Поделиться через


Планирование системы мониторинга OT с помощью Defender для Интернета вещей

Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.

Используйте приведенный ниже контент, чтобы узнать, как спланировать общий мониторинг OT с помощью Microsoft Defender для Интернета вещей, включая сайты, которые вы собираетесь отслеживать, группы пользователей и типы и многое другое.

Схема индикатора выполнения с выделенным планом и подготовкой.

Необходимые компоненты

Прежде чем приступить к планированию развертывания мониторинга OT, убедитесь, что у вас есть подписка Azure и план OT, подключенный к Defender для Интернета вещей. Дополнительные сведения см. в статье "Запуск пробной версии Microsoft Defender для Интернета вещей".

Этот шаг выполняется командами по архитектуре.

Планирование сайтов и зон OT

При работе с сетями OT рекомендуется указать все расположения, в которых у вашей организации есть ресурсы, подключенные к сети, а затем сегментировать эти расположения на сайты и зоны.

Каждое физическое расположение может иметь свой собственный сайт, который дополнительно сегментируется в зоны. Вы свяжите каждый датчик сети OT с определенным сайтом и зоной, чтобы каждый датчик охватывал только определенную область сети.

Использование сайтов и зон поддерживает принципы нулевого доверия и обеспечивает дополнительную детализацию мониторинга и отчетности.

Например, если у вашей растущей компании есть фабрики и офисы в Париже, Лагосе, Дубае и Тяньджине, вы можете сегментирование сети следующим образом:

Сайт Зоны
Парижский офис - Нижний этаж (гости)
- Этаж 1 (продажи)
- Этаж 2 (исполнительный)
Офис Lagos - Нижний этаж (офисы)
- Этажи 1-2 (фабрика)
Офис Дубая - Первый этаж (конференц-центр)
- Этаж 1 (продажи)
- Этаж 2 (офисы)
Офис Tianjin - Нижний этаж (офисы)
- Этажи 1-2 (фабрика)

Если вы не планируете никаких подробных сайтов и зон, Defender для Интернета вещей по-прежнему использует сайт и зону по умолчанию для назначения всем датчикам OT.

Дополнительные сведения см. в разделе "Нулевое доверие" и сетей OT.

Разделение зон для повторяющихся диапазонов IP-адресов

Каждая зона может поддерживать несколько датчиков, и если вы развертываете Defender для Интернета вещей в масштабе, каждый датчик может обнаруживать различные аспекты одного устройства. Defender для Интернета вещей автоматически объединяет устройства, обнаруженные в той же зоне, с одинаковым логическим сочетанием характеристик устройства, например с тем же IP-адресом и MAC-адресом.

Если вы работаете с несколькими сетями и имеете уникальные устройства с аналогичными характеристиками, например повторяющиеся диапазоны IP-адресов, назначьте каждый датчик отдельной зоне, чтобы Defender для Интернета вещей знал, чтобы различать устройства и идентифицировать каждое устройство уникальным образом.

Например, сеть может выглядеть следующим образом: шесть сегментов сети логически выделяются на двух сайтах и зонах Defender для Интернета вещей. Обратите внимание, что на этом изображении показаны два сегмента сети с одинаковыми IP-адресами из разных рабочих линий.

Схема повторяющихся сетей в одной зоне.

В этом случае рекомендуется разделить сайт 2 на две отдельные зоны, чтобы устройства в сегментах с повторяющимися IP-адресами не были консолидированы неправильно, и определяются как отдельные и уникальные устройства в инвентаризации устройств.

Например:

Схема повторяющихся сетей в разных зонах.

Планирование пользователей

Узнайте, кто в вашей организации будет использовать Defender для Интернета вещей и какие варианты их использования. Хотя ваш центр управления безопасностью (SOC) и ИТ-персонал будут наиболее распространенными пользователями, у вас могут быть другие пользователи в вашей организации, которым потребуется доступ на чтение к ресурсам в Azure или локальных ресурсах.

  • В Azure назначения пользователей основаны на своих ролях Microsoft Entra ID и RBAC. Если вы сегментируете сеть на несколько сайтов, решите, какие разрешения необходимо применить на каждом сайте.

  • Сетевые датчики OT поддерживают как локальных пользователей, так и синхронизацию Active Directory. Если вы будете использовать Active Directory, убедитесь, что у вас есть сведения о доступе для сервера Active Directory.

Дополнительные сведения см. в разделе:

Планирование подключений датчика OT и управления

Для датчиков, подключенных к облаку, определите способ подключения каждого датчика OT к Defender для Интернета вещей в облаке Azure, например, какой прокси-сервер может потребоваться. Дополнительные сведения см. в статье "Методы подключения датчиков к Azure".

Если вы работаете в локальной или гибридной среде и будете иметь несколько локально управляемых сетевых датчиков OT, вы можете спланировать развертывание локальной консоль управления для настройки параметров и просмотра данных из центрального расположения. Дополнительные сведения см. в схеме развертывания управления датчиками OT с отмеченным воздухом.

Планирование локальных сертификатов SSL/TLS

Мы рекомендуем использовать сертификат SSL/TLS с подписью ЦС в рабочей системе, чтобы обеспечить постоянную безопасность ваших устройств.

Запланируйте сертификаты и какие центры сертификации (ЦС) будут использоваться для каждого датчика OT, какие средства вы будете использовать для создания сертификатов и какие атрибуты будут включены в каждый сертификат.

Дополнительные сведения см. в статье о требованиях к сертификату SSL/TLS для локальных ресурсов.

Следующие шаги