Implantar o Defender para IoT para monitoramento de OT
Este artigo descreve as etapas de alto nível necessárias para implantar o Microsoft Defender para IoT para monitoramento de OT. Saiba mais sobre cada etapa de implantação nas seções abaixo, incluindo referências cruzadas relevantes para obter mais detalhes.
A imagem a seguir mostra as fases de um caminho de implantação de monitoramento de OT de ponta a ponta, juntamente com a equipe responsável por cada fase.
Embora as equipes e o cargos possam diferir entre organizações diferentes, todas as implantações do Defender para IoT exigem comunicação entre as pessoas responsáveis pelas diferentes áreas de sua rede e infraestrutura.
Dica
Cada etapa no processo pode ter uma duração diferente. Por exemplo, o download de um arquivo de ativação do sensor de OT pode levar cinco minutos, enquanto a configuração do monitoramento de tráfego pode levar dias ou até semanas, dependendo dos processos da sua organização.
Recomendamos que você inicie o processo para cada etapa sem esperar que ela seja concluída antes de passar para a próxima etapa. Certifique-se de continuar acompanhando todas as etapas ainda em andamento para garantir sua conclusão.
Pré-requisitos
Antes de começar a planejar sua implantação de monitoramento de OT, verifique se você tem uma assinatura do Azure e um plano de OT integrado do Defender para IoT.
Para obter mais informações, confira Iniciar uma avaliação do Microsoft Defender para IoT.
Planejamento e preparação
A imagem a seguir mostra as etapas incluídas na fase de planejamento e preparação. As etapas de planejamento e preparação são tratadas por suas equipes de arquitetura.
Planejar seu sistema de monitoramento de OT
Planeje detalhes básicos sobre seu sistema de monitoramento, como:
Sites e zonas: decida como segmentará a rede que deseja monitorar usando sites e zonas que podem representar locais em todo o mundo.
Gerenciamento de sensores: Decida se você usará sensores OT gerenciados localmente, conectados à nuvem ou com gap de ar, ou um sistema híbrido de ambos. Se você estiver usando sensores conectados à nuvem, selecione um método de conexão, como conectar-se diretamente ou por meio de um proxy.
Usuários e funções: lista dos tipos de usuários que você precisará em cada sensor e as funções que eles precisarão ter para cada atividade.
Para obter mais informações, veja Planejar seu sistema de monitoramento de OT com o Defender para IoT.
Dica
Se estiver usando vários sensores gerenciados localmente, você também pode querer implantar um console de gerenciamento local para visibilidade e gerenciamento centralizados.
Preparar uma implantação de site de OT
Defina detalhes adicionais para cada site planejado em seu sistema, incluindo:
Um diagrama de rede. Identifique todos os dispositivos que deseja monitorar e crie uma lista bem definida de sub-redes. Depois de implantar seus sensores, use esta lista para verificar se todas as sub-redes que você deseja monitorar são cobertas pelo Defender para IoT.
Uma lista de sensores: use a lista de tráfego, sub-redes e dispositivos que você deseja monitorar para criar uma lista dos sensores de OT necessários e onde eles serão colocados em sua rede.
Métodos de espelhamento de tráfego: escolha um método de espelhamento de tráfego para cada sensor de OT, como uma porta SPAN ou TAP.
Dispositivos: prepare uma estação de trabalho de implantação e dispositivos de VM ou hardware que você usará para cada um dos sensores de OT que planejou. Se você estiver usando dispositivos pré-configurados, certifique-se de ordená-los.
Para obter mais informações, veja Preparar uma implantação de site de OT.
Integrar sensores ao Azure
A imagem a seguir mostra a etapa incluída na fase de sensores de integração. Os sensores são integrados ao Azure por suas equipes de implantação.
Integrar sensores de OT no portal do Azure
Integre tantos sensores de OT ao Defender para IoT quanto você planejou. Baixe os arquivos de ativação fornecidos para cada sensor de OT e salve-os em um local que poderá ser acessado a partir de seus computadores do sensor.
Para obter mais informações, confira Integrar sensores de OT ao Defender para IoT.
Configuração de rede do site
A imagem a seguir mostra as etapas incluídas na fase de configuração de rede do site. As etapas de rede do site são tratadas por suas equipes de conectividade.
Configurar o espelhamento de tráfego em sua rede
Use os planos criados anteriormente para configurar o espelhamento de tráfego nos locais em sua rede em que você implantará sensores de OT e espelhará o tráfego no Defender para IoT.
Um breve resumo das informações necessárias para escolher o melhor local para o sensor OT e implantá-lo na sua rede está disponível em espelhamento de tráfego configurado.
Para saber mais, veja:
- Configurar o espelhamento com uma porta SPAN com comutador
- Configurar o espelhamento de tráfego com uma porta SPAN Remota (RSPAN)
- Configurar uma agregação ativa e passiva (TAP)
- Atualize as interfaces de monitoramento de um sensor (configurar ERSPAN)
- Configurar o espelhamento de tráfego com um ESXi vSwitch
- Configurar espelhamento de tráfego com um Hyper-V vSwitch
Provisionar para gerenciamento de nuvem
Configure todas as regras de firewall para garantir que seus dispositivos de sensor de OT possam acessar o Defender para IoT na nuvem do Azure. Se você estiver planejando se conectar por meio de um proxy, definirá essas configurações somente após a instalação do sensor.
Ignore esta etapa para sensores de OT que estejam planejados para desconexão e gerenciamento local, diretamente no console do sensor ou por meio de um console de gerenciamento local.
Para obter mais informações, veja Provisionar sensores de OT para gerenciamento de nuvem.
Implantar os sensores de OT
A imagem a seguir mostra as etapas incluídas na fase de implantação do sensor. Os sensores de OT são implantados e ativados pela sua equipe de implantação.
Instalar os sensores de OT
Se você estiver instalando o software do Defender para IoT em seus próprios dispositivos, baixe o software de instalação no portal do Azure e instale-o no dispositivo do sensor de OT.
Depois de instalar o software do sensor de OT, execute várias verificações para validar a instalação e a configuração.
Para obter mais informações, consulte:
- Instalar o software de monitoramento de OT em sensores OT
- Validar uma instalação de software do sensor de OT
Ignore estas etapas se você estiver comprando dispositivos pré-configurados.
Ativar os sensores de OT
Use um assistente de configuração inicial para confirmar as configurações de rede, ativar o sensor e aplicar certificados SSH/TLS.
Para obter mais informações, veja Configurar e ativar seu sensor OT.
Configurar conexões de proxy
Se você decidiu usar um proxy para conectar seus sensores à nuvem, configure seu proxy e defina as configurações no sensor. Para obter mais informações, veja Definir configurações de proxy em um sensor de OT.
Ignore esta etapa nas seguintes situações:
- Para qualquer sensor de OT em que você está se conectando diretamente ao Azure, sem um proxy
- Para qualquer sensor que esteja planejado para desconexão e gerenciamento local, diretamente no console do sensor ou por meio de um console de gerenciamento local.
Definir configurações opcionais
É recomendável configurar uma conexão do Active Directory para gerenciar usuários locais no sensor de OT e também configurar o monitoramento de integridade do sensor por meio do SNMP.
Se você não definir essas configurações durante a implantação, também poderá retornar e configurá-las posteriormente.
Para obter mais informações, consulte:
- Configurar o monitoramento do MIB do SNMP em um sensor de OT
- Configurar uma conexão do Active Directory
Calibrar e ajustar o monitoramento de OT
As imagens a seguir mostram as etapas envolvidas na calibragem e ajuste do monitoramento de OT com o sensor recém-implantado. As atividades de ajuste e calibragem são realizadas pela sua equipe de implantação.
Controlar o monitoramento de OT no sensor
Por padrão, o sensor de OT pode não detectar as redes exatas que você deseja monitorar ou identificá-las exatamente da maneira que você gostaria de vê-las exibidas. Use as listas criadas anteriormente para verificar e configurar manualmente as sub-redes, personalizar nomes de porta e VLAN e configurar intervalo de endereços DHCP conforme necessário.
Para obter mais informações, veja Controlar o tráfego de OT monitorado pelo Microsoft Defender para IoT.
Verificar e atualizar o inventário de dispositivos detectado
Depois que os dispositivos forem totalmente detectados, examine o inventário do dispositivo e modifique os detalhes do dispositivo conforme necessário. Por exemplo, você pode identificar entradas de dispositivo duplicadas que podem ser mescladas, tipos de dispositivo ou outras propriedades para modificar e muito mais.
Para obter mais informações, veja Verificar e atualizar o inventário de dispositivos detectado.
Saiba mais sobre alertas de OT para criar uma linha de base de rede
Os alertas disparados pelo sensor de OT podem incluir vários alertas que você deseja ignorar regularmente, ou Aprender sobre, como tráfego autorizado.
Examinar todos os alertas no sistema como uma triagem inicial. Esta etapa cria uma linha de base de tráfego de rede com a qual o Defender para IoT trabalhará daqui em diante.
Para obter mais informações, veja Criar uma linha de base para alertas de OT.
Término do aprendizado de linha de base
Os sensores de OT permanecerão no Modo de aprendizado enquanto novos tráfegos forem detectados e você tiver alertas sem tratamento.
Quando o aprendizado de linha de base terminar, o processo de implantação de monitoramento de OT será concluído e você continuará no modo operacional para monitoramento contínuo. No modo operacional, qualquer atividade que difere dos dados da linha de base disparará um alerta.
Dica
Desative o modo de aprendizado manualmente se achar que os alertas atuais no Defender para IoT refletem o tráfego de rede com precisão e o modo de aprendizado ainda não foi encerrado automaticamente.
Conecte os dados do Defender para IoT ao seu SIEM
Depois que o Defender para IoT for implantado, envie alertas de segurança e gerencie incidentes de OT/IoT integrando o Defender para IoT à sua plataforma de gerenciamento de eventos e informações de segurança (SIEM) e aos fluxos de trabalho e ferramentas de SOC existentes. Integre os alertas do Defender para IoT ao SIEM de sua organizacional integrando-se ao Microsoft Sentinel e aproveitando a solução pronta para uso do Microsoft Defender para IoT, ou criando regras de encaminhamento para outros sistemas SIEM. O Defender para IoT se integra imediatamente ao Microsoft Sentinel, bem como a uma ampla gama de sistemas SIEM, como Splunk, IBM QRadar, LogRhythm, Fortinet e outros.
Um breve resumo das informações necessárias para escolher o melhor local para o sensor OT e implantá-lo na sua rede está disponível em espelhamento de tráfego configurado.
Para saber mais, veja:
- Monitoramento de ameaças de OT nos SOCs empresarias
- Tutorial: conectar o Microsoft Defender para IoT ao Microsoft Sentinel
- Conectar sensores de rede OT locais ao Microsoft Sentinel
- Integrações com serviços da Microsoft e de parceiros
- Transmitir alertas de nuvem do Defender para IoT para um SIEM de parceiro
Depois de integrar alertas do Defender para IoT a um SIEM, recomendamos as próximas etapas para operacionalizar os alertas de OT/IoT e integrá-los totalmente aos fluxos de trabalho e às ferramentas de SOC existentes:
Identifique e defina as ameaças relevantes à segurança de IoT/OT e os incidentes de SOC que você gostaria de monitorar com base em suas necessidades e ambiente específicos de OT.
Crie regras de detecção e níveis de gravidade no SIEM. Somente incidentes relevantes serão disparados, reduzindo assim ruídos desnecessários. Por exemplo, você definiria as alterações de código PLC realizadas em dispositivos não autorizados ou fora do horário de trabalho, como um incidente de alta gravidade devido à alta fidelidade desse alerta específico.
No Microsoft Sentinel, a solução do Microsoft Defender para IoT inclui um conjunto de regras de detecção prontas para uso, criadas especificamente para os dados do Defender para IoT, que o ajudam a ajustar os incidentes criados no Microsoft Sentinel.
Defina o fluxo de trabalho apropriado para mitigação e crie guias estratégicos de investigação automatizados para cada caso de uso. No Microsoft Sentinel, a solução Microsoft Defender para IoT inclui guias estratégicos prontos para uso para resposta automatizada aos alertas do Defender para IoT.
Próximas etapas
Agora que você entende as etapas de implantação do sistema de monitoramento de OT, está pronto para começar!