Konfigurera trafikspegling med en inkapslad fjärrkopplad portanalysator (ERSPAN)

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram of a progress bar with Network level deployment highlighted.

Den här artikeln innehåller vägledning på hög nivå för att konfigurera trafikspegling med ERSPAN. Specifik implementeringsinformation varierar beroende på din utrustningsleverantör.

Vi rekommenderar att du använder den mottagande routern som gre-tunnelmål (generic routing encapsulation).

Förutsättningar

Innan du börjar bör du se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.

Mer information finns i Trafikspeglingsmetoder för OT-övervakning.

Exempelkonfiguration på en Cisco-växel

Följande kod visar ett exempel ifconfig på utdata för ERSPAN som konfigurerats på en Cisco-växel:

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

Mer information finns i CLI-kommandoreferens från OT-nätverkssensorer.

Verifiera trafikspegling

När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.

En PCAP-exempelfil hjälper dig:

  • Verifiera växelkonfigurationen
  • Bekräfta att trafiken som går via växeln är relevant för övervakning
  • Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln

  1. Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.

  2. Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.

    Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.

  3. Kontrollera att dina OT-protokoll finns i den analyserade trafiken.

    Till exempel:

    Screenshot of Wireshark validation.

Konfigurera ERSPAN på din OT-nätverkssensor

När du har distribuerat sensorn måste du konfigurera ERSPAN-inställningarna på sidan Gränssnittskonfigurationer . Mer information finns i:

Till exempel:

Screenshot of how to configure ERSPAN settings in the OT sensor settings.

Nästa steg

« Registrera OT-sensorer till Defender för IoT

Etablera OT-sensorer för molnhantering »