OT sitesi dağıtımı hazırlama
Bu makale, IoT için Microsoft Defender ile OT izleme için dağıtım yolunu açıklayan bir dizi makaleden biridir.
Ağınızı tam olarak izlemek için ağınızdaki tüm uç nokta cihazlarında görünürlüğe sahip olmanız gerekir. IoT için Microsoft Defender, ağ cihazlarınız üzerinden IoT için Defender ağ algılayıcılarına taşınan trafiği yansıtır. OT ağ algılayıcıları daha sonra trafik verilerinizi analiz eder, uyarıları tetikler, öneriler oluşturur ve Azure'da IoT için Defender'a veri gönderir.
Bu makale, izlemek istediğiniz trafiğin gerektiği gibi yansıtılması için ot algılayıcılarını ağınıza nereye yerleştirebileceğinizi ve sitenizi algılayıcı dağıtımına nasıl hazırlayabileceğinizi planlamanıza yardımcı olur.
Önkoşullar
Belirli bir site için OT izlemesini planlamadan önce, genel OT izleme sisteminizi planladığınızdan emin olun.
Bu adım mimari ekipleriniz tarafından gerçekleştirilir.
IoT için Defender'ın izleme mimarisi hakkında bilgi edinin
Ağınızdaki bileşenler ve mimari ve IoT için Defender sistemi hakkında daha fazla bilgi edinmek için aşağıdaki makaleleri kullanın:
Ağ diyagramı oluşturma
Her kuruluşun ağında kendi karmaşıklığı olacaktır. İzlemek istediğiniz trafiği tanımlayabilmeniz için ağınızdaki tüm cihazları kapsamlı bir şekilde listeleyen bir ağ haritası diyagramı oluşturun.
Ağ diyagramınızı oluştururken, ağınızdaki farklı öğeleri ve bunların nasıl iletişim kurduğunu belirlemek ve not almak için aşağıdaki soruları kullanın.
Genel sorular
Genel izleme hedefleriniz nelerdir?
Yedekli ağlarınız var mı ve ağ haritanızda izleme gerektirmeyen ve görmezden gelebileceğiniz alanlar var mı?
Ağınızın güvenlik ve operasyonel riskleri nerede?
Ağ soruları
İzlenen ağlarda hangi protokoller etkindir?
VLAN'lar ağ tasarımında yapılandırıldı mı?
İzlenen ağlarda herhangi bir yönlendirme var mı?
Ağda herhangi bir seri iletişim var mı?
İzlemek istediğiniz ağlarda güvenlik duvarları nerede yüklüdür?
Endüstriyel denetim (ICS) ağı ile kurumsal, iş ağı arasında trafik var mı? Öyleyse, bu trafik izleniyor mu?
Anahtarlarınızla kurumsal güvenlik duvarı arasındaki fiziksel mesafe nedir?
OT sistemi bakımı sabit veya geçici cihazlarla mı yapılıyor?
Soru değiştirme
Bir anahtar başka bir şekilde yönetilmezse, daha üst düzey bir anahtardan gelen trafiği izleyebilir misiniz? Örneğin OT mimariniz halka topolojisi kullanıyorsa halkadaki yalnızca bir anahtarın izlenmesi gerekir.
Yönetilmeyen anahtarlar yönetilen anahtarlarla değiştirilebilir mi yoksa ağ TAP'lerinin kullanılması bir seçenek mi?
Anahtarın VLAN'ını izleyebilir veya VLAN, izleyebileceğiniz başka bir anahtarda görünür mü?
Anahtara bir ağ algılayıcısı bağlarsanız HMI ile PLC'ler arasındaki iletişimi yansıtacak mı?
Anahtara bir ağ sensörü bağlamak istiyorsanız anahtarın dolabında fiziksel raf alanı var mı?
Her anahtarı izlemenin maliyeti/avantajı nedir?
İzlemek istediğiniz cihazları ve alt ağları belirleme
İzlemek ve IoT için Defender ağ algılayıcılarına yansıtmak istediğiniz trafik, güvenlik veya operasyonel açıdan sizin için en ilginç olan trafiktir.
İzleme için en uygun trafiği nerede bulabileceğinizi tanımlamak için OT ağ diyagramınızı site mühendislerinizle birlikte gözden geçirin. Beklentileri netleştirmek için hem ağ hem de operasyonel ekiplerle görüşmenizi öneririz.
Ekibinizle birlikte, aşağıdaki ayrıntılarla izlemek istediğiniz cihazlardan oluşan bir tablo oluşturun:
Belirtim | Açıklama |
---|---|
Satıcı | Cihazın üretim satıcısı |
Cihaz adı | Devam eden kullanım ve başvuru için anlamlı bir ad |
Tür | Cihaz türü, örneğin: Anahtar, Yönlendirici, Güvenlik Duvarı, Erişim Noktası vb. |
Ağ katmanı | İzlemek istediğiniz cihazlar L2 veya L3 cihazlarıdır: - L2 cihazları IP segmenti içindeki cihazlardır - L3 cihazları IP segmenti dışındaki cihazlardır Her iki katmanı da destekleyen cihazlar L3 cihazları olarak kabul edilebilir. |
VLAN'ları geçme | Cihazdan geçen tüm VLAN'ların kimlikleri. Örneğin, ilişkili bir bağlantı noktasından geçip geçmediklerini görmek için her VLAN'da yayılan ağaç işlem modunu denetleyerek bu VLAN kimliklerini doğrulayın. |
Için ağ geçidi | Cihazın varsayılan ağ geçidi olarak davrandığı VLAN'lar. |
Ağ ayrıntıları | Cihazın IP adresi, alt ağı, D-GW ve DNS ana bilgisayarı |
Protokoller | Cihazda kullanılan protokoller. Protokollerinizi, IoT için Defender'ın kullanıma hazır olarak desteklenen protokoller listesiyle karşılaştırın. |
Desteklenen trafik yansıtma | Span, RSPAN, ERSPAN veya TAP gibi her cihaz tarafından ne tür bir trafik yansıtmanın desteklendiği tanımlayın. OT algılayıcılarınız için trafik yansıtma yöntemlerini seçmek için bu bilgileri kullanın. |
İş ortağı hizmetleri tarafından mı yönetiliyor? | Cihazı Siemens, Rockwell veya Emerson gibi bir iş ortağı hizmetinin yönetip yönetmediğini açıklayın. İlgiliyse yönetim ilkesini açıklayın. |
Seri bağlantılar | Cihaz bir seri bağlantı üzerinden iletişim kurarsa, seri iletişim protokolunu belirtin. |
Ağınızdaki cihazları hesaplama
IoT için Defender lisanslarını doğru boyutta satın alabilmeniz için her sitedeki cihaz sayısını hesaplayın.
Her sitedeki cihaz sayısını hesaplamak için:
Sitenizdeki toplam cihaz sayısını toplayın ve bunları bir araya ekleyin.
IoT için Defender tarafından tek tek cihaz olarak tanımlanmayan aşağıdaki cihazlardan herhangi birini kaldırın:
- Genel İnternet IP adresleri
- Çok atamalı gruplar
- Yayın grupları
- Etkin olmayan cihazlar: 60 günden uzun süredir ağ etkinliği algılanmadı cihazlar
Daha fazla bilgi için bkz . IoT için Defender tarafından izlenen cihazlar.
Çok sensörlü dağıtım planlama
Birden çok ağ algılayıcısı dağıtmayı planlıyorsanız algılayıcılarınızı nereye yerleştireceğinize karar verirken aşağıdaki önerileri de göz önünde bulundurun:
Fiziksel olarak bağlı anahtarlar: Ethernet kablosuyla fiziksel olarak bağlanan anahtarlar için anahtarlar arasındaki her 80 metre mesafe için en az bir sensör planladığından emin olun.
Fiziksel bağlantısı olmayan birden çok ağ: Aralarında fiziksel bağlantı olmayan birden çok ağınız varsa, her ağ için en az bir algılayıcı planlayın
RSPAN desteğine sahip anahtarlar: RSPAN trafik yansıtma kullanabilen anahtarlarınız varsa, yerel span bağlantı noktasıyla her sekiz anahtar için en az bir sensör planlayın. Sensörünü kabloyla bağlayabileceğiniz şekilde anahtarlara yeterince yakın yerleştirmeyi planlayın.
Alt ağların listesini oluşturma
Ağınızın tamamında izlemek istediğiniz cihazların listesine bağlı olarak, izlemek istediğiniz alt ağların toplu bir listesini oluşturun.
Algılayıcılarınızı dağıttığınızda, listelenen alt ağların otomatik olarak algılandığını doğrulamak ve listeyi gerektiği gibi el ile güncelleştirmek için bu listeyi kullanacaksınız.
Planlanan OT algılayıcılarınızı listeleme
IoT için Defender'a yansıtmak istediğiniz trafiği anladıktan sonra, eklediğiniz tüm OT algılayıcılarının tam listesini oluşturun.
Her algılayıcı için şunları listeleyin:
Algılayıcının buluta bağlı mı yoksa yerel olarak yönetilen bir sensör mü olacağı
Buluta bağlı algılayıcılar için, kullanmakta olduğunuz bulut bağlantısı yöntemi .
Hizmet kalitesi (QoS) için ihtiyacınız olan bant genişliğini göz önünde bulundurarak algılayıcılarınız için fiziksel veya sanal gereçler kullanmanız fark eder. Daha fazla bilgi için bkz. Hangi gereçlere ihtiyacım var?
Her algılayıcıya atayacağın site ve bölge .
Aynı site veya bölgedeki algılayıcılardan alınan veriler, sisteminizdeki diğer verilerden segmentlere ayrılmış olarak birlikte görüntülenebilir. Aynı sitede veya bölgede birlikte gruplandırılmış olarak görüntülemek istediğiniz algılayıcı verileri varsa, algılayıcı sitelerini ve bölgelerini uygun şekilde atadığınızdan emin olun.
Ağınız zamanla genişledikçe daha fazla algılayıcı ekleyebilir veya mevcut algılayıcı tanımlarınızı değiştirebilirsiniz.
Önemli
Ip ve MAC adresleri gibi her algılayıcının algılamasını beklediğiniz cihazların özelliklerini denetlemenizi öneririz. Aynı bölgede, aynı mantıksal cihaz özellikleri kümesiyle algılanan cihazlar otomatik olarak bir araya gelir ve aynı cihaz olarak tanımlanır.
Örneğin, birden çok ağ ve yinelenen IP adresleriyle çalışıyorsanız, cihazların ayrı ve benzersiz cihazlar olarak doğru şekilde tanımlanması için her algılayıcınızı farklı bir bölgeyle planladığınızdan emin olun.
Daha fazla bilgi için bkz . Yinelenen IP aralıkları için bölgeleri ayırma.
Şirket içi gereçleri hazırlama
Sanal gereçler kullanıyorsanız, ilgili kaynakların yapılandırıldığından emin olun. Daha fazla bilgi için bkz . Sanal gereçlerle OT izleme.
Fiziksel gereçler kullanıyorsanız gerekli donanıma sahip olduğunuzdan emin olun. Önceden yapılandırılmış gereçler satın alabilir veya kendi gereçlerinize yazılım yüklemeyi planlayabilirsiniz.
Önceden yapılandırılmış gereçleri satın almak için:
- Azure portalında IoT için Defender'a gidin.
- Başlarken>Algılayıcı>Satın Alma önceden yapılandırılmış alet kişisi'ne>tıklayın.
Bağlantı, IoT için Defender gereçleri hardware.sales@arrow.comiçin şablon isteği içeren bir e-posta açar.
Daha fazla bilgi için bkz. Hangi gereçlere ihtiyacım var?
Yardımcı donanım hazırlama
Fiziksel gereçler kullanıyorsanız, her fiziksel alet için aşağıdaki ek donanıma sahip olduğunuzdan emin olun:
- Monitör ve klavye
- Raf alanı
- AC gücü
- Aletin yönetim bağlantı noktasını ağ anahtarına bağlamak için bir LAN kablosu
- Yansıtma (SPAN) bağlantı noktalarını ve ağ terminali erişim noktalarını (TAP' ler) aletinize bağlamak için LAN kabloları
Alet ağ ayrıntılarını hazırlama
Aletleriniz hazır olduğunda, her alet için aşağıdaki ayrıntıların listesini yapın:
- IP Adresi
- Alt ağ
- Varsayılan ağ geçidi
- Konak adı
- DNS sunucusu (isteğe bağlı), DNS sunucusu IP adresi ve ana bilgisayar adıyla
Dağıtım iş istasyonu hazırlama
IoT dağıtım etkinlikleri için Defender'ı çalıştırabileceğiniz bir iş istasyonu hazırlayın. İş istasyonu, aşağıdaki gereksinimlere sahip bir Windows veya Mac makinesi olabilir:
PuTTY gibi terminal yazılımı
Algılayıcı konsollarına ve Azure portalına bağlanmak için desteklenen bir tarayıcı. Daha fazla bilgi için bkz . Azure portalı için önerilen tarayıcılar.
Gerekli arabirimler için erişim açık olarak yapılandırılmış gerekli güvenlik duvarı kuralları. Daha fazla bilgi için bkz . Ağ gereksinimleri.
CA imzalı sertifikaları hazırlama
Üretim dağıtımlarında CA imzalı sertifikaları kullanmanızı öneririz.
Şirket içi kaynaklar için SSL/TLS sertifika gereksinimlerini anladığınızdan emin olun. İlk dağıtım sırasında CA imzalı bir sertifika dağıtmak istiyorsanız, sertifikanın hazır olduğundan emin olun.
Yerleşik, otomatik olarak imzalanan sertifikayla dağıtmaya karar verirseniz, daha sonra üretim ortamlarında CA imzalı bir sertifika dağıtmanızı öneririz.
Daha fazla bilgi için bkz.