Развертывание Defender для Интернета вещей для мониторинга OT
В этой статье описаны высокоуровневые шаги, необходимые для развертывания мониторинга Defender для Интернета вещей для OT. Дополнительные сведения о каждом шаге развертывания в разделах ниже, включая соответствующие перекрестные ссылки для получения дополнительных сведений.
На следующем рисунке показаны этапы в комплексном пути развертывания мониторинга OT вместе с командой, ответственной за каждый этап.
Хотя команды и названия заданий отличаются в разных организациях, все развертывания Defender для Интернета вещей требуют связи между людьми, ответственными за различные области вашей сети и инфраструктуры.
Совет
Каждый шаг процесса может занять другое время. Например, скачивание файла активации датчика OT может занять пять минут, а настройка мониторинга трафика может занять несколько дней или даже недель в зависимости от процессов вашей организации.
Мы рекомендуем запустить процесс для каждого шага, не ожидая завершения его, прежде чем перейти к следующему шагу. Не забудьте продолжить выполнение всех шагов, которые по-прежнему выполняются, чтобы обеспечить их завершение.
Необходимые компоненты
Прежде чем приступить к планированию развертывания мониторинга OT, убедитесь, что у вас есть подписка Azure и план OT, подключенный к Defender для Интернета вещей.
Дополнительные сведения см. в статье "Запуск пробной версии Microsoft Defender для Интернета вещей".
Планирование и подготовка
На следующем рисунке показаны шаги, включенные в этап планирования и подготовки. Планирование и подготовка шагов обрабатываются командами по архитектуре.
Планирование системы мониторинга OT
Планирование основных сведений о системе мониторинга, например:
Сайты и зоны. Определите, как сегментировать сеть, которую вы хотите отслеживать с помощью сайтов и зон , которые могут представлять расположения по всему миру.
Управление датчиками. Определите, будут ли вы использовать облачные или воздушные датчики, локально управляемые датчики OT или гибридную систему обоих. Если вы используете облачные датчики, выберите метод подключения, например подключение напрямую или через прокси-сервер.
Пользователи и роли: список типов пользователей, необходимых для каждого датчика, а также роли, необходимые для каждого действия.
Дополнительные сведения см. в разделе Планирование системы мониторинга OT с помощью Defender для Интернета вещей.
Совет
Если вы используете несколько локально управляемых датчиков, вам также может потребоваться развернуть локальную консоль управления для централизованной видимости и управления.
Подготовка к развертыванию сайта OT
Определите дополнительные сведения для каждого сайта, запланированного в вашей системе, включая:
Сетевая схема. Определите все устройства, которые вы хотите отслеживать и создать четко определенный список подсетей. После развертывания датчиков используйте этот список, чтобы убедиться, что все подсети, которые вы хотите отслеживать, охватываются Defender для Интернета вещей.
Список датчиков: используйте список трафика, подсетей и устройств, которые вы хотите отслеживать, чтобы создать список нужных датчиков OT и где они будут размещены в сети.
Методы зеркального отображения трафика: выберите метод зеркального отображения трафика для каждого датчика OT, например порта SPAN или TAP.
Устройства. Подготовьте рабочую станцию развертывания и все аппаратные или виртуальные устройства, которые вы будете использовать для каждого запланированного датчика OT. Если вы используете предварительно настроенные устройства, обязательно укажите их.
Дополнительные сведения см. в статье "Подготовка развертывания сайта OT".
Подключать датчики к Azure
На следующем рисунке показан шаг, включенный в этап подключения датчиков. Датчики подключены к Azure командами развертывания.
Подключение датчиков OT к портал Azure
Подключить столько датчиков OT к Defender для Интернета вещей, сколько вы планировали. Обязательно скачайте файлы активации, предоставленные для каждого датчика OT, и сохраните их в расположении, которое будет доступно на компьютерах датчиков.
Дополнительные сведения см. в разделе "Подключение датчиков OT к Defender для Интернета вещей".
Настройка сети сайта
На следующем рисунке показаны шаги, включенные в фразу настройки сети сайта. Действия по сети сайта обрабатываются командами по подключению.
Настройка зеркального отображения трафика в сети
Используйте планы, созданные ранее , чтобы настроить зеркальное отображение трафика в местах в сети, где вы будете развертывать датчики OT и зеркальное отображение трафика в Defender для Интернета вещей.
Дополнительные сведения см. в разделе:
- Настройка зеркального отображения с помощью порта SPAN коммутатора
- Настройка зеркального отображения трафика с помощью порта Remote SPAN (RSPAN)
- Настройка активной или пассивной агрегирования (TAP)
- Обновление интерфейсов мониторинга датчика (настройка ERSPAN)
- Настройка зеркального отображения трафика с помощью ESXi vSwitch
- Настройка зеркального отображения трафика с помощью vSwitch Hyper-V
Подготовка к управлению облаком
Настройте все правила брандмауэра, чтобы убедиться, что устройства датчиков OT смогут получить доступ к Defender для Интернета вещей в облаке Azure. Если вы планируете подключиться через прокси-сервер, вы настроите эти параметры только после установки датчика.
Пропустите этот шаг для любого датчика OT, который планируется включить и управлять в локальной среде, либо непосредственно на консоли датчика, либо через локальную консоль управления.
Дополнительные сведения см. в разделе "Подготовка датчиков OT для управления облаком".
Развертывание датчиков OT
На следующем рисунке показаны шаги, включенные в этап развертывания датчика. Датчики OT развертываются и активируются командой развертывания.
Установка датчиков OT
Если вы устанавливаете программное обеспечение Defender для Интернета вещей на собственных устройствах, скачайте программное обеспечение установки из портал Azure и установите его на устройстве датчика OT.
После установки программного обеспечения датчика OT выполните несколько проверок, чтобы проверить установку и конфигурацию.
Дополнительные сведения см. в разделе:
- Установка программного обеспечения мониторинга OT на датчиках OT
- Проверка установки программного обеспечения датчика OT
Пропустите эти действия, если вы приобрели предварительно настроенные устройства.
Активация датчиков OT и начальная настройка
Используйте мастер начальной настройки для подтверждения параметров сети, активации датчика и применения сертификатов SSH/TLS.
Дополнительные сведения см. в разделе "Настройка и активация датчика OT".
Настройка прокси-подключений
Если вы решили использовать прокси-сервер для подключения датчиков к облаку, настройте прокси-сервер и настройте параметры на датчике. Дополнительные сведения см. в разделе "Настройка параметров прокси-сервера" на датчике OT.
Пропустите этот шаг в следующих ситуациях:
- Для любого датчика OT, в котором вы подключаетесь непосредственно к Azure, без прокси-сервера
- Для любого датчика, который планируется использовать для локального управления, либо непосредственно на консоли датчика, либо через локальную консоль управления.
Настройка дополнительных параметров
Рекомендуется настроить подключение Active Directory для управления локальными пользователями на датчике OT, а также настроить мониторинг работоспособности датчика с помощью SNMP.
Если эти параметры не настроены во время развертывания, вы также можете вернуть и настроить их позже.
Дополнительные сведения см. в разделе:
Калибровка и точное отслеживание OT
На следующем рисунке показаны шаги, связанные с калибровкой и точной настройкой мониторинга OT с помощью недавно развернутого датчика. Действия по калибровке и тонкой настройке выполняются командой развертывания.
Управление мониторингом OT на датчике
По умолчанию датчик OT может не обнаруживать точные сети, которые вы хотите отслеживать, или определять их точно так, как вы хотите их отобразить. Используйте списки, созданные ранее, чтобы проверить и вручную настроить подсети, настроить имена портов и виртуальных ЛС и настроить диапазоны АДРЕСОВ DHCP по мере необходимости.
Дополнительные сведения см. в статье Управление трафиком OT, отслеживаемым Microsoft Defender для Интернета вещей.
Проверка и обновление обнаруженного инвентаризации устройств
После полного обнаружения устройств просмотрите инвентаризацию устройств и измените сведения об устройстве по мере необходимости. Например, можно определить повторяющиеся записи устройства, которые можно объединить, типы устройств или другие свойства для изменения и многое другое.
Дополнительные сведения см. в статье "Проверка и обновление обнаруженного инвентаризации устройств".
Сведения о оповещениях OT для создания сетевой базовой конфигурации
Оповещения, активированные датчиком OT, могут включать несколько оповещений, которые вы хотите регулярно игнорировать или Learn, как авторизованный трафик.
Просмотрите все оповещения в вашей системе в качестве первоначальной проверки. На этом шаге создается базовый план сетевого трафика для Defender для Интернета вещей для работы с переходом вперед.
Дополнительные сведения см. в статье "Создание базовых показателей оповещений OT".
Базовые учебные курсы заканчиваются
Датчики OT будут оставаться в режиме обучения до тех пор, пока обнаружен новый трафик, и у вас есть необработанные оповещения.
По завершении базового обучения процесс развертывания мониторинга OT завершен, и вы продолжите работу в рабочем режиме для текущего мониторинга. В рабочем режиме любые действия, отличающиеся от базовых данных, будут активировать оповещение.
Совет
Отключите режим обучения вручную , если вы чувствуете, что текущие оповещения в Defender для Интернета вещей отражают сетевой трафик точно, и режим обучения еще не закончился автоматически.
Подключение данных Defender для Интернета вещей к SIEM
После развертывания Defender для Интернета вещей отправьте оповещения системы безопасности и управляйте инцидентами OT/IoT, интегрируя Defender для Интернета вещей с платформой управления сведениями и событиями безопасности (SIEM) и существующими рабочими процессами и инструментами SOC. Интеграция оповещений Defender для Интернета вещей с вашей организацией SIEM путем интеграции с Microsoft Sentinel и использования встроенного решения Microsoft Defender для Интернета вещей или путем создания правил пересылки в другие системы SIEM. Defender для Интернета вещей интегрируется с Microsoft Sentinel, а также широкий спектр систем SIEM, таких как Splunk, IBM QRadar, LogRythm, Fortinet и многое другое.
Дополнительные сведения см. в разделе:
- Мониторинг угроз OT в корпоративных SOCs
- Руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
- Подключение локальных сетевых датчиков OT к Microsoft Sentinel
- Интеграция с microsoft и партнерскими службами
- Оповещения Stream Defender для облака Интернета вещей для партнера SIEM
После интеграции оповещений Defender для Интернета вещей с SIEM рекомендуется выполнить следующие действия для эксплуатации оповещений OT/IoT и полностью интегрировать их с существующими рабочими процессами и инструментами SOC:
Определите и определите соответствующие угрозы безопасности IoT/OT и инциденты SOC, которые вы хотите отслеживать на основе конкретных потребностей и среды OT.
Создайте правила обнаружения и уровни серьезности в SIEM. Активируются только соответствующие инциденты, что снижает ненужный шум. Например, вы определите изменения кода PLC, выполненные с несанкционированных устройств или за пределами рабочих часов, как инцидент высокой серьезности из-за высокой точности этого конкретного оповещения.
В Microsoft Sentinel решение Microsoft Defender для Интернета вещей включает набор правил обнаружения, созданных специально для данных Defender для Интернета вещей, и помогает точно настроить инциденты, созданные в Sentinel.
Определите соответствующий рабочий процесс для устранения рисков и создайте автоматические сборники схем исследования для каждого варианта использования. В Microsoft Sentinel решение Microsoft Defender для Интернета вещей включает встроенные сборники схем для автоматического реагирования на оповещения Defender для Интернета вещей.
Следующие шаги
Теперь, когда вы понимаете шаги развертывания системы мониторинга OT, вы готовы приступить к работе!