Planeje seu sistema de monitoramento de OT com o Defender para IoT
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.
Use o conteúdo abaixo para saber como planejar o monitoramento geral de OT com Microsoft Defender para IoT, incluindo os sites que você vai monitorar, seus grupos e tipos de usuários e muito mais.
Pré-requisitos
Antes de começar a planejar sua implantação de monitoramento de OT, verifique se você tem uma assinatura do Azure e um plano de OT integrado do Defender para IoT. Para obter mais informações, confira Iniciar uma avaliação do Microsoft Defender para IoT.
Esta etapa é executada por suas equipes de arquitetura.
Planejar sites e zonas de OT
Ao trabalhar com redes OT, recomendamos que você liste todos os locais em que sua organização tem recursos conectados a uma rede e segmente esses locais para sites e zonas.
Cada local físico pode ter seu próprio site, que é segmentado ainda mais em zonas. Você associará cada sensor de rede OT a um site e uma zona específicos, para que cada sensor cubra apenas uma área específica da rede.
O uso de sites e zonas dá suporte aos princípios de Confiança Zero e fornece granularidade extra de monitoramento e relatório.
Por exemplo, se sua empresa em crescimento tiver fábricas e escritórios em Paris, Lagos, Dubai e Tianjin, você poderá segmentar sua rede da seguinte maneira:
| Site | Zonas |
|---|---|
| Escritório de Paris | - Térreo (Convidados) - Piso 1 (Vendas) - Piso 2 (Executivo) |
| Escritório de Lagos | - Térreo (Escritórios) - Piso 1-2 (Fábrica) |
| Escritório de Dubai | - Térreo (Centro de Convenções) - Piso 1 (Vendas) - Piso 2 (Escritórios) |
| Escritório de Tianjin | - Térreo (Escritórios) - Piso 1-2 (Fábrica) |
Se você não planejar sites e zonas detalhados, o Defender para IoT ainda usará um site e uma zona padrão para atribuir a todos os sensores de OT.
Para obter mais informações, confira Confiança Zero e suas redes OT.
Separando zonas para intervalos de IP recorrentes
Cada zona pode dar suporte a vários sensores e, se você estiver implantando o Defender para IoT em escala, cada sensor poderá detectar diferentes aspectos do mesmo dispositivo. O Defender para IoT consolida automaticamente os dispositivos detectados na mesma zona, com a mesma combinação lógica de características do dispositivo, o mesmo endereço IP e MAC.
Se você estiver trabalhando com várias redes e tiver dispositivos exclusivos com características semelhantes, como intervalos de endereços IP recorrentes, atribua cada sensor a uma zona separada para que o Defender para IoT saiba diferenciar entre os dispositivos e identifique cada dispositivo exclusivamente.
Por exemplo, sua rede pode ser semelhante à imagem a seguir, com seis segmentos de rede logicamente alocados em dois sites e zonas do Defender para IoT. Observe que essa imagem mostra dois segmentos de rede com os mesmos endereços IP de diferentes linhas de produção.
Nesse caso, recomendamos separar o Site 2 em duas zonas separadas, para que os dispositivos nos segmentos com endereços IP recorrentes não sejam consolidados incorretamente e sejam identificados como dispositivos separados e exclusivos no inventário de dispositivos.
Por exemplo:
Planejar seus usuários
Entenda quem em sua organização usará o Defender para IoT e quais são seus casos de uso. Embora o SOC (centro de operações de segurança) e a equipe de TI sejam os usuários mais comuns, outras pessoas em sua organização podem precisar de acesso de leitura aos recursos no Azure ou em recursos locais.
No Azure, as atribuições de usuário são baseadas nas respectivas funções RBAC e do Microsoft Entra ID. Se você estiver segmentando sua rede em vários sites, decida quais permissões você desejará aplicar por site.
Os sensores de rede OT dão suporte a usuários locais e sincronizações do Active Directory. Se você estiver usando o Active Directory, verifique se tem os detalhes de acesso para o servidor do Active Directory.
Para obter mais informações, consulte:
- Gerenciamento de usuário do Microsoft Defender para IoT
- Funções e permissões de usuário do Azure do Defender para IoT
- Usuários e funções locais para monitoramento de OT com o Defender para IoT
Planejar conexões de gerenciamento e sensor de OT
Para sensores conectados à nuvem, determine como você conectará cada sensor de OT ao Defender para IoT na nuvem do Azure, como o tipo de proxy que você pode precisar. Para obter mais informações, consulte Métodos para conectar sensores ao Azure.
Se você estiver trabalhando em um ambiente híbrido ou desconectado e tiver vários sensores de rede OT gerenciados localmente, convém planejar a implantação de um console de gerenciamento local para definir suas configurações e exibir dados de um local central. Para obter mais informações, confira Caminho de implantação do gerenciamento de sensores de OT desconectados.
Planejar certificações locais de SSL/TLS
É recomendável usar um certificado SSL/TLS assinado pela AC com seu sistema de produção para garantir a segurança contínua dos dispositivos.
Planeje quais certificados e qual AC (autoridade de certificação) você usará para cada sensor de OT, quais ferramentas você usará para gerar os certificados e quais atributos você incluirá em cada certificado.
Para obter mais informações, consulte Requisitos de certificado SSL/TLS para recursos locais.