部署混合式或實體隔離斷網 OT 感應器管理

適用於 IoT 的 Microsoft Defender 提供威脅偵測和管理的完整解決方案，包括跨平行網路的涵蓋範圍，協助組織達成和維護 OT 環境的合規性。 適用於 IoT 的 Microsoft Defender 支援跨工業、能源和公用事業領域的組織，以及 NERC CIP 或 IEC62443 等合規性組織。

某些產業，例如政府機構、金融服務、核能業者和工業製造，會繼續使用實體隔離斷網網路。 實體隔離斷網網路與企業網路、來賓網路或網際網路等其他不安全的網路實際隔離。 適用於 IoT 的 Microsoft Defender 協助這些組織，遵守威脅偵測和管理、網路分割等全球標準。

雖然數位轉型已協助企業簡化營運並改善其損益底線，但經常在實體隔離斷網網路遇到阻力。 實體隔離斷網網路提供安全機制，但也使數位轉型複雜化。 例如，零信任這類架構設計，包括使用多重要素驗證，很難應用於實體隔離斷網網路。

實體隔離斷網網路通常用來儲存敏感資料，或控制未連線到任何外部網路的網路實體系統，因此較不容易受到網路攻擊。 不過，實體隔離斷網網路並不完全安全，仍可能遭到入侵。 因此務必要監視實體隔離斷網網路，偵測並回應任何潛在威脅。

本文說明部署混合式和實體隔離斷網安全解決方案的架構，包括保護及監視混合式和實體隔離斷網網路的難題和最佳做法。 建議您，將適用於 IoT 的 Microsoft Defender 感應器整合到現有的 IT 基礎結構，包括現場或遠端資源，而不是將所有適用於 IoT 的 Microsoft Defender 維護基礎結構保留在封閉式架構。 這個方法可確保安全性作業能夠順利運作、有效率且易於維護。

架構建議

下圖顯示我們對監視和維護適用於 IoT 的 Microsoft Defender 系統之建議的概略架構範例，其中每個 OT 感應器都會連線至位於雲端或內部部署的多個安全性管理系統。

在這個架構範例，三個感應器連線到組織不同邏輯區域的四個路由器。 感應器位於防火牆後方，與本機、內部部署 IT 基礎結構整合，例如本機備份伺服器、透過 SASE 的遠端存取連線，以及將警示轉寄至內部部署安全性事件和資訊管理 (SIEM) 系統。

在這個影像範例，警示、syslog 訊息及 API 的通訊以黑色實線表示。 內部部署管理通訊以紫色實線表示，而雲端/混合式管理通訊則是以黑色虛線表示。

混合式和實體隔離斷網之適用於 IoT 的 Microsoft Defender 架構指導協助您：

• 使用現有的組織基礎結構監視和管理 OT 感應器，減少額外硬體或軟體的需求
• 無論您使用雲端或內部部署，都請使用越來越可靠穩健的組織安全性堆疊整合
• 稽核及控制雲端和內部部署資源的存取權，確保 OT 環境的可見度和保護機制一致，與您的全球安全性小組共同作業
• 新增雲端型資源，增強並強化現有功能，例如威脅情報、分析和自動化，大幅提升您的 OT 安全系統

部署步驟

使用下列步驟，在實體隔離斷網或混合式環境部署適用於 IoT 的 Microsoft Defender 系統：

1. 根據您的計劃，完成部署每個 OT 網路感應器，如部署適用於 IoT 的 Microsoft Defender 以進行 OT 監視所述。

2. 針對每個感應器，請執行下列步驟：

   • 與合作夥伴 SIEM / syslog 伺服器整合，包括設定電子郵件通知。 例如：

     • 使用 Microsoft Sentinel 連線適用於 IoT 的 Microsoft Defender
     • 調查和偵測 IoT 裝置的威脅
     • 轉寄內部部署 OT 警示資訊

   • 使用適用於 IoT 的 Microsoft Defender API 建立管理儀表板。 如需詳細資訊，請參閱適用於 IoT 的 Defender API 參考。

   • 設定管理環境的 Proxy 或鏈結 Proxy。

   • 使用 SNMP MIB 伺服器或透過 CLI 設定狀況監控。 如需詳細資訊，請參閱

     • 在 OT 感應器上設定 SNMP MIB 狀況監控
     • 適用於 IoT 的 Microsoft Defender CLI 使用者和存取權

   • 設定伺服器管理介面存取權，例如透過 iDRAC 或 iLO。

   • 設定備份伺服器，包括將備份儲存至外部伺服器的設定。 如需詳細資訊，請參閱從感應器主控台備份及還原 OT 網路感應器。

從舊版內部部署管理主控台進行轉換

重要

2025 年 1 月 1 日之後，舊版內部部署管理主控台便不受到支援，也不供下載。 我們建議，在這個日期之前，使用完整的內部部署和雲端 API 轉換至新的架構。

我們目前的架構方針設計，比使用舊版內部部署管理主控台更有效率、更安全，也更可靠。 更新後的指導元件減少，維護和疑難排解更輕鬆。 用於新架構的智慧感應器技術，支援內部部署處理，減少對雲端資源的需求，並且改善效能。 更新後的指導，將資料保留在您自己的網路，提供比雲端運算更優異的安全機制。

如果您是使用內部部署管理控制台管理 OT 感應器的現有客戶，建議您轉換至更新的架構指導。 下列影像顯示新建議轉換步驟的圖示：

• 在舊版設定中，所有感應器都會連線到內部部署管理主控台。
• 轉換期間，將任何感應器連線到雲端時，感應器會繼續連線到內部部署管理主控台。
• 完全轉換之後，您會移除內部部署管理主控台的連線，儘量保留雲端連線。 任何必須保持實體隔離斷網的感應器，都可以從感應器 UI 直接存取。

使用下列步驟轉換架構：

1. 針對每個 OT 感應器，識別使用中的舊版整合，以及目前為內部部署安全性小組設定的權限。 例如，哪些備份系統已就緒？ 哪些使用者群組會存取感應器資料？

2. 視各站台需要，將感應器連線至內部部署環境、Azure 和其他雲端資源。 例如，連線到內部部署 SIEM、Proxy 伺服器、備份記憶體和其他合作夥伴系統。 您可能有多個站台，並採用混合式方法，但只有特定站台使用資料二極體保持實體隔離斷網或隔離。

   如需詳細資訊，請參閱實體隔離斷網部署程序連結的資訊，以及下列雲端資源：

   • 針對雲端管理佈建感應器
   • 企業 SOC 中的 OT 威脅監視
   • 保護企業的 IoT 裝置

3. 設定存取感應器的權限和更新程序，以符合新的部署架構。

4. 檢閱並驗證所有安全性使用案例和程序，皆已轉換為新架構。

5. 轉換完成後，解除內部部署管理主控台。

淘汰時程表

內部部署管理主控台淘汰包含下列詳細資料：

• 2025 年 1 月 1 日之後發行的感應器版本，無法使用內部部署管理主控台管理。
• 2024 年 1 月 1 日至 2025 年 1 月 1 日之間發行的感應器軟體版本，將繼續支援內部部署管理主控台版本。
• 無法連線至雲端的實體隔離斷網感應器，可以透過感應器主控台、CLI 或 API 直接管理。

如需詳細資訊，請參閱OT 監視軟體版本。

下一步

從感應器主控台維護 OT 網路感應器