Contrôler le trafic OT supervisé par Microsoft Defender pour IoT
Cet article fait partie d'une série décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Les capteurs réseau OT Microsoft Defender pour IoT exécutent automatiquement une détection approfondie des paquets pour le trafic informatique et OT, en résolvant les données des appareils réseau, telles que les attributs et le comportement des appareils.
Après l’installation, l’activation et la configuration de votre capteur réseau OT, utilisez les outils décrits dans cet article pour analyser le trafic détecté automatiquement, ajouter des sous-réseaux supplémentaires si nécessaire et contrôler les informations de trafic incluses dans les alertes Defender pour IoT.
Prérequis
Avant d’effectuer les procédures décrites dans cet article, vous devez disposer des éléments suivants :
Un capteur réseau OT installé, configuré et activé.
Un accès à votre capteur réseau OT en tant qu’utilisateur Administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Cette étape est effectuée par vos équipes de déploiement.
Analyser votre déploiement
Après avoir intégré un nouveau capteur réseau OT à Microsoft Defender pour IoT, vérifiez que votre capteur est correctement déployé en analysant le trafic surveillé.
Pour analyser votre réseau :
Connectez-vous à votre capteur OT en tant qu’utilisateur Administrateur, puis sélectionnez Paramètres système>De base>Déploiements.
Sélectionnez Analyser. L’analyse démarre et un onglet s’affiche pour chaque interface surveillée par le capteur. Chaque onglet affiche les sous-réseaux détectés par l’interface indiquée.
Chaque onglet d’interface affiche les détails suivants :
- État de connexion, indiquée par une icône de connexion verte ou rouge dans le nom de l’onglet. Par exemple, dans l’image ci-dessus, l’interface eth1 s’affiche en vert et est donc connectée.
- Nombre total de sous-réseaux et de réseaux locaux virtuels détectés, affiché en haut de l’onglet.
- Protocoles détectés sur chaque sous-réseau.
- Nombre d’adresses de monodiffusion détectées pour chaque sous-réseau.
- Indique si le trafic de diffusion est détecté pour chaque sous-réseau, ce qui indique un réseau local.
Attendez que l’analyse se termine, puis case activée chaque onglet d’interface pour comprendre si l’interface surveille le trafic pertinent ou a besoin d’un réglage plus précis.
Si le trafic affiché sur la page Déploiement n’est pas ce que vous attendez, vous devrez peut-être affiner votre déploiement en modifiant l’emplacement du capteur dans le réseau ou en vérifiant que vos interfaces de supervision sont correctement connectées. Si vous apportez des modifications et que vous souhaitez analyser à nouveau le trafic pour voir s’il est amélioré, sélectionnez à nouveau Analyser pour afficher l’état de surveillance mis à jour.
Affiner votre liste de sous-réseaux
Après avoir analysé le trafic que votre capteur surveille et affiné le déploiement, vous devrez peut-être affiner votre liste de sous-réseaux. Utilisez cette procédure pour vous assurer que vos sous-réseaux sont correctement configurés.
Bien que votre capteur OT apprenne automatiquement les sous-réseaux de votre réseau lors du déploiement initial, nous vous recommandons d'analyser le trafic détecté et de le mettre à jour si nécessaire afin d'optimiser vos vues cartographiques et votre inventaire d'appareils.
Utilisez également cette procédure pour définir également les paramètres de sous-réseau, en déterminant comment les appareils sont affichés dans la carte des appareils du capteur et l’inventaire des appareils Azure.
- Dans la table des appareils, les appareils informatiques sont automatiquement agrégés par sous-réseau, où vous pouvez développer et réduire chaque vue de sous-réseau pour descendre dans la hiérarchie en fonction des besoins.
- Dans l’inventaire des appareils Azure, une fois les sous-réseaux configurés, utilisez le filtre Emplacement réseau (préversion publique) pour afficher les appareils locaux ou routés comme défini dans votre liste de sous-réseaux. Tous les appareils associés aux sous-réseaux listés sont affichés comme locaux, tandis que les appareils associés aux sous-réseaux détectés non inclus dans la liste sont affichés comme routés.
Alors que le capteur réseau OT apprend automatiquement les sous-réseaux de votre réseau, nous vous recommandons de confirmer les paramètres appris et de les mettre à jour en fonction des besoins pour optimiser vos vues cartographiques et l’inventaire des appareils. Tous les sous-réseaux non répertoriés en tant que sous-réseaux sont traités comme des réseaux externes.
Conseil
Lorsque vous êtes prêt à gérer vos paramètres de capteur OT à grande échelle, définissez des sous-réseaux à partir du portail Azure. Une fois que vous avez appliqué les paramètres à partir du portail Azure, les paramètres définis sur la console du capteur sont en lecture seule. Pour plus d’informations, consultez Configurer les paramètres de capteur OT à partir du portail Azure (préversion publique).
Pour affiner vos sous-réseaux détectés :
Connectez-vous à votre capteur OT en tant qu’utilisateur Administrateur, puis sélectionnez Paramètres système>De base>Sous-réseaux. Par exemple :
Mettez à jour les sous-réseaux répertoriés à l’aide de l’une des options suivantes :
Nom Description Importer des sous-réseaux Importez un fichier .CSV de définitions de sous-réseau. Les informations de sous-réseau sont mises à jour avec les informations que vous avez importées. Si vous importez un champ vide, vous perdrez les données présentes dans ce champ. Exporter des sous-réseaux Exportez les sous-réseaux actuellement répertoriés dans un fichier .CSV. Effacer tout Effacez tous les sous-réseaux actuellement définis. Apprentissage automatique du sous-réseau Option sélectionnée par défaut. Désactivez cette option pour empêcher le capteur de détecter automatiquement vos sous-réseaux. Résoudre tout le trafic Internet comme interne/privé Sélectionnez cette option pour considérer toutes les adresses IP publiques comme des adresses privées locales. Si cette option est sélectionnée, les adresses IP publiques sont traitées comme des adresses locales et aucune alerte n’est envoyée concernant une activité Internet non autorisée.
Cette option réduit les notifications et les alertes reçues sur les adresses externes.Adresse IP Définissez l’adresse IP du sous-réseau. Masque Définissez le masque IP du sous-réseau. Nom Nous vous recommandons d’entrer un nom explicite qui spécifie le rôle réseau du sous-réseau. Les noms de sous-réseau peuvent comporter jusqu’à 60 caractères. Séparé Sélectionnez cette option pour afficher ce sous-réseau séparément lors de l’affichage de la table des périphériques en fonction du niveau Purdue. Supprimer un sous-réseau Sélectionnez cette option pour supprimer tous les sous-réseaux qui ne sont pas liés à l’étendue de votre réseau IoT/OT. Dans la grille de sous-réseau, les sous-réseaux marqués comme sous-réseau ICS sont reconnus comme réseaux OT. Cette option est en lecture seule dans cette grille, mais vous pouvez définir manuellement un sous-réseau comme ICS si un sous-réseau OT n’est pas reconnu correctement.
Lorsque vous avez terminé, sélectionnez Enregistrer pour enregistrer vos modifications.
Conseil
Une fois que le paramètre Apprentissage automatique du sous-réseau est désactivé et que la liste des sous-réseaux a été modifiée pour inclure uniquement les sous-réseaux supervisés localement qui se trouvent dans votre étendue IoT/OT, vous pouvez filtrer l’inventaire des appareils Azure par Emplacement réseau pour afficher uniquement les appareils définis comme locaux. Pour plus d’informations, consultez Afficher l’inventaire des appareils.
Définir manuellement un sous-réseau comme ICS
Si vous avez un sous-réseau OT non marqué automatiquement comme sous-réseau ICS par le capteur, modifiez le type d’appareil pour l’un des appareils du sous-réseau approprié sur un type d’appareil ICS ou IoT. Le sous-réseau est alors automatiquement marqué par le capteur en tant que sous-réseau ICS.
Remarque
Pour modifier manuellement le sous-réseau à marquer comme ICS, modifiez le type d’appareil dans l’inventaire des appareils du capteur OT. Dans le Portail Azure, les sous-réseaux de la liste de sous-réseaux sont marqués comme ICS par défaut dans les paramètres du capteur.
Pour modifier le type d’appareil afin de mettre à jour manuellement le sous-réseau :
Connectez-vous à votre console de capteur OT, puis sélectionnez Inventaire des appareils.
Dans la grille d’inventaire des appareils, sélectionnez un appareil à partir du sous-réseau pertinent, puis sélectionnez Modifier dans la barre d’outils en haut de la page.
Dans le champ Type, sélectionnez un type d’appareil dans la liste déroulante répertoriée sous ICS ou IoT.
Le sous-réseau est maintenant marqué en tant que sous-réseau ICS dans le capteur.
Pour plus d’informations, consultez Modifier les détails de l’appareil.
Personnaliser les noms de port et de VLAN
Utilisez les procédures suivantes pour enrichir les données d’appareil affichées dans Defender pour IoT en personnalisant les noms des ports et des VLAN sur vos capteurs réseau OT.
Par exemple, vous pouvez attribuer un nom à un port non réservé qui affiche une activité inhabituellement élevée afin de l’appeler, ou attribuer un nom à un numéro de VLAN afin de l’identifier plus rapidement.
Notes
Pour les capteurs connectés au cloud, vous pouvez éventuellement commencer à configurer les paramètres du capteur OT à partir du portail Azure. Une fois que vous avez commencé à configurer les paramètres à partir du portail Azure, les volets VLAN et Nommage des ports sur les capteurs OT sont en lecture seule. Pour plus d’informations, consultez Configurer les paramètres de capteur OT à partir du portail Azure.
Personnaliser les noms des ports détectés
Defender pour IoT attribue automatiquement des noms à la plupart des ports universellement réservés, tels que DHCP ou HTTP. Toutefois, vous pouvez personnaliser le nom d’un port spécifique afin de le mettre en évidence, par exemple, lorsque vous surveillez un port dont l’activité détectée est inhabituellement élevée.
Les noms de port sont affichés dans Defender pour IoT lorsque vous affichez des groupes d’appareils à partir de la carte des appareils du capteur OT, ou lorsque vous créez des rapports de capteur OT qui incluent des informations de port.
Afin de personnaliser un nom de port :
Connectez-vous à votre capteur OT en tant qu’utilisateur Administrateur.
Sélectionnez Paramètres système, puis, sous Analyse du réseau, sélectionnez Affectation de noms de port.
Dans le volet Affectation de noms de port qui s’affiche, entrez le numéro de port que vous souhaitez nommer, le protocole du port ainsi qu’un nom significatif. Les valeurs de protocole prises en charge sont les suivantes : TCP, UDP et BOTH.
Sélectionnez + Ajouter un port afin de personnaliser un autre port, puis Enregistrer lorsque vous avez terminé.
Personnaliser un nom de VLAN
Les VLAN sont soit détectés automatiquement par le capteur réseau OT, soit ajoutés manuellement. Les VLAN automatiquement détectés ne peuvent pas être modifiés ou supprimés, et les VLAN manuellement ajoutés requièrent un nom unique. Si un VLAN n’est pas nommé explicitement, le numéro du VLAN s’affiche.
La prise en charge des VLAN est basée sur 802.1q (jusqu’à l’ID de VLAN 4094).
Afin de configurer les noms de VLAN sur un capteur réseau OT :
Connectez-vous à votre capteur OT en tant qu’utilisateur Administrateur.
Sélectionnez Paramètres système, puis, sous Analyse du réseau, sélectionnez Affectation de noms de VLAN.
Dans le volet Affectation de noms de VLAN qui s’affiche, entrez un ID de VLAN et un nom de VLAN unique. Les noms de VLAN peuvent contenir jusqu’à 50 caractères ASCII.
Sélectionnez + Ajouter un VLAN pour personnaliser un autre VLAN, puis Enregistrer lorsque vous avez terminé.
Pour les commutateurs Cisco : ajoutez la commande
monitor session 1 destination interface XX/XX encapsulation dot1q
à la configuration du port SPAN, XX/XX étant le nom et le numéro du port.
Définir des serveurs DNS
Améliorez l’enrichissement des données des appareils en configurant plusieurs serveurs DNS pour effectuer des recherches inversées et résoudre les noms d’hôte ou les noms de domaine complets associés aux adresses IP détectées dans les sous-réseaux du réseau. Par exemple, si un capteur découvre une adresse IP, il peut interroger plusieurs serveurs DNS pour résoudre le nom d’hôte. Vous avez besoin de l’adresse du serveur DNS, du port du serveur et des adresses de sous-réseau.
Pour définir la recherche du serveur DNS :
Dans votre console de capteur OT, sélectionnez Paramètres système>Surveillance réseau et sous Découverte active, sélectionnez Recherche DNS inversée.
Utilisez les options Planification de recherche inversée pour définir votre analyse à intervalles fixes, par heure ou à un moment spécifique.
Si vous sélectionnez Par heure spécifique, utilisez une horloge de 24 heures, par exemple 14h30 pour 2:30 PM. Sélectionnez le bouton + sur le côté pour ajouter des heures supplémentaires spécifiques auxquelles vous souhaitez que la recherche s’exécute.
Sélectionnez Ajouter un serveur DNS, puis renseignez vos champs en fonction des besoins pour définir les champs suivants :
- Adresse du serveur DNS, qui est l’adresse IP du serveur DNS
- Port du serveur DNS
- Nombre d’étiquettes, qui correspond au nombre d’étiquettes de domaine que vous souhaitez afficher Pour obtenir cette valeur, résolvez l’adresse IP réseau en noms de domaine complets de l’appareil. Vous pouvez saisir jusqu’à 30 caractères dans ce champ.
- Des sous-réseaux, qui correspondent aux sous-réseaux que le serveur DNS doit interroger.
Activez l’option Activé en haut pour démarrer la requête de recherche inversée comme prévu, puis sélectionnez Enregistrer pour terminer la configuration.
Pour plus d’informations, consultez Configurer la recherche DNS inversée.
Vérifier la configuration DNS
Utilisez un appareil de test pour vérifier que les paramètres de recherche DNS inversée que vous avez définis fonctionnent comme prévu.
Dans votre console de capteur, sélectionnez Paramètres système>Surveillance réseau et sous Découverte active, sélectionnez Recherche DNS inversée.
Vérifiez que le bouton bascule Activé est sélectionné.
Sélectionnez Test.
Dans la boîte de dialogue Test de recherche inversée DNS pour le serveur, entrez une adresse dans Adresse de recherche, puis sélectionnez Tester.
Configurer des plages d’adresses DHCP
Votre réseau OT peut être constitué d’adresses IP statiques et dynamiques.
- Les adresses statiques se trouvent généralement sur les réseaux OT à l’aide d’historiens, de contrôleurs et d’appareils d’infrastructure réseau, tels que les commutateurs et les routeurs.
- L’allocation d’adresses IP dynamiques est généralement implémentée sur des réseaux invités pour des ordinateurs portables, des PC, des smartphones et d’autres équipements portables, utilisant des connexions physiques Wi-Fi ou LAN à différents emplacements.
Si vous travaillez avec des réseaux dynamiques, vous devez gérer les modifications d’adresses IP à mesure qu’elles se produisent, en définissant des plages d’adresses DHCP sur chaque capteur réseau OT. Lorsqu’une adresse IP est définie en tant qu’adresse DHCP, Defender pour IoT identifie toute activité se produisant sur le même appareil, quelles que soient les modifications d’adresse IP.
Pour définir des plages d’adresses DHCP :
Connectez-vous à votre capteur OT et sélectionnez Paramètres système>Analyse du réseau>Plages DHCP.
Effectuez l’une des opérations suivantes :
- Pour ajouter une seule plage, sélectionnez + Ajouter une plage, puis entrez la plage d’adresses IP et un nom facultatif pour votre plage.
- Pour ajouter plusieurs plages, créez un fichier .CSV avec des colonnes pour les données De, À et Nom pour chacune de vos plages. Sélectionnez Importer pour importer le fichier dans votre capteur OT. Les valeurs de plage importées à partir d’un fichier .CSV remplacent toutes les données de plage actuellement configurées pour votre capteur.
- Pour exporter les plages actuellement configurées vers un fichier CSV, sélectionnez Exporter.
- Pour effacer toutes les plages actuellement configurées, sélectionnez Tout effacer.
Les noms de plage peuvent comporter jusqu’à 256 caractères.
Cliquez sur Enregistrer pour enregistrer vos modifications.
Configurer des filtres de trafic (avancé)
Pour réduire la fatigue liée aux alertes et concentrer votre surveillance réseau sur le trafic de priorité élevée, vous pouvez filtrer le trafic transmis vers Defender pour IoT à la source. Les filtres de capture sont configurés via l’interface CLI de capteur OT. Ils vous permettent de bloquer le trafic à bande passante élevée au niveau de la couche matérielle, ce qui optimise les performances de l’appliance et l’utilisation des ressources.
Pour plus d'informations, consultez les pages suivantes :