Udostępnij za pośrednictwem


Kontrolowanie ruchu OT monitorowanego przez usługę Microsoft Defender dla IoT

Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT.

Diagram przedstawiający pasek postępu z wyróżnioną funkcją Dostrajanie monitorowania OT.

Czujniki sieciowe usługi Microsoft Defender for IoT OT automatycznie uruchamiają głębokie wykrywanie pakietów dla ruchu IT i OT, rozpoznawanie danych urządzenia sieciowego, takich jak atrybuty urządzenia i zachowanie.

Po zainstalowaniu, aktywowaniu i skonfigurowaniu czujnika sieciowego OT użyj narzędzi opisanych w tym artykule, aby przeanalizować wykryty automatycznie ruch, dodać dodatkowe podsieci w razie potrzeby i kontrolować informacje o ruchu zawarte w alertach usługi Defender for IoT.

Wymagania wstępne

Przed wykonaniem procedur opisanych w tym artykule musisz mieć następujące elementy:

Ten krok jest wykonywany przez zespoły wdrożeniowe.

Analizowanie wdrożenia

Po dołączeniu nowego czujnika sieciowego OT do usługi Microsoft Defender dla IoT sprawdź, czy czujnik jest wdrożony prawidłowo, analizując monitorowany ruch.

Aby przeanalizować sieć:

  1. Zaloguj się do czujnika OT jako użytkownik administracyjny i wybierz pozycję Ustawienia>systemowe Podstawowe>wdrożenie.

  2. Wybierz pozycję Analizuj. Rozpoczyna się analiza, a karta jest wyświetlana dla każdego interfejsu monitorowanego przez czujnik. Każda karta zawiera podsieci wykryte przez wskazany interfejs.

  3. Każda karta interfejsu zawiera następujące szczegóły:

    • Stan połączenia wskazywany przez zieloną lub czerwoną ikonę połączenia w nazwie karty. Na przykład na powyższej ilustracji interfejs eth1 jest wyświetlany jako zielony i dlatego jest połączony.
    • Całkowita liczba wykrytych podsieci i sieci VLAN wyświetlanych w górnej części karty.
    • Protokoły wykryte w każdej podsieci.
    • Liczba wykrytych adresów emisji pojedynczej dla każdej podsieci.
    • Określa, czy ruch emisji jest wykrywany dla każdej podsieci, co wskazuje sieć lokalną.
  4. Poczekaj na zakończenie analizy, a następnie sprawdź każdą kartę interfejsu, aby dowiedzieć się, czy interfejs monitoruje odpowiedni ruch, czy wymaga dalszego dostrajania.

Jeśli ruch wyświetlany na stronie Wdrażanie nie jest oczekiwany, może być konieczne dostosowanie wdrożenia przez zmianę lokalizacji czujnika w sieci lub sprawdzenie, czy interfejsy monitorowania są poprawnie połączone. Jeśli wprowadzisz jakiekolwiek zmiany i chcesz ponownie przeanalizować ruch, aby sprawdzić, czy został on ulepszony, wybierz pozycję Analizuj ponownie, aby wyświetlić zaktualizowany stan monitorowania.

Dostrajanie listy podsieci

Po przeanalizowaniu ruchu, który monitoruje czujnik i dostraja wdrożenie, może być konieczne dalsze dostrojenie listy podsieci. Użyj tej procedury, aby upewnić się, że podsieci są poprawnie skonfigurowane.

Chociaż czujnik OT automatycznie uczy podsieci sieci podczas początkowego wdrażania, zalecamy analizowanie wykrytego ruchu i aktualizowanie ich zgodnie z potrzebami w celu zoptymalizowania widoków mapy i spisu urządzeń.

Ta procedura służy również do definiowania ustawień podsieci, określania sposobu wyświetlania urządzeń na mapie urządzenia czujnika i spisie urządzeń platformy Azure.

  • Na mapie urządzeń urządzenia są automatycznie agregowane według podsieci, gdzie można rozwinąć i zwinąć każdy widok podsieci, aby przejść do szczegółów zgodnie z potrzebami.
  • W spisie urządzeń platformy Azure po skonfigurowaniu podsieci użyj filtru Lokalizacja sieciowa (publiczna wersja zapoznawcza), aby wyświetlić urządzenia lokalne lub kierowane zgodnie z definicją na liście podsieci. Wszystkie urządzenia skojarzone z wymienionymi podsieciami są wyświetlane jako lokalne, a urządzenia skojarzone z wykrytymi podsieciami, które nie zostały uwzględnione na liście, będą wyświetlane jako kierowane.

Chociaż czujnik sieciowy OT automatycznie uczy się podsieci w sieci, zalecamy potwierdzenie poznanych ustawień i zaktualizowanie ich zgodnie z potrzebami w celu zoptymalizowania widoków mapy i spisu urządzeń. Wszystkie podsieci, które nie są wymienione jako podsieci, są traktowane jako sieci zewnętrzne.

Napiwek

Gdy wszystko będzie gotowe do rozpoczęcia zarządzania ustawieniami czujnika OT na dużą skalę, zdefiniuj podsieci w witrynie Azure Portal. Po zastosowaniu ustawień z witryny Azure Portal ustawienia w konsoli czujnika są tylko do odczytu. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień czujnika OT w witrynie Azure Portal (publiczna wersja zapoznawcza).

Aby dostosować wykryte podsieci:

  1. Zaloguj się do czujnika OT jako użytkownik administracyjny i wybierz pozycję Ustawienia>systemowe Podstawowe>podsieci. Na przykład:

    Zrzut ekranu przedstawiający stronę Podsieci w ustawieniach czujnika OT.

  2. Zaktualizuj podsieci wymienione przy użyciu dowolnej z następujących opcji:

    Nazwa/nazwisko opis
    Importowanie podsieci Zaimportuj element . Plik CSV definicji podsieci. Informacje o podsieci są aktualizowane przy użyciu zaimportowanych informacji. Jeśli importujesz puste pole, utracisz dane w tym polu.
    Eksportowanie podsieci Wyeksportuj aktualnie wymienione podsieci do elementu . Plik CSV.
    Wyczyść wszystko Wyczyść wszystkie aktualnie zdefiniowane podsieci.
    Uczenie automatycznej podsieci Domyślnie zaznaczony. Wyczyść tę opcję, aby zapobiec automatycznemu wykrywaniu podsieci przez czujnik.
    Rozwiązywanie całego ruchu internetowego jako wewnętrznego/prywatnego Wybierz, aby wziąć pod uwagę wszystkie publiczne adresy IP jako prywatne, lokalne. W przypadku wybrania publiczne adresy IP są traktowane jako adresy lokalne, a alerty nie są wysyłane o nieautoryzowanej aktywności internetowej.

    Ta opcja zmniejsza powiadomienia i alerty odebrane dotyczące adresów zewnętrznych.
    Adres IP Zdefiniuj adres IP podsieci.
    Maska Zdefiniuj maskę adresów IP podsieci.
    Nazwa/nazwisko Zalecamy wprowadzenie znaczącej nazwy, która określa rolę sieci podsieci. Nazwy podsieci mogą zawierać maksymalnie 60 znaków.
    Segregowane Wybierz, aby oddzielnie wyświetlić tę podsieć podczas wyświetlania mapy urządzenia zgodnie z poziomem Purdue.
    Usuwanie podsieci Wybierz, aby usunąć wszystkie podsieci, które nie są powiązane z zakresem sieci IoT/OT.

    W siatce podsieci podsieci oznaczone jako podsieć ICS są rozpoznawane jako sieci OT. Ta opcja jest tylko do odczytu w tej siatce, ale można ręcznie zdefiniować podsieć jako ICS , jeśli podsieć OT nie jest poprawnie rozpoznawana.

  3. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz , aby zapisać aktualizacje.

Napiwek

Po wyłączeniu ustawienia uczenia automatycznej podsieci i edytowaniu listy podsieci w celu uwzględnienia tylko lokalnie monitorowanych podsieci znajdujących się w zakresie IoT/OT można filtrować spis urządzeń platformy Azure według lokalizacji sieciowej, aby wyświetlić tylko urządzenia zdefiniowane jako lokalne. Aby uzyskać więcej informacji, zobacz Wyświetlanie spisu urządzeń.

Ręczne definiowanie podsieci jako ICS

Jeśli masz podsieć OT, która nie jest oznaczona automatycznie jako podsieć ICS przez czujnik, zmodyfikuj typ urządzenia dla dowolnego urządzenia w odpowiedniej podsieci do typu urządzenia ICS lub IoT. Podsieć zostanie następnie automatycznie oznaczona przez czujnik jako podsieć ICS.

Uwaga

Aby ręcznie zmienić podsieć, która ma być oznaczona jako ICS, zmień typ urządzenia w spisie urządzeń w czujniku OT. W witrynie Azure Portal podsieci na liście podsieci są domyślnie oznaczone jako ICS w ustawieniach czujnika.

Aby zmienić typ urządzenia, aby ręcznie zaktualizować podsieć:

  1. Zaloguj się do konsoli czujnika OT i przejdź do obszaru Spis urządzeń.

  2. W siatce spisu urządzeń wybierz urządzenie z odpowiedniej podsieci, a następnie wybierz pozycję Edytuj na pasku narzędzi w górnej części strony.

  3. W polu Typ wybierz typ urządzenia z listy rozwijanej, która jest wyświetlana w obszarze ICS lub IoT.

Podsieć będzie teraz oznaczona jako podsieć ICS w czujniku.

Aby uzyskać więcej informacji, zobacz Edytowanie szczegółów urządzenia.

Dostosowywanie nazw portów i sieci VLAN

Skorzystaj z poniższych procedur, aby wzbogacić dane urządzenia wyświetlane w usłudze Defender dla IoT, dostosowując nazwy portów i sieci VLAN do czujników sieci OT.

Na przykład możesz przypisać nazwę do portu nieo zastrzeżonego, który pokazuje niezwykle wysoką aktywność, aby ją wywołać, lub przypisać nazwę do numeru sieci VLAN w celu szybszego identyfikowania.

Uwaga

W przypadku czujników połączonych z chmurą można w końcu rozpocząć konfigurowanie ustawień czujnika OT w witrynie Azure Portal. Po rozpoczęciu konfigurowania ustawień w witrynie Azure Portal sieci VLAN i okienka nazewnictwa portów w czujnikach OT są tylko do odczytu. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień czujnika OT w witrynie Azure Portal.

Dostosowywanie nazw wykrytych portów

Usługa Defender dla IoT automatycznie przypisuje nazwy do najbardziej powszechnie zarezerwowanych portów, takich jak DHCP lub HTTP. Możesz jednak dostosować nazwę określonego portu, aby go wyróżnić, na przykład podczas oglądania portu z niezwykle wysokim wykrytym działaniem.

Nazwy portów są wyświetlane w usłudze Defender dla IoT podczas wyświetlania grup urządzeń z mapy urządzenia ot lub podczas tworzenia raportów czujników OT zawierających informacje o porcie.

Aby dostosować nazwę portu:

  1. Zaloguj się do czujnika OT jako administrator.

  2. Wybierz pozycję Ustawienia systemowe, a następnie w obszarze Monitorowanie sieci wybierz pozycję Nazewnictwo portów.

  3. W wyświetlonym okienku Nazewnictwo portów wprowadź numer portu, który chcesz nazwać, protokół portu i zrozumiałą nazwę. Obsługiwane wartości protokołów obejmują: TCP, UDP i OBA.

  4. Wybierz pozycję + Dodaj port , aby dostosować inny port, a następnie pozycję Zapisz po zakończeniu.

Dostosowywanie nazwy sieci VLAN

Sieci VLAN są wykrywane automatycznie przez czujnik sieci OT lub dodawane ręcznie. Nie można edytować ani usuwać automatycznie odnalezionych sieci VLAN, ale ręcznie dodane sieci VLAN wymagają unikatowej nazwy. Jeśli sieć VLAN nie jest jawnie nazwana, zamiast tego zostanie wyświetlony numer sieci VLAN.

Obsługa sieci VLAN jest oparta na wersji 802.1q (do identyfikatora sieci VLAN 4094).

Uwaga

Nazwy sieci VLAN nie są synchronizowane między czujnikiem sieci OT i lokalną konsolą zarządzania. Jeśli chcesz wyświetlić dostosowane nazwy sieci VLAN w lokalnej konsoli zarządzania, zdefiniuj tam również nazwy sieci VLAN.

Aby skonfigurować nazwy sieci VLAN na czujniku sieci OT:

  1. Zaloguj się do czujnika OT jako administrator.

  2. Wybierz pozycję Ustawienia systemowe, a następnie w obszarze Monitorowanie sieci wybierz pozycję Nazewnictwo sieci VLAN.

  3. W wyświetlonym okienku nazewnictwa sieci VLAN wprowadź identyfikator sieci VLAN i unikatową nazwę sieci VLAN. Nazwy sieci VLAN mogą zawierać maksymalnie 50 znaków ASCII.

  4. Wybierz pozycję + Dodaj sieć VLAN, aby dostosować inną sieć VLAN , i zapisz , gdy wszystko będzie gotowe.

  5. W przypadku przełączników Cisco: Dodaj monitor session 1 destination interface XX/XX encapsulation dot1q polecenie do konfiguracji portu SPAN, gdzie XX/XX jest nazwą i numerem portu.

Definiowanie serwerów DNS

Ulepszanie wzbogacania danych urządzenia przez skonfigurowanie wielu serwerów DNS do przeprowadzania wyszukiwania wstecznego i rozpoznawania nazw hostów lub nazw FQDN skojarzonych z adresami IP wykrytymi w podsieciach sieciowych. Jeśli na przykład czujnik wykryje adres IP, może wysłać zapytanie do wielu serwerów DNS w celu rozpoznania nazwy hosta. Potrzebny jest adres serwera DNS, port serwera i adresy podsieci.

Aby zdefiniować wyszukiwanie serwera DNS:

  1. W konsoli czujnika OT wybierz pozycję Ustawienia>systemu Monitorowanie sieci i w obszarze Aktywne odnajdywanie wybierz pozycję Wsteczne wyszukiwanie DNS.

  2. Użyj opcji Zaplanuj wyszukiwanie wsteczne, aby zdefiniować skanowanie zgodnie z ustalonymi interwałami, godzinami lub w określonym czasie.

    W przypadku wybrania opcji Według określonych godzin użyj zegara 24-godzinnego, takiego jak 14:30 dla godziny 14:30. + Wybierz przycisk po stronie, aby dodać dodatkowe, określone czasy, które mają być uruchamiane przez wyszukiwanie.

  3. Wybierz pozycję Dodaj serwer DNS, a następnie wypełnij pola zgodnie z potrzebami, aby zdefiniować następujące pola:

    • Adres serwera DNS, który jest adresem IP serwera DNS
    • Port serwera DNS
    • Liczba etykiet, czyli liczba etykiet domeny, które chcesz wyświetlić. Aby uzyskać tę wartość, rozwiąż adres IP sieci z nazwami FQDN urządzenia. W tym polu możesz wprowadzić maksymalnie 30 znaków.
    • Podsieci, czyli podsieci, dla których serwer DNS ma wykonywać zapytania
  4. Przełącz opcję Włączone u góry, aby uruchomić zapytanie wyszukiwania wstecznego zgodnie z harmonogramem, a następnie wybierz pozycję Zapisz , aby zakończyć konfigurację.

Aby uzyskać więcej informacji, zobacz Konfigurowanie wstecznego wyszukiwania DNS.

Testowanie konfiguracji DNS

Użyj urządzenia testowego, aby sprawdzić, czy ustawienia wyszukiwania wstecznego DNS, które zostały zdefiniowane zgodnie z oczekiwaniami.

  1. W konsoli czujnika wybierz pozycję Ustawienia>systemu Monitorowanie sieci i w obszarze Aktywne odnajdywanie wybierz pozycję Wsteczne wyszukiwanie DNS.

  2. Upewnij się, że wybrano przełącznik Włączone .

  3. Kliknij przycisk Testuj.

  4. W oknie dialogowym wyszukiwania wstecznego DNS dla serwera wprowadź adres w polu Adres wyszukiwania, a następnie wybierz pozycję Testuj.

Konfigurowanie zakresów adresów DHCP

Sieć OT może składać się zarówno ze statycznych, jak i dynamicznych adresów IP.

  • Statyczne adresy są zwykle spotykane w sieciach OT za pośrednictwem historyków, kontrolerów i urządzeń infrastruktury sieciowej, takich jak przełączniki i routery.
  • Dynamiczna alokacja adresów IP jest zwykle implementowana w sieciach gościa z laptopami, komputerami, smartfonami i innymi urządzeniami przenośnymi przy użyciu połączeń fizycznych Wi-Fi lub LAN w różnych lokalizacjach.

Jeśli pracujesz z sieciami dynamicznymi, musisz obsługiwać zmiany adresów IP w miarę ich występowania, definiując zakresy adresów DHCP na każdym czujniku sieci OT. Gdy adres IP jest zdefiniowany jako adres DHCP, usługa Defender dla IoT identyfikuje wszelkie działania wykonywane na tym samym urządzeniu, niezależnie od zmian adresu IP.

Aby zdefiniować zakresy adresów DHCP:

  1. Zaloguj się do czujnika OT i wybierz pozycję Ustawienia>systemowe Monitorowanie>zakresów DHCP.

  2. Wykonaj jedną z następujących czynności:

    • Aby dodać pojedynczy zakres, wybierz pozycję + Dodaj zakres i wprowadź zakres adresów IP i opcjonalną nazwę zakresu.
    • Aby dodać wiele zakresów, utwórz element . Plik CSV z kolumnami dla danych From, To i Name dla każdego z zakresów. Wybierz pozycję Importuj , aby zaimportować plik do czujnika OT. Wartości zakresu zaimportowane z obiektu . Plik CSV zastępuje wszystkie dane zakresu aktualnie skonfigurowane dla czujnika.
    • Aby wyeksportować obecnie skonfigurowane zakresy do elementu . Plik CSV, wybierz pozycję Eksportuj.
    • Aby wyczyścić wszystkie aktualnie skonfigurowane zakresy, wybierz pozycję Wyczyść wszystko.

    Nazwy zakresów mogą zawierać maksymalnie 256 znaków.

  3. Wybierz Zapisz, aby zapisać zmiany.

Konfigurowanie filtrów ruchu (zaawansowane)

Aby zmniejszyć zmęczenie alertami i skoncentrować monitorowanie sieci na ruchu o wysokim priorytcie, możesz zdecydować się na filtrowanie ruchu przesyłanego strumieniowo do usługi Defender dla IoT w źródle. Filtry przechwytywania są konfigurowane za pośrednictwem interfejsu wiersza polecenia czujnika OT i umożliwiają blokowanie ruchu o wysokiej przepustowości w warstwie sprzętowej, optymalizowanie wydajności i użycia zasobów urządzenia.

Aby uzyskać więcej informacji, zobacz:

Następne kroki