控制透過適用於 IoT 的 Microsoft Defender 監視的 OT 流量
本文是系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑。
適用於 IoT 的 Microsoft Defender OT 網路感應器會自動針對 IT 和 OT 流量執行深層封包偵測,並解析網路裝置資料,例如裝置屬性和行為。
安裝、啟用及設定 OT 網路感應器之後,請使用本文所述的工具來分析自動偵測到的流量、視需要新增額外的子網路,以及控制適用於 IoT 的 Defender 警示中包含的流量資訊。
必要條件
執行本文中的程序之前,您必須具有:
以 [管理員] 使用者身分存取 OT 網路感應器和內部部署管理主控台。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色 (部分機器翻譯)。
此步驟由您的部署小組執行。
分析您的部署
將新的 OT 網路感應器上線至適用於 IoT 的 Microsoft Defender 之後,請分析所監視的流量,以驗證您的感應器是否已正確部署。
若要分析您的網路:
以系統管理員使用者身分登入您的 OT 感應器,然後選取 [系統設定]>[基本]>[部署]。
選取分析。 分析隨即啟動,並針對感應器所監視的每個介面顯示索引標籤。 每個索引標籤都會顯示指定介面偵測到的子網路。
每個介面索引標籤都會顯示下列詳細資料:
- 線上狀態,以索引標籤名稱中綠色或紅色的連線圖示來表示。 例如,在上圖中,eth1 介面顯示為綠色,也就是已連線。
- 偵測到的子網路和 VLAN 總數,顯示在索引標籤頂端。
- 在每個子網路上偵測到的通訊協定。
- 針對每個子網路偵測到的單點傳播位址數目。
- 是否偵測到每個子網路的廣播流量,指出區域網路。
等候分析完成,然後檢查每個介面索引標籤,以了解介面是否正在監視相關的流量,或需要進一步微調。
如果 [部署] 頁面上顯示的流量不是您預期的流量,您可能需要變更感應器在網路中的位置,或確認您的監視介面已正確連線,以微調您的部署。 如果您進行任何變更,且想要再次分析流量以查看其是否已改善,請再次選取 [分析] 以查看更新的監視狀態。
微調您的子網路清單 (部分機器翻譯)
分析感應器正在監視的流量並微調部署之後,您可能需要進一步微調子網路清單。 使用此程序可確保您的子網路已正確設定。
雖然您的 OT 感應器會在初始部署期間自動學習您的網路子網路,但建議您分析偵測到的流量,並視需要更新它們,以最佳化地圖檢視檢視和裝置清查。
此外也請使用此程序來定義子網路設定,並決定裝置在感應器的裝置對應和 Azure 裝置詳細目錄中的顯示方式。
- 在裝置對應中,IT 裝置會自動依子網路彙總,您可以在其中展開和摺疊每個子網路檢視,以視需要向下切入。
- 在 Azure 裝置詳細目錄中,設定子網路之後,請使用 [網路位置] (公開預覽) 篩選來檢視子網路清單中定義的本機或已路由裝置。 與列出的子網路相關聯的所有裝置都會顯示為本機,而與清單中未包含之偵測到子網路相關聯的裝置將會顯示為已路由。
雖然 OT 網路感應器會自動學習您網路中的子網路,但建議您確認學習的設定,並視需要更新這些設定,以最佳化地圖檢視和裝置詳細目錄。 未列為子網路的任何子網路都會被視為外部網路。
提示
當您準備好開始大規模管理 OT 感應器設定時,請從 Azure 入口網站定義子網路。 從 Azure 入口網站套用設定之後,感應器主控台上的設定會是唯讀的設定。 如需詳細資訊,請參閱從 Azure 入口網站設定 OT 感應器設定 (公開預覽)。
若要微調偵測到的子網路:
以系統管理員使用者身分登入 OT 感應器,然後選取 [系統設定]>[基本]>[子網路]。 例如:
使用下列任一選項更新列出的子網路:
名稱 描述 匯入子網路 匯入子網路定義的 .CSV 檔案。 會以您匯入的資訊來更新子網路資訊。 如果您匯入空白欄位,則會遺失該欄位中的資料。 匯出子網路 將目前列出的子網路匯出至 .CSV 檔案。 全部清除 清除所有目前定義的子網路。 自動子網路學習 依預設為已選取。 清除此選項以防止感應器自動偵測您的子網路。 將所有網際網路流量解析為內部/私人 選取以將所有公用 IP 位址視為私人本機位址。 如果選取,則會將公用 IP 位址視為本機位址,且不會針對未經授權的網際網路活動傳送警示。
此選項可減少收到有關外部位址的通知和警示。IP 位址 定義子網路的 IP 位址。 遮罩 定義子網路的 IP 遮罩。 名稱 建議您輸入有意義的名稱,以指定子網路的網路角色。 子網路名稱最多可以有 60 個字元。 隔離 根據 Purdue 層級顯示裝置對應時,選取以個別顯示此子網路。 移除子網路 選取以移除與 IoT/OT 網路範圍無關的任何子網路。 在子網路方格中,標示為 ICS 子網路的子網路會辨識為 OT 網路。 此選項在此方格中是唯讀的,但如果無法正確辨識 OT 子網路,您可以手動將子網路定義為 ICS。
當您完成時,請選取 [儲存] 以儲存您的更新。
提示
一旦停用 [自動子網路學習] 設定,且子網路清單已編輯為只包含 IoT/OT 範圍內的本機受監視子網路之後,您可以依網路位置篩選 Azure 裝置詳細目錄,以僅檢視定義為本機的裝置。 如需詳細資訊,請參閱檢視裝置清查。
手動將子網路定義為 ICS
如果您有未由感應器自動標示為 ICS 子網路的 OT 子網路,請將相關子網路中任何裝置的裝置類型編輯為 ICS 或 IoT 裝置類型。 然後,感應器會自動將子網路標示為 ICS 子網路。
注意
若要手動變更要標示為 ICS 的子網路,請變更 OT 感應器中裝置詳細目錄中的裝置類型。 在 Azure 入口網站中,子網路清單中的子網路預設會在感應器設定中標示為 ICS。
若要將裝置類型變更為手動更新子網路:
登入您的 OT 感應器主控台,然後選取 [裝置詳細目錄]。
在裝置詳細目錄方格中,從相關的子網路選取裝置,然後在頁面頂端的工具列中選取 [編輯]。
在 [類型] 欄位中,從 [ICS] 或 [IoT] 下方列出的下拉式清單中選取裝置類型。
子網路現在會標示為感應器中的 ICS 子網路。
如需詳細資訊,請參閱編輯裝置詳細資料。
自訂連接埠和 VLAN 名稱
使用下列程序,藉由自訂 OT 網路感應器上的連接埠和 VLAN 名稱,以擴充適用於 IoT 的 Defender 中顯示的裝置資料。
例如,您可能想要為顯示異常高活動的非保留連接埠指派一個名稱以便將其調出,或為 VLAN 號碼指派一個名稱以更快地識別它。
注意
針對雲端連線的感應器,您最終可能會從 Azure 入口網站開始設定 OT 感應器設定。 從 Azure 入口網站開始進行設定之後,OT 感應器上的 [VLAN] 和 [連接埠命名] 窗格是唯讀的。 如需詳細資訊,請參閱從 Azure 入口網站設定 OT 感應器設定。
自訂偵測到的連接埠名稱
適用於 IoT 的 Defender 會將名稱自動指派給大部分通用的保留連接埠,例如 DHCP 或 HTTP。 不過,您可能想要自訂特定連接埠的名稱以突顯它,例如當您正在觀察偵測到的活動異常高的連接埠時。
當您從 OT 感應器的裝置對應中檢視裝置群組時,或當您建立包含連接埠資訊的 OT 感應器報告時,連接埠名稱會顯示在「適用於 IoT 的 Microsoft Defender」中。
若要自訂連接埠名稱:
以系統管理員的使用者身分登入您的 OT 感應器。
選取 [系統設定],然後在 [網络監視] 下選取 [連接埠命名]。
在出現的 [連接埠命名] 窗格中,輸入您要命名的連接埠號碼、連接埠的通訊協定,以及有意義的名稱。 支援的通訊協定值包括:TCP、UDP 和 BOTH。
選取 [+ 新增連接埠] 以自訂其他連接埠,然後在完成後按一下 [儲存]。
自訂 VLAN 名稱
VLAN 可由 OT 網路感應器自動探索或手動新增。 無法編輯或刪除自動探索到的 VLAN,而手動新增的 VLAN 需要唯一的名稱。 如果未明確為 VLAN 命名,則會改為顯示 VLAN 的號碼。
VLAN 的支援是基於 802.1q 標準 (最多支援到 VLAN ID 4094)。
注意
在 OT 網路感應器與內部部署的管理主控台之間不會同步 VLAN 名稱。 如果您想要在內部部署的管理主控台上檢視自訂的 VLAN 名稱,也可以在那裡定義 VLAN 名稱。
若要在 OT 網路感應器上設定 VLAN 名稱:
以系統管理員的使用者身分登入您的 OT 感應器。
選取 [系統設定],然後在 [網络監視] 下選取 [VLAN 命名]。
在出現的 [VLAN 命名] 窗格中,輸入 VLAN 識別碼和唯一的 VLAN 名稱。 VLAN 名稱最多可包含 50 個 ASCII 字元。
選取 [+ 新增 VLAN] 以自訂其他 VLAN,然後在完成後按一下 [儲存]。
針對 Cisco 交換器:將
monitor session 1 destination interface XX/XX encapsulation dot1q
命令新增至 SPAN 連接埠組態,其中 XX/XX 是連接埠的名稱和號碼。
定義 DNS 伺服器
透過設定多個 DNS 伺服器以執行反向查閲並解析與在網路子網路中偵測到的 IP 位址相關聯的主機名稱或 FQDN,增強裝置資料擴充。 例如若感應器發現某個 IP 位址,則可能會查詢多個 DNS 伺服器來解析主機名稱。 您需要 DNS 伺服器位址、伺服器連接埠和子網路位址。
若要定義 DNS 伺服器查閱:
在 OT 感應器主控台上,選取 [系統設定] > [網路監視],然後在 [Active Discovery] 下,選取 [反向 DNS 查閱]。
使用 [排程反向查閱] 選項,將掃描定義為固定間隔,每小時或特定時間。
如果您選取 [依特定時間],請使用 24 小時制,例如 14:30 代表下午 2:30。 選取側邊的 + 按鈕,以新增您想要查閱執行的其他特定時間。
選取 [新增 DNS 伺服器],然後視需要填入您的欄位,以定義下欄欄位:
- DNS 伺服器位址,這是 DNS 伺服器 IP 位址
- DNS 伺服器連接埠
- 標籤數目,這是您想要顯示的網域標籤數目。 若要取得此值,請將網路 IP 位址解析為裝置 FQDN。 您最多可以在此欄位中輸入 30 個字元。
- 子網路,這是您想要 DNS 伺服器查詢的子網路
將頂端的 [已啟用] 選項切換為開啟,以依排程開始反向查閱查詢,然後選取 [儲存] 以完成組態。
如需詳細資訊,請參閱設定反向 DNS 查閱。
測試 DNS 組態
使用測試裝置來驗證您定義的反向 DNS 查閱設定如預期般運作。
在感應器主控台上,選取 [系統設定] > [網路監視],然後在 [Active Discovery] 下,選取 [反向 DNS 查閱]。
請確定已選取 [已啟用] 切換。
選取 [測試]。
在 [伺服器的 DNS 反向查閱測試] 對話方塊中,於 [查閱位址] 中輸入位址,然後選取 [測試]。
設定 DHCP 位址範圍
您的 OT 網路可能包含靜態和動態 IP 位址。
- 一般而言,可透過歸檔工具、控制器和網路基礎結構裝置 (例如交換器和路由器) 在 OT 網路上找到靜態位址。
- 客體網路上通常會採用動態 IP 配置,包括筆記型電腦、PC、智慧型手機和其他可攜式設備 (在不同的位置使用 Wi-Fi 或 LAN 實體連線)。
如果您正在使用動態網路,則必須在每個 OT 網路感應器上定義 DHCP 位址範圍,以處理發生的 IP 位址變更。 當 IP 位址定義為 DHCP 位址時,不論 IP 位址變更為何,適用於 IoT 的 Defender 都會識別相同裝置上發生的任何活動。
若要定義 DHCP 位址範圍:
登入 OT 感應器,然後選取 [系統設定]>[網路監視]>[DHCP 範圍]。
執行下列其中一項動作:
- 若要新增單一範圍,請選取 [+ 新增範圍],然後輸入 IP 位址範圍和您範圍的選擇性名稱。
- 若要新增多個範圍,請建立 .CSV 檔案,其中包含每個範圍的 [來源]、[目的地] 和 [名稱] 資料行。 選取 [匯入] 將檔案匯入您的 OT 感應器。 從 .CSV 檔案匯入的範圍值會覆寫目前針對感應器設定的任何範圍資料。
- 若要將目前設定的範圍匯出至 .CSV 檔案,請選取 [匯出]。
- 若要清除所有目前設定的範圍,請選取 [全部清除]。
範圍名稱最多可以有 256 個字元。
選取儲存以儲存變更。
設定流量篩選 (進階)
若要降低警示疲勞,並將網路監視聚焦在高優先順序的流量上,您可以決定篩選串流至來源適用於 IoT 的 Defender 的流量。 擷取篩選是透過 OT 感應器 CLI 來設定,可讓您封鎖硬體層的高頻寬流量,以最佳化設備效能和資源使用量。
如需詳細資訊,請參閱