Развертывание Defender для Интернета вещей для мониторинга OT

  • Статья

В этой статье описываются общие шаги, необходимые для развертывания Defender для Интернета вещей для мониторинга OT. Дополнительные сведения о каждом шаге развертывания см. в разделах ниже, включая соответствующие перекрестные ссылки для получения дополнительных сведений.

На следующем рисунке показаны этапы в комплексном пути развертывания мониторинга OT вместе с командой, ответственной за каждый этап.

Хотя команды и должности различаются в разных организациях, все развертывания Defender для Интернета вещей требуют взаимодействия между людьми, ответственными за различные области вашей сети и инфраструктуры.

Схема пути развертывания мониторинга OT.

Совет

Каждый шаг процесса может занять разное время. Например, скачивание файла активации датчика OT может занять пять минут, а настройка мониторинга трафика может занять несколько дней или даже недель в зависимости от процессов вашей организации.

Рекомендуется запускать процесс для каждого шага, не дожидаясь его завершения, прежде чем переходить к следующему шагу. Не забудьте продолжить выполнение всех шагов, которые еще выполняются, чтобы обеспечить их выполнение.

Предварительные требования

Прежде чем приступить к планированию развертывания мониторинга OT, убедитесь, что у вас есть подписка Azure и подключенный план OT Defender для Интернета вещей.

Дополнительные сведения см. в статье Запуск пробной версии Microsoft Defender для Интернета вещей.

Планирование и подготовка

На следующем рисунке показаны шаги, включенные в этап планирования и подготовки. Этапы планирования и подготовки выполняются вашими командами по архитектуре.

Схема шагов, включенных в этап планирования и подготовки.

Планирование системы мониторинга OT

Планирование основных сведений о системе мониторинга, таких как:

  • Сайты и зоны. Решите, как сегментировать сеть, которую вы хотите отслеживать, с помощью сайтов и зон , которые могут представлять расположения по всему миру.

  • Управление датчиками. Решите, будете ли вы использовать подключенные к облаку или с воздушным подключением датчики, локально управляемые датчики OT или гибридную систему. Если вы используете датчики, подключенные к облаку, выберите способ подключения, например подключение напрямую или через прокси-сервер.

  • Пользователи и роли. Список типов пользователей, необходимых для каждого датчика, и ролей, которые им понадобятся для каждого действия.

Дополнительные сведения см. в статье Планирование системы мониторинга OT с помощью Defender для Интернета вещей.

Совет

Если вы используете несколько локально управляемых датчиков, вам также может потребоваться развернуть локальный консоль управления для централизованной видимости и управления.

Подготовка к развертыванию сайта OT

Определите дополнительные сведения для каждого сайта, запланированного в вашей системе, в том числе:

  • Схема сети. Определите все устройства, которые вы хотите отслеживать, и создайте четко определенный список подсетей. После развертывания датчиков используйте этот список, чтобы убедиться, что все подсети, которые вы хотите отслеживать, охвачены Defender для Интернета вещей.

  • Список датчиков. Используйте список трафика, подсетей и устройств, которые вы хотите отслеживать, чтобы создать список необходимых датчиков OT и их расположение в вашей сети.

  • Методы зеркального отображения трафика. Выберите метод зеркального отображения трафика для каждого датчика OT, например порт SPAN или TAP.

  • Устройства. Подготовьте рабочую станцию развертывания и любое оборудование или устройства виртуальной машины, которые вы будете использовать для каждого из запланированных датчиков OT. Если вы используете предварительно настроенные устройства, обязательно закажите их.

Дополнительные сведения см. в статье Подготовка развертывания сайта OT.

Подключать датчики к Azure

На следующем рисунке показан шаг, включенный в этап подключения датчиков. Датчики подключены к Azure вашими командами развертывания.

Схема этапа подключения датчиков.

Подключение датчиков OT на портал Azure

Включите в Defender для Интернета вещей столько датчиков OT, сколько вы планировали. Обязательно скачайте файлы активации, предоставленные для каждого датчика OT, и сохраните их в расположении, которое будет доступно с компьютеров датчиков.

Дополнительные сведения см. в статье Подключение датчиков OT к Defender для Интернета вещей.

Настройка сети сайта

На следующем рисунке показаны шаги, включенные в фразу настройки сети сайта. Действия по работе с сетью сайта обрабатываются вашими командами подключения.

Схема этапа настройки сети сайта.

Настройка зеркального отображения трафика в сети

Используйте ранее созданные планы , чтобы настроить зеркальное отображение трафика в местах в сети, где вы будете развертывать датчики OT и зеркальное отображение трафика в Defender для Интернета вещей.

Дополнительные сведения см. в разделе:

Подготовка для управления облаком

Настройте правила брандмауэра, чтобы обеспечить доступ устройств датчиков OT к Defender для Интернета вещей в облаке Azure. Если вы планируете подключиться через прокси-сервер, вы настроите эти параметры только после установки датчика.

Пропустите этот шаг для любого датчика OT, который планируется использовать для подключения к сети и управления которыми будет осуществляться локально, либо непосредственно на консоли датчика, либо через локальный консоль управления.

Дополнительные сведения см. в статье Подготовка датчиков OT для управления облаком.

Развертывание датчиков OT

На следующем рисунке показаны шаги, включенные в этап развертывания датчика. Датчики OT развертываются и активируются командой развертывания.

Схема этапа развертывания датчика OT.

Установка датчиков OT

Если вы устанавливаете программное обеспечение Defender для Интернета вещей на собственных устройствах, скачайте программное обеспечение установки из портал Azure и установите его на датчик OT (модуль).

После установки программного обеспечения датчика OT выполните несколько проверок, чтобы проверить установку и конфигурацию.

Дополнительные сведения см. в разделе:

Пропустите эти действия, если вы приобретаете предварительно настроенные устройства.

Активация датчиков OT и начальная настройка

Используйте мастер начальной настройки для подтверждения параметров сети, активации датчика и применения сертификатов SSH/TLS.

Дополнительные сведения см. в статье Настройка и активация датчика OT.

Настройка прокси-подключений

Если вы решили использовать прокси-сервер для подключения датчиков к облаку, настройте прокси-сервер и настройте параметры на датчике. Дополнительные сведения см. в статье Настройка параметров прокси-сервера на датчике OT.

Пропустите этот шаг в следующих ситуациях:

  • Для любого датчика OT, на котором вы подключаетесь напрямую к Azure, без прокси-сервера
  • Для любого датчика, который планируется использовать для локального управления и управления ими, либо непосредственно на консоли датчика, либо через локальный консоль управления.

Настройка дополнительных параметров

Рекомендуется настроить подключение Active Directory для управления локальными пользователями на датчике OT, а также настроить мониторинг работоспособности датчика с помощью SNMP.

Если вы не настроите эти параметры во время развертывания, вы также можете вернуть и настроить их позже.

Дополнительные сведения см. в разделе:

Калибровка и тонкая настройка мониторинга OT

На следующем рисунке показаны шаги, связанные с калибровкой и точной настройкой мониторинга OT с помощью недавно развернутого датчика. Действия по калибровке и тонкой настройке выполняются командой развертывания.

Схема этапа калибровки и точной настройки.

Управление мониторингом OT на датчике

По умолчанию датчик OT может не обнаруживать точные сети, которые вы хотите отслеживать, или определять их точно так, как вы хотите, чтобы они отображались. Используйте списки, созданные ранее , чтобы проверить и вручную настроить подсети, настроить имена портов и виртуальных ЛС, а также настроить диапазоны АДРЕСОВ DHCP при необходимости.

Дополнительные сведения см. в статье Управление трафиком OT, отслеживаемым Microsoft Defender для Интернета вещей.

Проверка и обновление обнаруженных данных инвентаризации устройств

После полного обнаружения устройств просмотрите данные инвентаризации устройств и при необходимости измените сведения об устройстве. Например, можно определить повторяющиеся записи устройств, которые можно объединить, типы устройств или другие свойства для изменения и многое другое.

Дополнительные сведения см. в статье Проверка и обновление инвентаризации обнаруженных устройств.

Сведения об оповещениях OT для создания базовых показателей сети

Оповещения, активированные датчиком OT, могут включать несколько оповещений, которые вы хотите регулярно игнорировать в качестве авторизованного трафика.

Просмотрите все оповещения в системе в качестве начального рассмотрения. На этом шаге создается базовый сетевой трафик для Defender для Интернета вещей, с которым вы будете работать.

Дополнительные сведения см. в статье Создание изученных базовых показателей оповещений OT.

Окончание базового обучения

Датчики OT будут оставаться в режиме обучения до тех пор, пока будет обнаружен новый трафик и вы не получили необработанных оповещений.

Схема этапа развертывания, на котором заканчивается базовое обучение.

После завершения базового обучения процесс развертывания мониторинга OT завершается, и вы продолжите работу в рабочем режиме для непрерывного мониторинга. В рабочем режиме любое действие, отличающееся от базовых данных, будет активировать оповещение.

Совет

Отключите режим обучения вручную, если вы считаете, что текущие оповещения в Defender для Интернета вещей точно отражают сетевой трафик, а режим обучения еще не закончился автоматически.

Подключение данных Defender для Интернета вещей к SIEM

После развертывания Defender для Интернета вещей отправляйте оповещения системы безопасности и управляйте инцидентами OT/IoT, интегрируя Defender для Интернета вещей с платформой управления информационной безопасностью и событиями безопасности (SIEM) и существующими рабочими процессами и инструментами SOC. Интеграция оповещений Defender для Интернета вещей с SIEM организации путем интеграции с Microsoft Sentinel и использования встроенного решения Microsoft Defender для Интернета вещей или путем создания правил пересылки в другие системы SIEM. Defender для Интернета вещей интегрируется с Microsoft Sentinel, а также широким спектром систем SIEM, таких как Splunk, IBM QRadar, LogRhythm, Fortinet и многое другое.

Дополнительные сведения см. в разделе:

После интеграции оповещений Defender для Интернета вещей с SIEM мы рекомендуем выполнить следующие действия для ввода в эксплуатацию оповещений OT/IoT и их полной интеграции с существующими рабочими процессами и инструментами SOC.

  • Определите и определите соответствующие угрозы безопасности Интернета вещей и OT и инциденты SOC, которые вы хотите отслеживать в соответствии с конкретными потребностями OT и средой.

  • Создайте правила обнаружения и уровни серьезности в SIEM. Будут активированы только соответствующие инциденты, что снижает ненужный шум. Например, можно определить изменения кода PLC, выполненные с несанкционированных устройств или в нерабочее время, как инцидент высокой серьезности из-за высокой точности этого конкретного оповещения.

    В Microsoft Sentinel решение Microsoft Defender для Интернета вещей включает набор готовых правил обнаружения, которые созданы специально для данных Defender для Интернета вещей и помогают точно настроить инциденты, созданные в Sentinel.

  • Определите соответствующий рабочий процесс для устранения рисков и создайте сборники схем автоматического исследования для каждого варианта использования. В Microsoft Sentinel решение Microsoft Defender для Интернета вещей включает встроенные сборники схем для автоматического ответа на оповещения Defender для Интернета вещей.

Дальнейшие действия

Теперь, когда вы понимаете шаги по развертыванию системы мониторинга OT, вы можете приступить к работе.

Планирование системы мониторинга OT с помощью Defender для Интернета вещей »