Partilhar via


Controle o tráfego de OT monitorado pelo Microsoft Defender for IoT

Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT.

Diagrama de uma barra de progresso com o monitoramento Fine-tun OT realçado.

Os sensores de rede OT do Microsoft Defender for IoT executam automaticamente a deteção profunda de pacotes para tráfego de TI e OT, resolvendo dados de dispositivos de rede, como atributos e comportamento do dispositivo.

Depois de instalar, ativar e configurar seu sensor de rede OT, use as ferramentas descritas neste artigo para analisar o tráfego detetado automaticamente, adicionar sub-redes extras, se necessário, e controlar as informações de tráfego incluídas nos alertas do Defender for IoT.

Pré-requisitos

Antes de executar os procedimentos neste artigo, você deve ter:

Esta etapa é executada por suas equipes de implantação.

Analise sua implantação

Depois de integrar um novo sensor de rede OT ao Microsoft Defender para IoT, valide se o sensor está implantado corretamente analisando o tráfego que está sendo monitorado.

Para analisar a sua rede:

  1. Inicie sessão no seu sensor OT como utilizador Administrador e selecione Implementação Básica>das definições>do sistema.

  2. Selecione Analisar. A análise é iniciada e uma guia é mostrada para cada interface monitorada pelo sensor. Cada guia mostra as sub-redes detetadas pela interface indicada.

  3. Cada guia de interface mostra os seguintes detalhes:

    • Status da conexão, indicado por um ícone de conexão verde ou vermelho no nome da guia. Por exemplo, na imagem acima, a interface eth1 aparece como verde e, portanto, está conectada.
    • O número total de sub-redes e VLANs detetadas, mostrado na parte superior da guia.
    • Os protocolos detetados em cada sub-rede.
    • O número de endereços unicast detetados para cada sub-rede.
    • Se o tráfego de difusão é detetado para cada sub-rede, indicando uma rede local.
  4. Aguarde a conclusão da análise e, em seguida, verifique cada guia de interface para entender se a interface está monitorando o tráfego relevante ou precisa de ajustes adicionais.

Se o tráfego mostrado na página Implantação não for o esperado, talvez seja necessário ajustar a implantação alterando a localização do sensor na rede ou verificando se as interfaces de monitoramento estão conectadas corretamente. Se você fizer alguma alteração e quiser analisar o tráfego novamente para ver se ele foi melhorado, selecione Analisar novamente para ver o estado de monitoramento atualizado.

Ajuste sua lista de sub-redes

Depois de analisar o tráfego que seu sensor está monitorando e ajustar a implantação, talvez seja necessário ajustar ainda mais sua lista de sub-redes. Use este procedimento para garantir que suas sub-redes estejam configuradas corretamente.

Enquanto seu sensor OT aprende automaticamente suas sub-redes de rede durante a implantação inicial, recomendamos analisar o tráfego detetado e atualizá-los conforme necessário para otimizar suas visualizações de mapa e inventário de dispositivos.

Use também este procedimento para definir também as configurações de sub-rede, determinando como os dispositivos são exibidos no mapa de dispositivos do sensor e no inventário de dispositivos do Azure.

  • No mapa de dispositivos, os dispositivos de TI são automaticamente agregados por sub-rede, onde você pode expandir e recolher cada exibição de sub-rede para detalhar conforme necessário.
  • No inventário de dispositivos do Azure, depois que as sub-redes tiverem sido configuradas, use o filtro Local de rede (visualização pública) para exibir dispositivos locais ou roteados, conforme definido em sua lista de sub-redes. Todos os dispositivos associados às sub-redes listadas são exibidos como locais, enquanto os dispositivos associados a sub-redes detetadas não incluídas na lista serão exibidos como roteados.

Enquanto o sensor de rede OT aprende automaticamente as sub-redes em sua rede, recomendamos confirmar as configurações aprendidas e atualizá-las conforme necessário para otimizar suas visualizações de mapa e inventário de dispositivos. Todas as sub-redes não listadas como sub-redes são tratadas como redes externas.

