Dela via

Förbereda en distribution av ot-plats

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram över ett förloppsfält med Plan och prepare markerat.

För att fullständigt övervaka nätverket behöver du synlighet på alla slutpunktsenheter i nätverket. Microsoft Defender för IoT speglar trafiken som rör sig via dina nätverksenheter till Defender för IoT-nätverkssensorer. OT-nätverkssensorer analyserar sedan dina trafikdata, utlöser aviseringar, genererar rekommendationer och skickar data till Defender för IoT i Azure.

Den här artikeln hjälper dig att planera var ot-sensorer ska placeras i nätverket så att trafiken som du vill övervaka speglas efter behov och hur du förbereder din plats för sensordistribution.

Förutsättningar

Innan du planerar OT-övervakning för en specifik plats bör du se till att du har planerat ditt övergripande OT-övervakningssystem.

Det här steget utförs av dina arkitekturteam.

Läs mer om Övervakningsarkitekturen för Defender för IoT

Använd följande artiklar för att förstå mer om komponenterna och arkitekturen i nätverket och Defender for IoT-systemet:

Skapa ett nätverksdiagram

Varje organisations nätverk kommer att ha sin egen komplexitet. Skapa ett diagram över nätverkskartan som noggrant visar alla enheter i nätverket så att du kan identifiera den trafik som du vill övervaka.

När du skapar nätverksdiagrammet kan du använda följande frågor för att identifiera och göra anteckningar om de olika elementen i nätverket och hur de kommunicerar.

Allmänna frågor

  • Vilka är dina övergripande övervakningsmål?

  • Har du några redundanta nätverk och finns det områden i nätverkskartan som inte behöver övervakning och som du kan bortse från?

  • Var finns nätverkets säkerhets- och driftrisker?

Nätverksfrågor

  • Vilka protokoll är aktiva i övervakade nätverk?

  • Har VLAN konfigurerats i nätverksdesignen?

  • Finns det någon routning i de övervakade nätverken?

  • Finns det någon seriell kommunikation i nätverket?

  • Var är brandväggar installerade i de nätverk som du vill övervaka?

  • Finns det trafik mellan ett nätverk för industriell kontroll (ICS) och ett företagsnätverk? Övervakas trafiken i så fall?

  • Vad är det fysiska avståndet mellan dina växlar och företagsbrandväggen?

  • Utförs OT-systemunderhåll med fasta eller tillfälliga enheter?

Växla frågor

  • Om en växel annars är ohanterad, kan du övervaka trafiken från en växel på högre nivå? Om din OT-arkitektur till exempel använder en ringtopologi behöver bara en växel i ringen övervakas.

  • Kan ohanterade växlar ersättas med hanterade växlar eller är användningen av nätverks-TAP:er ett alternativ?

  • Kan du övervaka växelns VLAN eller är VLAN synligt i en annan växel som du kan övervaka?

  • Om du ansluter en nätverkssensor till växeln, kommer den att spegla kommunikationen mellan HMI och PLCs?

  • Finns det fysiskt rackutrymme i växelns skåp om du vill ansluta en nätverkssensor till växeln?

  • Vad är kostnaden/fördelen med att övervaka varje växel?

Identifiera de enheter och undernät som du vill övervaka

Den trafik som du vill övervaka och spegla till Defender for IoT-nätverkssensorer är den trafik som är mest intressant för dig ur ett säkerhets- eller driftsperspektiv.

Granska ot-nätverksdiagrammet tillsammans med webbplatstekniker för att definiera var du hittar den mest relevanta trafiken för övervakning. Vi rekommenderar att du träffar både nätverks- och driftteam för att klargöra förväntningarna.

Tillsammans med ditt team skapar du en tabell med enheter som du vill övervaka med följande information:

Specifikation beskrivning
Leverantör Enhetens tillverkningsleverantör
Enhetsnamn Ett beskrivande namn för löpande användning och referens
Typ Enhetstypen, till exempel: Switch, Router, Firewall, Access Point och så vidare
Nätverksnivå De enheter som du vill övervaka är antingen L2- eller L3-enheter:
- L2-enheter är enheter inom IP-segmentet
- L3-enheter är enheter utanför IP-segmentet

Enheter som stöder båda lagren kan betraktas som L3-enheter.
Korsa VLAN ID:n för eventuella VLAN som korsar enheten. Kontrollera till exempel dessa VLAN-ID:er genom att kontrollera läget för att spänna över trädåtgärder på varje VLAN för att se om de korsar en associerad port.
Gateway för De VLAN som enheten fungerar som standardgateway för.
Nätverksinformation Enhetens IP-adress, undernät, D-GW och DNS-värd
Protokoll Protokoll som används på enheten. Jämför dina protokoll med Defender för IoT:s lista över protokoll som stöds direkt.
Trafikspegling som stöds Definiera vilken typ av trafikspegling som stöds av varje enhet, till exempel SPAN, RSPAN, ERSPAN eller TAP.

Använd den här informationen för att välja trafikspeglingsmetoder för dina OT-sensorer.
Hanteras av partnertjänster? Beskriv om en partnertjänst, till exempel Siemens, Rockwell eller Emerson, hanterar enheten. Beskriv hanteringsprincipen om det är relevant.
Serieanslutningar Om enheten kommunicerar via en seriell anslutning anger du protokollet för seriell kommunikation.

Beräkna enheter i nätverket

Beräkna antalet enheter på varje webbplats så att du kan köpa Defender för IoT-licenser med rätt storlek.

Så här beräknar du antalet enheter på varje plats::

  1. Samla in det totala antalet enheter på webbplatsen och lägg till dem tillsammans.

  2. Ta bort någon av följande enheter som inte identifieras som enskilda enheter av Defender för IoT:

    • Offentliga IP-adresser för Internet
    • Grupper med flera uppsättningar
    • Sändningsgrupper
    • Inaktiva enheter: Enheter som inte har någon nätverksaktivitet identifierad i mer än 60 dagar

Mer information finns i Enheter som övervakas av Defender för IoT.

Planera en distribution med flera sensorer

Om du planerar att distribuera flera nätverkssensorer bör du även överväga följande rekommendationer när du bestämmer var sensorerna ska placeras:

  • Fysiskt anslutna växlar: För växlar som är fysiskt anslutna via Ethernet-kabel ska du planera minst en sensor för varje 80 meters avstånd mellan strömbrytarna.

  • Flera nätverk utan fysisk anslutning: Om du har flera nätverk utan någon fysisk anslutning mellan dem ska du planera för minst en sensor för varje enskilt nätverk

  • Växlar med RSPAN-stöd: Om du har växlar som kan använda RSPAN-trafikspegling ska du planera minst en sensor för var åttonde växlar med en lokal SPAN-port. Planera att placera sensorn tillräckligt nära strömbrytarna så att du kan ansluta dem via kabel.

Skapa en lista över undernät

Skapa en aggregerad lista över undernät som du vill övervaka, baserat på listan över enheter som du vill övervaka i hela nätverket.

När du har distribuerat dina sensorer använder du den här listan för att verifiera att de listade undernäten identifieras automatiskt och uppdaterar listan manuellt efter behov.

Visa en lista över dina planerade OT-sensorer

När du har förstått vilken trafik du vill spegla till Defender för IoT skapar du en fullständig lista över alla OT-sensorer som du kommer att registrera.

För varje sensor, lista:

  • Om sensorn ska vara en molnansluten eller lokalt hanterad sensor

  • För molnanslutna sensorer, den molnanslutningsmetod som du ska använda.

  • Oavsett om du ska använda fysiska eller virtuella enheter för dina sensorer, med tanke på den bandbredd som du behöver för tjänstkvalitet (QoS). Mer information finns i Vilka enheter behöver jag?

  • Den plats och zon som du tilldelar varje sensor.

    Data som matas in från sensorer på samma plats eller zon kan visas tillsammans, segmenterade från andra data i systemet. Om det finns sensordata som du vill visa grupperade på samma plats eller zon måste du tilldela sensorplatser och zoner i enlighet med detta.

  • Den trafikspeglingsmetod som du använder för varje sensor

När nätverket expanderar i tid kan du registrera fler sensorer eller ändra dina befintliga sensordefinitioner.

Viktigt!

Vi rekommenderar att du kontrollerar egenskaperna för de enheter som du förväntar dig att varje sensor ska identifiera, till exempel IP- och MAC-adresser. Enheter som identifieras i samma zon med samma logiska uppsättning enhetsegenskaper konsolideras automatiskt och identifieras som samma enhet.

Om du till exempel arbetar med flera nätverk och återkommande IP-adresser ser du till att du planerar varje sensor med en annan zon så att enheterna identifieras korrekt som separata och unika enheter.

Mer information finns i Avgränsa zoner för återkommande IP-intervall.

Förbereda lokala installationer

  • Om du använder virtuella installationer kontrollerar du att du har konfigurerat relevanta resurser. Mer information finns i OT-övervakning med virtuella enheter.

  • Om du använder fysiska installationer kontrollerar du att du har den maskinvara som krävs. Du kan köpa förkonfigurerade apparater eller planera att installera programvara på dina egna apparater.

    Så här köper du förkonfigurerade apparater:

    1. Gå till Defender för IoT i Azure Portal.
    2. Välj Komma igång>Sensor>Köp förkonfigurerad apparat>Kontakt.

    Länken öppnar ett e-postmeddelande till hardware.sales@arrow.commed en mallbegäran för Defender för IoT-enheter.

Mer information finns i Vilka enheter behöver jag?

Förbereda tilläggsmaskinvara

Om du använder fysiska installationer kontrollerar du att du har följande extra maskinvara tillgänglig för varje fysisk installation:

  • En bildskärm och ett tangentbord
  • Rackutrymme
  • Växelström
  • En LAN-kabel för att ansluta enhetens hanteringsport till nätverksbrytaren
  • LAN-kablar för att ansluta speglingsportar (SPAN) och åtkomstpunkter för nätverksterminaler till din installation

Förbereda information om installationens nätverk

När du har dina apparater klara skapar du en lista med följande information för varje installation:

  • IP-adress
  • Undernät
  • Standard gateway
  • Värdnamn
  • DNS-server (valfritt) med DNS-serverns IP-adress och värdnamn

Förbereda en distributionsarbetsstation

Förbered en arbetsstation där du kan köra Defender för IoT-distributionsaktiviteter. Arbetsstationen kan vara en Windows- eller Mac-dator med följande krav:

  • Terminalprogramvara, till exempel PuTTY

  • En webbläsare som stöds för anslutning till sensorkonsoler och Azure Portal. Mer information finns i rekommenderade webbläsare för Azure Portal.

  • Nödvändiga brandväggsregler har konfigurerats, med åtkomst öppen för nödvändiga gränssnitt. Mer information finns i Nätverkskrav.

Förbereda CA-signerade certifikat

Vi rekommenderar att du använder CA-signerade certifikat i produktionsdistributioner.

Se till att du förstår SSL/TLS-certifikatkraven för lokala resurser. Om du vill distribuera ett CA-signerat certifikat under den första distributionen måste du ha certifikatet förberett.

Om du bestämmer dig för att distribuera med det inbyggda, självsignerade certifikatet rekommenderar vi att du distribuerar ett CA-signerat certifikat i produktionsmiljöer senare.

Mer information finns i:

Nästa steg

« Planera ditt OT-övervakningssystem

Registrera OT-sensorer till Defender för IoT »