你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Defender for IoT 规划 OT 监视系统

本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的 部署路径 的系列文章之一。

使用以下内容了解如何使用 Microsoft Defender for IoT 规划总体 OT 监视,包括要监视的站点、用户组和类型等。

Diagram of a progress bar with Plan and prepare highlighted.

先决条件

在开始规划 OT 监视部署前,请确保拥有 Azure 订阅和载入到 Defender for IoT 的 OT 计划。 有关详细信息,请参阅启动 Microsoft Defender for IoT 试用版

此步骤由体系结构团队执行。

规划 OT 站点和区域

使用 OT 网络时,建议列出组织将资源连接到网络的所有位置,然后将这些位置划分为 站点区域

每个物理位置都可以有自己的站点,可进一步划分为区域。 你会将每个 OT 网络传感器与特定站点和区域相关联,以便每个传感器仅涵盖网络的特定区域。

使用站点和区域支持 零信任 原则,并提供额外的监视和报告粒度。

例如,如果贵公司不断发展,在巴黎、拉各斯、迪拜和天津设有工厂和办事处,则可以按如下方式对你的网络进行细分:

站点 区域
巴黎办事处 - 地面层(来宾)
- 1 层(销售)
- 2 层(行政)
拉各斯办事处 - 地面层(办公室)
- 1-2 层(工厂)
迪拜办事处 - 地面层(会议中心)
- 1 层(销售)
- 2 层(办公室)
天津办事处 - 地面层(办公室)
- 1-2 层(工厂)

如果未规划任何详细的站点和区域,Defender for IoT 仍然使用默认站点和区域以分配给所有 OT 传感器。

有关详细信息,请参阅 零信任和 OT 网络

为重复 IP 范围分隔区域

每个区域都可以支持多个传感器,如果要大规模部署 Defender for IoT,每个传感器可能会检测同一设备的不同方面。 Defender for IoT 会自动合并在同一区域中检测到的设备,这些设备具有相同的设备特征的逻辑组合,例如相同的 IP 和 MAC 地址。

如果使用多个网络,并且具有特征类似(例如重复 IP 地址范围)的唯一设备,请将每个传感器分配到单独区域,以便 Defender for IoT 知道区分设备并唯一识别每个设备。

例如,网络可能如下图所示,在两个 Defender for IoT 站点和区域中以逻辑方式分配了六个网段。 请注意,此图显示了来自不同生产线的两个具有相同 IP 地址的网段。

Diagram of recurring networks in the same zone.

在这种情况下,建议将 站点 2 分成两个单独区域,以便具有重复 IP 地址的段中的设备不会被错误合并,并且在设备清单中被识别为单独且唯一的设备。

例如:

Diagram of recurring networks in the different zones.

规划用户

了解组织中将使用 Defender for IoT 的人员及其用例。 虽然安全运营中心(SOC)和 IT 人员将是最常见的用户,但组织中的其他人员可能需要对 Azure 中的资源或本地资源具有读取访问权限。

  • 在 Azure 中,用户分配基于其 Microsoft Entra ID 和 RBAC 角色。 如果要将网络分为多个站点,请确定要为每个站点应用哪些权限。

  • OT 网络传感器 支持本地用户和 Active Directory 同步。 如果要使用 Active Directory,请确保具有 Active Directory 服务器的访问权限详细信息。

有关详细信息,请参阅:

规划 OT 传感器和管理连接

对于连接到云的传感器,请确定如何将每个 OT 传感器连接到 Azure 云中的 Defender for IoT,例如可能需要哪种类型的代理。 有关详细信息,请参阅 将传感器连接到 Azure 的方法

如果在气隙或混合环境中工作,并且将拥有多个本地管理的 OT 网络传感器,可能需要计划部署本地管理控制台,从而配置设置并从中心位置查看数据。 有关详细信息,请参阅 气隙式 OT 传感器管理部署路径

规划本地 SSL/TLS 认证

建议在生产系统中使用 CA 签名的 SSL/TLS 证书,从而确保设备持续安全。

规划将用于每个 OT 传感器的证书和证书颁发机构(CA)、将用于生成证书的工具以及每个证书中包含的属性。

有关详细信息,请参阅 本地资源的 SSL/TLS 证书要求

后续步骤