Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender für IoT beschrieben wird.
Um Ihr Netzwerk vollständig zu überwachen, benötigen Sie Sichtbarkeit auf allen Endpunktgeräten in Ihrem Netzwerk. Microsoft Defender für IoT spiegelt den Datenverkehr, der über Ihre Netzwerkgeräte zu Defender für IoT-Netzwerksensoren geht, wieder. OT-Netzwerksensoren analysieren dann Ihre Datenverkehrsdaten, lösen Warnungen aus, generieren Empfehlungen und senden Daten in Azure an Defender für IoT.
In diesem Artikel erfahren Sie, wo Ot-Sensoren in Ihrem Netzwerk platziert werden sollen, damit der zu überwachende Datenverkehr nach Bedarf gespiegelt wird, und wie Sie Ihren Standort für die Sensorbereitstellung vorbereiten.
Voraussetzungen
Bevor Sie die OT-Überwachung für einen bestimmten Standort planen, stellen Sie sicher, dass Sie Ihr gesamtes OT-Überwachungssystem geplant haben.
Dieser Schritt wird von Ihren Architekturteams ausgeführt.
Erfahren Sie mehr über die Überwachungsarchitektur von Defender für IoT.
Verwenden Sie die folgenden Artikel, um mehr über die Komponenten und die Architektur in Ihrem Netzwerk und Defender für IoT-System zu erfahren:
Erstellen eines Netzwerkdiagramms
Das Netzwerk jedes organization hat seine eigene Komplexität. Erstellen Sie ein Netzwerkzuordnungsdiagramm, das alle Geräte in Ihrem Netzwerk gründlich auflistet, damit Sie den datenverkehr identifizieren können, den Sie überwachen möchten.
Verwenden Sie beim Erstellen Ihres Netzwerkdiagramms die folgenden Fragen, um die verschiedenen Elemente in Ihrem Netzwerk und deren Kommunikation zu identifizieren und zu notieren.
Allgemeine Fragen
Was sind Ihre allgemeinen Überwachungsziele?
Verfügen Sie über redundante Netzwerke, und gibt es Bereiche ihrer Netzwerkzuordnung, die nicht überwacht werden müssen und Sie ignorieren können?
Wo sind die Sicherheits- und Betriebsrisiken Ihres Netzwerks?
Netzwerkfragen
Welche Protokolle sind in überwachten Netzwerken aktiv?
Sind VLANs im Netzwerkentwurf konfiguriert?
Gibt es routing in den überwachten Netzwerken?
Gibt es eine serielle Kommunikation im Netzwerk?
Wo sind Firewalls in den Netzwerken installiert, die Sie überwachen möchten?
Gibt es Datenverkehr zwischen einem ICS-Netzwerk (Industrial Control) und einem Unternehmensnetzwerk? Wenn ja, wird dieser Datenverkehr überwacht?
Wie lautet die physische Entfernung zwischen Ihren Switches und der Unternehmensfirewall?
Erfolgt die Wartung des OT-Systems mit festen oder vorübergehenden Geräten?
Fragen wechseln
Wenn ein Switch andernfalls nicht verwaltet ist, können Sie den Datenverkehr von einem Übergeordneten Switch überwachen? Wenn Ihre OT-Architektur beispielsweise eine Ringtopologie verwendet, muss nur ein Switch im Ring überwacht werden.
Können nicht verwaltete Switches durch verwaltete Switches ersetzt werden, oder ist die Verwendung von Netzwerk-TAPs eine Option?
Können Sie das VLAN des Switches überwachen, oder ist das VLAN in einem anderen Switch sichtbar, den Sie überwachen können?
Wenn Sie einen Netzwerksensor mit dem Switch verbinden, Spiegel die Kommunikation zwischen dem HMI und den PLCs?
Wenn Sie einen Netzwerksensor mit dem Switch verbinden möchten, ist im Schaltschrank des Switches physischer Rackspeicher verfügbar?
Was sind die Kosten/Vorteile der Überwachung der einzelnen Switches?
Identifizieren der Geräte und Subnetze, die Sie überwachen möchten
Der Datenverkehr, den Sie überwachen und an Defender für IoT-Netzwerksensoren Spiegel möchten, ist der Datenverkehr, der aus Sicherheits- oder Betriebssicht für Sie am interessantesten ist.
Überprüfen Sie ihr OT-Netzwerkdiagramm zusammen mit Ihren Standorttechnikern, um zu definieren, wo Sie den relevantesten Datenverkehr für die Überwachung finden. Es wird empfohlen, dass Sie sich mit Netzwerk- und Betriebsteams treffen, um die Erwartungen zu klären.
Erstellen Sie zusammen mit Ihrem Team eine Tabelle mit Geräten, die Sie überwachen möchten, mit den folgenden Details:
| Spezifikation | Beschreibung |
|---|---|
| Anbieter | Hersteller des Geräts |
| Gerätename | Ein aussagekräftiger Name für die fortlaufende Verwendung und Referenz |
| Typ | Der Gerätetyp, z. B.: Switch, Router, Firewall, Access Point usw. |
| Netzwerkschicht | Die Geräte, die Sie überwachen möchten, sind L2- oder L3-Geräte: - L2-Geräte sind Geräte innerhalb des IP-Segments. - L3-Geräte sind Geräte außerhalb des IP-Segments. Geräte, die beide Ebenen unterstützen, können als L3-Geräte betrachtet werden. |
| Überqueren von VLANs | Die IDs aller VLANs, die das Gerät kreuzen. Überprüfen Sie beispielsweise diese VLAN-IDs, indem Sie den Vorgangsmodus für die übergreifende Struktur in jedem VLAN überprüfen, um festzustellen, ob sie einen zugeordneten Port überschreiten. |
| Gateway für | Die VLANs, für die das Gerät als Standardgateway fungiert. |
| Netzwerkdetails | Ip-Adresse, Subnetz, D-GW und DNS-Host des Geräts |
| Protokolle | Auf dem Gerät verwendete Protokolle. Vergleichen Sie Ihre Protokolle mit der Liste der standardmäßig unterstützten Protokolle von Defender für IoT. |
| Unterstützte Datenverkehrsspiegelung | Definieren Sie, welche Art von Datenverkehrsspiegelung von jedem Gerät unterstützt wird, z. B. SPAN, RSPAN, ERSPAN oder TAP. Verwenden Sie diese Informationen, um Methoden zur Datenverkehrsspiegelung für Ihre OT-Sensoren auszuwählen. |
| Von Partnerdiensten verwaltet? | Beschreiben Sie, ob ein Partnerdienst wie Siemens, Rockwell oder Emerson das Gerät verwaltet. Beschreiben Sie ggf. die Verwaltungsrichtlinie. |
| Serielle Verbindungen | Wenn das Gerät über eine serielle Verbindung kommuniziert, geben Sie das serielle Kommunikationsprotokoll an. |
Berechnen von Geräten in Ihrem Netzwerk
Berechnen Sie die Anzahl der Geräte an jedem Standort, damit Sie Defender für IoT-Lizenzen in der richtigen Größe erwerben können.
So berechnen Sie die Anzahl der Geräte an jedem Standort:
Sammeln Sie die Gesamtzahl der Geräte auf Ihrer Website, und fügen Sie sie zusammen hinzu.
Entfernen Sie eines der folgenden Geräte, die von Defender für IoT nicht als einzelne Geräte identifiziert werden:
- Öffentliche Internet-IP-Adressen
- Gruppen mit mehrfacher Umwandlung
- Broadcastgruppen
- Inaktive Geräte: Geräte, bei denen seit mehr als 60 Tagen keine Netzwerkaktivität erkannt wurde
Weitere Informationen finden Sie unter Von Defender für IoT überwachte Geräte.
Planen einer Bereitstellung mit mehreren Sensoren
Wenn Sie die Bereitstellung mehrerer Netzwerksensoren planen, sollten Sie bei der Entscheidung, wo Ihre Sensoren platziert werden sollen, auch die folgenden Empfehlungen berücksichtigen:
Physisch verbundene Switches: Achten Sie bei Switches, die über ein Ethernet-Kabel physisch verbunden sind, darauf, mindestens einen Sensor pro 80 Meter Abstand zwischen Switches zu planen.
Mehrere Netzwerke ohne physische Konnektivität: Wenn Sie über mehrere Netzwerke ohne physische Konnektivität verfügen, planen Sie mindestens einen Sensor für jedes einzelne Netzwerk ein.
Switches mit RSPAN-Unterstützung: Wenn Sie über Switches verfügen, die die RSPAN-Datenverkehrsspiegelung verwenden können, planen Sie mindestens einen Sensor für acht Switches mit einem lokalen SPAN-Port ein. Planen Sie, den Sensor nah genug an den Schaltern zu platzieren, damit Sie sie per Kabel verbinden können.
Erstellen einer Liste von Subnetzen
Erstellen Sie eine aggregierte Liste von Subnetzen, die Sie überwachen möchten, basierend auf der Liste der Geräte, die Sie im gesamten Netzwerk überwachen möchten.
Nachdem Sie Ihre Sensoren bereitgestellt haben, verwenden Sie diese Liste, um zu überprüfen, ob die aufgelisteten Subnetze automatisch erkannt werden, und aktualisieren die Liste bei Bedarf manuell.
Auflisten Ihrer geplanten OT-Sensoren
Nachdem Sie den Datenverkehr verstanden haben, den Sie an Defender für IoT Spiegel möchten, erstellen Sie eine vollständige Liste aller OT-Sensoren, die Sie integrieren werden.
Listen Sie für jeden Sensor Folgendes auf:
Ob der Sensor ein mit der Cloud verbundener oder lokal verwalteter Sensor ist
Für mit der Cloud verbundene Sensoren die Cloudverbindungsmethode , die Sie verwenden.
Unabhängig davon, ob Sie physische oder virtuelle Geräte für Ihre Sensoren verwenden, berücksichtigen Sie die Bandbreite, die Sie für QoS (Quality of Service) benötigen. Weitere Informationen finden Sie unter Welche Appliances benötige ich?
Der Standort und die Zone , die Sie jedem Sensor zuweisen.
Daten, die von Sensoren am gleichen Standort oder derselben Zone erfasst werden, können zusammen angezeigt und aus anderen Daten in Ihrem System heraus segmentiert werden. Wenn Es Sensordaten gibt, die Sie am gleichen Standort oder derselben Zone gruppiert anzeigen möchten, stellen Sie sicher, dass Sie Sensorstandorte und -zonen entsprechend zuweisen.
Die Methode zur Datenverkehrsspiegelung , die Sie für jeden Sensor verwenden
Wenn Ihr Netzwerk mit der Zeit erweitert wird, können Sie weitere Sensoren integrieren oder Ihre vorhandenen Sensordefinitionen ändern.
Wichtig
Es wird empfohlen, die Merkmale der Geräte zu überprüfen, die von den einzelnen Sensoren erkannt werden sollen, z. B. IP- und MAC-Adressen. Geräte, die in derselben Zone mit demselben logischen Satz von Gerätemerkmalen erkannt werden, werden automatisch konsolidiert und als dasselbe Gerät identifiziert.
Wenn Sie beispielsweise mit mehreren Netzwerken und wiederkehrenden IP-Adressen arbeiten, stellen Sie sicher, dass Sie jeden Sensor mit einer anderen Zone planen, damit Geräte ordnungsgemäß als separate und eindeutige Geräte identifiziert werden.
Weitere Informationen finden Sie unter Trennen von Zonen für wiederkehrende IP-Adressbereiche.
Vorbereiten lokaler Appliances
Wenn Sie virtuelle Appliances verwenden, stellen Sie sicher, dass sie die entsprechenden Ressourcen konfiguriert haben. Weitere Informationen finden Sie unter OT-Überwachung mit virtuellen Geräten.
Wenn Sie physische Appliances verwenden, stellen Sie sicher, dass Sie über die erforderliche Hardware verfügen. Sie können vorkonfigurierte Appliances kaufen oder die Installation von Software auf Ihren eigenen Appliances planen.
So kaufen Sie vorkonfigurierte Appliances:
- Wechseln Sie im Azure-Portal zu Defender für IoT.
- Wählen Sie Erste Schritte>Sensor>vorkonfiguriert kaufen Anwendung>Kontakt aus.
Über den Link wird eine E-Mail an hardware.sales@arrow.commit einer Vorlagenanforderung für Defender für IoT-Appliances geöffnet.
Weitere Informationen finden Sie unter Welche Appliances benötige ich?
Vorbereiten zusätzlicher Hardware
Wenn Sie physische Appliances verwenden, stellen Sie sicher, dass für jede physische Anwendung die folgende zusätzliche Hardware verfügbar ist:
- Monitor und Tastatur
- Rack-Platz
- Netzstrom
- Lan-Kabel zum Verbinden des Verwaltungsports des Anwendung mit dem Netzwerkswitch
- LAN-Kabel zum Verbinden Spiegel (SPAN)-Ports und Netzwerk-Terminal-Access Points (TAPs) mit Ihrem Anwendung
Vorbereiten Anwendung Netzwerkdetails
Wenn Sie Ihre Appliances bereit haben, erstellen Sie eine Liste der folgenden Details für jede Anwendung:
- IP-Adresse
- Subnetz
- Standardgateway
- Hostname
- DNS-Server (optional) mit der IP-Adresse und dem Hostnamen des DNS-Servers
Vorbereiten einer Bereitstellungsarbeitsstation
Bereiten Sie eine Arbeitsstation vor, auf der Sie Defender für IoT-Bereitstellungsaktivitäten ausführen können. Die Arbeitsstation kann ein Windows- oder Mac-Computer mit den folgenden Anforderungen sein:
Terminalsoftware, z. B. PuTTY
Ein unterstützter Browser zum Herstellen einer Verbindung mit Sensorkonsolen und dem Azure-Portal. Weitere Informationen finden Sie unter Empfohlene Browser für die Azure-Portal.
Erforderliche Firewallregeln konfiguriert, wobei der Zugriff für erforderliche Schnittstellen geöffnet ist. Weitere Informationen finden Sie unter Netzwerkanforderungen.
Vorbereiten von von einer Zertifizierungsstelle signierten Zertifikaten
Es wird empfohlen, von einer Zertifizierungsstelle signierte Zertifikate in Produktionsbereitstellungen zu verwenden.
Stellen Sie sicher, dass Sie die SSL/TLS-Zertifikatanforderungen für lokale Ressourcen kennen. Wenn Sie während der ersten Bereitstellung ein von der Zertifizierungsstelle signiertes Zertifikat bereitstellen möchten, stellen Sie sicher, dass das Zertifikat vorbereitet ist.
Wenn Sie sich für die Bereitstellung mit dem integrierten selbstsignierten Zertifikat entscheiden, empfiehlt es sich, später ein von der Zertifizierungsstelle signiertes Zertifikat in Produktionsumgebungen bereitzustellen.
Weitere Informationen finden Sie unter: