OT sitesi dağıtımı hazırlama

Makale
03/31/2023

Bu makale, IoT için Microsoft Defender ile OT izleme için dağıtım yolunu açıklayan bir dizi makaleden biridir.

Ağınızı tam olarak izlemek için ağınızdaki tüm uç nokta cihazlarında görünürlüğe sahip olmanız gerekir. IoT için Microsoft Defender, ağ cihazlarınız arasında geçen trafiği IoT için Defender ağ algılayıcılarına yansıtır. OT ağ algılayıcıları daha sonra trafik verilerinizi analiz eder, uyarıları tetikler, öneriler oluşturur ve Azure'da IoT için Defender'a veri gönderir.

Bu makale, izlemek istediğiniz trafiğin gerektiği gibi yansıtılması için OT algılayıcılarını ağınıza nereye yerleştirebileceğinizi ve sitenizi algılayıcı dağıtımı için nasıl hazırlayabileceğinizi planlamanıza yardımcı olur.

Önkoşullar

Belirli bir site için OT izlemeyi planlamadan önce, genel OT izleme sisteminizi planladığınızdan emin olun.

Bu adım mimari ekipleriniz tarafından gerçekleştirilir.

IoT için Defender'ın izleme mimarisi hakkında bilgi edinin

Ağınızdaki bileşenler ve mimari ve IoT için Defender sistemi hakkında daha fazla bilgi edinmek için aşağıdaki makaleleri kullanın:

Ağ diyagramı oluşturma

Her kuruluşun ağı kendi karmaşıklık düzeyine sahip olacaktır. İzlemek istediğiniz trafiği tanımlayabilmeniz için ağınızdaki tüm cihazları kapsamlı bir şekilde listeleyen bir ağ haritası diyagramı oluşturun.

Ağ diyagramınızı oluştururken ağınızdaki farklı öğeleri ve bunların nasıl iletişim kurduğunu belirlemek ve not almak için aşağıdaki soruları kullanın.

Genel sorular

Genel izleme hedefleriniz nelerdir?
Yedekli ağlarınız var mı ve ağ haritanızda izlenmesi gerekmeyecek ve görmezden gelebileceğiniz alanlar var mı?
Ağınızın güvenlik ve operasyonel riskleri nerede?

Ağ soruları

İzlenen ağlarda hangi protokoller etkindir?
VLAN'lar ağ tasarımında yapılandırıldı mı?
İzlenen ağlarda yönlendirme var mı?
Ağda herhangi bir seri iletişim var mı?
İzlemek istediğiniz ağlarda güvenlik duvarları nerede yüklü?
Endüstriyel denetim (ICS) ağı ile kurumsal, iş ağı arasında trafik var mı? Öyleyse, bu trafik izleniyor mu?
Anahtarlarınızla kurumsal güvenlik duvarı arasındaki fiziksel uzaklık nedir?
OT sistem bakımı sabit veya geçici cihazlarla mı yapılıyor?

Soru değiştirme

Başka bir şekilde yönetilmeyen bir anahtar varsa, trafiği daha üst düzey bir anahtardan izleyebilir misiniz? Örneğin, OT mimariniz halka topolojisi kullanıyorsa kademedeki yalnızca bir anahtarın izlenmesi gerekir.
Yönetilmeyen anahtarlar yönetilen anahtarlarla değiştirilebilir mi yoksa ağ TAP'larının kullanılması bir seçenek mi?
Anahtarın VLAN'ını izleyebilir misiniz yoksa VLAN izleyebileceğiniz başka bir anahtarda mı görünür?
Bir ağ algılayıcısını anahtara bağlarsanız HMI ile PLC'ler arasındaki iletişimi yansıtacak mı?
Anahtara bir ağ algılayıcısı bağlamak istiyorsanız anahtarın dolabında fiziksel raf alanı var mı?
Her anahtarı izlemenin maliyeti/avantajı nedir?

İzlemek istediğiniz cihazları ve alt ağları tanımlama

IoT için Defender ağ algılayıcılarını izlemek ve yansıtmak istediğiniz trafik, güvenlik veya operasyonel açıdan sizin için en ilgi çekici olan trafiktir.

İzleme için en uygun trafiği nerede bulabileceğinizi tanımlamak için OT ağ diyagramınızı site mühendislerinizle birlikte gözden geçirin. Beklentileri netleştirmek için hem ağ hem de operasyonel ekiplerle görüşmenizi öneririz.

Ekibinizle birlikte, aşağıdaki ayrıntılarla izlemek istediğiniz cihazların bir tablosunu oluşturun:

Belirtim	Description
Satıcı	Cihazın üretim satıcısı
Cihaz adı	Devam eden kullanım ve başvuru için anlamlı bir ad
Tür	Cihaz türü, örneğin: Anahtar, Yönlendirici, Güvenlik Duvarı, Erişim Noktası vb.
Ağ katmanı	İzlemek istediğiniz cihazlar L2 veya L3 cihazlarıdır: - L2 cihazları IP segmenti içindeki cihazlardır - L3 cihazları IP segmentinin dışındaki cihazlardır Her iki katmanı da destekleyen cihazlar L3 cihazları olarak kabul edilebilir.
VLAN'ları geçme	Cihazdan geçen tüm VLAN'ların kimlikleri. Örneğin, ilişkili bir bağlantı noktasından geçip geçmediğini görmek için her VLAN'da yayılan ağaç işlem modunu denetleyerek bu VLAN kimliklerini doğrulayın.
Ağ geçidi	Cihazın varsayılan ağ geçidi olarak davrandığı VLAN'lar.
Ağ ayrıntıları	Cihazın IP adresi, alt ağı, D-GW ve DNS ana bilgisayarı
Protokoller	Cihazda kullanılan protokoller. Protokollerinizi IoT için Defender'ın kullanıma hazır olarak desteklenen protokoller listesiyle karşılaştırın.
Desteklenen trafik yansıtma	Span, RSPAN, ERSPAN veya TAP gibi her cihaz tarafından hangi tür trafik yansıtmasının desteklendiği tanımlayın. OT algılayıcılarınız için trafik yansıtma yöntemlerini seçmek için bu bilgileri kullanın.
İş ortağı hizmetleri tarafından mı yönetiliyor?	Cihazı Siemens, Rockwell veya Emerson gibi bir iş ortağı hizmetinin yönetip yönetmediğini açıklayın. İlgiliyse yönetim ilkesini açıklayın.
Seri bağlantılar	Cihaz bir seri bağlantı üzerinden iletişim kurarsa, seri iletişim protokolunu belirtin.

Çok sensörlü dağıtım planlama

Birden çok ağ algılayıcısı dağıtmayı planlıyorsanız algılayıcılarınızı nereye yerleştireceğinize karar verirken aşağıdaki önerileri de göz önünde bulundurun:

Fiziksel olarak bağlı anahtarlar: Ethernet kablosuyla fiziksel olarak bağlanan anahtarlar için anahtarlar arasındaki her 80 metre mesafe için en az bir sensör planladığından emin olun.
Fiziksel bağlantısı olmayan birden çok ağ: Aralarında fiziksel bağlantı olmayan birden çok ağınız varsa, her bir ağ için en az bir algılayıcı planlayın
RSPAN desteğine sahip anahtarlar: RSPAN trafik yansıtmayı kullanabilen anahtarlarınız varsa, her sekiz anahtar için yerel bir SPAN bağlantı noktasıyla en az bir algılayıcı planlayın. Algılayıcıyı kabloyla bağlayabilmeniz için anahtarlara yeterince yakın yerleştirmeyi planlayın.

Alt ağların listesini oluşturma

Ağınızın tamamında izlemek istediğiniz cihazların listesine bağlı olarak, izlemek istediğiniz alt ağların toplu bir listesini oluşturun.

Algılayıcılarınızı dağıttığınızda, listelenen alt ağların otomatik olarak algılandığını doğrulamak ve gerektiğinde listeyi el ile güncelleştirmek için bu listeyi kullanacaksınız.

Planlanan OT algılayıcılarınızı listeleme

IoT için Defender'a yansıtmak istediğiniz trafiği anladıktan sonra, eklediğiniz tüm OT algılayıcılarının tam listesini oluşturun.

Her algılayıcı için şunları listeleyin:

Algılayıcının buluta bağlı mı yoksa yerel olarak yönetilen bir algılayıcı mı olacağı
Buluta bağlı algılayıcılar için, kullanmakta olduğunuz bulut bağlantısı yöntemi .
Hizmet kalitesi (QoS) için ihtiyacınız olan bant genişliğini göz önünde bulundurarak algılayıcılarınız için fiziksel veya sanal gereçler kullanmanız fark eder. Daha fazla bilgi için bkz . Hangi gereçlere ihtiyacım var?
Her algılayıcıya atayacağın site ve bölge .

Aynı site veya bölgedeki algılayıcılardan alınan veriler, sisteminizdeki diğer verilerden ayrılmış olarak birlikte görüntülenebilir. Aynı sitede veya bölgede birlikte gruplandırılmış olarak görüntülemek istediğiniz algılayıcı verileri varsa, algılayıcı sitelerini ve bölgelerini uygun şekilde atadığınızdan emin olun.
Her algılayıcı için kullanacağınız trafik yansıtma yöntemi

Ağınız zamanla genişledikçe daha fazla algılayıcı ekleyebilir veya mevcut algılayıcı tanımlarınızı değiştirebilirsiniz.

Önemli

Ip ve MAC adresleri gibi her algılayıcının algılamasını beklediğiniz cihazların özelliklerini denetlemenizi öneririz. Aynı bölgede algılanan ve aynı mantıksal cihaz özellikleri kümesine sahip cihazlar otomatik olarak birleştirilir ve aynı cihaz olarak tanımlanır.

Örneğin, birden çok ağ ve yinelenen IP adresleriyle çalışıyorsanız, cihazların ayrı ve benzersiz cihazlar olarak doğru şekilde tanımlanması için her algılayıcınızı farklı bir bölgeyle planladığınızdan emin olun.

Daha fazla bilgi için bkz. Yinelenen IP aralıkları için bölgeleri ayırma.

Şirket içi gereçleri hazırlama

Sanal gereçler kullanıyorsanız ilgili kaynakların yapılandırıldığından emin olun. Daha fazla bilgi için bkz. Sanal gereçlerle OT izleme.
Fiziksel gereçler kullanıyorsanız gerekli donanıma sahip olduğunuzdan emin olun. Önceden yapılandırılmış gereçler satın alabilir veya kendi gereçlerinize yazılım yüklemeyi planlayabilirsiniz.

Önceden yapılandırılmış gereçleri satın almak için:
1. Azure portal IoT için Defender'a gidin.
2. Başlarken>Algılayıcı>Önceden yapılandırılmış alet> satın alİletişim'i seçin.
Bağlantı, IoT için Defender gereçleri hardware.sales@arrow.comiçin şablon isteği içeren bir e-posta açar.

Daha fazla bilgi için bkz . Hangi gereçlere ihtiyacım var?

Yardımcı donanım hazırlama

Fiziksel gereç kullanıyorsanız, her fiziksel alet için aşağıdaki ek donanıma sahip olduğunuzdan emin olun:

Monitör ve klavye
Raf alanı
AC gücü
Aletin yönetim bağlantı noktasını ağ anahtarına bağlamak için bir LAN kablosu
Yansıtma (SPAN) bağlantı noktalarını ve ağ terminali erişim noktalarını (TAP) aletinize bağlamak için LAN kabloları

Alet ağ ayrıntılarını hazırlama

Aletleriniz hazır olduğunda, her alet için aşağıdaki ayrıntıların listesini yapın:

IP Adresi
Alt ağ
Varsayılan ağ geçidi
Konak adı
DNS sunucusu IP adresi ve ana bilgisayar adı ile DNS sunucusu (isteğe bağlı)

Dağıtım iş istasyonu hazırlama

IoT için Defender dağıtım etkinliklerini çalıştırabileceğiniz bir iş istasyonu hazırlayın. İş istasyonu, aşağıdaki gereksinimlere sahip bir Windows veya Mac makinesi olabilir:

PuTTY gibi terminal yazılımı
Algılayıcı konsollarına ve Azure portal bağlanmak için desteklenen bir tarayıcı. Daha fazla bilgi için bkz. Azure portal için önerilen tarayıcılar.
Gerekli arabirimler için erişim açık olarak yapılandırılmış gerekli güvenlik duvarı kuralları. Daha fazla bilgi için bkz . Ağ gereksinimleri.

CA imzalı sertifikaları hazırlama

Üretim dağıtımlarında CA imzalı sertifikaları kullanmanızı öneririz.

Şirket içi kaynaklar için SSL/TLS sertifika gereksinimlerini anladığınızdan emin olun. İlk dağıtım sırasında CA imzalı bir sertifika dağıtmak istiyorsanız, sertifikanın hazır olduğundan emin olun.

Yerleşik, otomatik olarak imzalanan sertifikayla dağıtmaya karar verirseniz, daha sonra üretim ortamlarında CA imzalı bir sertifika dağıtmanızı öneririz.

Daha fazla bilgi için bkz.

Sonraki adımlar

« OT izleme sisteminizi planlama

IoT için Defender'a OT algılayıcıları ekleme »

Aracılığıyla paylaş