Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel er én i en række artikler, der beskriver installationsstien til OT-overvågning med Microsoft Defender til IoT, og beskriver de understøttede trafikspejlingsmetoder til OT-overvågning med Microsoft Defender til IoT.
Beslutningen om, hvilken trafikspejlingsmetode der skal bruges, afhænger af din netværkskonfiguration og organisationens behov.
Hvis du vil sikre dig, at Defender for IoT kun analyserer den trafik, du vil overvåge, anbefaler vi, at du konfigurerer trafikspejling på en kontakt eller et terminaladgangspunkt (TAP), der kun omfatter industriel ICS- og SCADA-trafik.
Bemærk!
SPAN og RSPAN er Cisco-terminologi. Andre mærker af parametre har lignende funktionalitet, men bruger muligvis anden terminologi.
Anbefalinger til portomfang afspejles
Vi anbefaler, at du konfigurerer din trafikspejling fra alle din switchs porte, selvom der ikke er oprettet forbindelse til nogen data. Hvis du ikke gør det, kan rogue-enheder senere forbindes til en overvåget port, og disse enheder registreres ikke af Defender for IoT-netværkssensorer.
For OT-netværk, der bruger broadcast- eller multicast-beskeder, skal du konfigurere trafikspejling kun for RX-transmissioner (Modtag). Multicast-meddelelser gentages for alle relevante aktive porte, og du bruger unødvendigt mere båndbredde.
Sammenlign understøttede trafikspejlingsmetoder
Defender for IoT understøtter følgende metoder:
| Metode | Beskrivelse | Flere oplysninger |
|---|---|---|
| En kontakt SPAN-port | Afspejler lokal trafik fra grænseflader på kontakten til en anden grænseflade på den samme switch | Konfigurer spejling med en SWITCH SPAN-port |
| Ekstern SPAN-port (RSPAN) | Spejler trafik fra flere distribuerede kildeporte til et dedikeret fjern-VLAN |
RSPAN-porte (Remote SPAN) Konfigurer trafikspejling med en RSPAN-port (Remote SPAN) |
| Aktiv eller passiv aggregering (TAP) | Installerer en aktiv/passiv aggregering TAP indbygget i dit netværkskabel, hvilket duplikerer trafik til OT-netværkssensoren. Bedste metode til kriminalteknisk overvågning. | Aktiv eller passiv aggregering (TAP) |
| En indkapslet fjernstyret portanalyse (ERSPAN) | Afspejler inputgrænseflader til din OT-sensors overvågningsgrænseflade |
ERSPAN-porte Opdater en sensors overvågningsgrænseflader (konfigurer ERSPAN). |
| En ESXi vSwitch | Spejler trafik ved hjælp af promiskuøs tilstand på en ESXi vSwitch. |
Trafikspejling med virtuelle parametre Konfigurer trafikspejling med en ESXi vSwitch. |
| En Hyper-V vSwitch | Spejler trafik ved hjælp af promiskuøs tilstand på en Hyper-V vSwitch. |
Trafikspejling med virtuelle parametre Konfigurer trafikspejling med en Hyper-V vSwitch |
RSPAN-porte (Remote SPAN)
Konfigurer en RSPAN-session (remote SPAN) på din switch for at afspejle trafik fra flere distribuerede kildeporte til en dedikeret ekstern VLAN.
Data i VLAN'en leveres derefter gennem trunkerede porte på tværs af flere parametre til en angivet parameter, der indeholder den fysiske destinationsport. Slut destinationsporten til ot-netværkssensoren for at overvåge trafik med Defender for IoT.
I følgende diagram vises et eksempel på en ekstern VLAN-arkitektur:
Du kan få flere oplysninger under Konfigurer trafikspejling med en RSPAN-port (Remote SPAN).
Aktiv eller passiv aggregering (TAP)
Når du bruger aktiv eller passiv aggregering til at afspejle trafik, installeres der et aktivt eller passivt tap (aggregeringsterminaladgangspunkt) indbygget i netværkskablet. TAP duplikerer både Modtag og Send trafik til OT-netværkssensoren, så du kan overvåge trafikken med Defender for IoT.
En TAP er en hardwareenhed, der gør det muligt for netværkstrafik at bevæge sig frem og tilbage mellem porte uden afbrydelser. TAP opretter løbende en nøjagtig kopi af begge sider af trafikflowet uden at gå på kompromis med netværksintegriteten.
Det kan f.eks. være:
Nogle TAPs aggregerer både Modtag og Send, afhængigt af switchkonfigurationen. Hvis kontakten ikke understøtter sammenlægning, bruger hver TAP to porte på din OT-netværkssensor til at overvåge både Modtag og Send trafik.
Fordele ved at spejle trafik med et TAP
Vi anbefaler TAC'er, især når trafikspejling er til tekniske formål. Fordelene ved spejling af trafik med TAC'er omfatter:
TAPs er hardwarebaserede og kan ikke kompromitteres.
TAPs overfører al trafik, selv beskadigede meddelelser, der ofte slippes af parametrene.
TAPs er ikke processorfølsomme, hvilket betyder, at pakke timing er nøjagtig. I modsætning hertil håndterer parametre spejlingsfunktioner som en opgave med lav prioritet, hvilket kan påvirke timingen af de spejlede pakker.
Du kan også bruge en TAP-aggregering til at overvåge dine trafikporte. TAP-sammenlægningsfunktionen er dog ikke processorbaseret og er ikke så indbygget sikker som hardware-TAPs. TAP-sammenlægningsaggregatorer afspejler muligvis ikke den nøjagtige pakketiming.
Almindelige TAP-modeller
Følgende TAP-modeller er blevet testet for kompatibilitet med Defender for IoT. Andre leverandører og modeller kan også være kompatible.
Kranse P1GCCAS
Når du bruger en Garland TAP, skal du sørge for at konfigurere dit netværk til at understøtte sammenlægning. Du kan få flere oplysninger i diagrammet Tryk på sammenlægning under fanen Netværksdiagrammer i installationsvejledningen til Garland.
IXIA TPA2-CU3
Når du bruger en Ixia TAP, skal du sørge for, at sammenlægningstilstanden er aktiv. Du kan få flere oplysninger i Ixia-installationsvejledningen.
US Robotics USR 4503
Når du bruger en US Robotics TAP, skal du sørge for at slå sammenlægningstilstanden til ved at angive den valgbare knap til AGG. Du kan få flere oplysninger i installationsvejledningen til US Robotics.
ERSPAN-porte
Brug en ERSPAN (Remote Switched Port Analyzer) til at afspejle inputgrænseflader via et IP-netværk til din OT-sensors overvågningsgrænseflade, når du sikrer fjernnetværk med Defender til IoT.
Sensorens overvågningsgrænseflade er en promiskuøs grænseflade og har ikke en specifikt tildelt IP-adresse. Når ERSPAN-understøttelse er konfigureret, analyseres trafiknyttedata, der er ERSPAN indkapslet med GRE-tunnelindkapsling, af sensoren.
Brug ERSPAN-indkapsling, når der er behov for at udvide overvåget trafik på tværs af Layer 3-domæner. ERSPAN er en cisco beskyttet funktion og er kun tilgængelig på bestemte routere og switches. Du kan få flere oplysninger i Cisco-dokumentationen.
Bemærk!
Denne artikel indeholder en vejledning på højt niveau til konfiguration af trafikspejling med ERSPAN. Specifikke implementeringsoplysninger varierer afhængigt af din leverandør af udstyr.
ERSPAN-arkitektur
ERSPAN-sessioner omfatter en kildesession og en destinationssession, der er konfigureret på forskellige parametre. Mellem kilde- og destinationsparametrene er trafikken indkapslet i GRE og kan dirigeres over lag 3-netværk.
Det kan f.eks. være:
ERSPAN transporterer spejlet trafik over et IP-netværk ved hjælp af følgende proces:
- En kilderouter indkapsler trafikken og sender pakken over netværket.
- På destinationsrouteren fjernes pakken fra kapsulering og sendes til destinationsgrænsefladen.
ERSPAN-kildeindstillinger omfatter elementer som f.eks.:
- Ethernet-porte og portkanaler
- Vlans; alle understøttede grænseflader i VLAN er ERSPAN-kilder
- Stofportkanaler
- Satellitporte og værtsgrænsefladeportkanaler
Du kan få flere oplysninger under Opdater en sensors overvågningsgrænseflader (konfigurer ERSPAN).
VLAN ID-overvejelser i forbindelse med ERSPAN
Når du konfigurerer ERSPAN, skal du overveje, hvordan VLAN-id'er håndteres baseret på typen af spejlvendt port:
- Mærkede VLAN'er findes i pakker fra trunkspejlede porte og forbliver intakte i pakkens nyttedata under indkapsling. Defender for IoT-sensoren understøtter mærkede VLAN'er.
- Umarkerede VLAN'er stammer fra adgangsspejlede porte. Umarkerede VLAN'er fjernes fra nyttedataene under indkapsling, og VLAN'erne går derfor tabt. Microsoft Defender til IoT-sensor understøtter ikke umarkerede VLAN'er.
Hvis du vil sikre nøjagtig VLAN-registrering, skal du konfigurere netværket og ERSPAN-routeren, så alle spejlede porte bruger mærkede VLAN'er, hvor spejlporte er konfigureret som trunkporte. Med denne konfiguration forbliver VLAN-oplysninger i pakkenyttelasten i hele ERSPAN-processen og giver fuld synlighed for Defender for IoT-sensorovervågning.
Trafikspejling med virtuelle parametre
Selvom en virtuel parameter ikke har spejlingsfunktioner, kan du bruge Promiskuøs tilstand i et virtuelt switchmiljø som en midlertidig løsning til konfiguration af en overvågningsport på samme måde som en SPAN-port. En SPAN-port på kontakten afspejler lokal trafik fra grænseflader på kontakten til en anden grænseflade på den samme switch.
Slut destinationsskiftet til OT-netværkssensoren for at overvåge trafik med Defender for IoT.
Promiskuøs tilstand er en handlingstilstand og en sikkerheds-, overvågnings- og administrationsteknik, der er defineret på den virtuelle switch- eller portgruppeniveau. Når der bruges promiskuøs tilstand, kan enhver af den virtuelle maskines netværksgrænseflader i den samme portgruppe få vist al netværkstrafik, der går gennem den virtuelle switch. Promiskuøs tilstand er som standard slået fra.
Du kan finde flere oplysninger under: