準備 OT 網站部署
本文是系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑。
![進度列的圖表,其中已醒目提示 [計劃和準備]。](../media/deployment-paths/progress-plan-and-prepare.png#lightbox)
若要完整監視您的網路,您需要能夠檢視網路中的所有端點裝置。 適用於 IoT 的 Microsoft Defender 會鏡像處理流經網路裝置前往適用於 IoT 的 Defender 網路感應器的流量。 OT 網路感應器接著會分析您的流量資料、觸發警示、產生建議,並將資料傳送至 Azure 中的適用於 IoT 的 Defender。
本文可協助您規劃應將 OT 感應器放在網路中的什麼地方,以便系統可以根據所需來鏡像處理您想要監視的流量,以及協助您規劃如何準備網站以部署感應器。
必要條件
在為特定網站規劃 OT 監視之前,請先確定您已規劃整體 OT 監視系統。
此步驟是由您的結構小組所執行。
了解適用於 IoT 的 Defender 的監視架構
請使用下列文章來深入了解網路和適用於 IoT 的 Defender 系統中的元件和架構:
建立網路圖
每個組織的網路各有其複雜性。 請建立會徹底列出您網路中所有裝置的網路對應圖,以便您可以識別想要監視的流量。
在建立網路圖時,請使用下列問題來識別並記下網路中的不同元素及其通訊方式。
一般問題
您的整體監視目標為何?
您是否有任何備援網路,以及是否有不需要監視而且可以忽略的網路對應區域?
網路的安全性和作業風險在哪裡?
網路問題
受監視網路上有哪些作用中的通訊協定?
網路設計中是否設定 VLAN?
受監視網路中是否有任何路由?
網路中是否有任何序列通訊?
防火牆安裝在您要監視的網路中的什麼地方?
產業控制 (ICS) 網路與企業的商用網路之間是否有流量? 如果有,此流量是否受到監視?
您的交換器與企業防火牆之間的實體距離多遠?
OT 系統是使用固定式裝置還是暫時性裝置來進行維護?
交換器問題
如果交換器不受控,您可以監視來自較高層級交換器的流量嗎? 例如,如果您的 OT 架構使用環狀拓撲,則環中只有一個交換器需要監視。
非受控交換器是否可以受控交換器代替,或可選擇使用網路 TAP?
您是否可以監視交換器的 VLAN,或者,是否可以在另一個可以監視的交換器中看到 VLAN?
如果您將網路感應器連線到交換器,其會為 HMI 與 PLC 之間的通訊進行鏡像處理嗎?
如果您想要將網路感應器連線到交換器,交換器的機櫃中是否有實體機架空間可供使用?
每個交換器的監視成本/效益為何?
識別您想要監視的裝置和子網路
您想要監視並鏡像處理到適用於 IoT 的 Defender 網路感應器的流量,是從安全性或作業觀點來看您最感興趣的流量。
請與網站工程師一起檢閱 OT 網路圖,以定義可找到最相關的流量來監視的位置。 我們的建議是,請與網路小組和作業小組開會,以釐清預期。
與您的小組一起,使用下列詳細資料建立您想要監視的裝置資料表:
| 規格 | 描述 |
|---|---|
| 廠商 | 裝置的製造廠商 |
| 裝置名稱 | 可供持續使用和參考的有意義名稱 |
| 類型 | 裝置類型,例如:交換器、路由器、防火牆、存取點等等 |
| 網路層 | 您要監視的裝置為 L2 裝置還是 L3 裝置: - L2 裝置是 IP 區段內的裝置 - L3 裝置是 IP 區段外的裝置 若裝置同時支援這兩層,則可將其視為 L3 裝置。 |
| 跨 VLAN | 任何跨裝置之 VLAN 的識別碼。 例如,檢查每個 VLAN 上的跨距樹狀目錄作業模式,查看其是否跨越相關聯的連接埠,以確認這些 VLAN 識別碼。 |
| 閘道歸屬 | 裝置作為預設閘道的 VLAN。 |
| 網路詳細資料 | 裝置的 IP 位址、子網路、D-GW 和 DNS 主機 |
| 通訊協定 | 裝置上使用的通訊協定。 針對適用於 IoT 的 Defender 現成支援的通訊協定清單來比較您的通訊協定。 |
| 支援的流量鏡像 | 定義每個裝置支援的流量鏡像類型,例如 SPAN、RSPAN、ERSPAN 或 TAP。 使用這項資訊來為您的 OT 感應器選擇流量鏡像方法。 |
| 由合作夥伴服務管理? | 描述合作夥伴服務 (例如 Siemens、Rockwell 或 Emerson) 是否管理裝置。 如果有關聯性,則描述管理原則。 |
| 序列連線 | 如果裝置透過序列連線來通訊,請指定序列通訊協定。 |
計算網路中的裝置
計算每個站台中的裝置數目,以便您以正確的大小購買適用於 IoT 的 Defender 授權。
