT identifica qualsiasi attività eseguita nello stesso dispositivo, indipendentemente dalle modifiche all'indirizzo IP.

Per definire gli intervalli di indirizzi DHCP:

  1. Accedere al sensore OT e selezionare Impostazioni>di sistema Monitoraggio della rete>Intervalli DHCP.

  2. Esegui una delle operazioni seguenti:

    • Per aggiungere un singolo intervallo, selezionare + Aggiungi intervallo e immettere l'intervallo di indirizzi IP e un nome facoltativo per l'intervallo.
    • Per aggiungere più intervalli, creare un oggetto . File CSV con colonne per i dati From, To e Name per ognuno degli intervalli. Selezionare Importa per importare il file nel sensore OT. Valori di intervallo importati da un oggetto . Il file CSV sovrascrive tutti i dati di intervallo attualmente configurati per il sensore.
    • Per esportare gli intervalli attualmente configurati in un oggetto . File CSV, selezionare Esporta.
    • Per cancellare tutti gli intervalli attualmente configurati, selezionare Cancella tutto.

    I nomi degli intervalli possono contenere fino a 256 caratteri.

  3. Seleziona Salva per salvare le modifiche.

Configurare i filtri di traffico (avanzati)

Per ridurre l'affaticamento degli avvisi e concentrare il monitoraggio della rete sul traffico ad alta priorità, è possibile decidere di filtrare il traffico che trasmette in Defender per IoT all'origine. I filtri di acquisizione vengono configurati tramite l'interfaccia della riga di comando del sensore OT e consentono di bloccare il traffico a larghezza di banda elevata a livello hardware, ottimizzando sia le prestazioni dell'appliance che l'utilizzo delle risorse.

Per altre informazioni, vedi:

Passaggi successivi

« Configurare le impostazioni proxy in un sensore OT

Verificare e aggiornare l'inventario dei dispositivi rilevati »