Udostępnij za pośrednictwem

Wdrażanie usługi Defender dla IoT na potrzeby monitorowania ot

  • Artykuł

W tym artykule opisano ogólne kroki wymagane do wdrożenia usługi Defender for IoT na potrzeby monitorowania ot. Dowiedz się więcej o każdym kroku wdrażania w poniższych sekcjach, w tym o odpowiednich odwołaniach, aby uzyskać więcej szczegółów.

Na poniższej ilustracji przedstawiono fazy w kompleksowej ścieżce wdrażania monitorowania ot wraz z zespołem odpowiedzialnym za każdą fazę.

Chociaż zespoły i stanowiska różnią się w różnych organizacjach, wszystkie wdrożenia usługi Defender for IoT wymagają komunikacji między osobami odpowiedzialnymi za różne obszary sieci i infrastruktury.

Diagram ścieżki wdrażania monitorowania ot.

Porada

Każdy krok procesu może zająć inną ilość czasu. Na przykład pobranie pliku aktywacji czujnika OT może potrwać pięć minut, podczas gdy konfigurowanie monitorowania ruchu może potrwać kilka dni lub nawet tygodni, w zależności od procesów organizacji.

Zalecamy rozpoczęcie procesu dla każdego kroku bez oczekiwania na jego ukończenie przed przejściem do następnego kroku. Pamiętaj, aby kontynuować wykonywanie wszystkich kroków, które są nadal wykonywane, aby zapewnić ich ukończenie.

Wymagania wstępne

Przed rozpoczęciem planowania wdrożenia monitorowania ot upewnij się, że masz subskrypcję platformy Azure i plan OT dołączony do usługi Defender for IoT.

Aby uzyskać więcej informacji, zobacz Uruchamianie Microsoft Defender dla wersji próbnej IoT.

Planowanie i przygotowywanie

Na poniższej ilustracji przedstawiono kroki uwzględnione w fazie planowania i przygotowywania. Planowanie i przygotowywanie kroków jest obsługiwane przez zespoły architektury.

Diagram kroków uwzględnionych w etapie planowania i przygotowywania.

Planowanie systemu monitorowania OT

Zaplanuj podstawowe informacje o systemie monitorowania, takie jak:

  • Lokacje i strefy: zdecyduj, jak podzielisz sieć, którą chcesz monitorować przy użyciu lokacji i stref , które mogą reprezentować lokalizacje na całym świecie.

  • Zarządzanie czujnikami: zdecyduj, czy będziesz korzystać z czujników OT połączonych z chmurą, czy z rozciągniętą powietrzem, czy hybrydowych systemów OT. Jeśli używasz czujników połączonych z chmurą, wybierz metodę połączenia, taką jak bezpośrednie połączenie lub za pośrednictwem serwera proxy.

  • Użytkownicy i role: Lista typów użytkowników, których potrzebujesz w każdym czujniku, oraz ról, które będą potrzebne dla każdego działania.

Aby uzyskać więcej informacji, zobacz Planowanie systemu monitorowania OT za pomocą usługi Defender for IoT.

Porada

Jeśli używasz kilku czujników zarządzanych lokalnie, możesz również wdrożyć lokalną konsolę zarządzania na potrzeby centralnego wglądu i zarządzania.

Przygotowanie do wdrożenia lokacji OT

Zdefiniuj dodatkowe szczegóły dla każdej lokacji planowanej w systemie, w tym:

  • Diagram sieciowy. Zidentyfikuj wszystkie urządzenia, które chcesz monitorować i tworzyć dobrze zdefiniowaną listę podsieci. Po wdrożeniu czujników użyj tej listy, aby sprawdzić, czy wszystkie podsieci, które chcesz monitorować, są objęte usługą Defender for IoT.

  • Lista czujników: użyj listy ruchu, podsieci i urządzeń, które chcesz monitorować, aby utworzyć listę potrzebnych czujników OT i miejsce ich umieszczenia w sieci.

  • Metody dublowania ruchu: wybierz metodę dublowania ruchu dla każdego czujnika OT, takiego jak port SPAN lub TAP.

  • Urządzenia: przygotuj stację roboczą wdrożenia i wszystkie urządzenia sprzętowe lub wirtualne, których będziesz używać dla każdego z zaplanowanych czujników OT. Jeśli używasz wstępnie skonfigurowanych urządzeń, upewnij się, że są one uporządkowane.

Aby uzyskać więcej informacji, zobacz Przygotowywanie wdrożenia witryny OT.

Dołączanie czujników do platformy Azure

Na poniższej ilustracji przedstawiono krok uwzględniony w fazie dołączania czujników. Czujniki są dołączane do platformy Azure przez zespoły wdrożeniowe.

Diagram fazy dołączania czujników.

