你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

部署用于 OT 监视的 Defender for IoT

本文介绍部署用于 OT 监视的 Defender for IoT 所需的大致步骤。 在下面的章节中详细了解每个部署步骤,包括查看相关的交叉引用了解详细信息。

下图显示了端到端 OT 监视部署路径中的各个阶段,以及负责每个阶段的团队。

虽然不同组织的团队和职务各不不同,但所有 Defender for IoT 部署都需要负责网络和基础结构不同领域的人员相互沟通。

OT 监视部署路径示意图。

提示

该过程中的每个步骤可能需要不同的时间。 例如,下载 OT 传感器激活文件可能需要 5 分钟,而配置流量监视可能需要数天甚至数周,具体取决于组织的流程。

建议先启动每一步的流程,而不是等到该过程完成才继续下一步。 请确保继续跟进仍在执行的任何步骤,以确保其完成。

先决条件

在开始规划 OT 监视部署前,请确保拥有 Azure 订阅和载入到 Defender for IoT 的 OT 计划。

有关详细信息,请参阅启动 Microsoft Defender for IoT 试用版

计划和准备

下图显示了计划和准备阶段中包含的步骤。 计划和准备步骤由体系结构团队处理。

计划和准备阶段中包含的步骤示意图。

计划 OT 监视系统

计划有关监视系统的基本详细信息,例如:

  • 站点和区域:决定如何使用可表示世界各地位置的站点和区域对要监视的网络进行分段。

  • 传感器管理:决定是使用连接到云的传感器、本地管理的实体隔离 OT 传感器,还是使用混合了两者的系统。 如果使用连接到云的传感器,请选择一种连接方法,例如直接连接或通过代理进行连接。

  • 用户和角色:每个传感器上需要的用户类型以及每个活动所需的角色的列表。

有关详细信息,请参阅使用 Defender for IoT 计划 OT 监视系统

提示

如果使用多个本地管理的传感器,可能还需要部署本地管理控制台来进行集中查看和管理。

准备 OT 站点部署

为系统中计划的每个站点定义其他详细信息,包括:

  • 网络示意图。 确定要监视的所有设备,并创建定义明确的子网列表。 部署传感器后,使用此列表验证 Defender for IoT 是否覆盖要监视的所有子网。

  • 传感器列表:使用要监视的流量、子网和设备列表创建所需的 OT 传感器的列表并定义它们在网络中的放置位置。

  • 流量镜像方法:为每个 OT 传感器选择流量镜像方法,例如 SPAN 端口或 TAP。

  • 设备:准备部署工作站以及将用于计划的每个 OT 传感器的任何硬件或 VM 设备。 如果使用的是预配置的设备,请确保订购这些设备。

有关详细信息,请参阅准备 OT 站点部署

将传感器载入 Azure

下图显示了加入传感器阶段中包含的步骤。 传感器由部署团队加入 Azure。

加入传感器阶段的示意图。

在 Azure 门户中加入 OT 传感器

按计划将尽可能多的 OT 传感器加入 Defender for IoT。 请确保下载为每个 OT 传感器提供的激活文件,并将其保存在可从传感器设备访问的位置。

有关详细信息,请参阅将 OT 传感器加入 Defender for IoT

站点网络设置

下图显示了站点网络设置阶段中包含的步骤。 站点网络步骤由连接团队处理。

站点网络设置阶段的示意图。

在网络中配置流量镜像

使用之前创建的计划在网络中部署 OT 传感器并将流量镜像到 Defender for IoT 的位置配置流量镜像。

流量镜像设置概述中简要汇总了为 OT 传感器选择最佳位置并将其部署到网络上所需的信息。

有关详细信息,请参阅:

预配云管理

配置任何防火墙规则,确保 OT 传感器设备能够访问 Azure 云上的 Defender for IoT。 如果计划通过代理进行连接,则仅在安装传感器后配置这些设置。

对于计划进行实体隔离和在本地管理(直接在传感器控制台上或通过本地管理控制台)的任何 OT 传感器,请跳过此步骤。

有关详细信息,请参阅预配 OT 传感器以进行云管理

部署 OT 传感器

下图显示了传感器部署阶段中包含的步骤。 OT 传感器由部署团队部署和激活。

OT 传感器部署阶段的示意图。

安装 OT 传感器

如果要在自己的设备上安装 Defender for IoT 软件,请从 Azure 门户下载安装软件并将其安装在 OT 传感器设备上。

安装 OT 传感器软件后,运行多个检查来验证安装和配置。

有关详细信息,请参阅:

如果要购买预配置的设备,请跳过这些步骤。

激活 OT 传感器和初始设置

使用初始设置向导确认网络设置、激活传感器并应用 SSH/TLS 证书。

有关详细信息,请参阅配置和激活 OT 传感器

配置代理连接

如果已决定使用代理将传感器连接到云,请设置代理并在传感器上配置设置。 有关详细信息,请参阅在 OT 传感器上配置代理设置

在以下情况下跳过此步骤:

  • 对于不使用代理而是直接连接到 Azure 的任何 OT 传感器
  • 对于计划进行实体隔离和在本地管理(直接在传感器控制台上或通过本地管理控制台)的任何传感器。

配置可选设置

建议配置 Active Directory 连接,从而在 OT 传感器上管理本地用户,并通过 SNMP 设置传感器运行状况监视。

如果未在部署期间配置这些设置,还可以在之后返回并配置它们。

有关详细信息,请参阅:

校准和微调 OT 监视

下图显示了使用新部署的传感器校准和微调 OT 监视所涉及的步骤。 校准和微调活动由部署团队完成。

校准和微调阶段的示意图。

在传感器上控制 OT 监视

默认情况下,OT 传感器可能无法检测要监视的确切网络,或者无法以你希望看到的显示方式准确识别它们。 使用前面创建的列表来验证和手动配置子网、自定义端口和 VLAN 名称,并根据需要配置 DHCP 地址范围。

有关详细信息,请参阅控制 Microsoft Defender for IoT 监视的 OT 流量

验证并更新检测到的设备清单

完全检测到设备后,查看设备清单并根据需要修改设备详细信息。 例如,可以识别可合并的重复设备条目、设备类型或其他要修改的属性等。

有关详细信息,请参阅验证并更新检测到的设备清单

学习 OT 警报以创建网络基线

OT 传感器触发的警报可能包含一些需要定期忽略或“学习”(作为授权流量)的警报。

在初始会审过程中,查看系统中的所有警报。 此步骤创建了一个网络流量基线,供 Defender for IoT 在未来的工作中使用。

有关详细信息,请参阅创建习得的 OT 警报基线

基线学习结束

只要检测到新流量并且有未经处理的警报,OT 传感器就会保持学习模式。

基线学习结束的部署阶段示意图。

基线学习结束时,OT 监视部署过程就完成了,你将继续以操作模式进行持续监视。 在操作模式,异于基线数据的任何活动都将触发警报。

提示

如果你觉得 Defender for IoT 中的当前警报准确地反映了网络流量,并且学习模式尚未自动结束,可手动关闭学习模式

将 Defender for IoT 数据连接到 SIEM

部署 Defender for IoT 后,发送安全警报并管理 OT/IoT 事件,方法是将 Defender for IoT 集成到安全信息和事件管理 (SIEM) 平台及现有 SOC 工作流和工具。 通过与 Microsoft Sentinel 集成并利用现成的 Microsoft Defender for IoT 解决方案,或通过创建转发到其他 SIEM 系统的转发规则,将 Defender for IoT 警报集成到组织 SIEM。 Defender for IoT 开箱即集成到 Microsoft Sentinel,以及 Splunk、IBM QRadar、LogRhythm、Fortinet 等各种 SIEM 系统

流量镜像设置概述中简要汇总了为 OT 传感器选择最佳位置并将其部署到网络上所需的信息。

有关详细信息,请参阅:

将 Defender for IoT 警报集成到 SIEM 后,建议执行以下后续步骤使 OT/IoT 警报可操作化,并将这些警报集成到现有 SOC 工作流和工具:

  • 根据特定的 OT 需求和环境,确定并定义要监视的相关 IoT/OT 安全威胁和 SOC 事件。

  • 创建 SIEM 中的检测规则和严重级别。 只有相关事件才会被触发,从而可以减少不必要的干扰。 例如,根据此特定警报的高保真度,可以将从未经授权的设备或在非工作时间执行的 PLC 代码更改定义为高严重性事件。

    在 Microsoft Sentinel 中,Microsoft Defender for IoT 解决方案包括一组现成的检测规则,这些规则专为 Defender for IoT 数据建立,并有助于微调 Sentinel 中创建的事件。

  • 定义相应的缓解工作流,并为每个用例创建自动调查 playbook。 在 Microsoft Sentinel 中,Microsoft Defender for IoT 解决方案包括用于自动响应 Defender for IoT 警报的现成 playbook

后续步骤

现在你已了解 OT 监视系统部署步骤,接下来开始操作吧!