針對適用於 IoT 的 Microsoft Defender 準備您的 OT 網路

本文說明如何設定 OT 網路,以與適用於 IoT 的 Microsoft Defender 元件搭配運作,這些元件包括 OT 網路感應器、Azure 入口網站,以及選擇性的內部部署管理主控台。

OT 網路感應器使用無代理程式的專利技術來探索、了解及持續監視網路裝置,以深入檢視 OT/ICS/IoT 風險。 感應器會在實地執行資料收集、分析和警示,使其適合於低頻寬或高延遲的位置。

本文適用於操作和管理 OT 和 IoT 網路的人員,例如自動化工程師、工廠管理員、OT 網路基礎結構服務供應商、網路安全性小組、CISO 和 CIO。

建議您搭配我們的部署前檢查清單一起使用本文。

請連絡 Microsoft 支援服務尋求協助及支援。

先決條件

執行本文中的程序前,請確定您了解自己的網路架構,以及如何連線到適用於 IoT 的 Defender。 如需詳細資訊,請參閱

現場部署工作

在網路上部署適用於 IoT 的 Defender 之前,請先執行本節中的步驟。

請務必按照方法執行每個步驟,要求資訊並檢閱您收到的資料。 準備並設定網站,然後驗證設定。

收集網站資訊

記錄下列網站資訊:

  • 感應器管理網路資訊。

  • 網站的網路結構。

  • 實體環境。

  • 系統整合。

  • 已規劃的使用者認證。

  • 設定工作站。

  • TLS/SSL 憑證 (選擇性但建議採用)。

  • SMTP 驗證 (選用)。 若要使用 SMTP 伺服器進行驗證,請準備伺服器所需的登入資訊。

  • DNS 伺服器 (選用)。 準備 DNS 伺服器的 IP 和主機名稱。

準備設定工作站

若要準備 Windows 或 Mac 工作站

  • 請確保您可以連線至感應器管理介面。

  • 請確保您有終端機軟體 (例如 PuTTY) 或支援的瀏覽器。 支援的瀏覽器包含最新版的 Microsoft Edge、Chrome、Firefox 或 Safari (Mac)。

    如需詳細資訊,請參閱 Azure 入口網站的建議瀏覽器

  • 請確保工作站上已開啟必要的防火牆規則。 確認您的組織安全性原則允許視需要存取。 如需詳細資訊,請參閱網路需求

設定憑證

安裝適用於 IoT 的 Defender 感應器或內部部署管理主控台軟體之後,會產生本機、自我簽署憑證,並用以存取感應器 Web 應用程式。

首次登入適用於 IoT 的 Defender 時,系統會提示系統管理員使用者提供 SSL/TLS 憑證。 預設會啟用選用憑證驗證。

建議您在開始部署之前,先準備好您的憑證。 如需詳細資訊,請參閱適用於 IoT 的 Defender 安裝關於憑證

規劃機架安裝

若要規劃機架安裝

  1. 為設備網路設定準備監視器和鍵盤。

  2. 為設備配置機架空間。

  3. 準備好用於設備的 AC 電源。

  4. 準備 LAN 纜線,以將管理連線到網路交換器。

  5. 準備 LAN 纜線以連線交換器 SPAN (鏡像) 連接埠和網路終端存取點到適用於 IoT 的 Defender 設備。

  6. 使用下列其中一種方法,在鏡像交換器中設定、連接及驗證 SPAN 埠:

    方法 描述
    交換器 SPAN 連接埠 將交換器上介面的本機流量鏡像到相同交換器上的不同介面。
    遠端 SPAN (RSPAN) 將來自多個分散式來源埠的流量鏡像到專用的遠端 VLAN。
    TAP) 主動或被動匯總 ( 藉由安裝主動或被動匯總終端機存取點來鏡像流量, (TAP) 內嵌到網路纜線。
    ERSPAN 當您需要使用特定的 Cisco 路由器和交換器時,需要跨第 3 層網域擴充受監視流量時,使用 ERSPAN 封裝的鏡像流量。
    ESXi vSwitch 在虛擬交換器環境中使用 [不對稱] 模式 作為設定監視埠的因應措施。
    Hyper-V vSwitch 在虛擬交換器環境中使用 [不對稱] 模式 作為設定監視埠的因應措施。

    注意

    SPAN 和 RSPAN 是 Cisco 術語。 其他品牌的交換器具有類似的功能,但可能使用不同的術語。

  7. 將已設定的 SPAN 連接埠連線到執行 Wireshark 的電腦,並確認連接埠已正確設定。

  8. 開啟所有相關的防火牆連接埠。

驗證網路

準備好網路後,請使用本節中的指導來驗證您是否準備好部署適用於 IoT 的 Defender。

嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。 此範例會:

  • 驗證交換器是否已正確設定。

  • 確認通過交換器的流量是否與監視 (OT 流量) 相關。

  • 識別此交換器中的頻寬和估計裝置數目。

例如,您可以透過 Wireshark 應用程式將筆記型電腦連線至已設定好的 SPAN 連接埠,以記錄數分鐘的範例 PCAP 檔案。

若要使用 Wireshark 驗證網路

  • 檢查記錄流量中是否有單點傳播封包。 單點傳播是從一個位址到另一個位址。 如果大部分的流量都是 ARP 訊息,則切換設定不正確。

  • 前往 [統計資料]>[通訊協定階層]。 確認產業 OT 通訊協定已存在。

例如:

Wireshark 驗證的螢幕擷取畫面。

網路連線需求

使用下表來確保工作站上已開啟必要的防火牆,並確認您的組織安全性原則允許必要的存取。

使用者存取感應器和管理主控台

通訊協定 傳輸 輸入/輸出 連接埠 已使用 目的 來源 Destination
SSH TCP 輸入/輸出 22 CLI 存取 CLI Client 感應器和內部部署管理主控台
HTTPS TCP 輸入/輸出 443 存取感應器和內部部署管理主控台 Web 主控台 存取 Web 主控台 Client 感應器和內部部署管理主控台

感應器存取 Azure 入口網站

通訊協定 傳輸 輸入/輸出 連接埠 目的 來源 Destination
HTTPS TCP 443 存取 Azure Sensor OT 網路感應器會連線到 Azure,以提供警示和裝置資料和感應器健康情況訊息、存取威脅情報套件等等。 已連線的 Azure 服務包括IoT 中樞、Blob 儲存體、事件中樞,以及Microsoft下載中心。

針對 OT 感應器 22.x 版:從Azure 入口網站中的[網站和感應器] 頁面下載清單。 選取軟體版本 22.x 或更高版本的 OT 感應器,或具有一或多個支援感應器版本的月臺。 然後,選取 [更多選項 > ] [下載端點詳細資料]。 如需詳細資訊,請參閱 Azure 入口網站的感應器管理選項

針對 OT 感應器 10.x版: *.azure-devices.net
*.blob.core.windows.net
*.servicebus.windows.net
download.microsoft.com

感應器存取內部部署管理主控台

通訊協定 傳輸 輸入/輸出 連接埠 已使用 目的 來源 Destination
NTP UDP 輸入/輸出 123 時間同步 將 NTP 連線至內部部署管理主控台 Sensor 內部部署管理主控台
TLS/SSL TCP 輸入/輸出 443 授與感應器存取內部部署管理主控台的權限。 感應器與內部部署管理主控台之間的連線 Sensor 內部部署管理主控台

外部服務的其他防火牆規則 (選用)

開啟這些連接埠,以允許適用於 IoT 的 Defender 的額外服務。

通訊協定 傳輸 輸入/輸出 連接埠 已使用 目的 來源 Destination
SMTP TCP 25 電子郵件 用來開啟客戶的電子郵件伺服器,以便傳送警示和事件的電子郵件 感應器和內部部署管理主控台 電子郵件伺服器
DNS TCP/UDP 輸入/輸出 53 DNS DNS 伺服器連接埠 內部部署管理主控台和感應器 DNS 伺服器
HTTP TCP 80 上傳憑證時,CRL 會下載憑證驗證。 存取 CRL 伺服器 感應器和內部部署管理主控台 CRL 伺服器
WMI TCP/UDP 135, 1025-65535 監控 Windows 端點監視 Sensor 相關網路元素
SNMP UDP 161 監控 監視感應器的健康情況 內部部署管理主控台和感應器 SNMP 伺服器
LDAP TCP 輸入/輸出 389 Active Directory 允許有權限的使用者管理 Active Directory 以登入系統 內部部署管理主控台和感應器 LDAP 伺服器
Proxy TCP/UDP 輸入/輸出 443 Proxy 將感應器連線到 Proxy 伺服器 內部部署管理主控台和感應器 Proxy 伺服器
syslog UDP 514 LEEF 從內部部署管理主控台傳送至 Syslog 伺服器的記錄 內部部署管理主控台和感應器 Syslog 伺服器
LDAPS TCP 輸入/輸出 636 Active Directory 允許有權限的使用者管理 Active Directory 以登入系統 內部部署管理主控台和感應器 LDAPS 伺服器
隧道 TCP 9000

除了連接埠 443 之外

允許從感應器或終端使用者存取內部部署管理主控台

連接埠 22:從感應器到內部部署管理主控台
監控 隧道 端點、感應器 內部部署管理主控台

選擇雲端連線方法

如果您要設定 OT 感應器並將其連線到雲端,請了解支援的雲端連線方法,並確保依需要連線至感應器。

如需詳細資訊,請參閱

疑難排解

本節提供針對適用於 IoT 部署的 Defender 準備網路時的常見問題疑難排解。

無法使用 Web 介面進行連線

  1. 確認您嘗試連線的電腦與設備位於相同的網路上。

  2. 確認 GUI 網路已連線到感應器上的管理連接埠。

  3. 偵測裝置的 IP 位址。 如果沒有 Ping 的回應:

    1. 將顯示器和鍵盤連接到設備。

    2. 使用 support 的使用者和密碼來登入。

    3. 使用 network list 命令來查看目前的 IP 位址。

  4. 如果網路參數設定錯誤,請使用下列程序來加以變更:

    1. 使用命令 network edit-settings

    2. 若要變更管理網路 IP 位址,請選取 [Y]。

    3. 若要變更子網路遮罩,請選取 [Y]。

    4. 若要變更 DNS,請選取 [Y]。

    5. 若要變更預設閘道 IP 位址,請選取 [Y]。

    6. 若要變更輸入介面 (僅限感應器),請選取 [Y]。

    7. 針對橋接器介面,請選取 [N]。

    8. 若要套用設定,請選取 [Y]。

  5. 重新開機後,請與使用者支援連線,並使用 network list 命令來確認參數已變更。

  6. 再次嘗試偵測並從 GUI 連線。

設備沒有回應

  1. 將顯示器和鍵盤連線到設備,或使用 PuTTY 遠端連線到 CLI。

  2. 使用 support 的認證登入。

  3. 使用 system sanity 命令,並檢查所有流程是否正在執行。

    system sanity 命令的螢幕擷取畫面。

如果有任何問題,請連絡 Microsoft 支援服務

後續步驟

如需詳細資訊,請參閱