Förbereda OT-nätverket för Microsoft Defender for IoT

Den här artikeln beskriver hur du konfigurerar ot-nätverket så att det fungerar med Microsoft Defender för IoT-komponenter, inklusive OT-nätverkssensorer, Azure-Portal och en valfri lokal hanteringskonsol.

OT-nätverkssensorer använder agentlös, patenterad teknik för att upptäcka, lära sig och kontinuerligt övervaka nätverksenheter för en djup insyn i OT/ICS/IoT-risker. Sensorer utför datainsamling, analys och aviseringar på plats, vilket gör dem idealiska för platser med låg bandbredd eller hög svarstid.

Den här artikeln är avsedd för personal med erfarenhet av att driva och hantera OT- och IoT-nätverk, till exempel automationsingenjörer, anläggningschefer, OT-leverantörer av nätverksinfrastrukturtjänster, cybersäkerhetsteam, CISO:er och CID:er.

Vi rekommenderar att du använder den här artikeln tillsammans med vår checklista för fördistribution.

Kontakta pomoc techniczna firmy Microsoft om du behöver hjälp eller support.

Krav

Innan du utför procedurerna i den här artikeln ska du se till att du förstår din egen nätverksarkitektur och hur du ansluter till Defender för IoT. Mer information finns i:

Distributionsuppgifter på plats

Utför stegen i det här avsnittet innan du distribuerar Defender för IoT i nätverket.

Se till att utföra varje steg metodiskt, begära informationen och granska de data du får. Förbered och konfigurera webbplatsen och verifiera sedan konfigurationen.

Samla in webbplatsinformation

Registrera följande webbplatsinformation:

  • Nätverksinformation för sensorhantering.

  • Platsnätverksarkitektur.

  • Fysisk miljö.

  • Systemintegreringar.

  • Autentiseringsuppgifter för planerad användare.

  • Konfigurationsarbetsstation.

  • TLS/SSL-certifikat (valfritt men rekommenderas).

  • SMTP-autentisering (valfritt). Om du vill använda SMTP-servern med autentisering förbereder du de autentiseringsuppgifter som krävs för servern.

  • DNS-servrar (valfritt). Förbered DNS-serverns IP-adress och värdnamn.

Förbereda en konfigurationsarbetsstation

Så här förbereder du en Windows- eller Mac-arbetsstation:

  • Se till att du kan ansluta till sensorhanteringsgränssnittet.

  • Kontrollera att du har terminalprogramvara (t.ex. PuTTY) eller en webbläsare som stöds. Webbläsare som stöds är de senaste versionerna av Microsoft Edge, Chrome, Firefox eller Safari (endast Mac).

    Mer information finns i rekommenderade webbläsare för Azure-Portal.

  • Kontrollera att de brandväggsregler som krävs är öppna på arbetsstationen. Kontrollera att organisationens säkerhetsprincip tillåter åtkomst efter behov. Mer information finns i Nätverkskrav.

Konfigurera certifikat

När du har installerat Defender for IoT-sensorn eller den lokala hanteringskonsolprogramvaran genereras ett lokalt självsignerat certifikat och används för att komma åt sensorwebbprogrammet.

Första gången de loggar in på Defender för IoT uppmanas administratörsanvändare att ange ett SSL/TLS-certifikat. Valfritt certifikatvalidering är aktiverat som standard.

Vi rekommenderar att du har dina certifikat redo innan du påbörjar distributionen. Mer information finns i Defender för IoT-installation och Om certifikat.

Planera rackinstallation

Så här planerar du rackinstallationen:

  1. Förbered en bildskärm och ett tangentbord för nätverksinställningarna för enheten.

  2. Allokera rackutrymmet för installationen.

  3. Ha ac-ström tillgänglig för apparaten.

  4. Förbered LAN-kabeln för att ansluta hanteringen till nätverksswitchen.

  5. Förbered LAN-kablarna för anslutning av SPAN-portar (spegling) och nätverkstryckningar till Defender for IoT-installationen.

