Partilhar via

Preparar uma implantação de site OT

  • Artigo

Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT.

Diagrama de uma barra de progresso com Plano e preparação realçados.

Para monitorar totalmente sua rede, você precisará de visibilidade em todos os dispositivos de ponto final em sua rede. O Microsoft Defender for IoT espelha o tráfego que se move através dos seus dispositivos de rede para os sensores de rede do Defender for IoT. Em seguida, os sensores de rede OT analisam seus dados de tráfego, disparam alertas, geram recomendações e enviam dados para o Defender for IoT no Azure.

Este artigo ajuda você a planejar onde colocar sensores OT em sua rede para que o tráfego que você deseja monitorar seja espelhado conforme necessário e como preparar seu site para a implantação do sensor.

Pré-requisitos

Antes de planejar o monitoramento de OT para um local específico, certifique-se de ter planejado seu sistema geral de monitoramento de OT.

Esta etapa é executada por suas equipes de arquitetura.

Saiba mais sobre a arquitetura de monitoramento do Defender for IoT

Use os seguintes artigos para entender mais sobre os componentes e a arquitetura em sua rede e no sistema Defender for IoT:

Criar um diagrama de rede

A rede de cada organização terá a sua própria complexidade. Crie um diagrama de mapa de rede que liste completamente todos os dispositivos em sua rede para que você possa identificar o tráfego que deseja monitorar.

Ao criar seu diagrama de rede, use as perguntas a seguir para identificar e fazer anotações sobre os diferentes elementos em sua rede e como eles se comunicam.

Perguntas gerais

  • Quais são os seus objetivos gerais de monitorização?

  • Você tem alguma rede redundante e há áreas do seu mapa de rede que não precisam de monitoramento e você pode ignorar?

  • Onde estão os riscos operacionais e de segurança da sua rede?

Perguntas sobre a rede

  • Quais protocolos estão ativos nas redes monitoradas?

  • As VLANs estão configuradas no design de rede?

  • Existe algum roteamento nas redes monitoradas?

  • Existe alguma comunicação serial na rede?

  • Onde estão instaladas as firewalls nas redes que pretende monitorizar?

  • Existe tráfego entre uma rede de controlo industrial (ICS) e uma rede empresarial e empresarial? Em caso afirmativo, este tráfego é monitorizado?

  • Qual é a distância física entre seus switches e o firewall da empresa?

  • A manutenção do sistema OT é feita com dispositivos fixos ou transitórios?

Alternar perguntas

  • Se um switch não for gerenciado, você pode monitorar o tráfego de um switch de nível superior? Por exemplo, se sua arquitetura de OT usa uma topologia de anel, apenas um switch no anel precisa de monitoramento.

  • Os switches não gerenciados podem ser substituídos por switches gerenciados ou o uso de TAPs de rede é uma opção?

  • Você pode monitorar a VLAN do switch ou a VLAN está visível em outro switch que você pode monitorar?

  • Se você conectar um sensor de rede ao switch, ele espelhará a comunicação entre a HMI e os PLCs?

  • Se você quiser conectar um sensor de rede ao switch, há espaço físico em rack disponível no gabinete do switch?

  • Qual é o custo/benefício da monitorização de cada interruptor?

Identifique os dispositivos e sub-redes que você deseja monitorar

O tráfego que você deseja monitorar e espelhar para os sensores de rede do Defender for IoT é o tráfego mais interessante para você do ponto de vista operacional ou de segurança.

Revise seu diagrama de rede OT junto com os engenheiros do seu site para definir onde você encontrará o tráfego mais relevante para monitoramento. Recomendamos que você se reúna com as equipes operacionais e de rede para esclarecer as expectativas.

