準備 OT 月臺部署
本文是一系列文章中的一篇,描述使用 ioT Microsoft Defender進行 OT 監視的部署路徑。
若要完全監視您的網路,您需要在您的網路中所有端點裝置上可見度。 適用于 IoT 的Microsoft Defender會鏡像透過網路裝置移至適用于 IoT 的 Defender 網路感應器的流量。 OT 網路感應器 接著會分析您的流量資料、觸發警示、產生建議,並將資料傳送至 Azure 中的適用于 IoT 的 Defender。
本文可協助您規劃將 OT 感應器放在網路中的位置,讓您想要監視的流量視需要鏡像,以及如何準備月臺以進行感應器部署。
必要條件
規劃特定月臺的 OT 監視之前,請確定您已 規劃整體 OT 監視系統。
此步驟是由您的架構小組所執行。
瞭解適用于 IoT 的 Defender 監視架構
使用下列文章深入瞭解網路和適用于 IoT 系統的 Defender 中的元件和架構:
建立網狀圖
每個組織的網路都會有自己的複雜度。 建立網路地圖圖,以徹底列出您網路中的所有裝置,以便識別您想要監視的流量。
建立網狀圖時,請使用下列問題來識別並記下網路中不同元素及其通訊方式的注意事項。
一般問題
您的整體監視目標為何?
您是否有任何備援網路,而且您的網路對應區域不需要監視,而且您可以忽略?
您的網路安全性和作業風險在哪裡?
網路問題
哪些通訊協定在受監視的網路上作用中?
網路設計中是否設定 VLAN?
受監視網路中是否有任何路由?
網路中是否有任何序列通訊?
您要監視的網路中會安裝防火牆的位置?
產業控制 (ICS) 網路與企業、商務網路之間是否有流量? 如果是,此流量是否受到監視?
交換器和企業防火牆之間的實體距離為何?
OT 系統維護是否使用固定或暫時性裝置來完成?
切換問題
如果交換器不是非受控參數,您可以監視來自較高層級交換器的流量嗎? 例如,如果您的 OT 架構使用 通道拓撲,則通道中只有一個交換器需要監視。
非受控交換器是否可以受控交換器代替,或可選擇使用網路 TAP?
您可以監視交換器的 VLAN,或可以在另一個可以監視的交換器中看到 VLAN 嗎?
如果您將網路感應器連線到交換器,它是否會鏡像 HMI 與 PLC 之間的通訊?
如果您想要將網路感應器連線到交換器,交換器封包中是否有可用的實體機架空間?
監視每個交換器的成本/優點為何?
識別您想要監視的裝置和子網
您想要監視和鏡像到適用于 IoT 的 Defender 網路感應器的流量,是從安全性或操作觀點對您最 感興趣的 流量。
請與您的網站工程師一起檢閱您的 OT 網狀圖,以定義您將找到最相關的流量以進行監視。 建議您同時與網路和營運小組合作,以厘清預期。
與您的小組一起建立您想要監視的裝置資料表,詳細資料如下:
規格 | 描述 |
---|---|
廠商 | 裝置的製造廠商 |
裝置名稱 | 持續使用和參考的有意義名稱 |
類型 | 裝置類型,例如: 交換器、 路由器、 防火牆、 存取點等等 |
網路層 | 您要監視的裝置為 L2 或 L3 裝置: - L2 裝置 是 IP 區段中的裝置 - L3 裝置 是 IP 區段外部的裝置 支援這兩層的裝置可以視為 L3 裝置。 |
跨 VLAN | 任何跨裝置之 VLAN 的識別碼。 例如,藉由檢查每個 VLAN 上的跨越樹狀結構作業模式來確認這些 VLAN 識別碼,以查看它們是否跨越相關聯的埠。 |
的閘道 | 裝置作為預設閘道的 VLAN。 |
網路詳細資料 | 裝置的 IP 位址、子網、D-GW 和 DNS 主機 |
通訊協定 | 裝置上使用的通訊協定。 比較您的通訊協定與適用于 IoT 的 Defender 目前可用的 通訊協定清單 。 |
支援的流量鏡像 | 定義每個裝置支援何種類型的流量鏡像,例如 SPAN、RSPAN、ERSPAN 或 TAP。 使用此資訊來 為您的 OT 感應器選擇流量鏡像方法。 |
由合作夥伴服務管理? | 描述合作夥伴服務,例如「檔案」、「岩石」或「Emerson」是否管理裝置。 如果相關,請描述管理原則。 |
序列連線 | 如果裝置透過序列連線進行通訊,請指定序列通訊協定。 |
規劃多感應器部署
如果您打算部署多個網路感應器,在決定要放置感應器的位置時,也請考慮下列建議:
實體連線交換器:對於乙太網路纜線實際連接的交換器,請務必針對交換器之間每 80 公尺距離至少規劃一個感應器。
沒有實體連線的多個網路:如果您有多個網路,但沒有它們之間的任何實體連線,請為每個個別網路規劃至少一個感應器
具有 RSPAN 支援的交換器:如果您有可以使用 RSPAN 流量鏡像的交換器,請針對每八個交換器至少規劃一個感應器,並搭配本機 SPAN 埠。 規劃將感應器放在足夠的開關附近,讓您可以透過纜線連接它們。
建立子網清單
根據您想要在整個網路上監視的裝置清單,建立您想要監視的子網匯總清單。
部署感應器之後,您將使用此清單來確認自動偵測到列出的子網,並視需要手動更新清單。
列出您規劃的 OT 感應器
瞭解您想要鏡像到適用于 IoT 的 Defender 的流量之後,請建立您將上線的所有 OT 感應器完整清單。
針對每個感應器,列出:
感應器是否為 雲端連線或本機管理的感應器
針對雲端連線感應器,您將使用的 雲端連線方法 。
無論您將針對感應器使用實體或虛擬裝置,請考慮您需要的頻寬,以取得服務品質 (QoS) 。 如需詳細資訊,請參閱我需要哪些設備?
您將指派給每個感應器的 月臺和區域 。
從相同月臺或區域中的感應器擷取的資料可以一起檢視,並分割出系統中的其他資料。 如果您想要檢視群組在相同網站或區域中的感應器資料,請務必據以指派感應器月臺和區域。
您將用於每個感應器的流量鏡像方法
當網路隨著時間擴充時,您可以上線更多感應器,或修改現有的感應器定義。
重要
建議您檢查您預期每個感應器偵測到的裝置特性,例如 IP 和 MAC 位址。 在具有相同裝置特性之邏輯集的相同區域中偵測到的裝置會自動合併,並識別為相同的裝置。
例如,如果您要使用多個網路和週期性 IP 位址,請確定您使用不同的區域規劃每個感應器,讓裝置正確識別為個別且唯一的裝置。
如需詳細資訊,請參閱 分隔週期性 IP 範圍的區域。
準備內部部署設備
如果您使用虛擬裝置,請確定您已設定相關的資源。 如需詳細資訊,請參閱使用虛擬設備進行 OT 監視。
如果您使用實體設備,請確定您具有必要的硬體。 您可以購買 預先設定的設備,或規劃在您自己的設備 上安裝軟體 。
若要購買預先設定的設備:
- 前往 Azure 入口網站中適用於 IoT 的 Defender。
- 選取[> 開始使用感應器>購買預先設定的設備>連絡人]。
連結會開啟電子郵件給 hardware.sales@arrow.com ,其中包含適用于 IoT 的 Defender 設備的範本要求。
如需詳細資訊,請參閱我需要哪些設備?
準備輔助硬體
如果您使用實體設備,請確定每個實體設備都有下列額外的硬體可用:
- 監視器和鍵盤
- 機架空間
- AC 電源
- 將裝置管理埠連線到網路交換器的 LAN 纜線
- 用來將鏡像 (SPAN) 埠和網路終端機存取點的 LAN 纜線, (TAP) 連線到您的設備
準備設備網路詳細資料
當您準備好設備時,請為每個設備製作下列詳細資料的清單:
- IP 位址
- 子網路
- 預設閘道
- 主機名稱
- 具有 DNS 伺服器 IP 位址和主機名稱的 DNS 伺服器 (選擇性)
準備部署工作站
準備工作站,您可以在其中執行適用于 IoT 的 Defender 部署活動。 工作站可以是 Windows 或 Mac 電腦,具有下列需求:
終端機軟體,例如 PuTTY
支援連線至感應器主控台和Azure 入口網站的瀏覽器。 如需詳細資訊,請參閱 Azure 入口網站的建議瀏覽器。
已設定必要的防火牆規則,並開啟必要介面的存取權。 如需詳細資訊,請參閱網路需求。
準備 CA 簽署的憑證
建議您在生產部署中使用 CA 簽署的憑證。
請確定您瞭解 內部部署資源的 SSL/TLS 憑證需求。 如果您想要在初始部署期間部署 CA 簽署的憑證,請務必備妥憑證。
如果您決定使用內建的自我簽署憑證進行部署,建議您稍後在生產環境中部署 CA 簽署的憑證。
如需詳細資訊,請參閱