Подготовка развертывания сайта OT
Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
Для полного мониторинга сети вам потребуется видимость на всех конечных устройствах в сети. Microsoft Defender для Интернета вещей отражает трафик, перемещающийся через сетевые устройства в Defender для Интернета вещей. Затем сетевые датчики OT анализируют данные трафика, активируют оповещения, создают рекомендации и отправляют данные в Defender для Интернета вещей в Azure.
В этой статье показано, как разместить датчики OT в сети, чтобы отслеживать трафик, который требуется отслеживать, и как подготовить сайт к развертыванию датчиков.
Необходимые компоненты
Перед планированием мониторинга OT для определенного сайта убедитесь, что вы планируете общую систему мониторинга OT.
Этот шаг выполняется командами по архитектуре.
Сведения об архитектуре мониторинга Defender для Интернета вещей
Используйте следующие статьи, чтобы узнать больше о компонентах и архитектуре в вашей сети и системе Defender для Интернета вещей:
Создание сетевой схемы
Сеть каждой организации будет иметь собственную сложность. Создайте схему сетевой карты, которая тщательно перечисляет все устройства в сети, чтобы определить трафик, который требуется отслеживать.
При создании сетевой схемы используйте следующие вопросы, чтобы определить и сделать заметки о различных элементах в сети и о том, как они взаимодействуют.
Общие вопросы
Каковы ваши общие цели мониторинга?
Есть ли у вас избыточные сети и есть ли области сетевой карты, которые не требуют мониторинга, и вы можете игнорировать?
Где находятся риски безопасности и эксплуатации вашей сети?
Вопросы о сети
Какие протоколы активны в отслеживаемых сетях?
Настроены ли виртуальные ЛС в структуре сети?
Существует ли маршрутизация в отслеживаемых сетях?
Есть ли в сети последовательный обмен данными?
Где установлены брандмауэры в сетях, которые вы хотите отслеживать?
Существует ли трафик между промышленной сетью управления (ICS) и корпоративной бизнес-сетью? Если да, отслеживается ли этот трафик?
Какое физическое расстояние между коммутаторами и брандмауэром предприятия?
Выполняется ли обслуживание системы OT с фиксированными или временными устройствами?
Переключение вопросов
Если переключатель в противном случае неуправляем, можно ли отслеживать трафик с более высокого уровня? Например, если архитектура OT использует кольцевую топологию, требуется мониторинг только одного коммутатора в кольце.
Можно ли заменить неуправляемые коммутаторы управляемыми или допускается вариант использования сетевых TAP?
Можно ли отслеживать виртуальную локальную сеть коммутатора или виртуальную локальную сеть, видимую в другом коммутаторе, который можно отслеживать?
При подключении сетевого датчика к коммутатору он будет зеркально отображать связь между HMI и PLCs?
Если вы хотите подключить сетевой датчик к коммутатору, есть ли физическое место в шкафу коммутатора?
Каковы затраты и преимущества мониторинга каждого коммутатора?
Определение устройств и подсетей, которые требуется отслеживать
Трафик, который вы хотите отслеживать и зеркально отображать в Defender для Интернета вещей сетевые датчики, — это трафик, который наиболее интересен для вас с точки зрения безопасности или эксплуатации.
Просмотрите сетевую схему OT вместе с инженерами сайта, чтобы определить, где вы найдете наиболее релевантный трафик для мониторинга. Мы рекомендуем встретиться как с сетевыми, так и операционными группами, чтобы уточнить ожидания.
Вместе с командой создайте таблицу устройств, которые вы хотите отслеживать со следующими сведениями:
| Спецификация | Description |
|---|---|
| поставщик | Поставщик производства устройства |
| Имя устройства | Понятное имя для текущего использования и ссылки |
| Тип | Тип устройства, например Switch, Router, Firewall, Access Point и т. д. |
| Сетевой уровень | Устройства, которые вы хотите отслеживать, — это устройства L2 или L3: - Устройства L2 — это устройства в сегменте IP - Устройства L3 — это устройства за пределами сегмента IP Устройства, поддерживающие оба уровня, можно рассматривать как устройства L3. |
| Пересечение виртуальных ЛС | Идентификаторы всех виртуальных ЛС, пересекающих устройство. Например, проверьте эти идентификаторы виртуальной локальной сети, проверив режим работы с деревом в каждой виртуальной локальной сети, чтобы узнать, пересекают ли они связанный порт. |
| Шлюз для | Виртуальные локальные сети, для которых устройство выступает в качестве шлюза по умолчанию. |
| Сведения о сети | IP-адрес устройства, подсеть, D-GW и DNS-узел |
| Протоколы | Протоколы, используемые на устройстве. Сравните протоколы с списком протоколов Defender для Интернета вещей, поддерживаемых вне поля. |
| Поддерживаемая зеркальное отображение трафика | Определите, какой вид зеркального отображения трафика поддерживается каждым устройством, например SPAN, RSPAN, ERSPAN или TAP. Используйте эти сведения для выбора методов зеркального отображения трафика для датчиков OT. |
| Управляется службами партнеров? | Опишите, управляет ли партнерская служба, например Сименс, Роквелл или Эмерсон. При необходимости опишите политику управления. |
| Последовательные подключения | Если устройство взаимодействует через последовательное подключение, укажите последовательный протокол связи. |
Вычисление устройств в сети
Вычислите количество устройств на каждом сайте, чтобы вы могли приобрести лицензии Defender для Интернета вещей по правильному размеру.
Чтобы вычислить количество устройств на каждом сайте::
Соберите общее количество устройств на сайте и добавьте их вместе.
Удалите любое из следующих устройств, которые не определены как отдельные устройства в Defender для Интернета вещей:
- Общедоступные IP-адреса Интернета
- Группы с несколькими приведениями
- Широковещательные группы
- Неактивные устройства: устройства, не имеющие сетевой активности, обнаруженные в течение более 60 дней
Дополнительные сведения см. в статье Устройства, отслеживаемые Defender для Интернета вещей.
Планирование развертывания с несколькими датчиками
Если вы планируете развернуть несколько сетевых датчиков, при выборе места размещения датчиков следует также учесть следующие рекомендации.
Физически подключенные коммутаторы: для коммутаторов, физически подключенных по кабелю Ethernet, обязательно запланируйте по крайней мере один датчик на каждые 80 метров расстояния между коммутаторами.
Несколько сетей без физического подключения: если у вас несколько сетей без физического подключения между ними, планируйте по крайней мере один датчик для каждой отдельной сети.
Коммутаторы с поддержкой RSPAN: если у вас есть коммутаторы, которые могут использовать зеркальное отображение трафика RSPAN, запланируйте по крайней мере один датчик для каждых восьми коммутаторов с локальным портом SPAN. Запланируйте размещение датчика достаточно близко к коммутаторам, чтобы можно было подключить их по кабелю.
Создание списка подсетей
Создайте объединенный список подсетей, которые вы хотите отслеживать, на основе списка устройств, которые вы хотите отслеживать по всей сети.
После развертывания датчиков вы будете использовать этот список для автоматического обнаружения перечисленных подсетей и вручную обновите список по мере необходимости.
Вывод списка запланированных датчиков OT
После понимания трафика, который вы хотите зеркально отражать в Defender для Интернета вещей, создайте полный список всех датчиков OT, которые вы будете подключить.
Для каждого датчика выполните следующие действия:
Будет ли датчик облачным или локальным управляемым датчиком .
Для подключенных к облаку датчиков используется метод облачного подключения.
Будет ли вы использовать физические или виртуальные устройства для датчиков, учитывая пропускную способность, необходимую для качества обслуживания (QoS). Дополнительные сведения см. в разделе Какие требуются устройства?
Сайт и зона , которые вы назначите каждому датчику.
Данные, полученные от датчиков на одном сайте или зоне, можно просматривать вместе, сегментировать из других данных в вашей системе. Если есть данные датчика, которые вы хотите просмотреть вместе в одном сайте или зоне, обязательно назначьте сайты и зоны датчиков соответствующим образом.
Метод зеркального отображения трафика, используемый для каждого датчика
По мере расширения сети вы можете подключить больше датчиков или изменить существующие определения датчиков.
Внимание
Мы рекомендуем проверить характеристики устройств, которые вы ожидаете, что каждый датчик будет обнаруживать, например IP-адреса и MAC-адреса. Устройства, обнаруженные в той же зоне с тем же логическим набором характеристик устройства, автоматически объединяются и определяются как одно и то же устройство.
Например, если вы работаете с несколькими сетями и повторяющимися IP-адресами, убедитесь, что вы планируете каждый датчик с другой зоной, чтобы устройства были правильно определены как отдельные и уникальные устройства.
Дополнительные сведения см. в разделе "Разделяющие зоны" для повторяющихся диапазонов IP-адресов.
Подготовка локальных устройств
Если вы используете виртуальные устройства, убедитесь, что у вас есть соответствующие ресурсы. Дополнительные сведения см. в разделе Мониторинг OT с помощью виртуальных устройств.
Если вы используете физические устройства, убедитесь, что у вас есть необходимое оборудование. Вы можете приобрести предварительно настроенные устройства или запланировать установку программного обеспечения на собственных устройствах.
Чтобы приобрести предварительно настроенные устройства, выполните приведенные действия.
- Для Defender для Интернета вещей на портале Azure
- Выберите "Приступая к работе>с датчиком>" Купить предварительно настроенный контакт устройства.>
Ссылка открывает сообщение электронной почты hardware.sales@arrow.comс помощью запроса шаблона для устройств Defender для Интернета вещей.
Дополнительные сведения см. в разделе Какие требуются устройства?
Подготовка вспомогательного оборудования
Если вы используете физические устройства, убедитесь, что для каждого физического устройства доступно следующее дополнительное оборудование:
- Монитор и клавиатура
- Место, занимаемое в стойке
- Питание AC
- Кабель локальной сети для подключения порта управления устройства к сетевому коммутатору
- Кабели локальной сети для подключения портов зеркального отображения (SPAN) и точек доступа к сетевому терминалу (TAPs) к устройству
Подготовка сведений о сети устройства
Когда вы готовы к работе с устройствами, введите список следующих сведений для каждого устройства:
- IP-адрес
- Подсеть
- Шлюз по умолчанию
- Host name
- DNS-сервер (необязательно) с IP-адресом DNS-сервера и именем узла
Подготовка рабочей станции развертывания
Подготовьте рабочую станцию, из которой можно запустить действия развертывания Defender для Интернета вещей. Рабочая станция может быть компьютером Под управлением Windows или Mac со следующими требованиями:
Программное обеспечение терминала, например PuTTY
Поддерживаемый браузер для подключения к консоли датчиков и портал Azure. Дополнительные сведения см. в рекомендуемых браузерах для портала Azure.
Необходимые правила брандмауэра, настроенные, с открытым доступом для необходимых интерфейсов. Подробнее см. в статье "Сетевые требования".
Подготовка подписанных ЦС сертификатов
Рекомендуется использовать подписанные ЦС сертификаты в рабочих развертываниях.
Убедитесь, что вы понимаете требования к ssl/TLS-сертификату для локальных ресурсов. Если вы хотите развернуть подписанный ЦС сертификат во время первоначального развертывания, убедитесь, что сертификат подготовлен.
Если вы решите развернуть с помощью встроенного самозаверяющего сертификата, рекомендуется развернуть сертификат, подписанный ЦС, в рабочих средах позже.
Дополнительные сведения см. в разделе: