通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

控制 Microsoft Defender for IoT 监视的 OT 流量

  • 项目

本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。

进度条的示意图,其中突出显示了微调 OT 监视。

Microsoft Defender for IoT OT 网络传感器会自动针对 IT 和 OT 流量运行深度数据包检测,从而解析网络设备数据,例如设备属性和行为。

安装、激活和配置 OT 网络传感器后,请使用本文中所述的工具分析自动检测到的流量,根据需要添加额外的子网,并控制 Defender for IoT 警报中包含的流量信息。

先决条件

在执行本文中的过程之前,必须:

此步骤由部署团队执行。

分析部署

将新的 OT 网络传感器加入到 Microsoft Defender for IoT 后,通过分析所监视的流量来验证传感器是否已正确部署。

分析网络

  1. 以“管理员”用户的身份登录到 OT 传感器,然后选择“系统设置”>“基本”>“部署”。

  2. 选择“分析”。 分析开始,并为传感器监视的每个接口显示一个选项卡。 每个选项卡显示指示的接口检测到的子网。

  3. 每个接口选项卡将显示以下详细信息:

    • 连接状态,由选项卡名称中的绿色或红色连接图标指示。 例如,在上图中,“eth1”接口显示为绿色,因此为已连接。
    • 检测到的子网和 VLAN 的总数,显示在选项卡顶部。
    • 在每个子网上检测到的协议。
    • 为每个子网检测到的单播地址数。
    • 是否检测到每个子网的广播流量,指示本地网络。

  4. 等待分析完成,然后检查每个接口选项卡,以了解接口是监视相关流量,还是需要进一步微调。

如果“部署”页面上显示的流量不符合预期,则可能需要通过更改传感器在网络中的位置或验证监视接口是否已正确连接来微调部署。 如果进行了更改,并且想要再次分析流量以查看其是否得到改进,请再次选择“分析”以查看更新的监视状态。

微调子网列表

分析传感器正在监视的流量并微调部署后,可能需要进一步微调子网列表。 使用此过程可确保子网配置正确。

当 OT 传感器在初始部署期间自动学习网络子网时,我们建议分析检测到的流量,并根据需要进行更新,以优化映射视图和设备清单。

另请使用此过程来定义子网设置,确定设备在传感器的设备映射Azure 设备清单中的显示方式。

  • 在设备图中,IT 设备按子网自动聚合,你可以在其中展开和折叠每个子网视图以根据需要向下钻取。
  • 在 Azure 设备清单中,请在配置子网后使用“网络位置”(公共预览版)筛选器查看子网列表中定义的本地或路由设备。 与列出的子网关联的所有设备都将显示为本地设备,而与检测到的未包含在列表中的子网关联的设备将显示为路由设备。

虽然 OT 网络传感器会自动了解网络中的子网,但我们建议确认已习得的设置并根据需要更新这些设置,以优化设备图视图和设备清单。 未列为子网的任何子网都被视为外部网络。

提示

准备好开始大规模管理 OT 传感器设置后,请从 Azure 门户中定义子网。 在 Azure 门户中应用设置后,传感器控制台上的设置是只读的。 有关详细信息,请参阅在 Azure 门户中配置 OT 传感器设置(公共预览版)

微调检测到的子网

  1. 以“管理员”用户的身份登录到 OT 传感器,然后选择“系统设置”>“基本”>“子网”。 例如:

    OT 传感器设置中“子网”页面的屏幕截图。

  2. 使用以下任一选项更新列出的子网:

    名称 说明
    导入子网 导入包含子网定义的 .CSV 文件。 子网信息会更新为导入的信息。 如果导入空字段,则会丢失该字段中的数据。
    导出子网 将当前列出的子网导出到 .CSV 文件。
    全部清除 清除所有当前定义的子网。
    自动子网学习 默认情况下选中此选项。 清除此选项可防止传感器自动检测子网。
    将所有 Internet 流量解析为内部/专用 选择该选项即可将所有公共 IP 地址视为专用本地地址。 如果选择该选项,系统会将公共 IP 地址视为本地地址,并且不会发送有关未经授权的 Internet 活动的警报。

    此选项可减少收到的有关外部地址的通知和警报。
    IP 地址 定义子网的 IP 地址。
    掩码 定义子网的 IP 掩码。
    Name 我们建议输入一个有意义的名称来指定子网的网络角色。 子网名称最多可以包含 60 个字符。
    已分离 选择此选项即可在根据 Purdue 级别显示设备图时单独显示此子网。
    移除子网 选择此选项可移除与 IoT/OT 网络范围无关的任何子网。

    在子网网格中,标记为“ICS 子网”的子网会被识别为 OT 网络。 此选项在此网格中是只读的,但如果存在无法正确识别的 OT 子网,则可以手动将子网定义为 ICS

  3. 完成后,选择“保存”以保存所做更新。

提示

禁用“自动子网学习”设置并编辑子网列表以仅包含 IoT/OT 范围内的本地监视子网后,可以按“网络位置”对 Azure 设备清单进行过滤,以便仅查看定义为“本地”的设备。 有关详细信息,请参阅查看设备清单

手动将子网定义为 ICS

如果存在未被传感器自动标记为 ICS 子网的 OT 子网,请将相关子网中所有设备的设备类型编辑为 ICS 或 IoT 设备类型。 然后,传感器会自动将子网标记为 ICS 子网。

注意

若要手动更改要标记为 ICS 的子网,请在 OT 传感器的设备清单中更改设备类型。 在 Azure 门户中,子网列表中的子网默认在传感器设置中标记为 ICS。

更改设备类型以手动更新子网:

  1. 登录到 OT 传感器控制台,然后转到“设备清单”。

  2. 在“设备清单”网格中选择相关子网的设备,然后在页面顶部的工具栏中选择“编辑”。

  3. 在“类型”字段中,从“ICS”或“IoT”下列出的下拉列表中选择设备类型。

子网现在将在传感器中标记为 ICS 子网。

有关详细信息,请参阅编辑设备详细信息

自定义端口和 VLAN 名称

请按照以下过程,通过在 OT 网络传感器上自定义端口和 VLAN 名称,扩充 Defender for IoT 中显示的设备数据。

例如,你可能想要为表现得特别活跃的非保留端口分配一个名称以方便调用,或者为 VLAN 号分配一个名称以更快地识别它。

注意

对于连接到云的传感器,最终可以从 Azure 门户开始配置 OT 传感器设置。 从 Azure 门户开始配置设置后,OT 传感器上的“VLAN”和“端口命名”窗格是只读的。 有关详细信息,请参阅在 Azure 门户中配置 OT 传感器设置

自定义检测到的端口的名称

Defender for IoT 会自动向最通用的保留端口(例如 DHCP 或 HTTP)分配名称。 但是,你可能想要自定义特定端口的名称,以便在特定情况下(例如在观察某个端口时检测到该端口异常活跃)突出显示它。

从 OT 传感器的设备图查看设备组或创建包含端口信息的 OT 传感器报告时,端口名称会显示在 Defender for IoT 中。

若要自定义端口名称,请执行以下操作:

  1. 以管理员用户身份登录到 OT 传感器。

  2. 选择“系统设置”,然后在“网络监视”下选择“端口命名”。

  3. 在出现的“端口命名”窗格中,输入要命名的端口号、端口的协议和有意义的名称。 支持的协议值包括:“TCP”、“UDP”和“两者”。

  4. 选择“+ 添加端口”以自定义其他端口,完成后选择“保存”。

自定义 VLAN 名称

VLAN 由 OT 网络传感器自动发现,也可以手动添加。 无法编辑或删除自动发现的 VLAN,但手动添加的 VLAN 需要独一无二的名称。 如果未显式命名 VLAN,则会改为显示 VLAN 的编号。

VLAN 的支持基于 802.1q(最高 VLAN ID 为 4094)。

注意

VLAN 名称在 OT 网络传感器和本地管理控制台之间未同步。 如果想要在本地管理控制台上查看自定义的 VLAN 名称,也请在那里定义 VLAN 名称

若要在 OT 网络传感器上配置 VLAN 名称,请执行以下操作:

  1. 以管理员用户身份登录到 OT 传感器。

  2. 选择“系统设置”,然后在“网络监视”下选择“VLAN 命名”。

  3. 在显示的“VLAN 命名”窗格中,输入 VLAN ID 和独一无二的 VLAN 名称。 VLAN 名称最多可包含 50 个 ASCII 字符。

  4. 选择“+ 添加 VLAN”以自定义其他 VLAN,完成后选择“保存”。

  5. 对于 Cisco 交换机:请将 monitor session 1 destination interface XX/XX encapsulation dot1q 命令添加到 SPAN 端口配置,其中的“XX/XX”是端口的名称和编号。

定义 DNS 服务器

通过配置多个 DNS 服务器来执行反向查找并解析与网络子网中检测到的 IP 地址关联的主机名或 FQDN,增强设备数据丰富性。 例如,如果某个传感器发现了 IP 地址,它可能会查询多个 DNS 服务器来解析主机名。 需要 DNS 服务器地址、服务器端口和子网地址。

定义 DNS 服务器查找

  1. 在 OT 传感器控制台上,选择“系统设置”>“网络监视”,并在“主动发现”下,选择“反向 DNS 查找”

  2. 使用“计划反向查找”选项将扫描定义为以固定间隔、每小时或在特定时间进行。

    如果选择“按特定时间”,请使用 24 小时制,例如“14:30”表示“下午 2:30”。 选择侧边的 + 按钮以添加希望运行查找的其他特定时间。

  3. 选择“添加 DNS 服务器”,然后根据需要填充字段以定义以下字段:

    • DNS 服务器地址,即 DNS 服务器 IP 地址
    • DNS 服务器端口
    • 标签数,即要显示的域标签数。 若要获取此值,请将网络 IP 地址解析为设备 FQDN。 最多可在此字段中输入 30 个字符。
    • 子网,即想要 DNS 服务器查询的子网

  4. 切换到顶部的“启用”选项以启动“按计划反向查找”查询,然后选择“保存”以完成配置。

有关详细信息,请参阅配置反向 DNS 查找

测试 DNS 配置

使用测试设备验证定义的“反向 DNS 查找”设置是否按预期工作。

  1. 在传感器控制台上,选择“系统设置”>“网络监视”,并在“主动发现”下,选择“反向 DNS 查找”。

  2. 确保已选择“启用”开关。

  3. 选择“测试”。

  4. 在“服务器的 DNS 反向查找测试”对话框中,在“查找地址”中输入地址,然后选择“测试”。

配置 DHCP 地址范围

OT 网络可能同时包含静态和动态 IP 地址。

  • 静态地址通常可通过历史数据库、控制器和网络基础结构设备(如交换机和路由器)在 OT 网络上找到。
  • 动态 IP 分配通常在具有便携式计算机、台式电脑、智能手机和其他便携式设备的来宾网络上实现(在不同位置使用 Wi-Fi 或 LAN 物理连接)。

如果使用的是动态网络,则需要通过在每个 OT 网络传感器上定义 DHCP 地址范围来处理 IP 地址发生变化时的情况。 当将 IP 地址定义为 DHCP 地址时,Defender for IoT 将识别发生在同一设备上的所有活动,而不考虑 IP 地址的变化。

定义 DHCP 地址范围

  1. 登录到 OT 传感器,然后选择“系统设置”>“网络监视”>“DHCP 范围”。

  2. 执行下列操作之一:

    • 若要添加单个范围,请选择“+ 添加范围”,然后输入 IP 地址范围和范围名称(可选)。
    • 若要添加多个范围,请创建一个包含“从”、“到”和“名称”列的 .CSV 文件,在其中提供有关每个范围的数据。 选择“导入”,将文件导入 OT 传感器。 从 .CSV 文件导入的范围值将覆盖当前为传感器配置的所有范围数据。
    • 若要将当前配置的范围导出到 .CSV 文件,请选择“导出”。
    • 若要清除当前配置的所有范围,请选择“全部清除”。

    范围名称最多可以包含 256 个字符。

  3. 选择“保存” 以保存更改。

配置流量筛选器(高级)

为了减少警报疲劳并将网络监视重点放在高优先级流量上,你可以在源上筛选流入 Defender for IoT 的流量。 捕获筛选器将通过 OT 传感器 CLI 进行配置,可用于在硬件层阻止高带宽流量,从而优化设备性能和资源的使用。

有关详细信息,请参阅:

后续步骤

« 在 OT 传感器上配置代理设置

验证并更新检测到的设备清单 »