設定使用封裝遠端交換連接埠分析器 (ERSPAN) 的流量鏡像處理

  • 發行項

本文是一系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑

Diagram of a progress bar with Network level deployment highlighted.

本文提供使用 ERSPAN 設定流量鏡像的高階指引。 特定實作詳細資料會隨著設備廠商而有所不同。

建議您使用接收路由器作為泛型路由封裝 (GRE) 通道目的地。

必要條件

開始之前,請確定您已了解使用適用於 IoT 的 Defender 規劃網路監視,以及您想要設定的 SPAN 連接埠。

如需詳細資訊,請參閱 用於 OT 監視的流量鏡像方法

Cisco 交換器上的組態範例

下列程式碼顯示 Cisco 交換器上設定之 ERSPAN 的範例 ifconfig 輸出:

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

如需詳細資訊,請參閱來自 OT 網路感應器的 CLI 命令參考

驗證流量鏡像

設定流量鏡像之後,嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。

範例 PCAP 檔案將會協助您:

  • 驗證交換器設定
  • 確認通過交換器的流量與監視相關
  • 識別交換器偵測到的頻寬和估計裝置數目

  1. 使用網路通訊協定分析器應用程式,例如 Wireshark,記錄範例 PCAP 檔案幾分鐘的時間。 例如,將膝上型電腦連線到您已設定流量監視的連接埠。

  2. 檢查記錄流量中是否有單點傳播封包。 單點傳播流量是從位址傳送到另一個位址的流量。

    如果大部分的流量都是 ARP 訊息,表示流量鏡像設定不正確。

  3. 確認您的 OT 通訊協定存在於分析的流量中。

    例如:

    Screenshot of Wireshark validation.

在 OT 網路感應器上設定 ERSPAN

部署感應器之後,請務必在 [介面設定] 頁面上進行 ERSPAN 設定。 如需詳細資訊,請參閱

例如:

Screenshot of how to configure ERSPAN settings in the OT sensor settings.

下一步

« 將 OT 感應器上線至適用於 IoT 的 Defender

針對雲端管理佈建 OT 感應器 »