控制由 適用於 IoT 的 Microsoft Defender 監控的 OT 流量

本文是一系列文章之一,描述使用 適用於 IoT 的 Microsoft Defender 部署 OT 的路徑

進度條示意圖,標示了微調OT監控。

適用於 IoT 的 Microsoft Defender OT 網路感測器能自動執行 IT 與 OT 流量的深度封包偵測,解析網路裝置資料,如裝置屬性與行為。

安裝、啟用並設定您的 OT 網路感測器後,請使用本文描述的工具來分析自動偵測到的流量,必要時新增子網,並控制 Defender for IoT 警示中包含的流量資訊。

必要條件

在執行本文所述程序前,您必須具備:

此步驟由您的部署團隊執行。

分析你的部署

在將新的 OT 網路感測器導入 適用於 IoT 的 Microsoft Defender 後,透過分析監控流量來驗證感測器部署正確。

分析你的網絡

  1. 以管理員身份登入你的 OT 感測器,選擇系統設定>Basic>Deployment

  2. 選擇 分析。 分析開始,並顯示每個由感測器監控的介面分頁。 每個分頁顯示由所指示介面偵測到的子網路。

  3. 每個介面分頁會顯示以下細節:

    • 連線狀態,由分頁名稱中的綠色或紅色連線圖示顯示。 例如,在上方圖片中, eth1 介面顯示為綠色,因此是連通的。
    • 檢出的子網和 VLAN 總數,顯示於分頁頂端。
    • 每個子網偵測到的協議。
    • 每個子網偵測到的單播地址數量。
    • 每個子網是否偵測到廣播流量,顯示為本地網路。

  4. 等待分析完成後,檢查每個介面分頁,了解該介面是否監控相關流量,或是否需要進一步微調。

如果 部署 頁面顯示的流量與你預期不符,你可能需要微調部署,例如更改感測器在網路中的位置,或確認監控介面是否正確連接。 如果你做了任何變更,想再次分析流量是否改善,請選擇「再次 分析 」以查看更新的監控狀態。

微調你的子網清單

在分析感測器監控的流量並微調部署後,你可能需要進一步微調子網清單。 請使用此程序確保子網路設定正確。

雖然你的 OT 感測器會在初始部署時自動學習你的網路子網,但我們建議分析偵測到的流量並視需要更新,以優化你的地圖視圖和裝置庫存。

同時也使用此程序定義子網路設定,決定裝置在感測器裝置地圖Azure 裝置清單中的顯示方式。

  • 在裝置地圖中,IT 裝置會自動依子網彙整,你可以展開或摺疊每個子網路視圖,視需要深入分析。
  • 在Azure裝置清單中,子網設定好後,使用網路位置 (公開預覽) 篩選器,查看子網清單中定義的本地路由裝置。 所有與列出子網相關的裝置都會顯示為 本地,而未包含在清單中偵測到的子網路的裝置則會顯示 為路由中

雖然 OT 網路感測器會自動學習您網路中的子網,但我們建議您確認已學到的設定,並視需要更新,以優化您的地圖視圖與裝置庫存。 任何未列為子網的子網都被視為外部網路。

提示

當你準備好開始大規模管理你的 OT 感測器設定時,請從 Azure 入口網站定義子網路。 一旦你從 Azure 入口網站套用設定,感測器主控台上的設定就是唯讀的。 欲了解更多資訊,請參閱Azure 入口網站 (公開預覽) 中的「配置 OT 感測器設定」。

要微調偵測到的子網

  1. 以管理員身份登入你的 OT 感測器,選擇系統設定>基本>子網。 例如:

    OT 感測器設定中子網頁面的截圖。

  2. 請使用以下任一選項更新列出的子網路:

    名稱 描述
    匯入子網 匯入一個子網路定義的 .CSV 檔案。 子網路資訊會依照你匯入的資訊更新。 如果你匯入一個空欄位,該欄位的資料就會遺失。
    出口子網 將目前列出的子網路匯出成 .CSV 檔案。
    全部清空 清除所有目前定義的子網。
    自動子網學習 預設選擇。 請清除此選項,以防止感測器自動偵測到你的子網。
    將所有網際網路流量解析為內部/私人 選擇將所有公共 IP 位址視為私密的本地位址。 若選擇公網 IP 位址,將視為本地位址,且不會發送未授權網路活動的警示。

    此選項減少收到的外部地址通知與警示。
    IP 位址 定義子網的 IP 位址。
    Mask 定義子網的 IP 遮罩。
    名稱 我們建議您輸入一個有意義的名稱,以明確表示子網的網路角色。 子網路名稱最多可包含 60 個字元。
    隔離 在依據普渡大學等級顯示裝置地圖時,選擇單獨顯示此子網路。
    移除子網路 選擇移除與你的物聯網/OT 網路範圍無關的子網路。

    在子網網格中,標記為 ICS 子網 的子網被識別為 OT 網路。 這個選項在這個網格中是唯讀的,但如果有 OT 子網沒被正確辨識,你可以 手動定義為 ICS

  3. 完成後,選擇 儲存 以儲存你的更新。

提示

一旦自動子網學習設定被停用,且子網清單已編輯為只包含屬於 IoT/OT 範圍的本地監控子網,你可以依網路位置篩選 Azure 裝置清單,只查看定義為本地的裝置。 欲了解更多資訊,請參閱 查看裝置庫存

手動定義子網路為 ICS

如果你有一個 OT 子網,感測器沒有自動標記為 ICS 子網,請將該子網中任一裝置的裝置類型編輯成 ICS 或物聯網裝置類型。 感測器會自動標記該子網為 ICS 子網。

注意事項

若要手動更改標記為 ICS 的子網路,請在 OT 感測器的裝置清單中更改裝置類型。 在 Azure 入口網站中,子網路清單中的子網預設在感測器設定中標記為 ICS。

要更改裝置類型以手動更新子網路:

  1. 登入你的 OT 感應器主控台,然後進入裝置庫存。

  2. 在裝置清單網格中,從相關子網路選擇一個裝置,然後在頁面頂端的工具列選擇 「編輯 」。

  3. 類型 欄位中,從下拉選單中選擇 ICS物聯網下的裝置類型。

該子網現在會在感測器中標記為 ICS 子網。

欲了解更多資訊,請參閱 編輯裝置詳情

自訂埠名與 VLAN 名稱

請依照以下程序,透過自訂 OT 網路感測器上的埠號與 VLAN 名稱,豐富 Defender for IoT 中顯示的裝置資料。

例如,你可能想為一個非保留埠口設定一個異常活躍的埠號名稱,以便快速識別,或為 VLAN 號碼指派名稱以加快識別速度。

注意事項

對於雲端連接的感測器,你最終可能會從 Azure 入口網站開始設定 OT 感測器的設定。 一旦你開始從 Azure 入口網站設定,OT 感測器上的 VLAN埠命名窗格就是唯讀的。 欲了解更多資訊,請參閱 Azure 入口網站的「配置 OT 感測器設定」。

自訂偵測到埠的名稱

Defender for IoT 會自動為大多數通用保留埠(如 DHCP 或 HTTP)分配名稱。 不過,你可能想自訂特定埠名來標示它,例如當你觀看偵測到異常高活動的埠口時。

在 Defender for IoT 中,當從 OT 感測器 的裝置地圖查看裝置群組,或建立包含埠資訊的 OT 感測器報告時,埠名會顯示出來。

要自訂埠名:

  1. 管理員身份登入你的 OT 感測器。

  2. 選擇 系統設定 ,然後在 網路監控中選擇 埠命名

  3. 在出現的 港口命名 面板中,輸入你想命名的港口號碼、港口的協議,以及一個有意義的名稱。 支援的協定值包括:TCP、UDP兩者皆有。

  4. 選擇 + 新增埠 口來自訂另一個埠口,完成後 再儲存

自訂 VLAN 名稱

VLAN 要麼由 OT 網路感測器自動發現,要麼是手動新增。 自動發現的 VLAN 無法編輯或刪除,但手動新增的 VLAN 需要唯一名稱。 如果 VLAN 沒有明確命名,則會顯示 VLAN 的編號。

VLAN 的支援基於 802.1q (至 VLAN ID 4094) 。

要在 OT 網路感測器上設定 VLAN 名稱:

  1. 管理員身份登入你的 OT 感測器。

  2. 選擇 系統設定 ,然後在 網路監控中選擇 VLAN 命名

  3. 在出現的 VLAN 命名 面板中,輸入一個 VLAN ID 和唯一的 VLAN 名稱。 VLAN 名稱最多可包含 50 個 ASCII 字元。

  4. 選擇 + 新增 VLAN 以自訂另一個 VLAN,完成後 再儲存

  5. 對於 Cisco 交換器:在 SPAN 埠配置中新增 monitor session 1 destination interface XX/XX encapsulation dot1q 指令,其中 XX/XX 為埠的名稱與號碼。

定義 DNS 伺服器

透過配置多台 DNS 伺服器來執行反向查詢,並解析與網路子網偵測到 IP 位址相關的主機名稱或 FQDN,以增強裝置資料豐富度。 例如,如果感測器發現一個 IP 位址,可能會查詢多台 DNS 伺服器以解析主機名稱。 你需要 DNS 伺服器位址、伺服器埠口和子網路位址。

定義 DNS 伺服器查詢

  1. 在你的 OT 感測器主控台上,選擇 系統設定>網路監控 ,然後在 主動發現中選擇 反向 DNS 查詢

  2. 使用 排程反向查詢 選項,將掃描定義為固定間隔、每小時或特定時間。

    如果你選擇按特定時間,請使用24小時制,例如下午2:3014:30。 點選 + 側邊的按鈕,可以新增你想讓查詢執行的特定時間。

  3. 選擇 新增 DNS 伺服器,然後依需求填入欄位以定義以下欄位:

    • DNS 伺服器位址,也就是 DNS 伺服器的 IP 位址
    • DNS 伺服器埠
    • 標籤數量,也就是你想顯示的網域標籤數量。 要取得這個值,請將網路 IP 位址解析為裝置 FQDN。 此欄位最多可輸入30個字元。
    • ,也就是你希望 DNS 伺服器查詢的子網

  4. 切換頂部的 啟用 選項,依照排程開始反向查詢查詢,然後選擇 儲存 完成設定。

更多資訊請參閱「設定反向 DNS 查詢」。

測試 DNS 設定

用測試裝置驗證你設定的反向 DNS 查詢設定是否如預期運作。

  1. 在你的感應器控制台上,選擇系統設定>的網路監控,然後在主動發現中選擇反向 DNS 查詢

  2. 確定「 啟用 」開關被選中。

  3. 選擇 測試

  4. 在伺服器的 DNS 反向查詢測試 對話框中,輸入一個查詢 位址 ,然後選擇 測試

設定 DHCP 位址範圍

你的 OT 網路可能同時包含靜態和動態 IP 位址。

  • 靜態位址 通常透過歷史管理員、控制器及網路基礎設施裝置(如交換器和路由器)在 OT 網路上找到。
  • 動態IP分配 通常在訪客網路上實現,使用筆記型電腦、個人電腦、智慧型手機及其他可攜式設備,並在不同地點使用 Wi-Fi 或區域網路的物理連線。

如果你在處理動態網路,你需要在 IP 位址變更時即時處理,方法是在每個 OT 網路感測器上定義 DHCP 位址範圍。 當 IP 位址被定義為 DHCP 位址時,Defender for IoT 會識別同一裝置上發生的任何活動,無論 IP 位址是否變動。

定義 DHCP 位址範圍

  1. 登入你的 OT 感測器,選擇系統設定>、網路監控>、DHCP 範圍

  2. 執行下列其中一項:

    • 若要新增單一範圍,請選擇 + 新增範圍 ,輸入 IP 位址範圍及可選的範圍名稱。
    • 要新增多個範圍,請建立一個 .CSV 檔案,每個範圍的 「起件人」、「 收件人」和 「名稱 」資料欄位。 選擇 匯入(Import )將檔案匯入到你的 OT 感測器。 從 .CSV 檔案匯入的距離值會覆寫目前感測器設定的所有距離資料。
    • 要將目前設定的範圍匯出成 .CSV 檔案,請選擇 匯出
    • 要清除所有目前設定的範圍,請選擇 「全部清除」。

    範圍名稱最多可包含 256 個字元。

  3. 選取 [儲存] 以儲存變更。

(進階) 配置流量擷取過濾器

為了減少警示疲勞並將網路監控重點放在高優先級流量,你可以選擇在源頭過濾流入 Defender for IoT 的流量。 擷取過濾器透過 OT 感測器 CLI 配置,允許您在硬體層阻擋高頻寬流量,優化設備效能與資源使用。

欲了解更多資訊,請參閱 流量擷取過濾器

後續步驟

「在OT感測器上設定代理設定

驗證並更新您偵測到的裝置庫存 »

  • Last updated on