Dołączanie czujników OT na Azure Portal

Dołącz dowolną liczbę czujników OT do usługi Defender dla IoT zgodnie z planem. Pamiętaj, aby pobrać pliki aktywacji podane dla każdego czujnika OT i zapisać je w lokalizacji, która będzie dostępna z maszyn czujników.

Aby uzyskać więcej informacji, zobacz Dołączanie czujników OT do usługi Defender for IoT.

Konfiguracja sieci lokacji

Na poniższej ilustracji przedstawiono kroki zawarte w frazie konfiguracji sieci lokacji. Kroki sieci lokacji są obsługiwane przez zespoły ds. łączności.

Diagram fazy konfiguracji sieci lokacji.

Konfigurowanie dublowania ruchu w sieci

Użyj utworzonych wcześniej planów, aby skonfigurować dublowanie ruchu w miejscach w sieci, w których będziesz wdrażać czujniki OT i dublować ruch w usłudze Defender for IoT.

Aby uzyskać więcej informacji, zobacz:

Aprowizuj obsługę zarządzania chmurą

Skonfiguruj wszystkie reguły zapory, aby upewnić się, że urządzenia czujnika OT będą mogły uzyskiwać dostęp do usługi Defender for IoT w chmurze platformy Azure. Jeśli planujesz nawiązać połączenie za pośrednictwem serwera proxy, skonfigurujesz te ustawienia tylko po zainstalowaniu czujnika.

Pomiń ten krok dla dowolnego czujnika OT, który ma być wyzlotowy i zarządzany lokalnie, bezpośrednio w konsoli czujnika lub za pośrednictwem lokalnej konsoli zarządzania.

Aby uzyskać więcej informacji, zobacz Provision OT sensors for cloud management (Aprowizuj czujniki OT na potrzeby zarządzania chmurą).

Wdrażanie czujników OT

Na poniższej ilustracji przedstawiono kroki uwzględnione w fazie wdrażania czujnika. Czujniki OT są wdrażane i aktywowane przez zespół wdrożeniowy.

Diagram fazy wdrażania czujnika OT.

Instalowanie czujników OT

Jeśli instalujesz oprogramowanie Defender for IoT na własnych urządzeniach, pobierz oprogramowanie instalacyjne z Azure Portal i zainstaluj je na urządzeniu czujnika OT.

Po zainstalowaniu oprogramowania czujnika OT uruchom kilka kontroli, aby zweryfikować instalację i konfigurację.

Aby uzyskać więcej informacji, zobacz:

Pomiń te kroki, jeśli kupujesz wstępnie skonfigurowane urządzenia.

Aktywowanie czujników OT i początkowej konfiguracji

Użyj kreatora konfiguracji początkowej, aby potwierdzić ustawienia sieciowe, aktywować czujnik i zastosować certyfikaty SSH/TLS.

Aby uzyskać więcej informacji, zobacz Konfigurowanie i aktywowanie czujnika OT.

Konfigurowanie połączeń serwera proxy

Jeśli zdecydujesz się używać serwera proxy do łączenia czujników z chmurą, skonfiguruj serwer proxy i skonfiguruj ustawienia na czujniku. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień serwera proxy w czujniku OT.

Pomiń ten krok w następujących sytuacjach:

  • W przypadku dowolnego czujnika OT, w którym łączysz się bezpośrednio z platformą Azure, bez serwera proxy
  • W przypadku każdego czujnika, który ma być wyzłomiony i zarządzany lokalnie, bezpośrednio w konsoli czujnika lub za pośrednictwem lokalnej konsoli zarządzania.

Konfigurowanie opcjonalnych ustawień

Zalecamy skonfigurowanie połączenia usługi Active Directory do zarządzania użytkownikami lokalnymi w czujniku OT, a także skonfigurowanie monitorowania kondycji czujnika za pośrednictwem protokołu SNMP.

Jeśli nie skonfigurujesz tych ustawień podczas wdrażania, możesz również wrócić i skonfigurować je później.

Aby uzyskać więcej informacji, zobacz:

Kalibrowanie i dostosowywanie monitorowania OT

Na poniższej ilustracji przedstawiono kroki związane z kalibrowaniem i dostrajaniem monitorowania OT przy użyciu nowo wdrożonego czujnika. Działania kalibracji i dostrajania są wykonywane przez zespół wdrożeniowy.

Diagram skalibrowania i dostrajania fazy.

Kontrolowanie monitorowania ot na czujniku

Domyślnie czujnik OT może nie wykryć dokładnych sieci, które chcesz monitorować, lub zidentyfikować je w sposób, w jaki chcesz je wyświetlić. Użyj utworzonych wcześniej list , aby zweryfikować i ręcznie skonfigurować podsieci, dostosować nazwy portów i sieci VLAN oraz skonfigurować zakresy adresów DHCP zgodnie z potrzebami.

