部署適用于 IoT 的 Defender 以進行 OT 監視

  • 發行項

本文說明部署適用于 IoT 的 Defender 以進行 OT 監視所需的高階步驟。 深入瞭解下列各節中的每個部署步驟,包括相關交叉參考以取得詳細資料。

下圖顯示端對端 OT 監視部署路徑中的階段,以及負責每個階段的小組。

雖然小組和職稱在不同組織之間有所不同,但所有適用于 IoT 的 Defender 部署都需要負責您網路和基礎結構不同區域的人員之間進行通訊。

OT 監視部署路徑的圖表。

提示

程式中的每個步驟可能需要不同的時間。 例如,下載 OT 感應器啟用檔案可能需要五分鐘的時間,而設定流量監視可能需要幾天或甚至數周的時間,視貴組織的程式而定。

建議您在繼續進行下一個步驟之前,先開始每個步驟的程式,而不需要等待它完成。 請務必繼續追蹤仍在處理中的任何步驟,以確保其完成。

必要條件

開始規劃 OT 監視部署之前,請確定您有 Azure 訂用帳戶和適用于 IoT 的 OT 方案上線 Defender。

如需詳細資訊,請參閱啟動 IoT 試用版Microsoft Defender

規劃和準備

下圖顯示規劃和準備階段中包含的步驟。 您的架構小組會處理規劃和準備步驟。

規劃和準備階段中包含的步驟圖表。

規劃 OT 監視系統

規劃監視系統的基本詳細資料,例如:

  • 月臺和區域:決定如何使用可代表世界各地位置 的網站區域 來分割您想要監視的網路。

  • 感應器管理:決定您將使用雲端連線或空中隔離、本機管理的 OT 感應器,或兩者的混合式系統。 如果您使用雲端連線的感應器,請選取連線方法,例如直接連線或透過 Proxy 連線。

  • 使用者和角色:每個感應器所需的使用者類型清單,以及每個活動所需的角色。

如需詳細資訊,請參閱 使用適用于 IoT 的 Defender 規劃 OT 監視系統

提示

如果您使用數個本機管理的感應器,您可能也會想要部署 內部部署管理主控台 ,以集中可見度和管理。

準備 OT 月臺部署

為系統中規劃的每個網站定義其他詳細資料,包括:

  • 網狀圖。 識別您想要監視的所有裝置,並建立定義完善的子網清單。 部署感應器之後,請使用這份清單來確認您想要監視的所有子網都會受到適用于 IoT 的 Defender 所涵蓋。

  • 感應器清單:使用您想要監視的流量、子網和裝置清單,來建立您需要的 OT 感應器清單,以及這些感應器會放在您的網路中的位置。

  • 流量鏡像方法:為每個 OT 感應器選擇流量鏡像方法,例如 SPAN 埠或 TAP。

  • 設備:準備部署工作站,以及您將針對您計畫的每個 OT 感應器使用的任何硬體或 VM 設備。 如果您使用預先設定的設備,請務必訂購它們。

如需詳細資訊,請參閱 準備 OT 月臺部署

將感應器上線至 Azure

下圖顯示上線感應器階段中包含的步驟。 感應器會由您的部署小組上線至 Azure。

上線感應器階段的圖表。

在Azure 入口網站上線 OT 感應器

如您所規劃,將許多 OT 感應器上線至適用于 IoT 的 Defender。 請務必下載提供給每個 OT 感應器的啟用檔案,並將其儲存在可從感應器機器存取的位置。

如需詳細資訊,請參閱 將 OT 感應器上線至適用于 IoT 的 Defender

月臺網路設定

下圖顯示月臺網路設定片語中包含的步驟。 您的連線小組會處理月臺網路步驟。

月臺網路設定階段的圖表。

在您的網路中設定流量鏡像

使用您 稍早 建立的方案,在您將部署 OT 感應器,並將流量鏡像到適用于 IoT 的 Defender 的位置設定流量鏡像。

如需詳細資訊,請參閱:

布建雲端管理

設定任何防火牆規則,以確保您的 OT 感應器設備能夠存取 Azure 雲端上的適用于 IoT 的 Defender。 如果您打算透過 Proxy 連線,則只有在安裝感應器之後,才會設定這些設定。

針對計畫直接在感應器主控台上或透過 內部部署管理主控台,在本機進行無線隔離和管理的任何 OT 感應器,請略過此步驟。

如需詳細資訊,請參閱 布建 OT 感應器以進行雲端管理

部署 OT 感應器

下圖顯示感應器部署階段中包含的步驟。 OT 感應器是由您的部署小組部署和啟用。

OT 感應器部署階段的圖表。

安裝 OT 感應器

如果您要在自己的設備上安裝適用于 IoT 的 Defender 軟體,請從 Azure 入口網站 下載安裝軟體,並將其安裝在您的 OT 感應器設備上。

安裝 OT 感應器軟體之後,請執行數項檢查來驗證安裝和設定。

如需詳細資訊,請參閱:

如果您要購買 預先設定的設備,請略過這些步驟。

啟用 OT 感應器和初始設定

使用初始安裝精靈來確認網路設定、啟用感應器,以及套用 SSH/TLS 憑證。

如需詳細資訊,請參閱 設定並啟用 OT 感應器

設定 Proxy 連線

如果您決定使用 Proxy 將感應器連線到雲端,請設定 Proxy,並在感應器上設定設定。 如需詳細資訊,請參閱 在 OT 感應器上設定 Proxy 設定

在下列情況下略過此步驟:

  • 針對您要直接連線到 Azure 的任何 OT 感應器,而不使用 Proxy
  • 針對任何打算在本機進行無線隔離和管理的感應器,請直接在感應器主控台上,或透過 內部部署管理主控台

設定選擇性設定

建議您設定 Active Directory 連線來管理 OT 感應器上的內部部署使用者,以及透過 SNMP 設定感應器健康情況監視。

如果您未在部署期間設定這些設定,您也可以稍後再返回並加以設定。

如需詳細資訊,請參閱:

校正和微調 OT 監視

下圖顯示與新部署感應器校正和微調 OT 監視相關的步驟。 您的部署小組會完成校正和微調活動。

校正和微調階段的圖表。

控制感應器上的 OT 監視

根據預設,OT 感應器可能不會偵測您想要監視的確切網路,或以您想要顯示的方式精確識別它們。 使用 您稍早建立的清單 來驗證並手動設定子網、自訂埠和 VLAN 名稱,以及視需要設定 DHCP 位址範圍。

如需詳細資訊,請參閱控制由 ioT Microsoft Defender監視的 OT 流量

確認並更新偵測到的裝置清查

完全偵測到您的裝置之後,請檢閱裝置清查,並視需要修改裝置詳細資料。 例如,您可以識別可以合併的重複裝置專案、裝置類型或其他要修改的屬性等等。

如需詳細資訊,請參閱 驗證和更新偵測到的裝置清查

瞭解 OT 警示以建立網路基準

OT 感應器所觸發的警示可能包含數個警示,您會想要定期忽略或 Learn作為授權流量。

檢閱您系統中的所有警示作為初始分級。 此步驟會建立適用于 IoT 的 Defender 的網路流量基準,以繼續進行。

如需詳細資訊,請參閱 建立已學習的 OT 警示基準

基準學習結束

只要偵測到新的流量且您有未處理的警示,您的 OT 感應器就會維持在 學習模式 中。

基準學習結束的部署階段圖表。

基準學習結束時,OT 監視部署程式就會完成,您將會繼續以操作模式進行持續監視。 在作業模式中,與基準資料不同的任何活動都會觸發警示。

提示

如果您認為適用于 IoT 的 Defender 中的目前警示會正確地反映您的網路流量,且學習模式尚未自動結束,請手動關閉學習模式。

將適用于 IoT 的 Defender 資料連線到 SIEM

部署適用于 IoT 的 Defender 之後,藉由整合適用于 IoT 的 Defender 與安全性資訊和事件管理, (SIEM) 平臺和現有的 SOC 工作流程和工具整合適用于 IoT 的 Defender,以傳送安全性警示和管理 OT/IoT 事件。 整合適用于 IoT 的 Defender 警示與組織 SIEM,方法是與 Microsoft Sentinel 整合,並利用適用于 IoT 解決方案的現用Microsoft Defender,或建立將規則轉送至其他 SIEM 系統。 適用于 IoT 的 Defender 會整合現成可用的 Microsoft Sentinel,以及 廣泛的 SIEM 系統,例如 Splunk、IBM QRadar、LogRhythm、Fortinet 等等。

如需詳細資訊,請參閱

整合適用于 IoT 的 Defender 警示與 SIEM 之後,建議您遵循後續步驟來運作 OT/IoT 警示,並將它們與現有的 SOC 工作流程和工具完全整合:

  • 根據特定的 OT 需求和環境,識別並定義您想要監視的相關 IoT/OT 安全性威脅和 SOC 事件。

  • 在 SIEM 中建立偵測規則和嚴重性層級。 只會觸發相關的事件,進而減少不必要的雜訊。 例如,您會根據此特定警示的高精確度,定義從未經授權的裝置或工作時間以外執行之一般之 UI 程式碼變更作為高嚴重性事件。

    在 Microsoft Sentinel 中,適用于 IoT 解決方案的Microsoft Defender包含一組現成的偵測規則,這些規則專為適用于 IoT 資料的 Defender 所建置,並協助您微調 Sentinel 中建立的事件。

  • 定義適當的風險降低工作流程,並為每個使用案例建立自動化調查劇本。 在 Microsoft Sentinel 中,適用于 IoT 的Microsoft Defender解決方案包含現用劇本,可自動回應適用于 IoT 的 Defender 警示

下一步

現在您已瞭解 OT 監視系統部署步驟,您已準備好開始使用了!

使用適用于 IoT 的 Defender 規劃 OT 監視系統 »