Aracılığıyla paylaş

IoT için Microsoft Defender tarafından izlenen OT trafiğini denetleme

  • Makale

Bu makale, IoT için Microsoft Defender ile OT izleme için dağıtım yolunu açıklayan bir dizi makaleden biridir.

Diagram of a progress bar with Fine-tune OT monitoring highlighted.

IoT için Microsoft Defender OT ağ algılayıcıları, BT ve OT trafiği için otomatik olarak derin paket algılama çalıştırarak cihaz öznitelikleri ve davranışı gibi ağ cihaz verilerini çözer.

OT ağ algılayıcınızı yükledikten, etkinleştirdikten ve yapılandırdıktan sonra otomatik olarak algılanan trafiği analiz etmek, gerekirse ek alt ağlar eklemek ve IoT için Defender uyarılarına dahil edilen trafik bilgilerini denetlemek için bu makalede açıklanan araçları kullanın.

Önkoşullar

Bu makaledeki yordamları gerçekleştirmeden önce şunlara sahip olmanız gerekir:

  • Ot ağ algılayıcısı yüklendi, yapılandırıldı ve etkinleştirildi.

  • OT ağ algılayıcınıza ve şirket içi yönetim konsolunuza Yönetici kullanıcı olarak erişin. Daha fazla bilgi için bkz . IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.

Bu adım dağıtım ekipleriniz tarafından gerçekleştirilir.

Dağıtımınızı analiz etme

IoT için Microsoft Defender'a yeni bir OT ağ algılayıcısı eklendikten sonra, izlenen trafiği analiz ederek algılayıcınızın doğru dağıtıldığını doğrulayın.

Ağınızı analiz etmek için:

  1. OT algılayıcınızda Yönetici kullanıcı olarak oturum açın ve Sistem ayarları>Temel>Dağıtım'ı seçin.

  2. 'Çözümle seçeneğini belirleyin. Analiz başlatılır ve algılayıcı tarafından izlenen her arabirim için bir sekme gösterilir. Her sekme, belirtilen arabirim tarafından algılanan alt ağları gösterir. Örneğin:

    Screenshot of the Deployment settings page.

  3. Her arabirim sekmesi aşağıdaki ayrıntıları gösterir:

    • sekme adında yeşil veya kırmızı bir bağlantı simgesiyle gösterilen Bağlan durumu. Örneğin, yukarıdaki görüntüde eth1 arabirimi yeşil olarak gösterilir ve bu nedenle bağlıdır.
    • Sekmenin en üstünde gösterilen, algılanan alt ağ ve VLAN'ların toplam sayısı.
    • Her alt ağda algılanan protokoller.
    • Her alt ağ için algılanan tek noktaya yayın adreslerinin sayısı.
    • Her alt ağ için yayın trafiğinin algılanıp algılanmadığı, yerel ağın belirtilip gösterilmediği.

  4. Analizin tamamlanmasını bekleyin ve ardından arabirimin ilgili trafiği izleyip izlemediğini veya daha fazla ince ayara ihtiyacı olup olmadığını anlamak için her arabirim sekmesini denetleyin.

Dağıtım sayfasında gösterilen trafik beklediğiniz gibi değilse, algılayıcının ağdaki konumunu değiştirerek veya izleme arabirimlerinizin doğru bağlandığını doğrulayarak dağıtımınızda ince ayar yapmanız gerekebilir. Herhangi bir değişiklik yaparsanız ve trafiğin iyileştirilmiş olup olmadığını görmek için yeniden analiz etmek istiyorsanız güncelleştirilmiş izleme durumunu görmek için Yeniden Çözümle'yi seçin.

Alt ağ listenizde ince ayar yapma

Algılayıcınızın izlediği trafiği analiz ettikten ve dağıtımın ince ayarlarını yaptıktan sonra alt ağ listenizde daha fazla ince ayar yapmanız gerekebilir. Alt ağlarınızın doğru yapılandırıldığından emin olmak için bu yordamı kullanın.

OT algılayıcınız ilk dağıtım sırasında ağ alt ağlarınızı otomatik olarak öğrenirken, harita görünümlerinizi ve cihaz envanterinizi iyileştirmek için algılanan trafiği analiz edip gerektiğinde güncelleştirmenizi öneririz.

Ayrıca alt ağ ayarlarını tanımlamak, cihazların algılayıcının cihaz haritasında ve Azure cihaz envanterinde nasıl görüntüleneceğini belirlemek için de bu yordamı kullanın.

  • Cihaz haritasında, BT cihazları alt ağ tarafından otomatik olarak toplanır ve gerektiğinde detaya gitmek için her alt ağ görünümünü genişletip daraltabilirsiniz.
  • Azure cihaz envanterinde alt ağlar yapılandırıldıktan sonra, yerel veya yönlendirilmiş cihazları alt ağlar listenizde tanımlandığı şekilde görüntülemek için Ağ konumu (Genel önizleme) filtresini kullanın. Listelenen alt ağlarla ilişkili tüm cihazlar yerel olarak görüntülenirken, algılanan alt ağlarla ilişkili cihazlar listeye dahil değil olarak yönlendirilir.

OT ağ algılayıcısı ağınızdaki alt ağları otomatik olarak öğrenirken, harita görünümlerinizi ve cihaz envanterinizi iyileştirmek için öğrenilen ayarları onaylamanızı ve gerektiğinde bunları güncelleştirmenizi öneririz. Alt ağ olarak listelenmeyen tüm alt ağlar dış ağ olarak değerlendirilir.

İpucu

OT algılayıcı ayarlarınızı büyük ölçekte yönetmeye hazır olduğunuzda Azure portalından alt ağları tanımlayın. Azure portalından ayarları uyguladıktan sonra algılayıcı konsolundaki ayarlar salt okunur olur. Daha fazla bilgi için bkz . Azure portalından OT algılayıcı ayarlarını yapılandırma (Genel önizleme).

Algılanan alt ağlarınızda ince ayar yapmak için:

  1. OT algılayıcınızda Yönetici kullanıcı olarak oturum açın ve Sistem ayarları>Temel>Alt Ağlar'ı seçin. Örneğin:

    Screenshot of the Subnets page in the OT sensor settings.

  2. Listelenen alt ağları aşağıdaki seçeneklerden birini kullanarak güncelleştirin:

    Veri Akışı Adı Açıklama
    Alt ağları içeri aktarma bir içeri aktar. Alt ağ tanımlarının CSV dosyası. Alt ağ bilgileri, içeri aktardığınız bilgilerle güncelleştirilir. Boş bir alanı içeri aktarırsanız, bu alandaki verileri kaybedersiniz.
    Alt ağları dışarı aktarma Şu anda listelenen alt ağları bir öğesine aktarın. CSV dosyası.
    Tümünü temizle Şu anda tanımlanmış olan tüm alt ağları temizleyin.
    Otomatik alt ağ öğrenmesi Varsayılan olarak seçilidir. Algılayıcının alt ağlarınızı otomatik olarak algılamasını önlemek için bu seçeneği temizleyin.
    Tüm İnternet trafiğini dahili/özel olarak çözümleme Tüm genel IP adreslerini özel, yerel adresler olarak değerlendirmek için seçin. Seçilirse, genel IP adresleri yerel adresler olarak değerlendirilir ve yetkisiz İnternet etkinliği hakkında uyarılar gönderilmez.

    Bu seçenek, dış adresler hakkında alınan bildirimleri ve uyarıları azaltır.
    IP adresi Alt ağın IP adresini tanımlayın.
    Maske Alt ağın IP maskesini tanımlayın.
    Ad Alt ağın ağ rolünü belirten anlamlı bir ad girmenizi öneririz. Alt ağ adlarının en çok 60 karakteri olabilir.
    Ayrılmış Cihaz eşlemesini Purdue düzeyine göre görüntülerken bu alt ağı ayrı olarak göstermek için seçin.
    Alt ağı kaldırma IoT/OT ağ kapsamınızla ilgili olmayan alt ağları kaldırmak için seçin.

    Alt ağ kılavuzunda, ICS alt ağı olarak işaretlenmiş alt ağlar OT ağları olarak kabul edilir. Bu seçenek bu kılavuzda salt okunurdur, ancak doğru tanınmayan bir OT alt ağı varsa bir alt ağı el ile ICS olarak tanımlayabilirsiniz.

  3. İşiniz bittiğinde, güncelleştirmelerinizi kaydetmek için Kaydet'i seçin.

İpucu

Otomatik alt ağ öğrenme ayarı devre dışı bırakıldıktan ve alt ağ listesi yalnızca IoT/OT kapsamınızdaki yerel olarak izlenen alt ağları içerecek şekilde düzenlendikten sonra, Azure cihaz envanterini Ağ konumuna göre filtreleyerek yalnızca yerel olarak tanımlanan cihazları görüntüleyebilirsiniz. Daha fazla bilgi için bkz . Cihaz envanterini görüntüleme.

Alt ağı el ile ICS olarak tanımlama

Algılayıcı tarafından otomatik olarak ICS alt ağı olarak işaretlenmemiş bir OT alt ağınız varsa, ilgili alt ağdaki cihazlardan herhangi birinin cihaz türünü bir ICS veya IoT cihaz türüyle düzenleyin. Ardından alt ağ, algılayıcı tarafından otomatik olarak bir ICS alt ağı olarak işaretlenir.

Not

ICS olarak işaretlenecek alt ağı el ile değiştirmek için OT algılayıcısında cihaz envanterindeki cihaz türünü değiştirin. Azure portalında, alt ağ listesindeki alt ağlar algılayıcı ayarlarında varsayılan olarak ICS olarak işaretlenir.

Cihaz türünü alt ağı el ile güncelleştirecek şekilde değiştirmek için:

  1. OT algılayıcı konsolunuzda oturum açın ve Cihaz envanteri'ne gidin.

  2. Cihaz envanter kılavuzunda ilgili alt ağdan bir cihaz seçin ve ardından sayfanın üst kısmındaki araç çubuğunda Düzenle'yi seçin.

  3. Tür alanında, ICS veya IoT altında listelenen açılan listeden bir cihaz türü seçin.

Alt ağ artık algılayıcıda bir ICS alt ağı olarak işaretlenecek.

Daha fazla bilgi için bkz . Cihaz ayrıntılarını düzenleme.

Bağlantı noktası ve VLAN adlarını özelleştirme

OT ağ algılayıcılarınızdaki bağlantı noktası ve VLAN adlarını özelleştirerek IoT için Defender'da gösterilen cihaz verilerini zenginleştirmek için aşağıdaki yordamları kullanın.

Örneğin, dışarı çağırmak için beklenmedik derecede yüksek etkinlik gösteren bir ad veya daha hızlı tanımlamak için bir VLAN numarasına ad atamak isteyebilirsiniz.

Not

Buluta bağlı algılayıcılar için sonunda Azure portalından OT algılayıcı ayarlarını yapılandırmaya başlayabilirsiniz. Azure portalından ayarları yapılandırmaya başladığınızda, OT algılayıcıları üzerindeki VLAN'lar ve Bağlantı noktası adlandırma bölmeleri salt okunur olur. Daha fazla bilgi için bkz . Azure portalından OT algılayıcı ayarlarını yapılandırma.

Algılanan bağlantı noktalarının adlarını özelleştirme

IoT için Defender, adları DHCP veya HTTP gibi evrensel olarak ayrılmış bağlantı noktalarının çoğuna otomatik olarak atar. Ancak, belirli bir bağlantı noktasının adını vurgulamak için özelleştirmek isteyebilirsiniz; örneğin, olağan dışı şekilde yüksek algılanan etkinliğe sahip bir bağlantı noktasını izlerken.

Bağlantı noktası adları, OT algılayıcısının cihaz haritasından cihaz gruplarını görüntülerken veya bağlantı noktası bilgilerini içeren OT algılayıcı raporları oluşturduğunuzda IoT için Defender'da gösterilir.

Bağlantı noktası adını özelleştirmek için:

  1. OT algılayıcınızda Yönetici kullanıcısı olarak oturum açın.

  2. Sistem ayarları'nı ve ardından Ağ izleme'nin altında Bağlantı Noktası Adlandırma'yı seçin.

  3. Görüntülenen Bağlantı noktası adlandırma bölmesinde, adlandırmak istediğiniz bağlantı noktası numarasını, bağlantı noktasının protokolunu ve anlamlı bir ad girin. Desteklenen protokol değerleri şunlardır: TCP, UDP ve BOTH.

  4. Başka bir bağlantı noktasını özelleştirmek için + Bağlantı noktası ekle'yi ve bitirdiğinizde Kaydet'i seçin.

VLAN adını özelleştirme

VLAN'lar OT ağ algılayıcısı tarafından otomatik olarak bulunur veya el ile eklenir. Otomatik olarak bulunan VLAN'lar düzenlenemez veya silinemez, ancak el ile eklenen VLAN'lar benzersiz bir ad gerektirir. Bir VLAN açıkça adlandırılmıyorsa, bunun yerine VLAN'ın numarası gösterilir.

VLAN'ın desteği 802.1q (VLAN kimliği 4094'e kadar) temelindedir.

Not

VLAN adları OT ağ algılayıcısı ile şirket içi yönetim konsolu arasında eşitlenmez. Şirket içi yönetim konsolunda özelleştirilmiş VLAN adlarını görüntülemek istiyorsanız, VLAN adlarını orada da tanımlayın.

Ot ağ algılayıcısı üzerinde VLAN adlarını yapılandırmak için:

  1. OT algılayıcınızda Yönetici kullanıcısı olarak oturum açın.

  2. Sistem Ayarlar'ı seçin ve ardından Ağ izleme'nin altında VLAN Adlandırma'yı seçin.

  3. Görüntülenen VLAN adlandırma bölmesine bir VLAN kimliği ve benzersiz VLAN adı girin. VLAN adları en fazla 50 ASCII karakter içerebilir.

  4. Başka bir VLAN'ı özelleştirmek için + VLAN Ekle'yi ve bitirdiğinizde Kaydet'i seçin.

  5. Cisco anahtarları için: komutunu SPAN bağlantı noktası yapılandırmasına ekleyin monitor session 1 destination interface XX/XX encapsulation dot1q ; burada XX/XX , bağlantı noktasının adı ve numarasıdır.

DHCP adres aralıklarını yapılandırma

OT ağınız hem statik hem de dinamik IP adreslerinden oluşabilir.

  • Statik adresler genellikle OT ağlarında tarihçiler, denetleyiciler ve anahtarlar ve yönlendiriciler gibi ağ altyapısı cihazları aracılığıyla bulunur.
  • Dinamik IP ayırma genellikle farklı konumlardaki Wi-Fi veya LAN fiziksel bağlantıları kullanılarak dizüstü bilgisayarlar, bilgisayarlar, akıllı telefonlar ve diğer taşınabilir donanımlara sahip konuk ağlarında uygulanır.

Dinamik ağlarla çalışıyorsanız, her OT ağ algılayıcısı üzerinde DHCP adres aralıkları tanımlayarak IP adresi değişikliklerini oluştukları sırada işlemeniz gerekir. BIR IP adresi DHCP adresi olarak tanımlandığında, IoT için Defender, IP adresi değişiklikleri ne olursa olsun aynı cihazda gerçekleşen tüm etkinlikleri tanımlar.

DHCP adres aralıklarını tanımlamak için:

  1. OT algılayıcınızda oturum açın ve Sistem ayarları>Ağ izleme>DHCP Aralıkları'nı seçin.

  2. Aşağıdakilerden birini yapın:

    • Tek bir aralık eklemek için + Aralık ekle'yi seçin ve IP adresi aralığını ve aralığınız için isteğe bağlı bir ad girin.
    • Birden çok aralık eklemek için bir oluşturun. Aralıklarınızın her biri için Kimden, Son ve Ad verilerinin sütunlarını içeren CSV dosyası. Dosyayı OT algılayıcınıza aktarmak için İçeri Aktar'ı seçin. bir 'den içeri aktarılan aralık değerleri. CSV dosyası, algılayıcınız için yapılandırılmış olan aralık verilerinin üzerine yazar.
    • Şu anda yapılandırılmış aralıkları bir öğesine dışarı aktarmak için. CSV dosyası, Dışarı Aktar'ı seçin.
    • Yapılandırılmış olan tüm aralıkları temizlemek için Tümünü temizle'yi seçin.

    Aralık adlarının en çok 256 karakteri olabilir.

  3. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

Trafik filtrelerini yapılandırma (gelişmiş)

Uyarı yorgunluğunu azaltmak ve ağ izlemenizi yüksek öncelikli trafiğe odaklamanız için, kaynakta IoT için Defender'a akış yapan trafiği filtrelemeye karar vekleyebilirsiniz. Yakalama filtreleri OT algılayıcıSı CLI aracılığıyla yapılandırılır ve donanım katmanında yüksek bant genişliği trafiğini engellemenize olanak tanıyarak hem alet performansını hem de kaynak kullanımını iyileştirin.

Daha fazla bilgi için bkz.

Sonraki adımlar

« OT algılayıcıda ara sunucu ayarlarını yapılandırma

Algılanan cihaz envanterinizi doğrulama ve güncelleştirme »