Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die allgemeinen Schritte beschrieben, die zum Bereitstellen von Defender für IoT für die OT-Überwachung erforderlich sind. Weitere Informationen zu den einzelnen Bereitstellungsschritten finden Sie in den folgenden Abschnitten, einschließlich relevanter Querverweise für weitere Details.
Die folgende Abbildung zeigt die Phasen in einem End-to-End-OT-Überwachungsbereitstellungspfad zusammen mit dem für die einzelnen Phasen zuständigen Team.
Teams und Stellenbezeichnungen unterscheiden sich zwar in verschiedenen Organisationen, aber alle Defender für IoT-Bereitstellungen erfordern die Kommunikation zwischen den Personen, die für die verschiedenen Bereiche Ihres Netzwerks und Ihrer Infrastruktur verantwortlich sind.
Tipp
Jeder Schritt im Prozess kann einen anderen Zeitraum in Anspruch nehmen. Beispielsweise kann das Herunterladen einer OT-Sensoraktivierungsdatei fünf Minuten dauern, während das Konfigurieren der Datenverkehrsüberwachung je nach den Prozessen Ihrer organization Tage oder sogar Wochen dauern kann.
Es wird empfohlen, den Prozess für jeden Schritt zu starten, ohne darauf zu warten, dass er abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren. Stellen Sie sicher, dass Sie alle schritte, die noch ausgeführt werden, weiter verfolgen, um sicherzustellen, dass sie abgeschlossen sind.
Voraussetzungen
Bevor Sie mit der Planung Ihrer OT-Überwachungsbereitstellung beginnen, stellen Sie sicher, dass Sie über ein Azure-Abonnement und einen OT-Plan verfügen, der Defender für IoT integriert hat.
Weitere Informationen finden Sie unter Starten einer Microsoft Defender für IoT-Testversion.
Planung und Vorbereitung
Die folgende Abbildung zeigt die Schritte, die in der Planung und Vorbereitungsphase enthalten sind. Planung und Vorbereitungsschritte werden von Ihren Architekturteams erledigt.
Planen Ihres OT-Überwachungssystems
Planen Sie grundlegende Details zu Ihrem Überwachungssystem, z. B.:
Standorte und Zonen: Entscheiden Sie, wie Sie das zu überwachende Netzwerk mithilfe von Standorten und Zonen segmentieren, die Standorte auf der ganzen Welt darstellen können.
Sensorverwaltung: Entscheiden Sie, ob Sie mit der Cloud verbundene oder air-gapped, lokal verwaltete OT-Sensoren oder ein Hybridsystem aus beiden Verwenden. Wenn Sie mit der Cloud verbundene Sensoren verwenden, wählen Sie eine Verbindungsmethode aus, z. B. eine direkte Verbindung oder über einen Proxy.
Benutzer und Rollen: Liste der Benutzertypen, die Sie für jeden Sensor benötigen, und der Rollen, die sie für jede Aktivität benötigen.
Weitere Informationen finden Sie unter Planen Ihres OT-Überwachungssystems mit Defender für IoT.
Vorbereiten einer OT-Standortbereitstellung
Definieren Sie zusätzliche Details für jeden standort, der in Ihrem System geplant ist, einschließlich:
Ein Netzwerkdiagramm. Identifizieren Sie alle Geräte, die Sie überwachen möchten, und erstellen Sie eine klar definierte Liste von Subnetzen. Nachdem Sie Ihre Sensoren bereitgestellt haben, verwenden Sie diese Liste, um zu überprüfen, ob alle Subnetze, die Sie überwachen möchten, von Defender für IoT abgedeckt sind.
Eine Liste der Sensoren: Verwenden Sie die Liste des Datenverkehrs, der Subnetze und der Geräte, die Sie überwachen möchten, um eine Liste der OT-Sensoren zu erstellen, die Sie benötigen und wo sie in Ihrem Netzwerk platziert werden.
Methoden für die Datenverkehrsspiegelung: Wählen Sie eine Methode für die Datenverkehrsspiegelung für jeden OT-Sensor aus, z. B. einen SPAN-Port oder tap.
Appliances: Bereiten Sie eine Bereitstellungsarbeitsstation und alle Hardware- oder VM-Appliances vor, die Sie für jeden der von Ihnen geplanten OT-Sensoren verwenden. Wenn Sie vorkonfigurierte Appliances verwenden, stellen Sie sicher, dass Sie sie bestellen.
Weitere Informationen finden Sie unter Vorbereiten einer OT-Standortbereitstellung.
Integrieren von Sensoren in Azure
Die folgende Abbildung zeigt den Schritt, der in der Phase des Onboardings von Sensoren enthalten ist. Sensoren werden von Ihren Bereitstellungsteams in Azure integriert.
Onboarding von OT-Sensoren auf dem Azure-Portal
Integrieren Sie so viele OT-Sensoren in Defender für IoT, wie Sie geplant haben. Stellen Sie sicher, dass Sie die aktivierungsdateien herunterladen, die für jeden OT-Sensor bereitgestellt werden, und speichern Sie sie an einem Speicherort, auf den von Ihren Sensorcomputern aus zugegriffen werden kann.
Weitere Informationen finden Sie unter Onboarding von OT-Sensoren in Defender für IoT.
Einrichtung des Standortnetzwerks
Die folgende Abbildung zeigt die Schritte, die in der Einrichtungsphrase des Standortnetzwerks enthalten sind. Die Schritte des Standortnetzwerks werden von Ihren Konnektivitätsteams durchgeführt.
Konfigurieren der Datenverkehrsspiegelung in Ihrem Netzwerk
Verwenden Sie die pläne, die Sie zuvor erstellt haben, um die Datenverkehrsspiegelung an den Stellen in Ihrem Netzwerk zu konfigurieren, an denen Sie OT-Sensoren bereitstellen und Datenverkehr in Defender für IoT spiegeln.
Eine kurze Zusammenfassung der Informationen, die erforderlich sind, um den besten Standort für Ihren OT-Sensor auszuwählen und in Ihrem Netzwerk bereitzustellen, finden Sie in der Übersicht über die Einrichtung der Datenverkehrsspiegelung.
Weitere Informationen finden Sie unter:
- Konfigurieren der Spiegelung mit einem SWITCH-SPAN-Port
- Konfigurieren der Datenverkehrsspiegelung mit einem REMOTE SPAN-Port (RSPAN)
- Konfigurieren der aktiven oder passiven Aggregation (TAP)
- Aktualisieren der Überwachungsschnittstellen eines Sensors (Konfigurieren von ERSPAN)
- Konfigurieren der Datenverkehrsspiegelung mit einem ESXi-vSwitch
- Konfigurieren der Datenverkehrsspiegelung mit einem Hyper-V-vSwitch
Bereitstellen für die Cloudverwaltung
Konfigurieren Sie Firewallregeln, um sicherzustellen, dass Ihre OT-Sensorappliances auf Defender für IoT in der Azure Cloud zugreifen können. Wenn Sie eine Verbindung über einen Proxy herstellen möchten, konfigurieren Sie diese Einstellungen erst nach der Installation Des Sensors.
Überspringen Sie diesen Schritt für alle OT-Sensoren, die mit Air gapped und lokal direkt in der Sensorkonsole verwaltet werden sollen.
Weitere Informationen finden Sie unter Bereitstellen von OT-Sensoren für die Cloudverwaltung.
Bereitstellen Ihrer OT-Sensoren
Die folgende Abbildung zeigt die Schritte, die in der Bereitstellungsphase des Sensors enthalten sind. OT-Sensoren werden von Ihrem Bereitstellungsteam bereitgestellt und aktiviert.
Installieren Ihrer OT-Sensoren
Wenn Sie Defender für IoT-Software auf Ihren eigenen Appliances installieren, laden Sie die Installationssoftware aus dem Azure-Portal herunter, und installieren Sie sie auf Ihrem OT-Sensor Anwendung.
Führen Sie nach der Installation Ihrer OT-Sensorsoftware mehrere Überprüfungen aus, um die Installation und Konfiguration zu überprüfen.
