Sdílet prostřednictvím

Příprava nasazení lokality OT

  • Článek

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.

Diagram indikátoru průběhu se zvýrazněným plánem a přípravou

K úplnému monitorování sítě budete potřebovat přehled o všech zařízeních koncových bodů ve vaší síti. Microsoft Defender for IoT zrcadlí provoz, který prochází síťovými zařízeními, do programu Defender pro síťové senzory IoT. Síťové senzory OT pak analyzují data o provozu, aktivují výstrahy, generují doporučení a odesílají data do Defenderu pro IoT v Azure.

Tento článek vám pomůže naplánovat, kam umístit senzory OT do sítě, aby se provoz, který chcete monitorovat, zrcadlil podle potřeby a jak připravit lokalitu na nasazení senzorů.

Požadavky

Před plánováním monitorování OT pro konkrétní web se ujistěte, že jste naplánovali celkový monitorovací systém OT.

Tento krok provádí týmy architektury.

Další informace o architektuře monitorování Defenderu pro IoT

Další informace o komponentách a architektuře ve vaší síti a systému Defender for IoT najdete v následujících článcích:

Vytvoření síťového diagramu

Síť každé organizace bude mít svou vlastní složitost. Vytvořte diagram mapy sítě, který důkladně vypíše všechna zařízení v síti, abyste mohli identifikovat provoz, který chcete monitorovat.

Při vytváření síťového diagramu použijte následující otázky k identifikaci a vytváření poznámek k různým prvkům v síti a jejich komunikaci.

Obecné otázky

  • Jaké jsou vaše celkové cíle monitorování?

  • Máte nějaké redundantní sítě a existují oblasti vaší síťové mapy, které nepotřebují monitorování a můžete ignorovat?

  • Kde jsou bezpečnostní a provozní rizika vaší sítě?

Otázky týkající se sítě

  • Které protokoly jsou aktivní v monitorovaných sítích?

  • Jsou sítě VLAN nakonfigurované v návrhu sítě?

  • Je v monitorovaných sítích nějaké směrování?

  • Je v síti nějaká sériová komunikace?

  • Kde jsou v sítích, které chcete monitorovat, nainstalované brány firewall?

  • Existuje provoz mezi průmyslovou řídicí sítí (ICS) a podnikovou obchodní sítí? Pokud ano, monitoruje se tento provoz?

  • Jaká je fyzická vzdálenost mezi přepínači a podnikovou bránou firewall?

  • Provádí se údržba systému OT s pevnými nebo přechodnými zařízeními?

Přepnout otázky

  • Pokud je přepínač jinak nespravovaný, můžete monitorovat provoz z přepínače vyšší úrovně? Pokud například vaše architektura OT používá kruhovou topologii, potřebuje monitorování jenom jeden přepínač v okruhu.

  • Mohou být nespravované přepínače nahrazeny spravovanými přepínači nebo je možné použít síťové technické poradce?

  • Můžete monitorovat síť VLAN přepínače nebo je síť VLAN viditelná v jiném přepínači, který můžete monitorovat?

  • Pokud k přepínači připojíte síťový senzor, bude zrcadlit komunikaci mezi HMI a POČÍTAČI?

  • Pokud chcete připojit síťový senzor k přepínači, je ve skříni přepínače k dispozici fyzické místo v racku?

  • Jaké jsou náklady a výhody monitorování jednotlivých přepínačů?

Identifikace zařízení a podsítí, které chcete monitorovat

Přenosy, které chcete monitorovat a zrcadlit v programu Defender for IoT, jsou přenosy, které jsou pro vás nejzajímavější z hlediska zabezpečení nebo provozu.

Projděte si diagram sítě OT společně s inženýry webu a definujte, kde najdete nejrelevantní provoz pro monitorování. Doporučujeme, abyste se seznámili se síťovými i provozními týmy, abyste upřesnili očekávání.

Společně s týmem vytvořte tabulku zařízení, která chcete monitorovat, s následujícími podrobnostmi:

Specifikace Popis
Dodavatel Dodavatel výroby zařízení
Název zařízení Smysluplný název pro průběžné použití a odkazy
Typ Typ zařízení, například přepínač, směrovač, brána firewall, přístupový bod atd.
Síťová vrstva Zařízení, která chcete monitorovat, jsou zařízení L2 nebo L3:
- Zařízení L2 jsou zařízení v rámci segmentu IP adres.
- Zařízení L3 jsou zařízení mimo segment IP.

Zařízení, která podporují obě vrstvy, se dají považovat za zařízení L3.
Překračování sítí VLAN ID všech sítí VLAN, které překříží zařízení. Ověřte například tato ID sítě VLAN tak, že v jednotlivých sítích VLAN zkontrolujete režim operace přes síť VLAN a zjistíte, jestli překračují přidružený port.
Brána pro Sítě VLAN, pro které zařízení funguje jako výchozí brána.
Podrobnosti o síti IP adresa, podsíť, D-GW a hostitel DNS zařízení
Protokoly Protokoly používané v zařízení. Porovnejte své protokoly se seznamem protokolů podporovaných v programu Defender for IoT.
Podporované zrcadlení provozu Definujte, jaký druh zrcadlení provozu podporuje každé zařízení, například SPAN, RSPAN, ERSPAN nebo TAP.

Tyto informace slouží k volbě metod zrcadlení provozu pro senzory OT.
Spravuje se partnerskými službami? Popište, jestli partnerová služba, jako je Například Siemens, Rockwell nebo Emerson, spravuje zařízení. V případě potřeby popište zásady správy.
Sériová připojení Pokud zařízení komunikuje prostřednictvím sériového připojení, zadejte sériový komunikační protokol.

Výpočet zařízení v síti

Vypočítejte počet zařízení na jednotlivých webech, abyste mohli zakoupit licence Defenderu pro IoT ve správné velikosti.

Výpočet počtu zařízení v jednotlivých lokalitách:

  1. Shromážděte celkový počet zařízení na vašem webu a přidejte je dohromady.

  2. Odeberte některé z následujících zařízení, která nejsou identifikovaná jako jednotlivá zařízení v programu Defender for IoT:

    • Veřejné internetové IP adresy
    • Skupiny více přetypování
    • Skupiny všesměrových vysílání
    • Neaktivní zařízení: Zařízení, u kterých nebyla zjištěna žádná síťová aktivita déle než 60 dnů

Další informace najdete v tématu Zařízení monitorovaná defenderem pro IoT.

Plánování nasazení s více senzory

Pokud plánujete nasadit více síťových senzorů, zvažte při rozhodování, kam umístit senzory, zvažte také následující doporučení:

  • Fyzicky připojené přepínače: U přepínačů, které jsou fyzicky připojeny ethernetovým kabelem, nezapomeňte naplánovat alespoň jeden senzor pro každých 80 metrů vzdálenosti mezi přepínači.

  • Více sítí bez fyzického připojení: Pokud máte více sítí bez fyzického připojení mezi nimi, naplánujte alespoň jeden senzor pro každou jednotlivou síť.

  • Přepínače s podporou RSPAN: Pokud máte přepínače, které můžou používat zrcadlení provozu RSPAN, naplánujte alespoň jeden senzor pro každých osm přepínačů s místním portem SPAN. Naplánujte umístění senzoru dostatečně blízko přepínačů, abyste je mohli připojit kabelem.

Vytvoření seznamu podsítí

Vytvořte agregovaný seznam podsítí, které chcete monitorovat, na základě seznamu zařízení, která chcete monitorovat v celé síti.

Po nasazení senzorů pomocí tohoto seznamu ověříte, že se uvedené podsítě detekují automaticky, a podle potřeby seznam ručně aktualizujete.

Zobrazení seznamu plánovaných snímačů OT

Jakmile pochopíte provoz, který chcete zrcadlit do Defenderu pro IoT, vytvořte úplný seznam všech snímačů OT, které budete připojovat.

Pro každý senzor uveďte:

  • Bez ohledu na to, jestli bude senzor připojený ke cloudu nebo místně spravovaný senzor

  • Pro senzory připojené ke cloudu použijete metodu cloudového připojení.

  • Ať už budete pro senzory používat fyzická nebo virtuální zařízení, zvažte šířku pásma, kterou budete potřebovat pro kvalitu služby (QoS). Další informace najdete v tématu Která zařízení potřebuji?

  • Web a zóna , které přiřadíte každému senzoru.

    Data ingestovaná ze senzorů ve stejné lokalitě nebo zóně je možné zobrazit společně a rozdělit je z jiných dat ve vašem systému. Pokud jsou data ze senzorů, která chcete zobrazit seskupené ve stejné lokalitě nebo zóně, nezapomeňte odpovídajícím způsobem přiřadit weby a zóny senzorů.

  • Metoda zrcadlení provozu, kterou použijete pro každý senzor

S tím, jak se síť postupně rozšiřuje, můžete připojit více senzorů nebo upravit stávající definice senzorů.

Důležité

Doporučujeme zkontrolovat charakteristiky zařízení, která očekáváte, že každý senzor zjistí, jako jsou IP adresy a adresy MAC. Zařízení, která jsou zjištěna ve stejné zóně se stejnou logickou sadou charakteristik zařízení, se automaticky konsolidují a jsou identifikována jako stejné zařízení.

Pokud například pracujete s několika sítěmi a opakovanými IP adresami, ujistěte se, že plánujete každý senzor s jinou zónou, aby se zařízení správně identifikovala jako samostatná a jedinečná zařízení.

Další informace najdete v tématu Oddělení zón pro opakované rozsahy IP adres.

Příprava místních zařízení

  • Pokud používáte virtuální zařízení, ujistěte se, že máte nakonfigurované relevantní prostředky. Další informace najdete v tématu Monitorování OT s využitím virtuálních zařízení.

  • Pokud používáte fyzická zařízení, ujistěte se, že máte požadovaný hardware. Můžete si koupit předem nakonfigurovaná zařízení nebo naplánovat instalaci softwaru na vlastní zařízení.

    Nákup předkonfigurovaných zařízení:

    1. Na webu Azure Portal přejděte do programu Defender for IoT.
    2. Vyberte Začínáme>s>nákupem předkonfigurovaného zařízení>Kontakt.

    Odkaz otevře e-mail hardware.sales@arrow.coms žádostí o šablonu pro zařízení Defenderu pro IoT.

Další informace najdete v tématu Která zařízení potřebuji?

Příprava pomocného hardwaru

Pokud používáte fyzická zařízení, ujistěte se, že máte pro každé fyzické zařízení k dispozici následující dodatečný hardware:

  • Monitor a klávesnice
  • Místo v racku
  • Střídavého
  • Kabel LAN pro připojení portu pro správu zařízení k síťovému přepínači
  • Kabely LAN pro připojení portů zrcadla (SPAN) a přístupových bodů síťového terminálu k vašemu zařízení

Příprava podrobností o síti zařízení

Až budete mít zařízení připravené, vytvořte pro každé zařízení seznam následujících podrobností:

  • IP adresa
  • Podsíť
  • Výchozí brána
  • Název hostitele
  • Server DNS (volitelné) s IP adresou a názvem hostitele serveru DNS

Příprava pracovní stanice nasazení

Připravte pracovní stanici, ze které můžete spouštět aktivity nasazení Defenderu pro IoT. Pracovní stanice může být počítač s Windows nebo Mac s následujícími požadavky:

  • Terminálový software, například PuTTY

  • Podporovaný prohlížeč pro připojení ke konzolám senzorů a webu Azure Portal. Další informace najdete v doporučených prohlížečích pro Azure Portal.

  • Požadovaná pravidla brány firewall nakonfigurovaná s otevřeným přístupem pro požadovaná rozhraní. Další informace najdete v tématu Požadavky na sítě.

Příprava certifikátů podepsaných certifikační autoritou

V produkčních nasazeních doporučujeme používat certifikáty podepsané certifikační autoritou.

Ujistěte se, že rozumíte požadavkům na certifikát SSL/TLS pro místní prostředky. Pokud chcete nasadit certifikát podepsaný certifikační autoritou během počátečního nasazení, ujistěte se, že je certifikát připravený.

Pokud se rozhodnete nasadit pomocí integrovaného certifikátu podepsaného svým držitelem, doporučujeme nasadit certifikát podepsaný certifikační autoritou v produkčních prostředích později.

Další informace naleznete v tématu:

Další kroky

« Plánování vašeho monitorovacího systému OT

Onboarding snímačů OT do Defenderu pro IoT »