Een OT-site-implementatie voorbereiden

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.

Als u uw netwerk volledig wilt bewaken, hebt u zichtbaarheid nodig op alle eindpuntapparaten in uw netwerk. Microsoft Defender voor IoT weerspiegelt het verkeer dat door uw netwerkapparaten wordt verplaatst naar Defender for IoT-netwerksensoren. OT-netwerksensoren analyseren vervolgens uw verkeersgegevens, activeren waarschuwingen, aanbevelingen genereren en gegevens verzenden naar Defender for IoT in Azure.

Dit artikel helpt u bij het plannen van de locatie van OT-sensoren in uw netwerk, zodat het verkeer dat u wilt bewaken, naar behoefte wordt gespiegeld en hoe u uw site voorbereidt op sensorimplementatie.

Vereisten

Voordat u OT-bewaking voor een specifieke site plant, moet u ervoor zorgen dat u uw algehele OT-bewakingssysteem hebt gepland.

Deze stap wordt uitgevoerd door uw architectuurteams.

Meer informatie over de bewakingsarchitectuur van Defender for IoT

Gebruik de volgende artikelen voor meer informatie over de onderdelen en architectuur in uw netwerk en Defender for IoT-systeem:

• Microsoft Defender voor IoT-onderdelen
• Inzicht in uw OT-netwerkarchitectuur

Een netwerkdiagram maken

Het netwerk van elke organisatie heeft een eigen complexiteit. Maak een netwerkkaartdiagram waarin alle apparaten in uw netwerk grondig worden weergegeven, zodat u het verkeer kunt identificeren dat u wilt bewaken.

Gebruik tijdens het maken van uw netwerkdiagram de volgende vragen om notities te maken over de verschillende elementen in uw netwerk en hoe ze communiceren.

Algemene vragen

• Wat zijn uw algemene bewakingsdoelen?

• Hebt u redundante netwerken en zijn er gebieden van uw netwerkkaart die geen bewaking nodig hebben en die u kunt negeren?

• Waar zijn de beveiligings- en operationele risico's van uw netwerk?

Netwerkvragen

• Welke protocollen zijn actief op bewaakte netwerken?

• Zijn VLAN's geconfigureerd in het netwerkontwerp?

• Is er routering in de bewaakte netwerken?

• Is er seriële communicatie in het netwerk?

• Waar worden firewalls geïnstalleerd in de netwerken die u wilt bewaken?

• Is er verkeer tussen een ICS-netwerk (industrial control) en een bedrijfsnetwerk? Zo ja, wordt dit verkeer bewaakt?

• Wat is de fysieke afstand tussen uw switches en de bedrijfsfirewall?

• Wordt OT-systeemonderhoud uitgevoerd met vaste of tijdelijke apparaten?

Schakelen tussen vragen

• Als een switch anders onbeheerd is, kunt u het verkeer van een switch op een hoger niveau bewaken? Als uw OT-architectuur bijvoorbeeld gebruikmaakt van een ringtopologie, heeft slechts één switch in de ring bewaking nodig.

• Kunnen niet-beheerde switches worden vervangen door beheerde switches of is het gebruik van netwerk-TAP's een optie?

• Kunt u het VLAN van de switch bewaken of is het VLAN zichtbaar in een andere switch die u kunt bewaken?

• Als u een netwerksensor verbindt met de switch, wordt de communicatie tussen de JM en PLC's gespiegeld?

• Als u een netwerksensor wilt aansluiten op de switch, is er fysieke rekruimte beschikbaar in de kast van de switch?

• Wat zijn de kosten/voordelen van het bewaken van elke switch?

De apparaten en subnetten identificeren die u wilt bewaken

Het verkeer dat u wilt bewaken en spiegelen naar Defender for IoT-netwerksensoren is het verkeer dat het interessantst voor u is vanuit een beveiligings- of operationeel perspectief.

Controleer uw OT-netwerkdiagram samen met uw sitetechnici om te bepalen waar u het meest relevante verkeer vindt voor bewaking. We raden u aan om te voldoen aan zowel netwerk- als operationele teams om de verwachtingen te verduidelijken.

Maak samen met uw team een tabel met apparaten die u wilt bewaken met de volgende details:

Specificatie	Beschrijving
Leverancier	De leverancier van de productie van het apparaat
Apparaatnaam	Een betekenisvolle naam voor doorlopend gebruik en verwijzing
Type	Het apparaattype, zoals: Switch, Router, Firewall, Access Point, enzovoort
Netwerklaag	De apparaten die u wilt bewaken, zijn L2- of L3-apparaten: - L2-apparaten zijn apparaten binnen het IP-segment - L3-apparaten zijn apparaten buiten het IP-segment Apparaten die beide lagen ondersteunen, kunnen worden beschouwd als L3-apparaten.
VLAN's kruisen	De id's van alle VLAN's die het apparaat kruisen. Controleer deze VLAN-id's bijvoorbeeld door de bewerkingsmodus voor de spanningsstructuur op elk VLAN te controleren om te zien of ze een gekoppelde poort kruisen.
Gateway voor	De VLAN's waarvoor het apparaat als standaardgateway fungeert.
Netwerkdetails	Het IP-adres, subnet, D-GW en DNS-host van het apparaat
Protocollen	Protocollen die op het apparaat worden gebruikt. Vergelijk uw protocollen met de lijst met protocollen van Defender for IoT die standaard worden ondersteund.
Ondersteunde verkeersspiegeling	Definieer welk type verkeersspiegeling wordt ondersteund door elk apparaat, zoals SPAN, RSPAN, ERSPAN of TAP. Gebruik deze informatie om verkeersspiegelingsmethoden voor uw OT-sensoren te kiezen.
Beheerd door partnerservices?	Beschrijf of een partnerservice, zoals Siemens, Rockwell of Emerson, het apparaat beheert. Beschrijf indien relevant het beheerbeleid.
Seriële verbindingen	Als het apparaat communiceert via een seriële verbinding, geeft u het seriële communicatieprotocol op.

Apparaten in uw netwerk berekenen

Bereken het aantal apparaten op elke site, zodat u Defender for IoT-licenties op de juiste grootte kunt aanschaffen.

Het aantal apparaten op elke site berekenen::

1. Verzamel het totale aantal apparaten op uw site en voeg ze samen toe.

2. Verwijder een van de volgende apparaten, die niet worden geïdentificeerd als afzonderlijke apparaten door Defender for IoT:

   • IP-adressen voor openbaar internet
   • Multicast-groepen
   • Broadcast-groepen
   • Inactieve apparaten: apparaten waarvoor meer dan 60 dagen geen netwerkactiviteit is gedetecteerd

Zie Apparaten die worden bewaakt door Defender for IoT voor meer informatie.

Een implementatie met meerdere sensoren plannen

Als u van plan bent om meerdere netwerksensoren te implementeren, moet u ook rekening houden met de volgende aanbevelingen bij het bepalen waar u uw sensoren wilt plaatsen:

• Fysiek aangesloten switches: Voor switches die fysiek zijn aangesloten via ethernetkabel, moet u ten minste één sensor plannen voor elke 80 meter afstand tussen switches.

• Meerdere netwerken zonder fysieke connectiviteit: als u meerdere netwerken zonder fysieke connectiviteit hebt, moet u ten minste één sensor voor elk afzonderlijk netwerk plannen

• Switches met RSPAN-ondersteuning: Als u switches hebt die gebruikmaken van RSPAN-verkeersspiegeling, moet u ten minste één sensor plannen voor elke acht switches, met een lokale SPAN-poort. Plan om de sensor dicht genoeg bij de schakelaars te plaatsen, zodat u ze via de kabel kunt aansluiten.

Een lijst met subnetten maken

Maak een samengevoegde lijst met subnetten die u wilt bewaken, op basis van de lijst met apparaten die u in uw hele netwerk wilt bewaken.

Nadat u uw sensoren hebt geïmplementeerd, gebruikt u deze lijst om te controleren of de vermelde subnetten automatisch worden gedetecteerd en de lijst indien nodig handmatig bij te werken.

Uw geplande OT-sensoren vermelden

Nadat u het verkeer hebt begrepen dat u wilt spiegelen naar Defender for IoT, maakt u een volledige lijst met alle OT-sensoren die u gaat onboarden.

Voor elke sensor vermeldt u:

• Of de sensor nu een in de cloud verbonden of lokaal beheerde sensor is

• Voor met de cloud verbonden sensoren gebruikt u de cloudverbindingsmethode die u gaat gebruiken.

• Of u nu fysieke of virtuele apparaten gebruikt voor uw sensoren, rekening houdend met de bandbreedte die u nodig hebt voor QoS (Quality of Service). Zie welke apparaten heb ik nodig voor meer informatie?

• De site en zone die u aan elke sensor toewijst.

  Gegevens die zijn opgenomen vanuit sensoren in dezelfde site of zone, kunnen samen worden bekeken, gesegmenteerd uit andere gegevens in uw systeem. Als er sensorgegevens zijn die u gegroepeerd wilt weergeven op dezelfde site of zone, moet u sensorsites en zones dienovereenkomstig toewijzen.

• De verkeersspiegelingsmethode die u voor elke sensor gaat gebruiken

Naarmate uw netwerk op tijd uitbreidt, kunt u meer sensoren onboarden of uw bestaande sensordefinities wijzigen.

Belangrijk

We raden u aan de kenmerken te controleren van de apparaten die u verwacht dat elke sensor detecteert, zoals IP- en MAC-adressen. Apparaten die in dezelfde zone met dezelfde logische set apparaatkenmerken worden gedetecteerd, worden automatisch geconsolideerd en geïdentificeerd als hetzelfde apparaat.

Als u bijvoorbeeld met meerdere netwerken en terugkerende IP-adressen werkt, moet u ervoor zorgen dat u elke sensor plant met een andere zone, zodat apparaten correct worden geïdentificeerd als afzonderlijke en unieke apparaten.

Zie Zones scheiden voor terugkerende IP-bereiken voor meer informatie.

On-premises apparaten voorbereiden

• Als u virtuele apparaten gebruikt, moet u ervoor zorgen dat de relevante resources zijn geconfigureerd. Zie OT-bewaking met virtuele apparaten voor meer informatie.

• Als u fysieke apparaten gebruikt, moet u ervoor zorgen dat u over de vereiste hardware beschikt. U kunt vooraf geconfigureerde apparaten kopen of software installeren op uw eigen apparaten.

  Vooraf geconfigureerde apparaten kopen:

  1. Ga in Azure Portal naar Defender for IoT.
  2. Selecteer Aan de slag>sensor>Vooraf geconfigureerde apparaatcontactpersoon> kopen.

  Met de koppeling wordt een e-mailbericht geopend met hardware.sales@arrow.comeen sjabloonaanvraag voor Defender for IoT-apparaten.

Zie welke apparaten heb ik nodig voor meer informatie?

Aanvullende hardware voorbereiden

Als u fysieke apparaten gebruikt, moet u ervoor zorgen dat u over de volgende extra hardware beschikt voor elk fysiek apparaat:

• Een monitor en toetsenbord
• Rackruimte
• Netstroom
• Een LAN-kabel om de beheerpoort van het apparaat aan te sluiten op de netwerkswitch
• LAN-kabels voor het aansluiten van spiegelpoorten (SPAN) en netwerkterminaltoegangspunten (TAPs) op uw apparaat

Netwerkdetails van het apparaat voorbereiden

Wanneer u uw apparaten klaar hebt, maakt u een lijst met de volgende details voor elk apparaat:

• IP-adres
• Subnet
• Standaardgateway
• Hostnaam
• DNS-server (optioneel), met het IP-adres van de DNS-server en hostnaam

Een implementatiewerkstation voorbereiden

Bereid een werkstation voor vanaf waar u Defender voor IoT-implementatieactiviteiten kunt uitvoeren. Het werkstation kan een Windows- of Mac-computer zijn, met de volgende vereisten:

• Terminalsoftware, zoals PuTTY

• Een ondersteunde browser voor het maken van verbinding met sensorconsoles en Azure Portal. Zie de aanbevolen browsers voor Azure Portal voor meer informatie.

• Vereiste firewallregels geconfigureerd, met toegang geopend voor vereiste interfaces. Zie Netwerkvereisten voor meer informatie.

Door ca ondertekende certificaten voorbereiden

U wordt aangeraden certificaten te gebruiken die zijn ondertekend door een CA in productie-implementaties.

Zorg ervoor dat u de SSL/TLS-certificaatvereisten voor on-premises resources begrijpt. Als u een door een CA ondertekend certificaat wilt implementeren tijdens de eerste implementatie, moet u ervoor zorgen dat het certificaat is voorbereid.

Als u besluit om te implementeren met het ingebouwde, zelfondertekende certificaat, raden we u aan om later een door een CA ondertekend certificaat in productieomgevingen te implementeren.

Zie voor meer informatie:

• SSL/TLS-certificaten maken voor OT-apparaten
• SSL/TLS-certificaten beheren

Volgende stappen

« Plan uw OT-bewakingssysteem

OT-sensoren onboarden naar Defender for IoT »