Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives de trin på højt niveau, der kræves for at installere Defender for IoT til OT-overvågning. Få mere at vide om hvert installationstrin i afsnittene nedenfor, herunder relevante krydsreferencer for at få flere oplysninger.
På følgende billede vises faserne i en end-to-end ot-overvågningsinstallationssti sammen med det team, der er ansvarligt for hver fase.
Selvom teams og jobtitler varierer på tværs af forskellige organisationer, kræver alle Defender for IoT-udrulninger kommunikation mellem de personer, der er ansvarlige for de forskellige områder af dit netværk og din infrastruktur.
Tip
Hvert trin i processen kan tage forskellig tid. Download af en aktiveringsfil til ot-sensor kan f.eks. tage fem minutter, mens konfiguration af trafikovervågning kan tage dage eller endda uger, afhængigt af organisationens processer.
Vi anbefaler, at du starter processen for hvert trin uden at vente på, at den fuldføres, før du går videre til næste trin. Sørg for at fortsætte med at følge op på eventuelle trin, der stadig er i gang, for at sikre, at de fuldføres.
Forudsætninger
Før du begynder at planlægge din udrulning af ot-overvågning, skal du sørge for, at du har et Azure abonnement og en OT-plan onboardet Defender til IoT.
Du kan få flere oplysninger under Start en Microsoft Defender til IoT-prøveversion.
Planlægning og forberedelse
På følgende billede vises de trin, der er inkluderet i planlægnings- og forberedelsesfasen. Planlægning og forberedelse af trin håndteres af dine arkitekturteams.
Planlæg dit OT-overvågningssystem
Planlæg grundlæggende oplysninger om dit overvågningssystem, f.eks.:
Websteder og zoner: Beslut, hvordan du vil segmentere det netværk, du vil overvåge, ved hjælp af websteder og zoner , der kan repræsentere placeringer over hele verden.
Sensoradministration: Beslut, om du skal bruge cloudtilsluttet eller luftskellet, lokalt administrerede OT-sensorer eller et hybridsystem af begge. Hvis du bruger cloudtilsluttede sensorer, skal du vælge en forbindelsesmetode, f.eks. oprette direkte forbindelse eller via en proxy.
Brugere og roller: Liste over de typer brugere, du skal bruge på hver sensor, og de roller, de skal bruge til hver aktivitet.
Du kan få flere oplysninger under Planlæg dit OT-overvågningssystem med Defender for IoT.
Forbered en udrulning af ot-webstedet
Definer yderligere oplysninger om hvert websted, der er planlagt i systemet, herunder:
Et netværksdiagram. Identificer alle de enheder, du vil overvåge, og opret en veldefineret liste over undernet. Når du har installeret dine sensorer, kan du bruge denne liste til at bekræfte, at alle de undernet, du vil overvåge, er dækket af Defender for IoT.
En liste over sensorer: Brug listen over trafik, undernet og enheder, du vil overvåge, til at oprette en liste over de OT-sensorer, du skal bruge, og hvor de placeres i dit netværk.
Metoder til trafikspejling: Vælg en trafikspejlingsmetode for hver OT-sensor, f.eks. en SPAN-port eller TAP.
Apparater: Forbered en installationsarbejdsstation og hardware- eller VM-apparater, du bruger til hver af de OT-sensorer, du har planlagt. Hvis du bruger forudkonfigurerede apparater, skal du sørge for at bestille dem.
Du kan få flere oplysninger under Forbered en udrulning af ot-webstedet.
Sensorer ombord til Azure
På følgende billede kan du se det trin, der er inkluderet i den indbyggede sensorfase. Sensorer er onboardet til Azure af dine udrulningsteams.
Ot-sensorer ombord på Azure Portal
Ombord på lige så mange OT-sensorer til Defender for IoT, som du har planlagt. Sørg for at downloade aktiveringsfilerne for hver OT-sensor, og gem dem et sted, der er tilgængeligt fra dine sensormaskiner.
Du kan få flere oplysninger under Onboard OT-sensorer til Defender for IoT.
Konfiguration af webstedsnetværk
På følgende billede vises de trin, der er inkluderet i sætningen til konfiguration af webstedsnetværk. Trin til webstedsnetværk håndteres af dine forbindelsesteams.
Konfigurer trafikspejling i netværket
Brug de planer, du tidligere har oprettet, til at konfigurere trafikspejling på de steder i netværket, hvor du installerer OT-sensorer og spejlingstrafik til Defender for IoT.
En kort oversigt over de oplysninger, der er nødvendige for at vælge den bedste placering til din OT-sensor og installere den på dit netværk, er tilgængelig i oversigten over konfiguration af trafikspejle.
Du kan finde flere oplysninger under:
- Konfigurer spejling med en SWITCH SPAN-port
- Konfigurer trafikspejling med en RSPAN-port (Remote SPAN)
- Konfigurer aktiv eller passiv aggregering (TAP)
- Opdater en sensors overvågningsgrænseflader (konfigurer ERSPAN)
- Konfigurer trafikspejling med en ESXi vSwitch
- Konfigurer trafikspejling med en Hyper-V vSwitch
Klargøring til cloudadministration
Konfigurer firewallregler for at sikre, at dine OT-sensorapparater kan få adgang til Defender for IoT i Azure cloudmiljøet. Hvis du planlægger at oprette forbindelse via en proxy, skal du først konfigurere disse indstillinger, når du har installeret din sensor.
Spring dette trin over for alle OT-sensorer, der er planlagt til at blive lufts gapped og administreres lokalt direkte på sensorkonsollen.
Du kan få mere at vide under Klargør OT-sensorer til cloudadministration.
Udrul dine OT-sensorer
På følgende billede vises de trin, der er inkluderet i sensorudrulningsfasen. OT-sensorer udrulles og aktiveres af dit udrulningsteam.
Installér dine OT-sensorer
Hvis du installerer Defender for IoT-software på dine egne apparater, skal du downloade installationssoftware fra Azure Portal og installere den på dit OT-sensorapparat.
Når du har installeret ot-sensorsoftwaren, skal du køre flere kontroller for at validere installationen og konfigurationen.
Du kan finde flere oplysninger under:
Spring disse trin over, hvis du køber forudkonfigurerede apparater.
Aktivér dine OT-sensorer, og start opsætning
Brug en indledende installationsguide til at bekræfte netværksindstillingerne, aktivere sensoren og anvende SSH/TLS-certifikater.
Du kan få flere oplysninger under Konfigurer og aktivér ot-sensoren.
Konfigurer proxyforbindelser
Hvis du har besluttet at bruge en proxy til at forbinde dine sensorer til skyen, skal du konfigurere din proxy og konfigurere indstillinger på din sensor. Du kan få flere oplysninger under Konfigurer proxyindstillinger på en OT-sensor.
Spring dette trin over i følgende situationer:
- For alle OT-sensorer, hvor du opretter direkte forbindelse til Azure, uden en proxy
- For alle sensorer, der er planlagt til at blive lufts gapped og administreres lokalt direkte på sensorkonsollen.
Konfigurer valgfrie indstillinger
Vi anbefaler, at du konfigurerer en Active Directory-forbindelse til administration af lokale brugere på din OT-sensor og også konfigurerer overvågning af sensortilstand via SNMP.
Hvis du ikke konfigurerer disse indstillinger under udrulningen, kan du også returnere og konfigurere dem senere.
Du kan finde flere oplysninger under:
Kalibrer og finjuster OT-overvågning
På følgende billede vises de trin, der er involveret i kalibrering og finjustering af OT-overvågning med din nyligt udrullede sensor. Kalibrerings- og finjusteringsaktiviteter udføres af udrulningsteamet.
Kontrollér OT-overvågning på din sensor
Som standard registrerer ot-sensoren muligvis ikke præcis de netværk, du vil overvåge, eller identificerer dem præcist, som du gerne vil se dem vist. Brug de lister, du tidligere har oprettet , til at bekræfte og manuelt konfigurere undernet, tilpasse port- og VLAN-navne og konfigurere DHCP-adresseområder efter behov.
Du kan få flere oplysninger under Kontrollér den OT-trafik, der overvåges af Microsoft Defender til IoT.
Bekræft og opdater din registrerede enhedsoversigt
Når dine enheder er fuldt registreret, skal du gennemse enhedsoversigten og ændre enhedsoplysningerne efter behov. Du kan f.eks. identificere enhedstyper eller andre egenskaber, der skal ændres, og meget mere.
Du kan finde flere oplysninger under Kontrollér og opdater din registrerede enheds lager.
Få mere at vide om OT-beskeder om oprettelse af en netværksbaselinje
De beskeder, der udløses af din OT-sensor, kan omfatte flere beskeder, som du regelmæssigt vil ignorere eller Få mere at vide om som godkendt trafik.
Gennemse alle beskeder i dit system som en indledende triage. Dette trin opretter en netværkstrafikbaselinje, som Defender for IoT kan arbejde med fremadrettet.
Du kan få flere oplysninger under Opret en lært oprindelig plan for ot-beskeder.
Grundlinjelæring slutter
Dine OT-sensorer forbliver i læringstilstand , så længe der registreres ny trafik, og du har ubehandlede beskeder.
Når grundlæggende læring slutter, er udrulningsprocessen for ot-overvågning fuldført, og du fortsætter i driftstilstand med henblik på løbende overvågning. I driftstilstand udløser alle aktiviteter, der adskiller sig fra dine oprindelige data, en besked.
Tip
Slå læringstilstanden fra manuelt , når de aktuelle beskeder i Defender for IoT afspejler din netværkstrafik præcist.
Forbind Defender for IoT-data med din SIEM
Når Defender for IoT er blevet udrullet, kan du sende sikkerhedsbeskeder og administrere OT/IoT-hændelser ved at integrere Defender for IoT med din SIEM-platform (security information and event management) og eksisterende SOC-arbejdsprocesser og -værktøjer. Integrer Defender for IoT-beskeder med din organisations SIEM ved at integrere med Microsoft Sentinel og udnytte den indbyggede Microsoft Defender til IoT-løsning eller ved at oprette regler for videresendelse til andre SIEM-systemer. Defender for IoT integrerer klar til brug med Microsoft Sentinel samt en lang række SIEM-systemer, f.eks. Splunk, IBM QRadar, LogRhythm, Fortinet og meget mere.
En kort oversigt over de oplysninger, der er nødvendige for at vælge den bedste placering til din OT-sensor og installere den på dit netværk, er tilgængelig i oversigten over konfiguration af trafikspejle.
Du kan finde flere oplysninger under:
- Overvågning af OT-trussel i virksomheds-SOC'er
- Selvstudium: Opret forbindelse Microsoft Defender til IoT med Microsoft Sentinel
- Opret forbindelse mellem ot-netværkssensorer i det lokale miljø og Microsoft Sentinel
- Integrationer med Microsoft og partnertjenester
- Stream Defender for IoT-skybeskeder til en partner SIEM
Når du har integreret Defender for IoT-beskeder med en SIEM, anbefaler vi følgende næste trin for at aktivere OT/IoT-beskeder og integrere dem fuldt ud med dine eksisterende SOC-arbejdsprocesser og -værktøjer:
Identificer og definer relevante IoT/OT-sikkerhedstrusler og SOC-hændelser, som du gerne vil overvåge baseret på dine specifikke OT-behov og -miljø.
Opret regler og alvorsgradsniveauer for registrering i SIEM. Det er kun relevante hændelser, der udløses, hvilket reducerer unødvendig støj. Du kan f.eks. definere ÆNDRINGER af PLC-kode, der udføres fra uautoriserede enheder eller uden for arbejdstiden, som en hændelse med høj alvorsgrad på grund af den høje pålidelighed af denne specifikke besked.
I Microsoft Sentinel indeholder Microsoft Defender til IoT-løsningen et sæt regler for registrering, der er klar til brug, og som er udviklet specielt til Defender for IoT-data og hjælper dig med at finjustere de hændelser, der er oprettet i Sentinel.
Definer den relevante arbejdsproces til afhjælpning, og opret automatiserede undersøgelseslegebøger for hver use case. I Microsoft Sentinel inkluderer Microsoft Defender til IoT-løsningen indbyggede playbooks til automatiseret svar på Defender for IoT-beskeder.
Næste trin
Nu, hvor du har forstået trinnene til udrulning af OT-overvågningssystemet, er du klar til at komme i gang!