Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo es uno de una serie de artículos que describen la ruta de implementación para la supervisión de OT con Microsoft Defender para IoT.
Para supervisar completamente la red, necesitará visibilidad en todos los dispositivos de punto de conexión de la red. Microsoft Defender para IoT refleja el tráfico que se mueve a través de los dispositivos de red a los sensores de red de Defender para IoT. A continuación, los sensores de red de OT analizan los datos de tráfico, desencadenan alertas, generan recomendaciones y envían datos a Defender para IoT en Azure.
Este artículo le ayuda a planear dónde colocar los sensores OT en la red para que el tráfico que desea supervisar se refleje según sea necesario y cómo preparar el sitio para la implementación de sensores.
Requisitos previos
Antes de planear la supervisión de OT para un sitio específico, asegúrese de que ha planeado el sistema de supervisión general de OT.
Los equipos de arquitectura realizan este paso.
Más información sobre la arquitectura de supervisión de Defender para IoT
Use los artículos siguientes para obtener más información sobre los componentes y la arquitectura de la red y del sistema de Defender para IoT:
Creación de un diagrama de red
La red de cada organización tendrá su propia complejidad. Cree un diagrama de mapa de red que muestre exhaustivamente todos los dispositivos de la red para que pueda identificar el tráfico que desea supervisar.
Al crear el diagrama de red, use las siguientes preguntas para identificar y tomar notas sobre los diferentes elementos de la red y cómo se comunican.
Preguntas generales
¿Cuáles son sus objetivos generales de supervisión?
¿Tiene redes redundantes y hay áreas del mapa de red que no necesitan supervisión y que puede ignorar?
¿Dónde están los riesgos operativos y de seguridad de la red?
Preguntas sobre la red
¿Qué protocolos están activos en redes supervisadas?
¿Las VLAN están configuradas en el diseño de red?
¿Hay enrutamiento en las redes supervisadas?
¿Hay alguna comunicación serie en la red?
¿Dónde están instalados los firewalls en las redes que desea supervisar?
¿Hay tráfico entre una red de control industrial (ICS) y una red empresarial y empresarial? Si es así, ¿se supervisa este tráfico?
¿Cuál es la distancia física entre los conmutadores y el firewall de empresa?
¿Se realiza el mantenimiento del sistema OT con dispositivos fijos o transitorios?
Cambiar preguntas
Si un conmutador no está administrado, ¿puede supervisar el tráfico desde un conmutador de nivel superior? Por ejemplo, si la arquitectura de OT usa una topología de anillo, solo un conmutador del anillo necesita supervisión.
¿Se pueden reemplazar los conmutadores no administrados por conmutadores administrados o es una opción el uso de TAP de red?
¿Puede supervisar la VLAN del conmutador o es la VLAN visible en otro conmutador que puede supervisar?
Si conecta un sensor de red al conmutador, ¿reflejará la comunicación entre el HMI y los PLC?
Si desea conectar un sensor de red al conmutador, ¿hay espacio físico en bastidor disponible en el gabinete del conmutador?
¿Cuál es el costo o beneficio de la supervisión de cada conmutador?
Identificar los dispositivos y subredes que desea supervisar
El tráfico que desea supervisar y reflejar en los sensores de red de Defender para IoT es el tráfico más interesante para usted desde una perspectiva operativa o de seguridad.
Revise el diagrama de red de OT junto con los ingenieros de sitio para definir dónde encontrará el tráfico más relevante para la supervisión. Se recomienda reunirse con los equipos operativos y de red para aclarar las expectativas.
Junto con su equipo, cree una tabla de dispositivos que desee supervisar con los detalles siguientes:
| Especificación | Descripción |
|---|---|
| Proveedor | Proveedor de fabricación del dispositivo |
| Nombre de dispositivo | Un nombre significativo para el uso y la referencia en curso |
| Tipo | El tipo de dispositivo, como switch,router, firewall, punto de acceso, etc. |
| Nivel de red | Los dispositivos que querrá supervisar son dispositivos L2 o L3: - Los dispositivos L2 son dispositivos dentro del segmento IP - Los dispositivos L3 son dispositivos fuera del segmento IP Los dispositivos que admiten ambas capas se pueden considerar dispositivos L3. |
| Cruce de VLAN | