Uw OT-netwerk voorbereiden voor Microsoft Defender for IoT

In dit artikel wordt beschreven hoe u uw OT-netwerk instelt voor gebruik met Microsoft Defender voor IoT-onderdelen, waaronder de OT-netwerksensoren, de Azure Portal en een optionele on-premises beheerconsole.

OT-netwerksensoren maken gebruik van agentloze, gepatenteerde technologie om netwerkapparaten te detecteren, te leren en continu te bewaken voor een diepgaand inzicht in OT/ICS/IoT-risico's. Sensoren verzamelen, analyseren en waarschuwen on-site, waardoor ze ideaal zijn voor locaties met een lage bandbreedte of hoge latentie.

Dit artikel is bedoeld voor personeel dat ervaring heeft met het beheren en beheren van OT- en IoT-netwerken, zoals automatiseringstechnici, fabrieksmanagers, serviceproviders van OT-netwerkinfrastructuur, cyberbeveiligingsteams, CISO's en CIO's.

We raden u aan dit artikel te gebruiken in combinatie met onze controlelijst vóór de implementatie.

Neem contact op met Microsoft Ondersteuning voor hulp of ondersteuning.

Vereisten

Voordat u de procedures in dit artikel uitvoert, moet u uw eigen netwerkarchitectuur begrijpen en weten hoe u verbinding maakt met Defender for IoT. Zie voor meer informatie:

On-site implementatietaken

Voer de stappen in deze sectie uit voordat u Defender for IoT in uw netwerk implementeert.

Zorg ervoor dat u elke stap methodologisch uitvoert, waarbij u de informatie opvraagt en de gegevens controleert die u ontvangt. Bereid uw site voor en configureer deze en valideer vervolgens de configuratie.

Sitegegevens verzamelen

Noteer de volgende sitegegevens:

  • Netwerkinformatie voor sensorbeheer.

  • Sitenetwerkarchitectuur.

  • Fysieke omgeving.

  • Systeemintegraties.

  • Geplande gebruikersreferenties.

  • Configuratiewerkstation.

  • TLS/SSL-certificaten (optioneel maar aanbevolen).

  • SMTP-verificatie (optioneel). Als u de SMTP-server wilt gebruiken met verificatie, bereidt u de vereiste referenties voor uw server voor.

  • DNS-servers (optioneel). Bereid de IP- en hostnaam van uw DNS-server voor.

Een configuratiewerkstation voorbereiden

Een Windows- of Mac-werkstation voorbereiden:

  • Zorg ervoor dat u verbinding kunt maken met de sensorbeheerinterface.

  • Zorg ervoor dat u terminalsoftware (zoals PuTTY) of een ondersteunde browser hebt. Ondersteunde browsers zijn de nieuwste versies van Microsoft Edge, Chrome, Firefox of Safari (alleen Mac).

    Zie Aanbevolen browsers voor de Azure Portal voor meer informatie.

  • Zorg ervoor dat de vereiste firewallregels zijn geopend op het werkstation. Controleer of het beveiligingsbeleid van uw organisatie toegang toestaat zoals vereist. Zie Netwerkvereisten voor meer informatie.

Certificaten instellen

Nadat u de Defender for IoT-sensor of on-premises beheerconsolesoftware hebt geïnstalleerd, wordt een lokaal, zelfondertekend certificaat gegenereerd en gebruikt voor toegang tot de sensorwebtoepassing.

De eerste keer dat ze zich aanmelden bij Defender for IoT, wordt beheerders gevraagd een SSL/TLS-certificaat op te geven. Optionele certificaatvalidatie is standaard ingeschakeld.

We raden u aan uw certificaten gereed te hebben voordat u de implementatie start. Zie Defender for IoT-installatie en Over certificaten voor meer informatie.

Rekinstallatie plannen

De installatie van uw rek plannen:

  1. Een monitor en een toetsenbord voorbereiden voor de netwerkinstellingen van uw apparaat.

  2. Wijs de rekruimte voor het apparaat toe.

  3. Zorg dat er netstroom beschikbaar is voor het apparaat.

  4. Bereid de LAN-kabel voor om het beheer aan te sluiten op de netwerkswitch.

  5. Bereid de LAN-kabels voor voor het aansluiten van SPAN-poorten (mirror) en netwerk taps op het Defender for IoT-apparaat.

  6. Configureer, verbind en valideer SPAN-poorten in de gespiegelde switches met behulp van een van de volgende methoden:

    Methode Beschrijving
    SPAN-poort overschakelen Lokaal verkeer van interfaces op de switch spiegelen naar een andere interface op dezelfde switch.
    Remote SPAN (RSPAN) Verkeer van meerdere, gedistribueerde bronpoorten spiegelen naar een toegewezen extern VLAN.
    Actieve of passieve aggregatie (TAP) Spiegel verkeer door een actief of passief aggregatieterminaltoegangspunt (TAP) inline naar de netwerkkabel te installeren.
    ERSPAN Spiegel verkeer met ERSPAN-inkapseling wanneer u bewaakt verkeer wilt uitbreiden naar Laag 3-domeinen, wanneer u specifieke Cisco-routers en -switches gebruikt.
    ESXi vSwitch Gebruik de promiscueuze modus in een virtuele switchomgeving als tijdelijke oplossing voor het configureren van een bewakingspoort.
    Hyper-V vSwitch Gebruik de promiscueuze modus in een virtuele switchomgeving als tijdelijke oplossing voor het configureren van een bewakingspoort.

    Notitie

    SPAN en RSPAN zijn Cisco-terminologie. Andere merken switches hebben vergelijkbare functionaliteit, maar gebruiken mogelijk andere terminologie.

  7. Sluit de geconfigureerde SPAN-poort aan op een computer waarop Wireshark wordt uitgevoerd en controleer of de poort juist is geconfigureerd.

  8. Open alle relevante firewallpoorten.

Uw netwerk valideren

Nadat u uw netwerk hebt voorbereid, gebruikt u de richtlijnen in deze sectie om te controleren of u klaar bent om Defender for IoT te implementeren.

Voer een poging uit om een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN of mirrorpoort. In dit voorbeeld wordt het volgende weergegeven:

  • Controleer of de switch juist is geconfigureerd.

  • Controleer of het verkeer dat via de switch gaat relevant is voor bewaking (OT-verkeer).

  • Identificeer de bandbreedte en het geschatte aantal apparaten in deze switch.

U kunt bijvoorbeeld een PCAP-voorbeeldbestand enkele minuten opnemen door een laptop via de Wireshark-toepassing aan te sluiten op een al geconfigureerde SPAN-poort.

Wireshark gebruiken om uw netwerk te valideren:

  • Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast is van het ene adres naar het andere. Als het meeste verkeer ARP-berichten is, is de instelling van de switch onjuist.

  • Ga naar Statistics>Protocol Hierarchy. Controleer of industriële OT-protocollen aanwezig zijn.

Bijvoorbeeld:

Schermopname van Wireshark-validatie.

Netwerkvereisten

Gebruik de volgende tabellen om ervoor te zorgen dat vereiste firewalls zijn geopend op uw werkstation en controleer of het beveiligingsbeleid van uw organisatie de vereiste toegang toestaat.

Gebruikerstoegang tot de sensor en beheerconsole

Protocol Transport In/Out Poort Gebruikt Doel Bron Doel
SSH TCP In/Out 22 CLI Toegang krijgen tot de CLI Client Sensor en on-premises beheerconsole
HTTPS TCP In/Out 443 Toegang krijgen tot de sensor en de webconsole van de on-premises beheerconsole Toegang tot webconsole Client Sensor en on-premises beheerconsole

Sensortoegang tot Azure Portal

Protocol Transport In/Out Poort Doel Bron Doel
HTTPS TCP Uit 443 Toegang tot Azure Sensor OT-netwerksensoren maken verbinding met Azure voor waarschuwings- en apparaatgegevens en sensorstatusberichten, toegang tot bedreigingsinformatiepakketten en meer. Verbonden Azure-services omvatten IoT Hub, Blob Storage, Event Hubs en het Microsoft Downloadcentrum.

Voor OT-sensorversies 22.x: download de lijst van de pagina Sites en sensoren in de Azure Portal. Selecteer een OT-sensor met softwareversie 22.x of hoger, of een site met een of meer ondersteunde sensorversies. Selecteer vervolgens Meer opties > Eindpuntgegevens downloaden. Zie Opties voor sensorbeheer in de Azure Portal voor meer informatie.

Voor OT-sensorversies 10.x: *.azure-devices.net
*.blob.core.windows.net
*.servicebus.windows.net
download.microsoft.com

Sensortoegang tot de on-premises beheerconsole

Protocol Transport In/Out Poort Gebruikt Doel Bron Doel
NTP UDP In/Out 123 Tijdsynchronisatie Verbindt de NTP met de on-premises beheerconsole Sensor On-premises beheerconsole
TLS/SSL TCP In/Out 443 Geef de sensor toegang tot de on-premises beheerconsole. De verbinding tussen de sensor en de on-premises beheerconsole Sensor On-premises beheerconsole

Andere firewallregels voor externe services (optioneel)

Open deze poorten om extra services voor Defender for IoT toe te staan.

Protocol Transport In/Out Poort Gebruikt Doel Bron Doel
SMTP TCP Uit 25 E-mail Wordt gebruikt om de e-mailserver van de klant te openen om e-mailberichten voor waarschuwingen en gebeurtenissen te verzenden Sensor en on-premises beheerconsole Email server
DNS TCP/UDP In/Out 53 DNS De DNS-serverpoort On-premises beheerconsole en sensor DNS-server
HTTP TCP Uit 80 De CRL-download voor certificaatvalidatie bij het uploaden van certificaten. Toegang tot de CRL-server Sensor en on-premises beheerconsole CRL-server
WMI TCP/UDP Uit 135, 1025-65535 Bewaking Windows-eindpuntbewaking Sensor Relevant netwerkelement
SNMP UDP Uit 161 Bewaking Controleert de status van de sensor On-premises beheerconsole en sensor SNMP-server
LDAP TCP In/Out 389 Active Directory Hiermee kan Active Directory-beheer van gebruikers die toegang hebben, zich aanmelden bij het systeem On-premises beheerconsole en sensor LDAP-server
Proxy TCP/UDP In/Out 443 Proxy De sensor verbinden met een proxyserver On-premises beheerconsole en sensor Proxyserver
Syslog UDP Uit 514 LEEF De logboeken die vanuit de on-premises beheerconsole naar de Syslog-server worden verzonden On-premises beheerconsole en sensor Syslog-server
LDAPS TCP In/Out 636 Active Directory Hiermee kan Active Directory-beheer van gebruikers die toegang hebben, zich aanmelden bij het systeem On-premises beheerconsole en sensor LDAPS-server
Tunneling TCP In 9000

Naast poort 443

staat u toegang van de sensor of eindgebruiker toe tot de on-premises beheerconsole

Poort 22 van de sensor naar de on-premises beheerconsole
Bewaking Tunneling Eindpunt, sensor On-premises beheerconsole

Een cloudverbindingsmethode kiezen

Als u OT-sensoren instelt en deze verbindt met de cloud, begrijpt u de ondersteunde cloudverbindingsmethoden en zorgt u ervoor dat u uw sensoren indien nodig verbindt.

Zie voor meer informatie:

Problemen oplossen

Deze sectie bevat het oplossen van veelvoorkomende problemen bij het voorbereiden van uw netwerk voor een Defender for IoT-implementatie.

Kan geen verbinding maken via een webinterface

  1. Controleer of de computer die u probeert te verbinden zich in hetzelfde netwerk bevindt als het apparaat.

  2. Controleer of het GUI-netwerk is verbonden met de beheerpoort op de sensor.

  3. Ping het IP-adres van het apparaat. Als er geen reactie op ping is:

    1. Sluit een monitor en een toetsenbord aan op het apparaat.

    2. Gebruik de ondersteuningsgebruiker en het wachtwoord om u aan te melden.

    3. Gebruik de opdrachtnetwerklijst om het huidige IP-adres te bekijken.

  4. Als de netwerkparameters onjuist zijn geconfigureerd, gebruikt u de volgende procedure om deze te wijzigen:

    1. Gebruik de opdracht network edit-settings.

    2. Als u het IP-adres van het beheernetwerk wilt wijzigen, selecteert u Y.

    3. Als u het subnetmasker wilt wijzigen, selecteert u Y.

    4. Als u de DNS wilt wijzigen, selecteert u Y.

    5. Als u het standaard IP-adres van de gateway wilt wijzigen, selecteert u Y.

    6. Voor de wijziging van de invoerinterface (alleen voor sensor) selecteert u Y.

    7. Selecteer N voor de bruginterface.

    8. Als u de instellingen wilt toepassen, selecteert u Y.

  5. Nadat u opnieuw hebt opgestart, maakt u verbinding met de gebruikersondersteuning en gebruikt u de opdracht netwerklijst om te controleren of de parameters zijn gewijzigd.

  6. Probeer opnieuw te pingen en verbinding te maken vanuit de GUI.

Apparaat reageert niet

  1. Maak verbinding met een monitor en toetsenbord op het apparaat of gebruik PuTTY om extern verbinding te maken met de CLI.

  2. Gebruik de ondersteuningsreferenties om u aan te melden.

  3. Gebruik de opdracht systeemstatus en controleer of alle processen worden uitgevoerd.

    Schermopname van de opdracht systeem sanity.

Neem voor andere problemen contact op met Microsoft Ondersteuning.

Volgende stappen

Zie voor meer informatie: