Dela via


Förbereda en distribution av ot-plats

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram över ett förloppsfält med Plan and prepare markerat.

För att fullständigt övervaka nätverket behöver du synlighet på alla slutpunktsenheter i nätverket. Microsoft Defender för IoT speglar trafiken som rör sig genom nätverksenheterna till Defender för IoT-nätverkssensorer. OT-nätverkssensorer analyserar sedan dina trafikdata, utlöser aviseringar, genererar rekommendationer och skickar data till Defender för IoT i Azure.

Den här artikeln hjälper dig att planera var OT-sensorer ska placeras i nätverket så att trafiken som du vill övervaka speglas efter behov och hur du förbereder din plats för sensordistribution.

Förutsättningar

Innan du planerar OT-övervakning för en specifik plats kontrollerar du att du har planerat ditt övergripande OT-övervakningssystem.

Det här steget utförs av dina arkitekturteam.

Lär dig mer om övervakningsarkitekturen i Defender för IoT

Använd följande artiklar för att förstå mer om komponenterna och arkitekturen i nätverket och Defender för IoT-systemet:

Skapa ett nätverksdiagram

Varje organisations nätverk kommer att ha sin egen komplexitet. Skapa ett diagram över nätverkskartor som noggrant visar alla enheter i nätverket så att du kan identifiera den trafik som du vill övervaka.

När du skapar nätverksdiagrammet använder du följande frågor för att identifiera och göra anteckningar om de olika elementen i nätverket och hur de kommunicerar.

Allmänna frågor

  • Vilka är dina övergripande övervakningsmål?

  • Har du några redundanta nätverk och finns det områden i nätverkskartan som inte behöver övervakning och som du kan bortse från?

  • Var finns nätverkets säkerhets- och driftrisker?

Nätverksfrågor

  • Vilka protokoll är aktiva i övervakade nätverk?

  • Är VLAN konfigurerade i nätverksdesignen?

  • Finns det någon routning i de övervakade nätverken?

  • Finns det någon seriell kommunikation i nätverket?

  • Var finns brandväggar installerade i de nätverk som du vill övervaka?

  • Finns det trafik mellan ett ICS-nätverk (industrial control) och ett företagsnätverk? I så fall, övervakas den här trafiken?

  • Vad är det fysiska avståndet mellan dina växlar och företagsbrandväggen?

  • Utförs OT-systemunderhåll med fasta eller tillfälliga enheter?

Växla frågor

  • Kan du övervaka trafiken från en växel på högre nivå om en växel annars är ohanterad? Om ot-arkitekturen till exempel använder en ringtopologi behöver bara en växel i ringen övervakas.

  • Kan ohanterade växlar ersättas med hanterade växlar eller är användningen av nätverks-TAP:er ett alternativ?

  • Kan du övervaka växelns VLAN eller är VLAN synligt i en annan växel som du kan övervaka?

  • Om du ansluter en nätverkssensor till växeln, kommer den att spegla kommunikationen mellan HMI och PLCs?

  • Om du vill ansluta en nätverkssensor till växeln, finns det fysiskt rackutrymme i växelns skåp?

  • Vad är kostnaden/fördelen med att övervaka varje växel?

Identifiera de enheter och undernät som du vill övervaka

Den trafik som du vill övervaka och spegla till Defender för IoT-nätverkssensorer är den trafik som är mest intressant för dig ur ett säkerhets- eller driftsperspektiv.

Granska ditt OT-nätverksdiagram tillsammans med dina platstekniker för att definiera var du hittar den mest relevanta trafiken för övervakning. Vi rekommenderar att du träffar både nätverks- och driftteam för att klargöra förväntningarna.

Tillsammans med ditt team skapar du en tabell med enheter som du vill övervaka med följande information:

Specifikation Description
Leverantör Enhetens tillverkningsleverantör
Enhetsnamn Ett beskrivande namn för löpande användning och referens
Typ Enhetstypen, till exempel: Switch, Router, Firewall, Access Point och så vidare
Nätverksnivå De enheter som du vill övervaka är antingen L2- eller L3-enheter:
- L2-enheter är enheter inom IP-segmentet
- L3-enheter är enheter utanför IP-segmentet

Enheter som stöder båda lagren kan betraktas som L3-enheter.
Korsa VLAN ID:n för alla virtuella lokala nätverk som korsar enheten. Kontrollera till exempel dessa VLAN-ID:ar genom att kontrollera läget för att spänna över trädåtgärder på varje VLAN för att se om de korsar en associerad port.
Gateway för De VLAN som enheten fungerar som standardgateway för.
Nätverksinformation Enhetens IP-adress, undernät, D-GW och DNS-värd
Protokoll Protokoll som används på enheten. Jämför dina protokoll med Defender för IoT:s lista över protokoll som stöds direkt.
Trafikspegling som stöds Definiera vilken typ av trafikspegling som stöds av varje enhet, till exempel SPAN, RSPAN, ERSPAN eller TAP.

Använd den här informationen om du vill välja trafikspeglingsmetoder för dina OT-sensorer.
Hanteras av partnertjänster? Beskriv om en partnertjänst, till exempel Siemens, Rockwell eller Emerson, hanterar enheten. Om det är relevant beskriver du hanteringsprincipen.
Serieanslutningar Om enheten kommunicerar via en seriell anslutning anger du protokollet för seriekommunikation.

Planera en distribution med flera sensorer

Om du planerar att distribuera flera nätverkssensorer bör du också överväga följande rekommendationer när du bestämmer var sensorerna ska placeras:

  • Fysiskt anslutna växlar: För växlar som är fysiskt anslutna via Ethernet-kabel ska du planera minst en sensor för varje 80 meters avstånd mellan växlar.

  • Flera nätverk utan fysisk anslutning: Om du har flera nätverk utan någon fysisk anslutning mellan dem ska du planera för minst en sensor för varje enskilt nätverk

  • Växlar med RSPAN-stöd: Om du har växlar som kan använda RSPAN-trafikspegling ska du planera minst en sensor för var åttonde brytare med en lokal SPAN-port. Planera att placera sensorn tillräckligt nära strömbrytarna så att du kan ansluta dem via kabel.

Skapa en lista över undernät

Skapa en aggregerad lista över undernät som du vill övervaka, baserat på listan över enheter som du vill övervaka i hela nätverket.

När du har distribuerat dina sensorer använder du den här listan för att kontrollera att de angivna undernäten identifieras automatiskt och uppdatera listan manuellt efter behov.

Visa en lista över dina planerade OT-sensorer

När du har förstått trafiken som du vill spegla till Defender för IoT skapar du en fullständig lista över alla OT-sensorer som du kommer att registrera.

För varje sensor, lista:

  • Om sensorn ska vara en molnansluten eller lokalt hanterad sensor

  • För molnanslutna sensorer, den molnanslutningsmetod som du ska använda.

  • Oavsett om du kommer att använda fysiska eller virtuella apparater för dina sensorer, med tanke på den bandbredd som du behöver för tjänstkvalitet (QoS). Mer information finns i Vilka enheter behöver jag?

  • Platsen och zonen som du kommer att tilldela till varje sensor.

    Data som matas in från sensorer på samma plats eller zon kan visas tillsammans, segmenterade från andra data i systemet. Om det finns sensordata som du vill visa grupperade på samma plats eller zon måste du tilldela sensorplatser och zoner i enlighet med detta.

  • Den trafikspeglingsmetod som du använder för varje sensor

När nätverket expanderar i tid kan du registrera fler sensorer eller ändra dina befintliga sensordefinitioner.

Viktigt

Vi rekommenderar att du kontrollerar egenskaperna för de enheter som du förväntar dig att varje sensor ska identifiera, till exempel IP- och MAC-adresser. Enheter som identifieras i samma zon med samma logiska uppsättning enhetsegenskaper konsolideras automatiskt och identifieras som samma enhet.

Om du till exempel arbetar med flera nätverk och återkommande IP-adresser ska du se till att du planerar varje sensor med en annan zon så att enheterna identifieras korrekt som separata och unika enheter.

Mer information finns i Separera zoner för återkommande IP-intervall.

Förbereda lokala installationer

  • Om du använder virtuella installationer kontrollerar du att du har konfigurerat relevanta resurser. Mer information finns i OT-övervakning med virtuella installationer.

  • Om du använder fysiska installationer kontrollerar du att du har nödvändig maskinvara. Du kan köpa förkonfigurerade apparater eller planera att installera programvara på dina egna apparater.

    Så här köper du förkonfigurerade apparater:

    1. Gå till Defender för IoT i Azure Portal.
    2. Välj Komma igång>Sensor>Köp förkonfigurerad apparat>Kontakt.

    Länken öppnar ett e-postmeddelande till hardware.sales@arrow.commed en mallbegäran för Defender för IoT-enheter.

Mer information finns i Vilka apparater behöver jag?

Förbereda tillhörande maskinvara

Om du använder fysiska installationer kontrollerar du att följande extra maskinvara är tillgänglig för varje fysisk installation:

  • En bildskärm och ett tangentbord
  • Rackutrymme
  • Växelström
  • En LAN-kabel för att ansluta enhetens hanteringsport till nätverksswitchen
  • LAN-kablar för anslutning av speglingsportar (SPAN) och åtkomstpunkter för nätverksterminaler (TAP) till din installation

Förbereda nätverksinformation för installationen

När du har dina apparater redo skapar du en lista över följande information för varje installation:

  • IP-adress
  • Undernät
  • Standard gateway
  • Värdnamn
  • DNS-server (valfritt) med DNS-serverns IP-adress och värdnamn

Förbereda en distributionsarbetsstation

Förbered en arbetsstation där du kan köra Defender for IoT-distributionsaktiviteter. Arbetsstationen kan vara en Windows- eller Mac-dator med följande krav:

  • Terminalprogramvara, till exempel PuTTY

  • En webbläsare som stöds för att ansluta till sensorkonsoler och Azure Portal. Mer information finns i rekommenderade webbläsare för Azure Portal.

  • Nödvändiga brandväggsregler har konfigurerats, med åtkomst öppen för nödvändiga gränssnitt. Mer information finns i Nätverkskrav.

Förbereda CA-signerade certifikat

Vi rekommenderar att du använder CA-signerade certifikat i produktionsdistributioner.

Se till att du förstår kraven för SSL/TLS-certifikat för lokala resurser. Om du vill distribuera ett CA-signerat certifikat under den första distributionen ser du till att ha certifikatet förberett.

Om du bestämmer dig för att distribuera med det inbyggda, självsignerade certifikatet rekommenderar vi att du distribuerar ett CA-signerat certifikat i produktionsmiljöer senare.

Mer information finns i:

Nästa steg