この記事は、Microsoft Defender for IoT を使用した OT 監視の 展開パス について説明する一連の記事の 1 つです。
スイッチの SPAN ポートを設定して、スイッチ上のインターフェイスからのローカル トラフィックを同じスイッチ上の別のインターフェイスにミラーリングします。
この記事では、IOS を実行する 24 ポートの Cisco 2960 スイッチに対して、Cisco CLI または GUI を使用して SPAN ポートを設定するためのサンプル構成プロセスと手順について説明します。
Von Bedeutung
この記事は、手順ではなくサンプル ガイダンスのみを目的としています。 他の Cisco オペレーティング システムおよび他のスイッチ ブランドのミラー ポートは異なる方法で設定されます。 詳細については、スイッチのドキュメントを参照してください。
[前提条件]
開始する前に、Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートを理解していることを確認してください。
詳細については、 OT 監視のためのトラフィック ミラーリング方法を参照してください。
CLI SPAN ポート構成の例 (Cisco 2960)
次のコマンドは、CLI を使用して Cisco 2960 で SPAN ポートを設定するためのサンプル プロセスを示しています。
Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config
GUI SPAN ポート設定の例 (Cisco 2960)
この手順では、GUI を使用して Cisco 2960 で SPAN ポートを設定する手順の概要について説明します。 詳細については、関連する Cisco ドキュメントを参照してください。
スイッチの設定 GUI から:
- グローバル コンフィギュレーション モードを開始します。
- 最初の 23 ポートをセッション ソースとして構成し、RX パケットのみをミラーリングします。
- ポート 24 をセッション宛先として構成します。
- 特権 EXEC モードに戻ります。
- ポート ミラーリングの構成を確認します。
- 構成を保存します。
複数の VLAN を使用した CLI SPAN ポート設定の例 (Cisco 2960)
Defender for IoT は、ネットワーク スイッチが Defender for IoT に VLAN タグを送信するように構成されている限り、追加の構成なしでネットワークで構成された複数の VLAN を監視できます。
たとえば、Defender for IoT の VLAN の監視をサポートするには、Cisco スイッチで次のコマンドを設定する必要があります。
モニター セッション: 次のコマンドは SPAN ポートに VLAN を送信するようにスイッチを設定します。
monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q
トランク ポート F.E. Gi1/1 を監視する: 次のコマンドは、トランク ポートで設定された VLAN をサポートするようにスイッチを設定します。
interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk
トラフィック ミラーリングを検証する
トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。
サンプルの PCAP ファイルは、次の場合に役立ちます。
- スイッチの構成を検証する
- スイッチを通過するトラフィックが監視に関連していることを確認する
- スイッチによって検出されたデバイスの帯域幅と推定数を特定する
Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。
ユニキャスト パケットが記録トラフィックに存在することを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。
ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。
分析されたトラフィックに OT プロトコルが存在することを確認します。
例えば次が挙げられます。
単方向ゲートウェイ/データ ダイオードを使用したデプロイ
Defender for IoT は、データ ダイオードとも呼ばれる一方向ゲートウェイを使用して展開できます。 データ ダイオードは、データが一方向にのみ流れるので、ネットワークを監視する安全な方法を提供します。 つまり、データは反対方向に送り返すことができないので、ネットワークのセキュリティを損なうことなくデータを監視できます。 データ ダイオード ソリューションの例としては、 ウォーターフォール、 フクロウ サイバー防衛、 Hirschmann があります。
一方向ゲートウェイが必要な場合は、センサー監視ポートに送信される SPAN トラフィックにデータ ダイオードをデプロイすることをお勧めします。 たとえば、データ ダイオードを使用して、システムを監視システムから完全に分離したまま、産業用制御システムなどの機密性の高いシステムからのトラフィックを監視します。
OT センサーを電子境界の外側に配置し、ダイオードからのトラフィックを受信させます。 このシナリオでは、クラウドから Defender for IoT センサーを管理し、最新の脅威インテリジェンス パッケージで自動的に更新されるようにすることができます。