若要計算每個站台中的裝置數目:
收集站台中的裝置總數,並將它們加在一起。
請移除下列任何裝置,因為對適用於 IoT 的 Defender 來說這「不會」被視為個別的裝置:
- 公用網際網路 IP 位址
- 多點傳送群組
- 廣播群組
- 非使用中的裝置:已超過 60 天未偵測到網路活動的裝置
如需詳細資訊,請參閱適用於 IoT 的 Defender 所監視的裝置。
規劃多感應器部署
如果您打算部署多個網路感應器,則在決定感應器的放置位置時,也請考慮下列建議:
實際連接的交換器:若為透過乙太網路纜線實際連接的交換器,請務必在交換器之間每隔 80 公尺的距離就規劃至少一個感應器。
沒有實際連接的多個網路:如果您有多個網路,且網路彼此之間沒有任何實體連線,則請為每個個別網路規劃至少一個感應器
具有 RSPAN 支援的交換器:如果您有可以使用 RSPAN 流量鏡像的交換器,請使用本機 SPAN 連接埠,每八個交換器就規劃至少一個感應器。 請規劃將感應器放在離交換器夠近的地方,以便可以透過纜線連接彼此。
建立子網路清單
根據您想要在整個網路上監視的裝置清單,建立您想要監視的子網路彙總清單。
在部署感應器之後,請使用此清單來確認系統可自動偵測到所列出的子網路,並視需要手動更新此清單。
列出所規劃的 OT 感應器
在了解您想要鏡像處理到適用於 IoT 的 Defender 的流量之後,請建立要上線的所有 OT 感應器的完整清單。
針對每個感應器,列出:
感應器會是雲端連線感應器還是本機管理的感應器
若為雲端連線感應器,則列出您會使用的雲端連線方法。
您會為感應器使用實體設備還是虛擬設備,並考慮要符合服務品質 (QoS) 所需要的頻寬。 如需詳細資訊,請參閱我需要哪些設備?(英文)
您會指派給每個感應器的網站和區域。
從相同網站或區域中的感應器擷取的資料可以一起檢視,從系統中的其他資料分割。 如果有您想要在相同網站或區域中群組在一起檢視的感應器資料,請確定據以指派感應器網站和區域。
您會用於每個感應器的流量鏡像方法
當網路隨時間擴展時,您可以讓更多感應器上線,或修改現有的感應器定義。
重要
建議您檢查期望每個感應器偵測之裝置的特性,例如 IP 和 MAC 位址。 在具有相同裝置特性邏輯集合的相同區域中所偵測到的裝置,會自動合併並識別為相同的裝置。
例如,如果您正在使用多個網路和週期性 IP 位址,請務必使用不同的區域來規劃每個感應器,以便將裝置正確識別為不同的唯一裝置。
如需詳細資訊,請參閱分隔週期性 IP 範圍的區域。
準備內部部署設備
如果您使用虛擬設備,請確定您已設定相關的資源。 如需詳細資訊,請參閱使用虛擬設備進行 OT 監視。
如果您使用實體設備,則請確定您有所需的硬體。 您可以購買預先設定的設備,或規劃在自己的設備上安裝軟體。
若要購買預先設定的設備:
- 前往 Azure 入口網站中適用於 IoT 的 Defender。
- 選取 [開始使用]>[感應器]>[購買預先設定的設備]>[連絡]。
此連結會對 hardware.sales@arrow.com 開啟一則電子郵件,內含適用於 IoT 的 Defender 設備的範本要求。
如需詳細資訊,請參閱我需要哪些設備?(英文)
準備輔助硬體
如果您使用的是實體設備,請確定您有下列額外的硬體可供每個實體設備使用:
- 監視器和鍵盤
- 機架空間
- AC 電源
- 將設備管理連接埠連接到網路交換器的 LAN 纜線
- 將鏡像 (SPAN) 連接埠和網路終端存取點 (TAP) 連接到設備的 LAN 纜線
準備設備網路詳細資料
當您準備好設備時,請為每個設備列出下列詳細資料:
- IP 位址
- 子網路
- 預設閘道
- 主機名稱
- DNS 伺服器 (選擇性),以及 DNS 伺服器 IP 位址和主機名稱
準備部署工作站
準備可從其中執行適用於 IoT 的 Defender 部署活動的工作站。 此工作站可以是 Windows 或 Mac 機器,且具有下列需求:
終端機軟體,例如 PuTTY
支援用於連線到感應器主控台和 Azure 入口網站的瀏覽器。 如需詳細資訊,請參閱 Azure 入口網站的建議瀏覽器。
已設定所需的防火牆規則,並為所需的介面開啟存取權。 如需詳細資訊,請參閱網路需求。
準備 CA 簽署的憑證
建議您在生產部署中使用 CA 簽署的憑證。
請確定您了解內部部署資源的 SSL/TLS 憑證需求。 如果您要在初始部署期間部署 CA 簽署的憑證,請確定已備妥憑證。
如果您決定使用內建的自我簽署憑證來進行部署,建議您稍後在生產環境中部署 CA 簽署的憑證。
如需詳細資訊,請參閱