Juntamente com a sua equipa, crie uma tabela de dispositivos que pretende monitorizar com os seguintes detalhes:

Especificação Description
Fornecedor O fornecedor de fabricação do dispositivo
Nome do dispositivo Um nome significativo para uso contínuo e referência
Tipo O tipo de dispositivo, como: Switch, Router, Firewall, Access Point e assim por diante
Camada de rede Os dispositivos que você vai querer monitorar são dispositivos L2 ou L3:
- Os dispositivos L2 são dispositivos dentro do segmento IP
- Dispositivos L3 são dispositivos fora do segmento IP

Os dispositivos que suportam ambas as camadas podem ser considerados como dispositivos L3.
Cruzando VLANs As IDs de quaisquer VLANs que cruzam o dispositivo. Por exemplo, verifique esses IDs de VLAN verificando o modo de operação da árvore de abrangência em cada VLAN para ver se eles cruzam uma porta associada.
Gateway para As VLANs para as quais o dispositivo atua como um gateway padrão.
Detalhes da rede Endereço IP, sub-rede, D-GW e host DNS do dispositivo
Protocolos Protocolos usados no dispositivo. Compare seus protocolos com a lista de protocolos suportados prontos para uso do Defender for IoT.
Espelhamento de tráfego suportado Defina que tipo de espelhamento de tráfego é suportado por cada dispositivo, como SPAN, RSPAN, ERSPAN ou TAP.

Use essas informações para escolher métodos de espelhamento de tráfego para seus sensores OT.
Gerido por serviços parceiros? Descreva se um serviço parceiro, como Siemens, Rockwell ou Emerson, gerencia o dispositivo. Se relevante, descrever a política de gestão.
Conexões seriais Se o dispositivo se comunicar através de uma conexão serial, especifique o protocolo de comunicação serial.

Calcular dispositivos na sua rede

Calcule o número de dispositivos em cada site para que você possa comprar licenças do Defender for IoT no tamanho correto.

Para calcular o número de dispositivos em cada local::

  1. Colete o número total de dispositivos em seu site e adicione-os.

  2. Remova qualquer um dos seguintes dispositivos, que não são identificados como dispositivos individuais pelo Defender for IoT:

    • Endereços IP públicos da Internet
    • Grupos multicast
    • Grupos de transmissão
    • Dispositivos inativos: dispositivos que não têm atividade de rede detetada por mais de 60 dias

Para obter mais informações, consulte Dispositivos monitorados pelo Defender para IoT.

Planejar uma implantação de vários sensores

Se você estiver planejando implantar vários sensores de rede, considere também as seguintes recomendações ao decidir onde colocar seus sensores:

  • Switches conectados fisicamente: Para switches que estão fisicamente conectados por cabo Ethernet, certifique-se de planejar pelo menos um sensor para cada 80 metros de distância entre switches.

  • Várias redes sem conectividade física: se você tiver várias redes sem qualquer conectividade física entre elas, planeje pelo menos um sensor para cada rede individual

  • Switches com suporte a RSPAN: Se você tiver switches que possam usar o espelhamento de tráfego RSPAN, planeje pelo menos um sensor para cada oito switches, com uma porta SPAN local. Planeje colocar o sensor perto o suficiente dos interruptores para que você possa conectá-los por cabo.

Criar uma lista de sub-redes

Crie uma lista agregada de sub-redes que pretende monitorizar, com base na lista de dispositivos que pretende monitorizar em toda a rede.

Depois de implantar seus sensores, você usará essa lista para verificar se as sub-redes listadas são detetadas automaticamente e atualizar manualmente a lista conforme necessário.

Liste seus sensores OT planejados

Depois de entender o tráfego que você deseja espelhar no Defender for IoT, crie uma lista completa de todos os sensores OT que você estará integrando.

Para cada sensor, liste:

  • Se o sensor será um sensor conectado à nuvem ou gerenciado localmente

  • Para sensores conectados à nuvem, o método de conexão na nuvem que você usará.

  • Se você usará dispositivos físicos ou virtuais para seus sensores, considerando a largura de banda necessária para a qualidade de serviço (QoS). Para obter mais informações, consulte Quais aparelhos eu preciso?

  • O site e a zona que você atribuirá a cada sensor.

    Os dados ingeridos a partir de sensores no mesmo local ou zona podem ser visualizados em conjunto, segmentados a partir de outros dados no seu sistema. Se houver dados do sensor que você deseja exibir agrupados no mesmo site ou zona, certifique-se de atribuir locais e zonas do sensor de acordo.

  • O método de espelhamento de tráfego que você usará para cada sensor

À medida que sua rede se expande no tempo, você pode integrar mais sensores ou modificar suas definições de sensor existentes.

Importante

Recomendamos verificar as características dos dispositivos que você espera que cada sensor detete, como endereços IP e MAC. Os dispositivos que são detetados na mesma zona com o mesmo conjunto lógico de características do dispositivo são automaticamente consolidados e identificados como o mesmo dispositivo.

Por exemplo, se estiver a trabalhar com várias redes e endereços IP recorrentes, certifique-se de que planeia cada sensor com uma zona diferente para que os dispositivos sejam identificados corretamente como dispositivos separados e exclusivos.

Para obter mais informações, consulte Separando zonas para intervalos IP recorrentes.

Preparar dispositivos locais

  • Se estiver a utilizar ferramentas virtuais, certifique-se de que tem os recursos relevantes configurados. Para obter mais informações, consulte Monitoramento de OT com dispositivos virtuais.

  • Se estiver a utilizar dispositivos físicos, certifique-se de que tem o hardware necessário. Pode comprar aparelhos pré-configurados ou planear instalar software nos seus próprios aparelhos.

    Para comprar aparelhos pré-configurados:

    1. Vá para Defender for IoT no portal do Azure.
    2. Selecione Introdução>Sensor>Comprar aparelho>pré-configurado Contato.

    O link abre um e-mail para com hardware.sales@arrow.comuma solicitação de modelo para dispositivos Defender for IoT.

Para obter mais informações, consulte Quais aparelhos eu preciso?

Preparar hardware auxiliar

Se estiver a utilizar aparelhos físicos, certifique-se de que tem disponível o seguinte hardware adicional para cada dispositivo físico:

  • Um monitor e teclado
  • Espaço em rack
  • Alimentação CA
  • Um cabo LAN para conectar a porta de gerenciamento do aparelho ao switch de rede
  • Cabos LAN para ligar portas espelhadas (SPAN) e pontos de acesso a terminais de rede (TAPs) ao seu aparelho

Preparar detalhes da rede do dispositivo

Quando tiver os seus aparelhos prontos, faça uma lista dos seguintes detalhes para cada aparelho:

  • Endereço IP
  • Sub-rede
  • Gateway predefinido
  • Nome do anfitrião
  • Servidor DNS (opcional), com o endereço IP do servidor DNS e o nome do anfitrião

Preparar uma estação de trabalho de implantação

Prepare uma estação de trabalho a partir da qual você possa executar as atividades de implantação do Defender for IoT. A estação de trabalho pode ser uma máquina Windows ou Mac, com os seguintes requisitos:

  • Software de terminal, como o PuTTY

  • Um browser suportado para ligar a consolas de sensores e ao portal do Azure. Para obter mais informações, consulte Navegadores recomendados para o portal do Azure.

  • Regras de firewall necessárias configuradas, com acesso aberto para as interfaces necessárias. Para obter mais informações, consulte Requisitos de rede.

Preparar certificados assinados por CA

Recomendamos o uso de certificados assinados por CA em implantações de produção.

Certifique-se de entender os requisitos de certificado SSL/TLS para recursos locais. Se você quiser implantar um certificado assinado por CA durante a implantação inicial, certifique-se de ter o certificado preparado.

Se você decidir implantar com o certificado autoassinado interno, recomendamos implantar um certificado assinado por CA em ambientes de produção mais tarde.

Para obter mais informações, consulte:

Próximos passos

« Planeje seu sistema de monitoramento OT

Sensores OT integrados ao Defender for IoT »