Gorjeta

Quando estiver pronto para começar a gerir as definições do sensor OT em escala, defina sub-redes a partir do portal do Azure. Depois de aplicar as configurações do portal do Azure, as configurações no console do sensor são somente leitura. Para obter mais informações, consulte Configurar configurações do sensor OT no portal do Azure (visualização pública).

Para ajustar as sub-redes detetadas:

  1. Inicie sessão no seu sensor OT como utilizador Administrador e selecione Sub-redes básicas das definições>do>sistema. Por exemplo:

    Captura de ecrã da página Sub-redes nas definições do sensor OT.

  2. Atualize as sub-redes listadas usando qualquer uma das seguintes opções:

    Nome Descrição
    Importar sub-redes Importe um arquivo . CSV de definições de sub-rede. As informações da sub-rede são atualizadas com as informações que você importou. Se importar um campo vazio, perderá os dados nesse campo.
    Exportar sub-redes Exporte as sub-redes listadas atualmente para um arquivo . Arquivo CSV.
    Apagar tudo Limpe todas as sub-redes definidas no momento.
    Aprendizagem automática de sub-redes Está selecionado por predefinição. Desmarque esta opção para impedir que o sensor detete suas sub-redes automaticamente.
    Resolver todo o tráfego da Internet como interno/privado Selecione esta opção para considerar todos os endereços IP públicos como endereços locais privados. Se selecionado, os endereços IP públicos são tratados como endereços locais e não são enviados alertas sobre atividades não autorizadas na Internet.

    Esta opção reduz as notificações e alertas recebidos sobre endereços externos.
    Endereço IP Defina o endereço IP da sub-rede.
    Máscara Defina a máscara IP da sub-rede.
    Nome Recomendamos que você insira um nome significativo que especifique a função de rede da sub-rede. Os nomes das sub-redes podem ter até 60 caracteres.
    Segregado Selecione esta opção para mostrar esta sub-rede separadamente ao exibir o mapa do dispositivo de acordo com o nível de Purdue.
    Remover sub-rede Selecione esta opção para remover quaisquer sub-redes que não estejam relacionadas ao escopo da sua rede IoT/OT.

    Na grade de sub-rede, as sub-redes marcadas como sub-rede ICS são reconhecidas como redes OT. Essa opção é somente leitura nesta grade, mas você pode definir manualmente uma sub-rede como ICS se houver uma sub-rede OT que não está sendo reconhecida corretamente.

  3. Quando terminar, selecione Salvar para salvar suas atualizações.

Gorjeta

Depois que a configuração de aprendizado de sub-rede automática estiver desabilitada e a lista de sub-redes tiver sido editada para incluir apenas as sub-redes monitoradas localmente que estão em seu escopo de IoT/OT, você poderá filtrar o inventário de dispositivos do Azure por local de rede para exibir apenas os dispositivos definidos como locais. Para obter mais informações, consulte Exibir o inventário de dispositivos.

Definir manualmente uma sub-rede como ICS

Se você tiver uma sub-rede OT que não está sendo marcada automaticamente como uma sub-rede ICS pelo sensor, edite o tipo de dispositivo para qualquer um dos dispositivos na sub-rede relevante para um tipo de dispositivo ICS ou IoT. A sub-rede será então automaticamente marcada pelo sensor como uma sub-rede ICS.

Nota

Para alterar manualmente a sub-rede a ser marcada como ICS, altere o tipo de dispositivo no inventário de dispositivos no sensor OT. No portal do Azure, as sub-redes na lista de sub-redes são marcadas como ICS por padrão nas configurações do sensor.

Para alterar o tipo de dispositivo para atualizar manualmente a sub-rede:

  1. Inicie sessão na consola do sensor OT e aceda ao Inventário de dispositivos.

  2. Na grade de inventário de dispositivos, selecione um dispositivo na sub-rede relevante e selecione Editar na barra de ferramentas na parte superior da página.

  3. No campo Tipo, selecione um tipo de dispositivo na lista suspensa listada em ICS ou IoT.

A sub-rede será agora marcada como uma sub-rede ICS no sensor.

Para obter mais informações, consulte Editar detalhes do dispositivo.

Personalizar nomes de portas e VLAN

Use os procedimentos a seguir para enriquecer os dados do dispositivo mostrados no Defender for IoT personalizando nomes de porta e VLAN em seus sensores de rede OT.

Por exemplo, talvez você queira atribuir um nome a uma porta não reservada que mostre uma atividade excepcionalmente alta para chamá-la ou atribuir um nome a um número de VLAN para identificá-lo mais rapidamente.

Nota

Para sensores conectados à nuvem, você pode, eventualmente, começar a definir as configurações do sensor OT no portal do Azure. Depois de começar a definir as definições a partir do portal do Azure, as VLANs e os painéis de nomenclatura de portas nos sensores OT são somente leitura. Para obter mais informações, consulte Definir configurações do sensor OT no portal do Azure.

Personalizar nomes de portas detetadas

O Defender for IoT atribui automaticamente nomes à maioria das portas universalmente reservadas, como DHCP ou HTTP. No entanto, convém personalizar o nome de uma porta específica para realçá-la, como quando você está observando uma porta com atividade detetada excepcionalmente alta.

Os nomes das portas são mostrados no Defender for IoT ao visualizar grupos de dispositivos a partir do mapa de dispositivos do sensor OT ou quando você cria relatórios de sensor OT que incluem informações de porta.

Para personalizar um nome de porta:

  1. Inicie sessão no seu sensor OT como utilizador Admin .

  2. Selecione Configurações do sistema e, em Monitoramento de rede, selecione Nomenclatura de portas.

  3. No painel de nomenclatura de porta que aparece, insira o número da porta que você deseja nomear, o protocolo da porta e um nome significativo. Os valores de protocolo suportados incluem: TCP, UDP e BOTH.

  4. Selecione + Adicionar porta para personalizar outra porta e Salvar quando terminar.

Personalizar um nome de VLAN

As VLANs são descobertas automaticamente pelo sensor de rede OT ou adicionadas manualmente. As VLANs descobertas automaticamente não podem ser editadas ou excluídas, mas as VLANs adicionadas manualmente exigem um nome exclusivo. Se uma VLAN não for explicitamente nomeada, o número da VLAN será mostrado.

O suporte da VLAN é baseado em 802.1q (até VLAN ID 4094).

Nota

Os nomes de VLAN não são sincronizados entre o sensor de rede OT e o console de gerenciamento local. Se você quiser exibir nomes de VLAN personalizados no console de gerenciamento local, defina os nomes de VLAN lá também.

Para configurar nomes de VLAN em um sensor de rede OT:

  1. Inicie sessão no seu sensor OT como utilizador Admin .

  2. Selecione Configurações do sistema e, em Monitoramento de rede, selecione Nomenclatura de VLAN.

  3. No painel de nomenclatura de VLAN exibido, insira uma ID de VLAN e um nome de VLAN exclusivo. Os nomes VLAN podem conter até 50 caracteres ASCII.

  4. Selecione + Adicionar VLAN para personalizar outra VLAN e Salvar quando terminar.

  5. Para switches Cisco: adicione o monitor session 1 destination interface XX/XX encapsulation dot1q comando à configuração da porta SPAN, onde XX/XX é o nome e o número da porta.

Definir servidores DNS

Melhore o enriquecimento de dados do dispositivo configurando vários servidores DNS para realizar pesquisas inversas e resolver nomes de host ou FQDNs associados aos endereços IP detetados em sub-redes de rede. Por exemplo, se um sensor descobrir um endereço IP, ele poderá consultar vários servidores DNS para resolver o nome do host. Você precisa do endereço do servidor DNS, da porta do servidor e dos endereços de sub-rede.

Para definir a pesquisa do servidor DNS:

  1. No console do sensor OT, selecione Configurações do>sistema Monitoramento de rede e, em Descoberta ativa, selecione Pesquisa reversa de DNS.

  2. Use as opções Agendar pesquisa inversa para definir sua verificação como em intervalos fixos, por hora ou em um horário específico.

    Se você selecionar Por horários específicos, use um relógio de 24 horas, como 14:30 para 14:30. Selecione o + botão ao lado para adicionar horários adicionais específicos que você deseja que a pesquisa seja executada.

  3. Selecione Adicionar Servidor DNS e preencha os campos conforme necessário para definir os seguintes campos:

    • Endereço do servidor DNS, que é o endereço IP do servidor DNS
    • Porta do servidor DNS
    • Número de rótulos, que é o número de rótulos de domínio que você deseja exibir. Para obter esse valor, resolva o endereço IP da rede para FQDNs do dispositivo. Pode introduzir até 30 carateres neste campo.
    • Sub-redes, que são as sub-redes que você deseja que o servidor DNS consulte
  4. Ative a opção Ativado na parte superior para iniciar a consulta de pesquisa inversa conforme agendado e, em seguida, selecione Salvar para concluir a configuração.

Para obter mais informações, consulte Configurar pesquisa reversa de DNS.

Testar a configuração do DNS

Use um dispositivo de teste para verificar se as configurações de pesquisa reversa de DNS definidas funcionam conforme o esperado.

  1. No console do sensor, selecione Configurações do>sistema Monitoramento de rede e, em Descoberta ativa, selecione Pesquisa reversa de DNS.

  2. Certifique-se de que a opção Ativado está selecionada.

  3. Selecione Teste.

  4. Na caixa de diálogo Teste de pesquisa inversa de DNS para servidor, insira um endereço no Endereço de pesquisa e selecione Testar.

Configurar intervalos de endereços DHCP

Sua rede OT pode consistir em endereços IP estáticos e dinâmicos.

  • Os endereços estáticos são normalmente encontrados em redes OT através de historiadores, controladores e dispositivos de infraestrutura de rede, como switches e roteadores.
  • A alocação dinâmica de IP é normalmente implementada em redes convidadas com laptops, PCs, smartphones e outros equipamentos portáteis, usando conexões físicas Wi-Fi ou LAN em diferentes locais.

Se estiver a trabalhar com redes dinâmicas, tem de lidar com as alterações de endereços IP à medida que ocorrem, definindo intervalos de endereços DHCP em cada sensor de rede OT. Quando um endereço IP é definido como um endereço DHCP, o Defender for IoT identifica qualquer atividade que esteja acontecendo no mesmo dispositivo, independentemente das alterações de endereço IP.

Para definir intervalos de endereços DHCP:

  1. Inicie sessão no seu sensor OT e selecione Definições do>sistema Monitorização de>rede Intervalos DHCP.

  2. Execute um dos seguintes procedimentos:

    • Para adicionar um único intervalo, selecione + Adicionar intervalo e insira o intervalo de endereços IP e um nome opcional para o intervalo.
    • Para adicionar vários intervalos, crie um arquivo . CSV com colunas para os dados De, Para e Nome para cada um dos intervalos. Selecione Importar para importar o arquivo para o sensor OT. Valores de intervalo importados de um arquivo . O arquivo CSV substitui todos os dados de intervalo atualmente configurados para seu sensor.
    • Para exportar intervalos configurados atualmente para um arquivo . CSV, selecione Exportar.
    • Para limpar todos os intervalos configurados atualmente, selecione Limpar tudo.

    Os nomes dos intervalos podem ter até 256 caracteres.

  3. Selecione Guardar para guardar as alterações.

Configurar filtros de tráfego (avançado)

Para reduzir a fadiga do alerta e concentrar o monitoramento da rede no tráfego de alta prioridade, você pode decidir filtrar o tráfego que flui para o Defender for IoT na origem. Os filtros de captura são configurados através da CLI do sensor OT e permitem bloquear o tráfego de alta largura de banda na camada de hardware, otimizando o desempenho do dispositivo e o uso de recursos.

Para obter mais informações, consulte:

Próximos passos