Weitere Informationen finden Sie unter:
- Installieren von OT-Überwachungssoftware auf OT-Sensoren
- Überprüfen der Softwareinstallation eines OT-Sensors
Überspringen Sie diese Schritte, wenn Sie vorkonfigurierte Appliances erwerben.
Aktivieren Ihrer OT-Sensoren und ersteinrichtung
Verwenden Sie einen Assistenten für die ersteinrichtung, um Netzwerkeinstellungen zu bestätigen, den Sensor zu aktivieren und SSH/TLS-Zertifikate anzuwenden.
Weitere Informationen finden Sie unter Konfigurieren und Aktivieren des OT-Sensors.
Konfigurieren von Proxyverbindungen
Wenn Sie sich entschieden haben, einen Proxy zu verwenden, um Ihre Sensoren mit der Cloud zu verbinden, richten Sie Ihren Proxy ein, und konfigurieren Sie Einstellungen auf Ihrem Sensor. Weitere Informationen finden Sie unter Konfigurieren von Proxyeinstellungen auf einem OT-Sensor.
Überspringen Sie diesen Schritt in den folgenden Situationen:
- Für jeden OT-Sensor, bei dem Sie eine direkte Verbindung mit Azure herstellen, ohne Proxy
- Für jeden Sensor, der mit Air gapped und lokal direkt in der Sensorkonsole verwaltet werden soll.
Konfigurieren optionaler Einstellungen
Es wird empfohlen, eine Active Directory-Verbindung für die Verwaltung lokaler Benutzer auf Ihrem OT-Sensor zu konfigurieren und die Überwachung der Sensorintegrität über SNMP einzurichten.
Wenn Sie diese Einstellungen während der Bereitstellung nicht konfigurieren, können Sie sie später auch zurückgeben und konfigurieren.
Weitere Informationen finden Sie unter:
- Einrichten der SNMP MIB-Überwachung auf einem OT-Sensor
- Konfigurieren einer Active Directory-Verbindung
Kalibrieren und Optimieren der OT-Überwachung
Die folgende Abbildung zeigt die Schritte zum Kalibrieren und Optimieren der OT-Überwachung mit Ihrem neu bereitgestellten Sensor. Kalibrierungs- und Feinabstimmungsaktivitäten werden von Ihrem Bereitstellungsteam durchgeführt.
Steuern der OT-Überwachung auf Ihrem Sensor
Standardmäßig erkennt Ihr OT-Sensor möglicherweise nicht genau die Netzwerke, die Sie überwachen möchten, oder identifizieren sie nicht genau so, wie sie angezeigt werden sollen. Verwenden Sie die zuvor erstellten Listen , um die Subnetze zu überprüfen und manuell zu konfigurieren, Port- und VLAN-Namen anzupassen und DHCP-Adressbereiche nach Bedarf zu konfigurieren.
Weitere Informationen finden Sie unter Steuern des von Microsoft Defender für IoT überwachten OT-Datenverkehrs.
Überprüfen und Aktualisieren Ihres erkannten Gerätebestands
Nachdem Ihre Geräte vollständig erkannt wurden, überprüfen Sie den Gerätebestand, und ändern Sie die Gerätedetails nach Bedarf. Sie können z. B. Gerätetypen oder andere zu ändernde Eigenschaften identifizieren und vieles mehr.
Weitere Informationen finden Sie unter Überprüfen und Aktualisieren Ihres erkannten Gerätebestands.
Informationen zu OT-Warnungen zum Erstellen einer Netzwerkbaseline
Die von Ihrem OT-Sensor ausgelösten Warnungen können mehrere Warnungen enthalten, die Sie regelmäßig ignorieren sollten, oder Learn als autorisierten Datenverkehr.
Überprüfen Sie alle Warnungen in Ihrem System als anfängliche Selektierung. In diesem Schritt wird eine Baseline für den Netzwerkdatenverkehr erstellt, mit der Defender für IoT weiterarbeiten kann.
Weitere Informationen finden Sie unter Erstellen einer gelernten Baseline von OT-Warnungen.
Ende des Baselinelernens
Ihre OT-Sensoren bleiben im Lernmodus , solange neuer Datenverkehr erkannt wird und Sie warnungen nicht behandelt haben.
Wenn das Grundlegende Lernen endet, ist der Bereitstellungsprozess für die OT-Überwachung abgeschlossen, und Sie fahren im Betriebsmodus für die laufende Überwachung fort. Im Betriebsmodus löst jede Aktivität, die von Ihren Baselinedaten abweicht, eine Warnung aus.
Tipp
Deaktivieren Sie den Lernmodus manuell , wenn die aktuellen Warnungen in Defender für IoT Ihren Netzwerkdatenverkehr genau widerspiegeln.
Verbinden von Defender für IoT-Daten mit Ihrem SIEM
Nachdem Defender für IoT bereitgestellt wurde, senden Sie Sicherheitswarnungen, und verwalten Sie OT/IoT-Vorfälle, indem Sie Defender für IoT in Ihre SIEM-Plattform (Security Information and Event Management) und vorhandene SOC-Workflows und -Tools integrieren. Integrieren Sie Defender für IoT-Warnungen in Die SIEM-Organisation, indem Sie Microsoft Sentinel integrieren und die sofort einsatzbereite Lösung Microsoft Defender für IoT nutzen oder Weiterleitungsregeln für andere SIEM-Systeme erstellen. Defender für IoT ist standardmäßig in Microsoft Sentinel sowie in eine breite Palette von SIEM-Systemen wie Splunk, IBM QRadar, LogRhythm, Fortinet und mehr integriert.
Eine kurze Zusammenfassung der Informationen, die erforderlich sind, um den besten Standort für Ihren OT-Sensor auszuwählen und in Ihrem Netzwerk bereitzustellen, finden Sie in der Übersicht über die Einrichtung der Datenverkehrsspiegelung.
Weitere Informationen finden Sie unter:
- OT-Bedrohungsüberwachung in Unternehmens-SOCs
- Tutorial: Verbinden von Microsoft Defender für IoT mit Microsoft Sentinel
- Verbinden von lokalen OT-Netzwerksensoren mit Microsoft Sentinel
- Integrationen in Microsoft und Partnerdienste
- Stream Von Defender für IoT-Cloudwarnungen an partner-SIEM
Nach der Integration von Defender für IoT-Warnungen in ein SIEM empfehlen wir die folgenden schritte, um OT/IoT-Warnungen zu operationalisieren und vollständig in Ihre vorhandenen SOC-Workflows und -Tools zu integrieren:
Identifizieren und definieren Sie relevante IoT/OT-Sicherheitsbedrohungen und SOC-Vorfälle, die Sie basierend auf Ihren spezifischen OT-Anforderungen und -Umgebungen überwachen möchten.
Erstellen Sie Erkennungsregeln und Schweregrade im SIEM. Nur relevante Vorfälle werden ausgelöst, wodurch unnötiges Rauschen reduziert wird. Beispielsweise würden Sie SPS-Codeänderungen, die von nicht autorisierten Geräten oder außerhalb der Geschäftszeiten vorgenommen werden, als Incident mit hohem Schweregrad definieren, da diese spezifische Warnung sehr genau ist.
In Microsoft Sentinel enthält die Lösung Microsoft Defender für IoT eine Reihe von sofort einsatzbereiten Erkennungsregeln, die speziell für Defender für IoT-Daten erstellt wurden und Ihnen helfen, die in Sentinel erstellten Vorfälle zu optimieren.
Definieren Sie den geeigneten Workflow für die Entschärfung, und erstellen Sie playbooks für die automatisierte Untersuchung für jeden Anwendungsfall. In Microsoft Sentinel enthält die Lösung Microsoft Defender für IoT sofort einsatzbereite Playbooks für die automatisierte Reaktion auf Defender für IoT-Warnungen.
Nächste Schritte
Nachdem Sie sich mit den Schritten zur Bereitstellung des OT-Überwachungssystems vertraut machen, können Sie loslegen!