使用虛擬設備進行 OT 監視
本文是一系列文章中的一篇,說明使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑,並列出您想要在自己的虛擬設備上安裝適用於 IoT 的 Microsoft Defender 軟體時所需的規格。
注意
本文也包含內部部署管理主控台的相關資訊。 如需詳細資訊,請參閱實體隔離斷網 OT 感應器管理部署路徑。
關於 Hypervisor
用來執行客體作業系統的虛擬化硬體是由虛擬機器主機所提供,也稱為 Hypervisor。 適用於 IoT 的 Defender 支援下列 Hypervisor 軟體:
- VMware ESXi (5.0 版和更新版本)
- Microsoft Hyper-V (VM 設定 8.0 版和更新版本)
深入了解:
- 使用 VMware ESXi 部署 OT 感應器作為虛擬設備
- 使用 Microsoft Hyper-V 部署 OT 感應器作為虛擬設備
- 使用 VMware ESXi 部署內部部署管理主控台作為虛擬設備
- 使用 Microsoft Hyper-V 部署內部部署管理主控台作為虛擬設備
重要
其他類型的 Hypervisor,例如託管的 Hypervisor,也可以執行適用於 IoT 的 Defender。 不過,由於缺少專屬硬體控制和資源保留,因此實際執行環境不支援其他類型的 Hypervisor。 例如:Parallels、Oracle VirtualBox 和 VMware Workstation 或 Fusion
虛擬設備設計考量
本節概述用於 OT 感應器和內部部署監視主控台的虛擬設備元件考量事項。
| 規格 | 考量 |
|---|---|
| CPU | 指派專用的 CPU 核心 (也稱為釘選),至少 2.4 GHz,未動態配置。 CPU 使用量會很高,因為設備會持續記錄和分析網路流量。 CPU 效能對於擷取和分析網路流量非常重要,而且任何速度變慢都可能導致封包下降和效能降低。 |
| 記憶體 | RAM 應該以靜態方式配置給所需的容量,而不是動態配置。 因為感應器的持續進行網路流量記錄和分析,因此預期 RAM 使用率會很高。 |
| 網路介面 | 實體對應提供最佳效能、最低延遲和有效率的 CPU 使用量。 我們建議將 NIC 實際對應至具有 SR-IOV 或專用 NIC 的虛擬機器。 由於高流量監視層級,預期網路使用率會很高。 將 vSwitch 上的混合模式設定為 [接受],以允許所有流量傳送到 VM。 如果某些 vSwitch 未正確設定,則實作時可能會封鎖特定通訊協定。 |
| Storage | 請務必配置足夠的讀取和寫入 IOPS 和輸送量,以符合本文列出的設備效能。 由於流量監視量大,您應預期儲存體使用率會很高。 |
OT 網路感應器 VM 需求
下表列出虛擬設備上 OT 網路感應器的系統需求,以及我們在資格實驗室中測量的效能。
對於所有部署,虛擬機器的頻寬結果可能會有所不同,視通訊協定的分佈和可用的實際硬體資源而定,包括 CPU 模型、記憶體頻寬和 IOPS。
| 硬體設定檔 | 效能/監視 | 實體規格 |
|---|---|---|
| C5600 | 最大頻寬:2.5 Gb/秒 受監視的資產上限:12,000 |
vCPU:32 記憶體:32 GB 儲存體:5.6 TB (600 IOPS) |
| E1800 | 最大頻寬:800 Mb/秒 受監視的資產上限:10,000 |
vCPU:8 記憶體:32 GB 儲存體:1.8 TB (300 IOPS) |
| E1000 | 最大頻寬:800 Mb/秒 受監視的資產上限:10,000 |
vCPU:8 記憶體:32 GB 儲存體:1 TB (300 IOPS) |
| E500 | 最大頻寬:800 Mb/秒 受監視的資產上限:10,000 |
vCPU:8 記憶體:32 GB 儲存體:500 GB (300 IOPS) |
| L500 | 最大頻寬:160 Mb/秒 受監視的資產上限:1,000 |
vCPU:4 記憶體:8 GB 儲存體:500 GB (150 IOPS) |
| L100 | 最大頻寬:100 Mb/秒 受監視的資產上限:800 |
vCPU:4 記憶體:8 GB 儲存體:100 GB (150 IOPS) |
注意
不需要在 VM 上安裝作業系統,感測器安裝會包含作業系統映像。
內部部署管理主控台 VM 需求
虛擬設備上的內部部署管理主控台支援下列需求的企業部署:
| 規格 | 需求 |
|---|---|
| 硬體設定檔 | E1800 |
| vCPU | 8 |
| 記憶體 | 32 GB |
| 儲存體 | 1.8 TB |
| 受監視的感應器 | 最多 300 |