この記事は、Microsoft Defender for IoT を使用した OT 監視の 展開パス について説明する一連の記事の 1 つです。
この記事では、SPAN ポートと同様に、トラフィック ミラーリングを構成するための回避策として、Hyper-V Vswitch 環境で Promiscuous モードを使用する方法について説明します。 スイッチの SPAN ポートにより、スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックをミラーリングすることができます。
詳細については、「 仮想スイッチを使用したトラフィック ミラーリング」を参照してください。
前提条件
開始する前に次の操作を実行してください。
Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。
詳細については、 OT 監視のためのトラフィック ミラーリング方法を参照してください。
仮想アプライアンスのインスタンスが実行されていないことを確認します。
管理ポートではなく、仮想スイッチのデータ ポートで SPAN を有効にしていることを確認します。
データ ポートの SPAN 構成が IP アドレスを使用して構成されていないことを確認します。
ミラーリングされたトラフィックを VM にリレーする新しい Hyper-V 仮想スイッチを作成する
PowerShell で新しい仮想スイッチを作成する
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
ここで:
パラメーター | 説明 |
---|---|
vSwitch_Span | 新しく追加された SPAN 仮想スイッチ名 |
イーサネット | 物理アダプターの名前 |
Hyper-V を使用して仮想スイッチを作成して構成する方法について説明します
Hyper-V マネージャーで新しい仮想スイッチを作成する
仮想スイッチ マネージャーを開きます。
仮想スイッチのリストで、新しい仮想ネットワークスイッチ>を選択し、専用のスパンネットワークアダプターの種類としてExternalを選択してください。
[ 仮想スイッチの作成] を選択します。
[ 接続の種類 ] 領域で、[ 外部ネットワーク ] を選択し、[ このネットワーク アダプターの共有を管理オペレーティング システムに許可する ] オプションが選択されていることを確認します。 次に例を示します。
[ OK] を選択します。
SPAN 仮想インターフェイスを仮想スイッチに接続する
Windows PowerShell または Hyper-V Manager を使用して、 前に作成した仮想スイッチに SPAN 仮想インターフェイスを接続します。
PowerShell を使用する場合は、新しく追加されたアダプター ハードウェアの名前を Monitor
として定義します。 Hyper-V マネージャーを使用する場合は、新しく追加されたアダプター ハードウェアの名前が Network Adapter
に設定されます。
PowerShell を使用して SPAN 仮想インターフェイスを仮想スイッチに接続する
前に作成した新しく追加した SPAN 仮想スイッチを選択し、次のコマンドを実行して新しいネットワーク アダプターを追加します。
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
次のコマンドを使用して、選択したインターフェイスで、スパン先としてポート ミラーリングを有効にします。
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
ここで:
パラメーター 説明 VK-C1000V-ロングランニング-650 CPPM VA 名 vSwitch_Span 新しく追加された SPAN 仮想スイッチ名 モニター 新しく追加されたアダプター名 完了したら、[ OK] を選択します。
Hyper-V マネージャーを使用して SPAN 仮想インターフェイスを仮想スイッチに接続する
Hyper-V マネージャーの ハードウェア の一覧で、[ ネットワーク アダプター] を選択します。
[ 仮想スイッチ ] フィールドで、 vSwitch_Spanを選択します。
[ハードウェア] ボックスの一覧の [ネットワーク アダプター] ドロップダウン リストで、[高度な機能] を選択します。 [ ポート ミラーリング ] セクションで、新しい仮想インターフェイスのミラーリング モードとして [宛先 ] を選択します。
[ OK] を選択します。
PowerShell で Microsoft NDIS キャプチャ拡張機能を有効にする
前に作成した仮想スイッチの Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。
新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Hyper-V マネージャーで Microsoft NDIS キャプチャ拡張機能を有効にする
前に作成した仮想スイッチの Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。
新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには:
Hyper-V ホストで仮想スイッチ マネージャーを開きます。
[仮想スイッチ] の一覧で、仮想スイッチ名 [
vSwitch_Span
] を展開し、vSwitch_Span
を選択します。[拡張機能の切り替え] フィールド で、[Microsoft NDIS キャプチャ] を選択します。
[ OK] を選択します。
スイッチのミラーリング モードを構成する
外部ポートがミラーリング ソースとして定義されるように、 前に作成 した仮想スイッチでミラーリング モードを構成します。 これには、外部ソース ポートに到着するすべてのトラフィックを、宛先として構成した仮想ネットワーク アダプターに転送するように、Hyper-V 仮想スイッチ (vSwitch_Span) を構成する作業が含まれます。
仮想スイッチの外部ポートをソース ミラー モードとして設定するには、次を実行します。
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
ここで:
パラメーター | 説明 |
---|---|
vSwitch_Span | 前に作成した仮想スイッチの名前 |
モニターモード=2 | source |
モニターモード=1 | 行き先 |
モニターモード = 0 | なし |
監視モードの状態を確認するには、次を実行します。
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
パラメーター | 説明 |
---|---|
vSwitch_Span | 新しく追加された SPAN 仮想スイッチ名 |
モニター アダプターの VLAN 設定を構成する (必要な場合)
ミラー化されたトラフィックに VLAN タグが付けられている場合は、ミラー化された VLAN からのトラフィックを受け入れるように VM のモニター アダプターを構成します。
次の PowerShell コマンドを使用して、VM のモニター アダプターが異なる VLAN からの監視対象トラフィックを受け入れるようにします。
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
ここで:
パラメーター | 説明 |
---|---|
VK-C1000V-ロングランニング-650 | CPPM VA 名 |
1010-1020 | IoT トラフィックのミラーリング元の VLAN 範囲 |
"10" | 環境のネイティブ VLAN ID |
Set-VMNetworkAdapterVlan PowerShell コマンドレットの詳細を確認します。
トラフィック ミラーリングを検証する
トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。
サンプルの PCAP ファイルは、次の場合に役立ちます。
- スイッチの構成を検証する
- スイッチを通過するトラフィックが監視に関連していることを確認する
- スイッチによって検出されたデバイスの帯域幅と推定数を特定する
Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。
ユニキャスト パケットが記録トラフィックに存在することを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。
ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。
分析されたトラフィックに OT プロトコルが存在することを確認します。
次に例を示します。