Nasazení Defenderu pro IoT pro monitorování OT

Tento článek popisuje základní kroky potřebné k nasazení defenderu pro IoT pro monitorování OT. Další informace o jednotlivých krocích nasazení najdete v následujících částech, včetně relevantních křížových odkazů pro další podrobnosti.

Následující obrázek znázorňuje fáze v ucelené cestě nasazení monitorování OT společně s týmem zodpovědným za jednotlivé fáze.

I když se týmy a pracovní pozice liší v různých organizacích, všechny nasazení Defenderu pro IoT vyžadují komunikaci mezi lidmi zodpovědnými za různé oblasti vaší sítě a infrastruktury.

Tip

Každý krok v procesu může trvat jinou dobu. Například stažení aktivačního souboru senzoru OT může trvat pět minut, zatímco konfigurace monitorování provozu může trvat dny nebo dokonce týdny v závislosti na procesech vaší organizace.

Doporučujeme spustit proces pro každý krok, aniž byste čekali, až se dokončí, než přejdete k dalšímu kroku. Nezapomeňte pokračovat v provádění všech kroků, které jsou stále v procesu, aby se zajistilo jejich dokončení.

Požadavky

Než začnete plánovat nasazení monitorování OT, ujistěte se, že máte předplatné Azure a plán OT onboarded Defender for IoT.

Další informace najdete v tématu Spuštění zkušební verze Microsoft Defenderu pro IoT.

Plánování a příprava

Následující obrázek ukazuje kroky zahrnuté ve fázi plánování a přípravy. Plánování a příprava kroků zpracovává týmy architektury.

Plánování monitorovacího systému OT

Naplánujte základní podrobnosti o monitorovacím systému, například:

• Lokality a zóny: Rozhodněte se, jak segmentujete síť, kterou chcete monitorovat pomocí lokalit a zón , které můžou představovat umístění po celém světě.

• Správasenzorůch Pokud používáte senzory připojené ke cloudu, vyberte metodu připojení, například přímé připojení nebo přes proxy server.

• Uživatelé a role: Seznam typů uživatelů, které budete potřebovat na každém senzoru, a role, které budou pro každou aktivitu potřebovat.

Další informace najdete v tématu Plánování monitorovacího systému OT pomocí defenderu pro IoT.

Tip

Pokud používáte několik místně spravovaných senzorů, můžete také nasadit místní konzolu pro správu pro centrální viditelnost a správu.

Příprava nasazení lokality OT

Definujte další podrobnosti pro každou lokalitu plánovanou ve vašem systému, včetně následujících:

• Síťový diagram. Identifikujte všechna zařízení, která chcete monitorovat, a vytvořte dobře definovaný seznam podsítí. Po nasazení senzorů pomocí tohoto seznamu ověřte, že jsou všechny podsítě, které chcete monitorovat, pokryté defenderem pro IoT.

• Seznam senzorů: Použijte seznam přenosů dat, podsítí a zařízení, která chcete monitorovat, a vytvořte seznam senzorů OT, které budete potřebovat a kam se umístí do vaší sítě.

• Metody zrcadlení provozu: Zvolte metodu zrcadlení provozu pro každý senzor OT, například port SPAN nebo TAP.

• Zařízení: Připravte pracovní stanici nasazení a všechna hardwarová zařízení nebo zařízení virtuálních počítačů, která budete používat pro každý senzor OT, který jste naplánovali. Pokud používáte předem nakonfigurovaná zařízení, nezapomeňte je objednat.

Další informace najdete v tématu Příprava nasazení lokality OT.

Onboarding senzorů do Azure

Následující obrázek ukazuje krok, který je součástí fáze onboardových senzorů. Senzory jsou nasazené do Azure vašimi týmy nasazení.

Onboarding snímačů OT na webu Azure Portal

Připojte do Defenderu pro IoT tolik senzorů OT, kolik jste plánovali. Nezapomeňte stáhnout aktivační soubory poskytnuté pro každý senzor OT a uložit je do umístění, které bude přístupné z vašich snímačů.

Další informace najdete v tématu Onboarding senzorů OT do Defenderu pro IoT.

Nastavení sítě lokality

Následující obrázek ukazuje kroky zahrnuté v frázi nastavení sítě lokality. Kroky sítě lokality zpracovávají vaše týmy připojení.

Konfigurace zrcadlení provozu v síti

Pomocí plánů, které jste vytvořili dříve , nakonfigurujte zrcadlení provozu na místech ve vaší síti, kde budete nasazovat senzory OT a zrcadlit provoz do Defenderu for IoT.

Stručný přehled informací potřebných k výběru nejvhodnějšího umístění pro senzor OT a jeho nasazení do sítě je k dispozici v nastavení zrcadlení provozu.

Další informace naleznete v tématu:

• Konfigurace zrcadlení pomocí portu SPAN přepínače
• Konfigurace zrcadlení provozu pomocí portu REMOTE SPAN (RSPAN)
• Konfigurace aktivní nebo pasivní agregace (TAP)
• Aktualizace monitorovacích rozhraní snímače (konfigurace ERSPAN)
• Konfigurace zrcadlení provozu pomocí přepínače ESXi vSwitch
• Konfigurace zrcadlení provozu pomocí přepínače Hyper-V

Zřízení pro správu cloudu

Nakonfigurujte všechna pravidla brány firewall, abyste zajistili, že vaše zařízení snímačů OT budou mít přístup k Defenderu pro IoT v cloudu Azure. Pokud plánujete připojení přes proxy server, nakonfigurujete tato nastavení až po instalaci senzoru.

Tento krok přeskočte pro všechny senzory OT, které mají být v místním prostředí zaseknuty a spravovány místně, a to buď přímo na konzole senzoru, nebo prostřednictvím místní konzoly pro správu.

Další informace najdete v tématu Zřizování senzorů OT pro správu cloudu.

Nasazení snímačů OT

Následující obrázek ukazuje kroky, které jsou součástí fáze nasazení senzoru. Senzory OT nasazují a aktivují váš tým nasazení.

Instalace snímačů OT

Pokud instalujete software Defender for IoT na vlastní zařízení, stáhněte si instalační software z webu Azure Portal a nainstalujte ho na zařízení se senzorem OT.

Po instalaci softwaru senzoru OT spusťte několik kontrol a ověřte instalaci a konfiguraci.

Další informace naleznete v tématu:

• Instalace monitorovacího softwaru OT na senzory OT
• Ověření instalace softwaru senzoru OT

Pokud nakupujete předkonfigurovaná zařízení, přeskočte tyto kroky.

Aktivace snímačů OT a počáteční nastavení

Pomocí průvodce počátečním nastavením potvrďte nastavení sítě, aktivujte senzor a použijte certifikáty SSH/TLS.

Další informace najdete v tématu Konfigurace a aktivace senzoru OT.

Konfigurace připojení proxy serveru

Pokud jste se rozhodli použít proxy server pro připojení senzorů ke cloudu, nastavte proxy server a nakonfigurujte nastavení senzoru. Další informace najdete v tématu Konfigurace nastavení proxy serveru na senzoru OT.

Tento krok přeskočte v následujících situacích:

• Pro jakýkoli senzor OT, ve kterém se připojujete přímo k Azure, bez proxy serveru
• Pro jakýkoli senzor, který je naplánován tak, aby byl vzduchově zaseknut a spravován místně, buď přímo na konzole senzoru, nebo prostřednictvím místní konzoly pro správu.

Konfigurace volitelných nastavení

Doporučujeme nakonfigurovat připojení služby Active Directory pro správu místních uživatelů na senzoru OT a také nastavení monitorování stavu snímačů přes protokol SNMP.

Pokud tato nastavení během nasazování nenakonfigurujete, můžete je později vrátit a nakonfigurovat.

Další informace naleznete v tématu:

• Nastavení monitorování SNMP MIB na senzoru OT
• Konfigurace připojení ke službě Active Directory

Kalibrace a vyladění monitorování OT

Následující obrázek ukazuje kroky, které se týkají kalibrace a vyladění monitorování OT s nově nasazeným senzorem. Kalibrace a vyladění aktivit provádí váš tým nasazení.

Řízení monitorování OT na senzoru

Ve výchozím nastavení nemusí senzor OT rozpoznat přesné sítě, které chcete monitorovat, nebo je přesně identifikovat způsobem, jakým je chcete zobrazit. Pomocí seznamů, které jste vytvořili dříve, ověřte a ručně nakonfigurujte podsítě, přizpůsobte názvy portů a sítí VLAN a podle potřeby nakonfigurujte rozsahy adres DHCP.

Další informace najdete v tématu Řízení provozu OT monitorovaného v programu Microsoft Defender for IoT.

Ověření a aktualizace zjištěného inventáře zařízení

Po úplném zjištění zařízení zkontrolujte inventář zařízení a podle potřeby upravte podrobnosti o zařízení. Můžete například identifikovat duplicitní položky zařízení, které je možné sloučit, typy zařízení nebo jiné vlastnosti, které chcete upravit, a další.

Další informace najdete v tématu Ověření a aktualizace zjištěného inventáře zařízení.

Informace o upozorněních OT pro vytvoření standardních hodnot sítě

Výstrahy aktivované senzorem OT můžou obsahovat několik upozornění, která budete chtít pravidelně ignorovat nebo učit jako autorizovaný provoz.

Zkontrolujte všechna upozornění ve vašem systému jako počáteční třídění. Tento krok vytvoří směrný plán síťového provozu pro Defender pro IoT, který bude pokračovat.

Další informace najdete v tématu Vytvoření naučeného směrného plánu výstrah OT.

Základní učení končí

Vaše senzory OT zůstanou v režimu učení, dokud se zjistí nový provoz a máte neošetřené výstrahy.

Po ukončení základního učení se dokončí proces nasazení monitorování OT a budete pokračovat v provozním režimu pro průběžné monitorování. V provozním režimu aktivují výstrahy všechny aktivity, které se liší od standardních dat.

Tip

Pokud máte pocit, že aktuální výstrahy v Defenderu pro IoT přesně odrážejí síťový provoz, vypněte režim učení ručně a režim učení se ještě neukončil automaticky.

Připojení data Defenderu pro IoT k SIEM

Po nasazení defenderu pro IoT můžete odesílat výstrahy zabezpečení a spravovat incidenty OT/IoT integrací Defenderu pro IoT s platformou zabezpečení a správou událostí (SIEM) a existujícími pracovními postupy a nástroji SOC. Integrujte výstrahy Defenderu pro IoT s vaším organizačním siEM integrací se službou Microsoft Sentinel a využitím integrovaného řešení Microsoft Defender pro IoT nebo vytvořením pravidel předávání do jiných systémů SIEM. Defender pro IoT integruje integrované řešení s Microsoft Sentinelem a také širokou škálu systémů SIEM, jako jsou Splunk, IBM QRadar, LogRhythm, Fortinet a další.

Stručný přehled informací potřebných k výběru nejvhodnějšího umístění pro senzor OT a jeho nasazení do sítě je k dispozici v nastavení zrcadlení provozu.

Další informace naleznete v tématu:

• Monitorování hrozeb OT v podnikových socs
• Kurz: Připojení Microsoft Defenderu pro IoT ke službě Microsoft Sentinel
• Připojení místních síťových senzorů OT ke službě Microsoft Sentinel
• Integrace s Microsoftem a partnerskými službami
• Upozornění služby Stream Defender pro cloud IoT na partnera SIEM

Po integraci výstrah Defenderu pro IoT se siEM doporučujeme následující kroky k zprovoznění výstrah OT/IoT a jejich úplné integraci s vašimi stávajícími pracovními postupy a nástroji SOC:

• Identifikujte a definujte relevantní bezpečnostní hrozby IoT/OT a incidenty SOC, které chcete monitorovat na základě konkrétních potřeb AT a prostředí.

• Vytvořte pravidla detekce a úrovně závažnosti v SYSTÉMU SIEM. Spustí se pouze relevantní incidenty, čímž se sníží nepotřebný šum. Například byste definovali změny kódu PLC provedené z neautorizovaných zařízení nebo mimo pracovní dobu jako incident s vysokou závažností z důvodu vysoké přesnosti tohoto konkrétního upozornění.

  V Microsoft Sentinelu zahrnuje řešení Microsoft Defender for IoT sadu předem vytvořených pravidel detekce, která jsou sestavená speciálně pro data Defenderu for IoT a pomáhají vyladit incidenty vytvořené ve službě Sentinel.

• Definujte vhodný pracovní postup pro zmírnění rizik a pro každý případ použití vytvořte playbooky automatizovaného šetření. Řešení Microsoft Defender for IoT v Microsoft Sentinelu obsahuje předem připravená playbooky pro automatizovanou reakci na výstrahy Defenderu pro IoT.

Další kroky

Teď, když rozumíte krokům nasazení systému monitorování OT, jste připraveni začít!

Plánování monitorovacího systému OT pomocí defenderu pro IoT »