Implantar o Defender for IoT para monitoramento de OT

Este artigo descreve as etapas de alto nível necessárias para implantar o monitoramento do Defender for IoT for OT. Saiba mais sobre cada etapa de implantação nas seções abaixo, incluindo referências cruzadas relevantes para obter mais detalhes.

A imagem a seguir mostra as fases em um caminho de implantação de monitoramento de OT de ponta a ponta, juntamente com a equipe responsável por cada fase.

Embora as equipes e os cargos sejam diferentes entre diferentes organizações, todas as implantações do Defender for IoT exigem comunicação entre as pessoas responsáveis pelas diferentes áreas de sua rede e infraestrutura.

Gorjeta

Cada etapa do processo pode levar um tempo diferente. Por exemplo, o download de um arquivo de ativação do sensor OT pode levar cinco minutos, enquanto a configuração do monitoramento de tráfego pode levar dias ou até semanas, dependendo dos processos da sua organização.

Recomendamos que você inicie o processo para cada etapa sem esperar que ela seja concluída antes de passar para a próxima etapa. Certifique-se de continuar acompanhando todas as etapas ainda em processo para garantir sua conclusão.

Pré-requisitos

Antes de começar a planejar sua implantação de monitoramento de OT, verifique se você tem uma assinatura do Azure e um plano de OT integrado ao Defender for IoT.

Para obter mais informações, consulte Iniciar uma avaliação do Microsoft Defender para IoT.

Planeamento e preparação

A imagem a seguir mostra as etapas incluídas na fase de planejamento e preparação. As etapas de planejamento e preparação são tratadas por suas equipes de arquitetura.

Planeie o seu sistema de monitorização de OT

Planeje detalhes básicos sobre seu sistema de monitoramento, como:

• Sites e zonas: decida como você segmentará a rede que deseja monitorar usando sites e zonas que podem representar locais em todo o mundo.

• Gerenciamento de sensores: decida se você usará sensores OT conectados à nuvem ou com folga no ar, gerenciados localmente ou um sistema híbrido de ambos. Se você estiver usando sensores conectados à nuvem, selecione um método de conexão, como conectar-se diretamente ou por meio de um proxy.

• Usuários e funções: lista dos tipos de usuários que você precisará em cada sensor e as funções que eles precisarão para cada atividade.

Para obter mais informações, consulte Planejar seu sistema de monitoramento de OT com o Defender for IoT.

Gorjeta

Se você estiver usando vários sensores gerenciados localmente, talvez também queira implantar um console de gerenciamento local para visibilidade e gerenciamento centralizados.

Preparar-se para uma implantação de site OT

Defina detalhes adicionais para cada local planejado em seu sistema, incluindo:

• Um diagrama de rede. Identifique todos os dispositivos que deseja monitorar e crie uma lista bem definida de sub-redes. Depois de implantar seus sensores, use esta lista para verificar se todas as sub-redes que você deseja monitorar são cobertas pelo Defender for IoT.

• Uma lista de sensores: use a lista de tráfego, sub-redes e dispositivos que você deseja monitorar para criar uma lista dos sensores OT necessários e onde eles serão colocados em sua rede.

• Métodos de espelhamento de tráfego: escolha um método de espelhamento de tráfego para cada sensor OT, como uma porta SPAN ou TAP.

• Dispositivos: Prepare uma estação de trabalho de implantação e qualquer dispositivo de hardware ou VM que você usará para cada um dos sensores OT planejados. Se estiver a utilizar aparelhos pré-configurados, certifique-se de que os encomenda.

Para obter mais informações, consulte Preparar uma implantação de site OT.

Sensores integrados ao Azure

A imagem a seguir mostra a etapa incluída na fase de sensores a bordo. Os sensores são integrados ao Azure pelas suas equipas de implementação.

Sensores OT integrados no portal do Azure

Integre tantos sensores OT ao Defender for IoT quantos você planejou. Certifique-se de baixar os arquivos de ativação fornecidos para cada sensor OT e salvá-los em um local que será acessível a partir de suas máquinas de sensor.

Para obter mais informações, consulte Sensores OT integrados ao Defender for IoT.

Configuração de rede do site

A imagem a seguir mostra as etapas incluídas na frase de configuração de rede do site. As etapas de rede do site são tratadas por suas equipes de conectividade.

Configurar o espelhamento de tráfego na sua rede

Use os planos que você criou anteriormente para configurar o espelhamento de tráfego nos locais da sua rede onde você implantará sensores OT e espelhará o tráfego no Defender for IoT.

Um breve resumo das informações necessárias para escolher o melhor local para o seu sensor OT e implantá-lo em sua rede está disponível na visão geral da configuração do espelhamento de tráfego.

Para obter mais informações, consulte:

• Configurar o espelhamento com uma porta SPAN do switch
• Configurar o espelhamento de tráfego com uma porta RSPAN (Remote SPAN)
• Configurar agregação ativa ou passiva (TAP)
• Atualizar as interfaces de monitoramento de um sensor (configurar ERSPAN)
• Configurar o espelhamento de tráfego com um ESXi vSwitch
• Configurar o espelhamento de tráfego com um vSwitch Hyper-V

Provisão para gerenciamento de nuvem

Configure quaisquer regras de firewall para garantir que seus dispositivos de sensor OT possam acessar o Defender for IoT na nuvem do Azure. Se você estiver planejando se conectar por meio de um proxy, você definirá essas configurações somente depois de instalar o sensor.

Ignore esta etapa para qualquer sensor OT planejado para ser acionado e gerenciado localmente, diretamente no console do sensor ou por meio de um console de gerenciamento local.

Para obter mais informações, consulte Provisionar sensores OT para gerenciamento de nuvem.

Implante seus sensores OT

A imagem a seguir mostra as etapas incluídas na fase de implantação do sensor. Os sensores OT são implantados e ativados pela sua equipe de implantação.

Instale os seus sensores OT

Se estiver a instalar o software Defender for IoT nos seus próprios dispositivos, transfira o software de instalação a partir do portal do Azure e instale-o no seu dispositivo de sensor OT.

Depois de instalar o software do sensor OT, execute várias verificações para validar a instalação e a configuração.

Para obter mais informações, consulte:

• Instale o software de monitoramento OT em sensores OT
• Validar a instalação de um software de sensor OT

Ignore estas etapas se estiver comprando aparelhos pré-configurados.

Ative os seus sensores OT e a configuração inicial

Use um assistente de configuração inicial para confirmar as configurações de rede, ativar o sensor e aplicar certificados SSH/TLS.

Para obter mais informações, consulte Configurar e ativar o sensor OT.

Configurar conexões proxy

Se você decidiu usar um proxy para conectar seus sensores à nuvem, configure seu proxy e defina as configurações em seu sensor. Para obter mais informações, consulte Definir configurações de proxy em um sensor OT.

Ignore esta etapa nas seguintes situações:

• Para qualquer sensor OT em que você esteja se conectando diretamente ao Azure, sem um proxy
• Para qualquer sensor planejado para ser acionado e gerenciado localmente, diretamente no console do sensor ou por meio de um console de gerenciamento local.

Configurar definições opcionais

Recomendamos que você configure uma conexão do Ative Directory para gerenciar usuários locais em seu sensor OT e também para configurar o monitoramento da integridade do sensor via SNMP.

Se você não definir essas configurações durante a implantação, também poderá retorná-las e configurá-las mais tarde.

Para obter mais informações, consulte:

• Configurar o monitoramento MIB SNMP em um sensor OT
• Configurar uma conexão com o Ative Directory

Calibrar e ajustar o monitoramento de OT

A imagem a seguir mostra as etapas envolvidas na calibração e ajuste fino do monitoramento de OT com seu sensor recém-implantado. As atividades de calibração e ajuste fino são feitas pela sua equipe de implantação.

Controle a monitorização OT no seu sensor

Por padrão, seu sensor OT pode não detetar as redes exatas que você deseja monitorar ou identificá-las exatamente da maneira que você gostaria de vê-las exibidas. Use as listas criadas anteriormente para verificar e configurar manualmente as sub-redes, personalizar nomes de porta e VLAN e configurar intervalos de endereços DHCP conforme necessário.

Para obter mais informações, consulte Controlar o tráfego de OT monitorado pelo Microsoft Defender for IoT.

Verificar e atualizar o inventário de dispositivos detetados

Depois que seus dispositivos forem totalmente detetados, revise o inventário de dispositivos e modifique os detalhes do dispositivo conforme necessário. Por exemplo, você pode identificar entradas de dispositivo duplicadas que podem ser mescladas, tipos de dispositivo ou outras propriedades a serem modificadas e muito mais.

Para obter mais informações, consulte Verificar e atualizar o inventário de dispositivos detetados.

Aprenda alertas OT para criar uma linha de base de rede

Os alertas acionados pelo seu sensor OT podem incluir vários alertas que você vai querer ignorar regularmente, ou Aprender, como tráfego autorizado.

Reveja todos os alertas no seu sistema como uma triagem inicial. Esta etapa cria uma linha de base de tráfego de rede para o Defender for IoT trabalhar no futuro.

Para obter mais informações, consulte Criar uma linha de base aprendida de alertas OT.

Fim da aprendizagem inicial

Seus sensores OT permanecerão no modo de aprendizagem enquanto um novo tráfego for detetado e você tiver alertas não tratados.

Quando o aprendizado da linha de base terminar, o processo de implantação do monitoramento de OT estará concluído e você continuará no modo operacional para monitoramento contínuo. No modo operacional, qualquer atividade diferente dos dados da linha de base disparará um alerta.

Gorjeta

Desative o modo de aprendizagem manualmente se achar que os alertas atuais no Defender for IoT refletem o tráfego da rede com precisão e que o modo de aprendizagem ainda não terminou automaticamente.

Conecte os dados do Defender for IoT ao seu SIEM

Depois que o Defender for IoT for implantado, envie alertas de segurança e gerencie incidentes de OT/IoT integrando o Defender for IoT à sua plataforma de gerenciamento de eventos e informações de segurança (SIEM) e aos fluxos de trabalho e ferramentas SOC existentes. Integre os alertas do Defender for IoT ao seu SIEM organizacional integrando-se ao Microsoft Sentinel e aproveitando a solução pronta para uso Microsoft Defender for IoT ou criando regras de encaminhamento para outros sistemas SIEM. O Defender for IoT integra-se imediatamente com o Microsoft Sentinel, bem como uma ampla gama de sistemas SIEM, como Splunk, IBM QRadar, LogRhythm, Fortinet e muito mais.

Um breve resumo das informações necessárias para escolher o melhor local para o seu sensor OT e implantá-lo em sua rede está disponível na visão geral da configuração do espelhamento de tráfego.

Para obter mais informações, consulte:

• Monitoramento de ameaças OT em SOCs empresariais
• Tutorial: Conectar o Microsoft Defender para IoT com o Microsoft Sentinel
• Conecte sensores de rede OT locais ao Microsoft Sentinel
• Integrações com a Microsoft e serviços de parceiros
• Alertas na nuvem do Stream Defender for IoT para um SIEM parceiro

Depois de integrar os alertas do Defender for IoT com um SIEM, recomendamos as próximas etapas a seguir para operacionalizar alertas OT/IoT e integrá-los totalmente aos fluxos de trabalho e ferramentas SOC existentes:

• Identifique e defina ameaças de segurança de IoT/OT relevantes e incidentes de SOC que você gostaria de monitorar com base em suas necessidades e ambiente de OT específicos.

• Crie regras de deteção e níveis de gravidade no SIEM. Apenas os incidentes relevantes serão desencadeados, reduzindo assim o ruído desnecessário. Por exemplo, você definiria as alterações no código do PLC realizadas a partir de dispositivos não autorizados, ou fora do horário de trabalho, como um incidente de alta gravidade devido à alta fidelidade desse alerta específico.

  No Microsoft Sentinel, a solução Microsoft Defender para IoT inclui um conjunto de regras de deteção prontas para uso, que são criadas especificamente para dados do Defender para IoT e ajudam a ajustar os incidentes criados no Sentinel.

• Defina o fluxo de trabalho apropriado para mitigação e crie playbooks de investigação automatizados para cada caso de uso. No Microsoft Sentinel, a solução Microsoft Defender for IoT inclui manuais prontos para uso para resposta automatizada a alertas do Defender for IoT.

Próximos passos

Agora que você entendeu as etapas de implantação do sistema de monitoramento de OT, está pronto para começar!

Planeje seu sistema de monitoramento de OT com o Defender for IoT »