  6. Konfigurera, ansluta och verifiera SPAN-portar i de speglade växlarna med någon av följande metoder:

    Metod Beskrivning
    Växla SPAN-port Spegla lokal trafik från gränssnitt på växeln till ett annat gränssnitt på samma växel.
    Remote SPAN (RSPAN) Spegla trafik från flera distribuerade källportar till ett dedikerat fjärranslutet VLAN.
    Aktiv eller passiv aggregering (TAP) Spegla trafiken genom att installera en aktiv eller passiv aggregeringsterminalåtkomstpunkt (TAP) som är infogad i nätverkskabeln.
    ERSPAN Spegla trafik med ERSPAN-inkapsling när du behöver utöka övervakad trafik över Layer 3-domäner när du använder specifika Cisco-routrar och växlar.
    ESXi vSwitch Använd Promiskuöst läge i en virtuell växelmiljö som en lösning för att konfigurera en övervakningsport.
    Hyper-V vSwitch Använd Promiskuöst läge i en virtuell växelmiljö som en lösning för att konfigurera en övervakningsport.

    Anteckning

    SPAN och RSPAN är Cisco-terminologi. Andra märken av switchar har liknande funktioner men kan använda annan terminologi.

  7. Anslut den konfigurerade SPAN-porten till en dator som kör Wireshark och kontrollera att porten är korrekt konfigurerad.

  8. Öppna alla relevanta brandväggsportar.

Verifiera nätverket

När du har förberett nätverket använder du vägledningen i det här avsnittet för att kontrollera om du är redo att distribuera Defender för IoT.

Gör ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växeln SPAN eller speglingsporten. Det här exemplet kommer att:

  • Kontrollera om växeln är korrekt konfigurerad.

  • Kontrollera om trafiken som går via växeln är relevant för övervakning (OT-trafik).

  • Identifiera bandbredd och det uppskattade antalet enheter i den här växeln.

Du kan till exempel spela in en PCAP-exempelfil i några minuter genom att ansluta en bärbar dator till en redan konfigurerad SPAN-port via Wireshark-programmet.

Så här använder du Wireshark för att verifiera nätverket:

  • Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast är från en adress till en annan. Om det mesta av trafiken är ARP-meddelanden är växelkonfigurationen felaktig.

  • Gå tillStatistikprotokollhierarki>. Kontrollera att industriella OT-protokoll finns.

Exempel:

Skärmbild av Wireshark-validering.

Nätverkskrav

Använd följande tabeller för att se till att nödvändiga brandväggar är öppna på din arbetsstation och kontrollera att organisationens säkerhetsprincip tillåter nödvändig åtkomst.

Användaråtkomst till sensorn och hanteringskonsolen

Protokoll Transport In/ut Port Använt Syfte Källa Mål
SSH TCP In/ut 22 CLI Så här kommer du åt CLI Client Sensor- och lokal hanteringskonsol
HTTPS TCP In/ut 443 För att få åtkomst till sensorn och den lokala hanteringskonsolens webbkonsol Åtkomst till webbkonsolen Client Sensor- och lokal hanteringskonsol

Sensoråtkomst till Azure-Portal

Protokoll Transport In/ut Port Syfte Källa Mål
HTTPS TCP Ut 443 Åtkomst till Azure Sensor OT-nätverkssensorer ansluter till Azure för att tillhandahålla aviserings- och enhetsdata och sensorhälsomeddelanden, komma åt hotinformationspaket med mera. Anslutna Azure-tjänster omfattar IoT Hub, Blob Storage, Event Hubs och Microsoft Download Center.

För OT-sensorversioner 22.x: Ladda ned listan från sidan Platser och sensorer i Azure-Portal. Välj en OT-sensor med programvaruversion 22.x eller senare, eller en plats med en eller flera sensorversioner som stöds. Välj sedan Fler alternativ > Ladda ned slutpunktsinformation. Mer information finns i Sensorhanteringsalternativ från Azure-Portal.

För OT-sensorversioner 10.x: *.azure-devices.net
*.blob.core.windows.net
*.servicebus.windows.net
download.microsoft.com

Sensoråtkomst till den lokala hanteringskonsolen

Protokoll Transport In/ut Port Använt Syfte Källa Mål
NTP UDP In/ut 123 Tidssynkronisering Ansluter NTP till den lokala hanteringskonsolen Sensor Lokal hanteringskonsol
TLS/SSL TCP In/ut 443 Ge sensorn åtkomst till den lokala hanteringskonsolen. Anslutningen mellan sensorn och den lokala hanteringskonsolen Sensor Lokal hanteringskonsol

Andra brandväggsregler för externa tjänster (valfritt)

Öppna dessa portar för att tillåta extra tjänster för Defender för IoT.

Protokoll Transport In/ut Port Använt Syfte Källa Mål
SMTP TCP Ut 25 E-post Används för att öppna kundens e-postserver för att skicka e-post för aviseringar och händelser Sensor- och lokal hanteringskonsol Email server
DNS TCP/UDP In/ut 53 DNS DNS-serverporten Lokal hanteringskonsol och sensor DNS-server
HTTP TCP Ut 80 CRL-nedladdningen för certifikatverifiering vid uppladdning av certifikat. Åtkomst till CRL-servern Sensor- och lokal hanteringskonsol CRL-server
WMI TCP/UDP Ut 135, 1025-65535 Övervakning Windows-slutpunktsövervakning Sensor Relevant nätverkselement
SNMP UDP Ut 161 Övervakning Övervakar sensorns hälsa Lokal hanteringskonsol och sensor SNMP-server
LDAP TCP In/ut 389 Active Directory Tillåter Active Directory-hantering av användare som har åtkomst, för att logga in på systemet Lokal hanteringskonsol och sensor LDAP-server
Proxy TCP/UDP In/ut 443 Proxy Ansluta sensorn till en proxyserver Lokal hanteringskonsol och sensor Proxyserver
Syslog UDP Ut 514 LEEF Loggarna som skickas från den lokala hanteringskonsolen till Syslog-servern Lokal hanteringskonsol och sensor Syslog-server
LDAPS TCP In/ut 636 Active Directory Tillåter Active Directory-hantering av användare som har åtkomst, för att logga in på systemet Lokal hanteringskonsol och sensor LDAPS-server
Tunneltrafik TCP I 9000

Förutom port 443

Tillåter åtkomst från sensorn, eller slutanvändaren, till den lokala hanteringskonsolen

port 22 från sensorn till den lokala hanteringskonsolen
Övervakning Tunneltrafik Slutpunkt, sensor Lokal hanteringskonsol

Välj en molnanslutningsmetod

Om du konfigurerar OT-sensorer och ansluter dem till molnet kan du förstå molnanslutningsmetoder som stöds och se till att ansluta dina sensorer efter behov.

Mer information finns i:

Felsökning

Det här avsnittet innehåller felsökning för vanliga problem när du förbereder nätverket för en Defender for IoT-distribution.

Det går inte att ansluta med hjälp av ett webbgränssnitt

  1. Kontrollera att datorn som du försöker ansluta är i samma nätverk som enheten.

  2. Kontrollera att GUI-nätverket är anslutet till hanteringsporten på sensorn.

  3. Pinga enhetens IP-adress. Om det inte finns något svar på ping:

    1. Anslut en bildskärm och ett tangentbord till apparaten.

    2. Använd supportanvändaren och lösenordet för att logga in.

    3. Använd kommandonätverkslistan för att se den aktuella IP-adressen.

  4. Om nätverksparametrarna är felkonfigurerade använder du följande procedur för att ändra den:

    1. Använd redigeringsinställningarna för kommandonätverket.

    2. Om du vill ändra hanteringsnätverkets IP-adress väljer du Y.

    3. Om du vill ändra nätmasken väljer du Y.

    4. Om du vill ändra DNS väljer du Y.

    5. Om du vill ändra standard-GATEWAY-IP-adressen väljer du Y.

    6. För ändring av indatagränssnittet (endast för sensor) väljer du Y.

    7. För bridge-gränssnittet väljer du N.

    8. Om du vill tillämpa inställningarna väljer du Y.

  5. När du har startat om ansluter du med användarstöd och använder kommandot för nätverkslistan för att kontrollera att parametrarna har ändrats.

  6. Försök att pinga och ansluta från användargränssnittet igen.

Installationen svarar inte

  1. Anslut med en bildskärm och ett tangentbord till enheten, eller använd PuTTY för att fjärransluta till CLI.

  2. Använd autentiseringsuppgifterna för support för att logga in.

  3. Använd kommandot system sanity och kontrollera att alla processer körs.

    Skärmbild av kommandot system sanity.

Om du har andra problem kontaktar du pomoc techniczna firmy Microsoft.

Nästa steg

Mer information finns i: