你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

准备 OT 站点部署

本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。

进度栏示意图,其中突出显示了“计划和准备”。

若要全面监视网络,你需要查看网络中的所有终结点设备。 Microsoft Defender for IoT 镜像通过网络设备移动到 Defender for IoT 网络传感器的流量。 然后,OT 网络传感器分析流量数据、触发警报、生成建议,并将数据发送到 Azure 中的 Defender for IoT。

本文可帮助你规划在网络中放置 OT 传感器的位置,以便根据需要镜像要监视的流量,以及如何为传感器部署准备站点。

先决条件

在为特定站点规划 OT 监视之前,请确保已规划整个 OT 监视系统

此步骤由体系结构团队执行。

了解 Defender for IoT 的监视体系结构

使用以下文章详细了解网络和 Defender for IoT 系统中的组件和体系结构:

创建网络图

每个组织的网络都有自己的复杂性。 创建一个网络映射图来全面列出网络中的所有设备,以便确定要监视的流量。

创建网络图时,请使用以下问题来识别并记下网络中的不同元素及其通信方式。

一般问题

  • 总体监视目标是什么?

  • 是否有任何冗余网络,并且网络映射中是否有不需要监视且可以忽略的区域?

  • 网络的安全和操作风险在哪里?

网络问题

  • 受监视网络上有哪些协议处于活动状态?

  • 网络设计中是否配置了 VLAN?

  • 受监视网络中是否有任何路由?

  • 网络中是否有任何串行通信?

  • 要监视的网络中的防火墙安装在哪里?

  • 工业控制 (ICS) 网络与企业、商业网络之间是否存在流量? 如果是,是否监视此流量?

  • 你的交换机与企业防火墙之间的实际距离是多少?

  • OT 系统维护是使用固定设备还是暂时性设备完成的?

交换机问题

  • 如果某交换机不受管理,是否可以监视来自更高级别交换机的流量? 例如,如果 OT 体系结构使用环形拓扑,则环中只有一个交换机需要监视。

  • 是否可将非受管理交换机更换为受管理交换机,或者,是否可以选择使用网络 TAP?

  • 是否可以监视交换机的 VLAN,或者 VLAN 在可以监视的另一个交换机中是否可见?

  • 如果将网络传感器连接到交换机,它是否会镜像 HMI 和 PLC 之间的通信?

  • 如果要将网络传感器连接到交换机,交换机的机箱中是否有可用的物理机架空间?

  • 监控每个交换机的成本/好处是什么?

确定要监视的设备和子网

要监视和镜像到 Defender for IoT 网络传感器的流量是指从安全或操作角度而言你最感兴趣的流量。

与现场工程师一起查看 OT 网络图,以确定在哪里可以找到最相关的流量进行监视。 我们建议与网络和操作团队沟通,以明确规定期望。

与你的团队一起,使用以下详细信息创建要监视的设备表:

规格 说明
供应商 设备的制造供应商
设备名 一个有意义的名称,可供持续使用和引用
类型 设备类型,例如:交换机路由器防火墙接入点
网络层 要监视的设备是 L2 或 L3 设备:
- L2 设备 是 IP 段内的设备
- L3 设备 是 IP 段之外的设备

支持这两个层的设备可被视为 L3 设备。
跨 VLAN 跨设备的任何 VLAN 的 ID。 例如,通过检查每个 VLAN 上的跨越树操作模式来验证这些 VLAN ID,以查看它们是否跨关联的端口。
网关 设备充当默认网关的 VLAN。
网络详细信息 设备的 IP 地址、子网、D-GW 和 DNS 主机
协议 设备上使用的协议。 将协议与 Defender for IoT 现成支持的协议列表进行比较。
支持的流量镜像 定义每个设备支持的流量镜像类型,例如 SPAN、RSPAN、ERSPAN 或 TAP。

使用此信息为 OT 传感器选择流量镜像方法
由合作伙伴服务管理? 描述合作伙伴服务(如 Siemens、Rockwell 或 Emerson)是否管理设备。 如果相关,请描述管理策略。
串行连接 如果设备通过串行连接进行通信,请指定串行通信协议。

计算网络中的设备

计算每个站点中的设备数,以便可以按正确大小购买 Defender for IoT 许可证

若要计算每个站点中的设备数,请执行以下操作:

  1. 收集站点中设备的总数,将设备加在一起。

  2. 删除以下任何未被 Defender for IoT 标识为单独设备的设备:

    • 公共 Internet IP 地址
    • 多播组
    • 广播组
    • 非活动设备:60 天以上未检测到任何网络活动的设备

有关详细信息,请参阅 Defender for IoT 监视的设备

规划多传感器部署

如果计划部署多个网络传感器,在决定放置传感器的位置时,还要考虑以下建议:

  • 物理连接的交换机:对于通过以太网电缆物理连接的交换机,请确保在交换机之间每 80 米距离至少规划一个传感器。

  • 没有物理连接的多个网络:如果多个网络之间没有任何物理连接,请为每个单独的网络规划至少一个传感器

  • 支持 RSPAN 的交换机:如果有可以使用 RSPAN 流量镜像的交换机,请为每八个交换机至少规划一个传感器,并具有本地 SPAN 端口。 计划将传感器放置在离交换机足够近的地方,以便可以通过电缆连接它们。

创建子网列表

根据要在整个网络中监视的设备列表,创建要监视的子网的聚合列表。

部署传感器后,你将使用此列表来验证是否自动检测列出的子网,并根据需要手动更新列表。

列出规划的 OT 传感器

了解要镜像到 Defender for IoT 的流量后,请创建要载入的所有 OT 传感器的完整列表。

对于每个传感器,请列出:

  • 传感器将是连接到云的传感器还是本地管理的传感器

  • 对于连接到云的传感器,将使用的云连接方法

  • 无论是将物理设备还是虚拟设备用于传感器,请考虑服务质量 (QoS) 所需的带宽。 有关详细信息,请参阅我需要哪些设备?

  • 要分配给每个传感器的站点和区域

    从同一站点或区域中的传感器引入的数据可以一起显示,并与系统中的其他数据分开。 如果你希望将同一站点或区域中的某些传感器数据分组在一起查看,请确保相应地分配传感器站点和区域。

  • 将用于每个传感器的流量镜像方法

随着网络及时扩展,你可以加入更多传感器,或修改现有的传感器定义。

重要

建议检查预期每个传感器检测的设备的特征,例如 IP 和 MAC 地址。 在同一区域中检测到的、具有相同设备特征逻辑集的设备会自动合并并标识为同一设备。

例如,如果使用多个网络和重复 IP 地址,请确保使用不同的区域规划每个传感器,以便正确将设备标识为独立且唯一的设备。

有关详细信息,请参阅分隔重复 IP 范围的区域

准备本地设备

  • 如果使用虚拟设备,请确保已配置相关资源。 有关详细信息,请参阅使用虚拟设备进行 OT 监视

  • 如果使用物理设备,请确保拥有所需的硬件。 你可以购买预配置的设备,或计划在自己的设备上安装软件

    若要购买预配置的设备,请执行以下操作:

    1. 在 Azure 门户中转到“Defender for IoT”。
    2. 选择“入门”>“传感器”>“购买预配置的设备”>“联系人”。

    此链接会打开一封发送给 hardware.sales@arrow.com 的电子邮件,其中包含 Defender for IoT 设备的模板请求。

有关详细信息,请参阅我需要哪些设备?

准备辅助硬件

如果使用物理设备,请确保为每个物理设备提供以下额外硬件:

  • 显示器和键盘
  • 机架空间
  • 交流电源
  • 用于将设备的管理端口连接到网络交换机的 LAN 电缆
  • 用于将镜像 (SPAN) 端口和网络终端接入点 (TAP) 连接到设备的 LAN 电缆

准备设备网络详细信息

准备好设备后,列出每个设备的以下详细信息:

  • IP 地址
  • 子网
  • 默认网关
  • 主机名
  • DNS 服务器(可选),包含 DNS 服务器 IP 地址和主机名

准备部署工作站

准备一个工作站,从中可以运行 Defender for IoT 部署活动。 工作站可以是 Windows 或 Mac 计算机,但具有以下要求:

  • 终端软件,例如 PuTTY

  • 用于连接到传感器控制台和 Azure 门户的受支持的浏览器。 有关详细信息,请参阅 Azure 门户的推荐浏览器

  • 配置了所需的防火墙规则,为所需接口打开访问权限。 有关详细信息,请参阅网络要求

准备 CA 签名的证书

建议在生产部署中使用 CA 签名的证书。

请确保了解本地资源的 SSL/TLS 证书要求。 如果要在初始部署期间部署 CA 签名的证书,请确保准备好证书。

如果决定使用内置的自签名证书进行部署,建议稍后在生产环境中部署 CA 签名的证书。

有关详细信息,请参阅:

后续步骤