Een implementatie van een OT-site voorbereiden

  • Artikel

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.

Diagram van een voortgangsbalk met Plannen en voorbereiden gemarkeerd.

Als u uw netwerk volledig wilt bewaken, hebt u zichtbaarheid nodig op alle eindpuntapparaten in uw netwerk. Microsoft Defender voor IoT weerspiegelt het verkeer dat via uw netwerkapparaten naar Defender for IoT-netwerksensoren wordt verplaatst. OT-netwerksensoren analyseren vervolgens uw verkeersgegevens, activeren waarschuwingen, genereren aanbevelingen en verzenden gegevens naar Defender for IoT in Azure.

Dit artikel helpt u bij het plannen van de locatie van OT-sensoren in uw netwerk, zodat het verkeer dat u wilt bewaken, naar wens wordt gespiegeld en hoe u uw locatie voorbereidt op de implementatie van de sensor.

Vereisten

Voordat u OT-bewaking voor een specifieke site plant, moet u ervoor zorgen dat u uw algehele OT-bewakingssysteem hebt gepland.

Deze stap wordt uitgevoerd door uw architectuurteams.

Meer informatie over de bewakingsarchitectuur van Defender for IoT

Gebruik de volgende artikelen voor meer informatie over de onderdelen en architectuur in uw netwerk en Defender for IoT-systeem:

Een netwerkdiagram maken

Het netwerk van elke organisatie heeft zijn eigen complexiteit. Maak een netwerkkaartdiagram met een uitgebreide lijst van alle apparaten in uw netwerk, zodat u het verkeer kunt identificeren dat u wilt bewaken.

Gebruik tijdens het maken van uw netwerkdiagram de volgende vragen om de verschillende elementen in uw netwerk te identificeren en er notities over te maken en hoe deze communiceren.

Algemene vragen

  • Wat zijn uw algemene bewakingsdoelen?

  • Hebt u redundante netwerken en zijn er gebieden in uw netwerkkaart die niet hoeven te worden bewaakt en die u kunt negeren?

  • Waar zijn de beveiligings- en operationele risico's van uw netwerk?

Netwerkvragen

  • Welke protocollen zijn actief op bewaakte netwerken?

  • Zijn VLAN's geconfigureerd in het netwerkontwerp?

  • Is er routering in de bewaakte netwerken?

  • Is er seriële communicatie in het netwerk?

  • Waar zijn firewalls geïnstalleerd in de netwerken die u wilt bewaken?

  • Is er verkeer tussen een ICS-netwerk (Industrial Control) en een bedrijfsnetwerk? Zo ja, wordt dit verkeer dan bewaakt?

  • Wat is de fysieke afstand tussen uw switches en de bedrijfsfirewall?

  • Wordt ot-systeemonderhoud uitgevoerd met vaste of tijdelijke apparaten?

Schakelen tussen vragen

  • Als een switch anders onbeheerd is, kunt u het verkeer van een switch op een hoger niveau bewaken? Als uw OT-architectuur bijvoorbeeld gebruikmaakt van een ringtopologie, hoeft slechts één switch in de ring te worden bewaakt.

  • Kunnen niet-beheerde switches worden vervangen door beheerde switches of is het gebruik van netwerk-TAPs een optie?

  • Kunt u het VLAN van de switch bewaken of is het VLAN zichtbaar in een andere switch die u kunt bewaken?

  • Als u een netwerksensor aansluit op de switch, spiegelt deze dan de communicatie tussen de HMI en PLC's?

  • Als u een netwerksensor wilt aansluiten op de switch, is er dan fysieke rekruimte beschikbaar in de kast van de switch?

  • Wat zijn de kosten/baten van het bewaken van elke switch?

De apparaten en subnetten identificeren die u wilt bewaken

Het verkeer dat u wilt bewaken en spiegelen naar Defender for IoT-netwerksensoren, is het verkeer dat het meest interessant voor u is vanuit een beveiligings- of operationeel perspectief.

Bekijk uw OT-netwerkdiagram samen met uw sitetechnici om te bepalen waar u het meest relevante verkeer voor bewaking vindt. We raden u aan om te vergaderen met zowel netwerk- als operationele teams om de verwachtingen te verduidelijken.

Maak samen met uw team een tabel met apparaten die u wilt bewaken met de volgende details:

Specificatie Description
Leverancier De fabrikant van het apparaat
Apparaatnaam Een beschrijvende naam voor doorlopend gebruik en naslaginformatie
Type Het apparaattype, zoals: Switch, Router, Firewall, Access Point, enzovoort
Netwerklaag De apparaten die u wilt bewaken, zijn L2- of L3-apparaten:
- L2-apparaten zijn apparaten binnen het IP-segment
- L3-apparaten zijn apparaten buiten het IP-segment

Apparaten die beide lagen ondersteunen, kunnen worden beschouwd als L3-apparaten.
VLAN's overschrijden De id's van alle VLAN's die het apparaat kruisen. Controleer bijvoorbeeld deze VLAN-id's door de bewerkingsmodus voor de spanningsstructuur op elk VLAN te controleren om te zien of ze een gekoppelde poort overschrijden.
Gateway voor De VLAN's waarvoor het apparaat fungeert als een standaardgateway.
Netwerkdetails Het IP-adres, subnet, D-GW en DNS-host van het apparaat
Protocollen Protocollen die op het apparaat worden gebruikt. Vergelijk uw protocollen met de out-of-the-box ondersteunde protocollen van Defender for IoT.
Ondersteunde verkeersspiegeling Definieer welk type verkeersspiegeling wordt ondersteund door elk apparaat, zoals SPAN, RSPAN, ERSPAN of TAP.

Gebruik deze informatie om verkeersspiegelingsmethoden te kiezen voor uw OT-sensoren.
Beheerd door partnerservices? Beschrijven of een partnerservice, zoals Siemens, Rockwell of Emerson, het apparaat beheert. Beschrijf, indien relevant, het beheerbeleid.
Seriële verbindingen Als het apparaat communiceert via een seriële verbinding, geeft u het seriële communicatieprotocol op.

Een implementatie met meerdere sensoren plannen

Als u van plan bent om meerdere netwerksensoren te implementeren, moet u ook rekening houden met de volgende aanbevelingen bij het bepalen waar u uw sensoren wilt plaatsen:

  • Fysiek aangesloten switches: Voor switches die fysiek zijn verbonden via een Ethernet-kabel, moet u ervoor zorgen dat u ten minste één sensor plant voor elke 80 meter afstand tussen switches.

  • Meerdere netwerken zonder fysieke connectiviteit: als u meerdere netwerken hebt zonder fysieke connectiviteit, moet u ten minste één sensor voor elk afzonderlijk netwerk plannen

  • Switches met RSPAN-ondersteuning: als u switches hebt die RSPAN-verkeersspiegeling kunnen gebruiken, plant u ten minste één sensor voor elke acht switches, met een lokale SPAN-poort. Plan om de sensor dicht genoeg bij de schakelaars te plaatsen, zodat u ze via de kabel kunt aansluiten.

Een lijst met subnetten maken

Maak een samengevoegde lijst met subnetten die u wilt bewaken op basis van de lijst met apparaten die u wilt bewaken in het hele netwerk.

Nadat u uw sensoren hebt geïmplementeerd, gebruikt u deze lijst om te controleren of de vermelde subnetten automatisch worden gedetecteerd en de lijst indien nodig handmatig bij te werken.

Uw geplande OT-sensoren vermelden

Nadat u het verkeer hebt begrepen dat u wilt spiegelen naar Defender for IoT, maakt u een volledige lijst met alle OT-sensoren die u gaat onboarden.

Vermeld voor elke sensor:

  • Of de sensor een in de cloud verbonden of lokaal beheerde sensor is

  • Voor met de cloud verbonden sensoren is dit de cloudverbindingsmethode die u gaat gebruiken.

  • Of u nu fysieke of virtuele apparaten gebruikt voor uw sensoren, rekening houdend met de bandbreedte die u nodig hebt voor QoS (Quality of Service). Zie Welke apparaten heb ik nodig? voor meer informatie.

  • De locatie en zone die u aan elke sensor toewijst.

    Gegevens die zijn opgenomen van sensoren op dezelfde site of zone, kunnen samen worden bekeken, gesegmenteerd uit andere gegevens in uw systeem. Als er sensorgegevens zijn die u gegroepeerd op dezelfde site of zone wilt weergeven, moet u sensorsites en -zones dienovereenkomstig toewijzen.

  • De verkeersspiegelingsmethode die u voor elke sensor gebruikt

Naarmate uw netwerk in de tijd uitbreidt, kunt u meer sensoren onboarden of uw bestaande sensordefinities wijzigen.

Belangrijk

We raden u aan de kenmerken te controleren van de apparaten waarvan u verwacht dat elke sensor detecteert, zoals IP- en MAC-adressen. Apparaten die in dezelfde zone met dezelfde logische set apparaatkenmerken worden gedetecteerd, worden automatisch geconsolideerd en geïdentificeerd als hetzelfde apparaat.

Als u bijvoorbeeld met meerdere netwerken en terugkerende IP-adressen werkt, moet u ervoor zorgen dat u elke sensor plant met een andere zone, zodat apparaten correct worden geïdentificeerd als afzonderlijke en unieke apparaten.

Zie Zones scheiden voor terugkerende IP-bereiken voor meer informatie.

On-premises apparaten voorbereiden

  • Als u virtuele apparaten gebruikt, moet u ervoor zorgen dat u de relevante resources hebt geconfigureerd. Zie OT-bewaking met virtuele apparaten voor meer informatie.

  • Als u fysieke apparaten gebruikt, moet u ervoor zorgen dat u over de vereiste hardware beschikt. U kunt vooraf geconfigureerde apparaten kopen of software installeren op uw eigen apparaten.

    Vooraf geconfigureerde apparaten kopen:

    1. Ga naar Defender for IoT in de Azure Portal.
    2. Selecteer Aan de slag>Sensor>Vooraf geconfigureerd apparaat> kopenContact.

    Met de koppeling wordt een e-mailbericht geopend naar hardware.sales@arrow.commet een sjabloonaanvraag voor Defender for IoT-apparaten.

Zie Welke apparaten heb ik nodig? voor meer informatie.

Aanvullende hardware voorbereiden

Als u fysieke apparaten gebruikt, moet u ervoor zorgen dat u de volgende extra hardware beschikbaar hebt voor elk fysiek apparaat:

  • Een monitor en toetsenbord
  • Rackruimte
  • Netstroom
  • Een LAN-kabel om de beheerpoort van het apparaat aan te sluiten op de netwerkswitch
  • LAN-kabels voor het aansluiten van mirrorpoorten (SPAN) en netwerkterminaltoegangspunten (TAPs) op uw apparaat

Netwerkdetails van apparaat voorbereiden

Wanneer u uw apparaten klaar hebt, maakt u een lijst met de volgende details voor elk apparaat:

  • IP-adres
  • Subnet
  • Standaardgateway
  • Hostnaam
  • DNS-server (optioneel), met het IP-adres en de hostnaam van de DNS-server

Een implementatiewerkstation voorbereiden

Bereid een werkstation voor van waaruit u Defender for IoT-implementatieactiviteiten kunt uitvoeren. Het werkstation kan een Windows- of Mac-computer zijn, met de volgende vereisten:

  • Terminalsoftware, zoals PuTTY

  • Een ondersteunde browser om verbinding te maken met sensorconsoles en de Azure Portal. Zie Aanbevolen browsers voor de Azure Portal voor meer informatie.

  • Vereiste firewallregels geconfigureerd, met toegang geopend voor de vereiste interfaces. Zie Netwerkvereisten voor meer informatie.

Door ca ondertekende certificaten voorbereiden

U wordt aangeraden ca-ondertekende certificaten te gebruiken in productie-implementaties.

Zorg ervoor dat u de SSL/TLS-certificaatvereisten voor on-premises resources begrijpt. Als u tijdens de eerste implementatie een door een CA ondertekend certificaat wilt implementeren, moet u het certificaat voorbereiden.

Als u besluit om te implementeren met het ingebouwde, zelfondertekende certificaat, raden we u aan om later een ca-ondertekend certificaat te implementeren in productieomgevingen.

Zie voor meer informatie:

Volgende stappen

« Plan uw OT-bewakingssysteem

OT-sensoren onboarden naar Defender for IoT »