Aby uzyskać więcej informacji, zobacz Kontrolowanie ruchu OT monitorowanego przez Microsoft Defender dla IoT.

Weryfikowanie i aktualizowanie wykrytego spisu urządzeń

Po pełnym wykryciu urządzeń przejrzyj spis urządzeń i zmodyfikuj szczegóły urządzenia zgodnie z potrzebami. Można na przykład zidentyfikować zduplikowane wpisy urządzenia, które można scalić, typy urządzeń lub inne właściwości do modyfikacji i nie tylko.

Aby uzyskać więcej informacji, zobacz Weryfikowanie i aktualizowanie wykrytego spisu urządzeń.

Informacje o alertach OT w celu utworzenia punktu odniesienia sieci

Alerty wyzwalane przez czujnik OT mogą zawierać kilka alertów, które należy regularnie ignorować lub uczyć się jako autoryzowany ruch.

Przejrzyj wszystkie alerty w systemie jako wstępną klasyfikację. Ten krok tworzy punkt odniesienia ruchu sieciowego dla usługi Defender dla IoT, aby pracować z przyszłością.

Aby uzyskać więcej informacji, zobacz Tworzenie poznanego punktu odniesienia alertów OT.

Kończy się nauka wg planu bazowego

Czujniki OT pozostaną w trybie uczenia tak długo, jak zostanie wykryty nowy ruch i nieobsługiwane alerty.

Diagram fazy wdrażania, w której kończy się uczenie bazowe.

Po zakończeniu uczenia podstawowego proces wdrażania monitorowania ot zostanie ukończony i będziesz kontynuować pracę w trybie operacyjnym na potrzeby ciągłego monitorowania. W trybie operacyjnym każde działanie, które różni się od danych punktu odniesienia, wyzwoli alert.

Porada

Wyłącz tryb uczenia ręcznie , jeśli uważasz, że bieżące alerty w usłudze Defender dla IoT odzwierciedlają dokładnie ruch sieciowy, a tryb uczenia nie został jeszcze zakończony automatycznie.

Łączenie danych usługi Defender dla IoT z urządzeniem SIEM

Po wdrożeniu usługi Defender dla IoT wyślij alerty zabezpieczeń i zarządzaj zdarzeniami OT/IoT, integrując usługę Defender for IoT z platformą zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz istniejącymi przepływami pracy i narzędziami SOC. Integrowanie alertów usługi Defender dla IoT z organizacyjnym rozwiązaniem SIEM przez integrację z usługą Microsoft Sentinel i korzystanie z gotowego Microsoft Defender dla rozwiązania IoT lub przez utworzenie reguł przekazywania do innych systemów SIEM. Usługa Defender for IoT integruje gotowe rozwiązania z usługą Microsoft Sentinel, a także szeroką gamę systemów SIEM, takich jak Splunk, IBM QRadar, LogRhythm, Fortinet i nie tylko.

Aby uzyskać więcej informacji, zobacz:

Po zintegrowaniu alertów usługi Defender dla IoT z rozwiązaniem SIEM zalecamy wykonanie następujących następnych kroków, aby zoperacjonalizować alerty OT/IoT i w pełni zintegrować je z istniejącymi przepływami pracy i narzędziami SOC:

  • Zidentyfikuj i zdefiniuj odpowiednie zagrożenia bezpieczeństwa IoT/OT oraz zdarzenia SOC, które chcesz monitorować na podstawie konkretnych potrzeb i środowiska OT.

  • Tworzenie reguł wykrywania i poziomów ważności w rozwiązaniu SIEM. Zostaną wyzwolone tylko istotne zdarzenia, co spowoduje zmniejszenie niepotrzebnego szumu. Można na przykład zdefiniować zmiany kodu PLC wykonywane z nieautoryzowanych urządzeń lub poza godzinami pracy, jako zdarzenie o wysokiej ważności z powodu wysokiej wierności tego konkretnego alertu.

    W usłudze Microsoft Sentinel rozwiązanie Microsoft Defender for IoT zawiera zestaw wbudowanych reguł wykrywania, które są tworzone specjalnie dla danych usługi Defender for IoT i ułatwiają dostosowanie zdarzeń utworzonych w usłudze Sentinel.

  • Zdefiniuj odpowiedni przepływ pracy w celu ograniczenia ryzyka i utwórz podręczniki zautomatyzowanego badania dla każdego przypadku użycia. W usłudze Microsoft Sentinel rozwiązanie Microsoft Defender dla IoT zawiera gotowe podręczniki do automatycznego reagowania na alerty usługi Defender for IoT.

Następne kroki

Teraz, po zapoznaniu się z krokami wdrażania systemu monitorowania ot, możesz rozpocząć pracę.

Planowanie systemu monitorowania ot za pomocą usługi Defender dla IoT »