Konfigurera trafikspegling med en inkapslad fjärrkopplad portanalysator (ERSPAN)
Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.
Den här artikeln innehåller vägledning på hög nivå för att konfigurera trafikspegling med ERSPAN. Specifik implementeringsinformation varierar beroende på din utrustningsleverantör.
Vi rekommenderar att du använder den mottagande routern som gre-tunnelmål (generic routing encapsulation).
Förutsättningar
Innan du börjar bör du se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.
Mer information finns i Trafikspeglingsmetoder för OT-övervakning.
Exempelkonfiguration på en Cisco-växel
Följande kod visar ett exempel ifconfig
på utdata för ERSPAN som konfigurerats på en Cisco-växel:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Mer information finns i CLI-kommandoreferens från OT-nätverkssensorer.
Verifiera trafikspegling
När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.
En PCAP-exempelfil hjälper dig:
- Verifiera växelkonfigurationen
- Bekräfta att trafiken som går via växeln är relevant för övervakning
- Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln
Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.
Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.
Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.
Kontrollera att dina OT-protokoll finns i den analyserade trafiken.
Till exempel:
Konfigurera ERSPAN på din OT-nätverkssensor
När du har distribuerat sensorn måste du konfigurera ERSPAN-inställningarna på sidan Gränssnittskonfigurationer . Mer information finns i:
- I distributionsguidens GUI: Definiera de gränssnitt som du vill övervaka
- I inställningarna för OT-sensorsystemet: Uppdatera en sensors övervakningsgränssnitt (konfigurera ERSPAN)
Till exempel: