Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel er en af en række artikler, der beskriver installationsstien til OT-overvågning med Microsoft Defender til IoT.
Hvis du vil overvåge dit netværk fuldt ud, skal du have synlighed på alle slutpunktsenhederne i netværket. Microsoft Defender til IoT afspejler den trafik, der bevæger sig gennem dine netværksenheder, til Defender for IoT-netværkssensorer. OT-netværkssensorer analyserer derefter dine trafikdata, udløser beskeder, genererer anbefalinger og sender data til Defender for IoT i Azure.
Denne artikel hjælper dig med at planlægge, hvor OT-sensorer skal placeres i dit netværk, så den trafik, du vil overvåge, afspejles efter behov, og hvordan du forbereder dit websted til sensorudrulning.
Forudsætninger
Før du planlægger OT-overvågning for et bestemt websted, skal du sørge for, at du har planlagt dit overordnede OT-overvågningssystem.
Dette trin udføres af dine arkitekturteams.
Få mere at vide om Defender for IoT's overvågningsarkitektur
Brug følgende artikler til at få mere at vide om komponenterne og arkitekturen i dit netværk og Defender for IoT-systemet:
Opret et netværksdiagram
Hver organisations netværk har sin egen kompleksitet. Opret et netværkskortdiagram, der viser alle enhederne i netværket grundigt, så du kan identificere den trafik, du vil overvåge.
Når du opretter netværksdiagrammet, kan du bruge følgende spørgsmål til at identificere og oprette noter om de forskellige elementer i dit netværk, og hvordan de kommunikerer.
Generelle spørgsmål
Hvad er dine overordnede overvågningsmål?
Har du redundante netværk, og er der områder af dit netværkskort, der ikke behøver overvågning, og du kan se bort fra?
Hvor er netværkets sikkerheds- og driftsmæssige risici?
Netværksspørgsmål
Hvilke protokoller er aktive på overvågede netværk?
Er VLAN'er konfigureret i netværksdesignet?
Er der nogen routing i de overvågede netværk?
Er der nogen seriel kommunikation i netværket?
Hvor er firewalls installeret på de netværk, du vil overvåge?
Er der trafik mellem et netværk for industriel kontrol (ICS) og et virksomhedsnetværk? Hvis ja, overvåges denne trafik så?
Hvad er den fysiske afstand mellem dine parametre og virksomhedsfirewallen?
Udføres vedligeholdelsen af ot-systemet med faste eller midlertidige enheder?
Skift spørgsmål
Hvis en kontakt ellers ikke administreres, kan du så overvåge trafikken fra en kontakt på et højere niveau? Hvis din OT-arkitektur f.eks. bruger en ringtopologi, skal der kun overvåges én kontakt i ringen.
Kan ikke-administrerede parametre erstattes med administrerede parametre, eller er brugen af netværks-TAPs en mulighed?
Kan du overvåge kontaktens VLAN, eller er VLAN'en synlig i en anden kontakt, som du kan overvåge?
Hvis du forbinder en netværkssensor til kontakten, vil det så afspejle kommunikationen mellem HMI og PLC'er?
Hvis du vil forbinde en netværkssensor til kontakten, er der så fysisk rackplads tilgængelig i kontaktens kabinet?
Hvad er omkostningerne/fordelen ved at overvåge hver kontakt?
Identificer de enheder og undernet, du vil overvåge
Den trafik, du vil overvåge og spejle til Defender for IoT-netværkssensorer, er den trafik, der er mest interessant for dig fra et sikkerhedsmæssigt eller driftsmæssigt perspektiv.
Gennemse dit OT-netværksdiagram sammen med webstedsteknikere for at definere, hvor du finder den mest relevante trafik til overvågning. Vi anbefaler, at du mødes med både netværks- og driftsteams for at tydeliggøre forventningerne.
Sammen med dit team kan du oprette en tabel over de enheder, du vil overvåge, med følgende oplysninger:
| Specifikation | Beskrivelse |
|---|---|
| Kreditor | Enhedens produktionsleverandør |
| Enhedsnavn | Et sigende navn til løbende brug og reference |
| Type | Enhedstypen, f.eks.: Switch, Router, Firewall, Access Point osv. |
| Netværkslag | De enheder, du vil overvåge, er enten L2- eller L3-enheder: - L2-enheder er enheder inden for IP-segmentet - L3-enheder er enheder uden for IP-segmentet Enheder, der understøtter begge lag, kan betragtes som L3-enheder. |
| Krydsning af VLAN'er | Id'erne for alle VLAN'er, der krydser enheden. Du kan f.eks. kontrollere disse VLAN-id'er ved at kontrollere tilstanden for den samlede træhandling på hvert VLAN for at se, om de krydser en tilknyttet port. |
| Gateway til | De VLAN'er, som enheden fungerer som en standardgateway for. |
| Netværksdetaljer | Enhedens IP-adresse, undernet, D-GW og DNS-vært |
| Protokoller | Protokoller, der bruges på enheden. Sammenlign dine protokoller med Defender for IoT's liste over protokoller , der understøttes klar til brug. |
| Understøttet trafikspejling | Definer, hvilken type trafikspejling der understøttes af hver enhed, f.eks. SPAN, RSPAN, ERSPAN eller TAP. Brug disse oplysninger til at vælge trafikspejlingsmetoder til dine OT-sensorer. |
| Administreret af partnertjenester? | Beskriv, om en partnertjeneste, f.eks. Siemens, Rockwell eller Emerson, administrerer enheden. Beskriv administrationspolitikken, hvis det er relevant. |
| Serielle forbindelser | Hvis enheden kommunikerer via en seriel forbindelse, skal du angive den serielle kommunikationsprotokol. |
Beregn enheder i dit netværk
Beregn antallet af enheder på hvert websted, så du kan købe Defender til IoT-licenser på den korrekte størrelse.
Sådan beregner du antallet af enheder på hvert websted::
Saml det samlede antal enheder på dit websted, og tilføj dem.
Fjern en af følgende enheder, der ikke er identificeret som individuelle enheder af Defender for IoT:
- Offentlige INTERNET-IP-adresser
- Flerstøbte grupper
- Udsendelsesgrupper
- Inaktive enheder: Enheder, der ikke har registreret netværksaktivitet i mere end 60 dage
Du kan få flere oplysninger under Enheder, der overvåges af Defender for IoT.
Planlæg en udrulning med flere sensorer
Hvis du planlægger at udrulle flere netværkssensorer, skal du også overveje følgende anbefalinger, når du beslutter, hvor dine sensorer skal placeres:
Fysisk forbundne kontakter: For kontakter, der fysisk er tilsluttet via Ethernet-kabel, skal du sørge for at planlægge mindst én sensor for hver 80 meter afstand mellem kontakter.
Flere netværk uden fysisk forbindelse: Hvis du har flere netværk uden fysisk forbindelse mellem dem, skal du planlægge mindst én sensor for hvert enkelt netværk
Kontakter med understøttelse af RSPAN: Hvis du har parametre, der kan bruge RSPAN-trafikspejling, skal du planlægge mindst én sensor for hver otte parametre med en lokal SPAN-port. Planlæg at placere sensoren tæt nok på kontakterne, så du kan tilslutte dem via kabel.
Opret en liste over undernet
Opret en samlet liste over undernet, du vil overvåge, baseret på listen over enheder, du vil overvåge på tværs af hele netværket.
Når du har udrullet dine sensorer, skal du bruge denne liste til at bekræfte, at de angivne undernet registreres automatisk, og manuelt opdatere listen efter behov.
Angiv dine planlagte OT-sensorer
Når du har forstået den trafik, du vil spejle til Defender for IoT, kan du oprette en komplet liste over alle de OT-sensorer, du onboarder.
For hver sensor skal du angive:
Angiver, om sensoren skal være en cloudforbundet eller lokalt administreret sensor
For sensorer, der er forbundet med skyen, er den cloudforbindelsesmetode , du bruger.
Uanset om du bruger fysiske eller virtuelle apparater til dine sensorer i betragtning af den båndbredde, du har brug for til servicekvalitet (QoS). Du kan få flere oplysninger under Hvilke apparater har jeg brug for?
Det websted og den zone , du tildeler hver sensor.
Data, der indtages fra sensorer på samme sted eller zone, kan ses sammen og segmenteres ud fra andre data i dit system. Hvis der er sensordata, som du vil have vist grupperet på samme sted eller i samme zone, skal du sørge for at tildele sensorwebsteder og -zoner i overensstemmelse hermed.
Den trafikspejlingsmetode , du skal bruge til hver sensor
I takt med at dit netværk udvides i tide, kan du onboarde flere sensorer eller ændre dine eksisterende sensordefinitioner.
Vigtigt!
Vi anbefaler, at du kontrollerer egenskaberne for de enheder, du forventer, at hver sensor registrerer, f.eks. IP- og MAC-adresser. Enheder, der registreres i den samme zone med det samme logiske sæt enhedsegenskaber, konsolideres automatisk og identificeres som den samme enhed.
Hvis du f.eks. arbejder med flere netværk og tilbagevendende IP-adresser, skal du sørge for, at du planlægger hver sensor med en anden zone, så enheder identificeres korrekt som separate og unikke enheder.
Du kan få flere oplysninger under Adskillelse af zoner for tilbagevendende IP-områder.
Forbered apparater i det lokale miljø
Hvis du bruger virtuelle apparater, skal du sikre dig, at du har konfigureret de relevante ressourcer. Du kan få flere oplysninger under Overvågning af håndkøb med virtuelle apparater.
Hvis du bruger fysiske apparater, skal du sørge for, at du har den nødvendige hardware. Du kan købe forudkonfigurerede apparater eller planlægge at installere software på dine egne apparater.
Sådan køber du forudkonfigurerede apparater:
- Gå til Defender for IoT i Azure Portal.
- Vælg Kom i gang>Sensor>Køb forudkonfigureret apparat>Kontakt.
Linket åbner en mail til hardware.sales@arrow.commed en skabelonanmodning for Defender for IoT-apparater.
Du kan få flere oplysninger under Hvilke apparater har jeg brug for?
Forbered supplerende hardware
Hvis du bruger fysiske apparater, skal du sørge for, at du har følgende ekstra hardware til rådighed for hver fysisk apparat:
- En skærm og et tastatur
- Rackplads
- Vekselstrøm
- Et LAN-kabel til tilslutning af enhedens administrationsport til netværkskontakten
- LAN-kabler til tilslutning af spejlporte (SPAN) og netværksterminaladgangspunkter (TAPs) til din apparat
Forbered oplysninger om apparatnetværk
Når du har dine apparater klar, skal du angive en liste over følgende oplysninger for hver apparat:
- IP-adresse
- Undernet
- Standardgateway
- Værtsnavn
- DNS-server (valgfrit) med DNS-serverens IP-adresse og værtsnavn
Forbered en installationsarbejdsstation
Forbered en arbejdsstation, hvorfra du kan køre Defender til IoT-udrulningsaktiviteter. Arbejdsstationen kan være en Windows- eller Mac-maskine med følgende krav:
Terminalsoftware, f.eks. PuTTY
En understøttet browser til oprettelse af forbindelse til sensorkonsoller og Azure Portal. Du kan få flere oplysninger i anbefalede browsere til Azure Portal.
Påkrævede firewallregler er konfigureret med adgang åben for påkrævede grænseflader. Du kan få flere oplysninger under Netværkskrav.
Forbered ca-signerede certifikater
Vi anbefaler, at du bruger CA-signerede certifikater i produktionsinstallationer.
Sørg for, at du forstår kravene til SSL/TLS-certifikater for ressourcer i det lokale miljø. Hvis du vil installere et ca-signeret certifikat under den indledende installation, skal du sørge for at have certifikatet forberedt.
Hvis du beslutter dig for at udrulle med det indbyggede selvsignerede certifikat, anbefaler vi, at du installerer et ca-signeret certifikat i produktionsmiljøer senere.
Du kan finde flere oplysninger under: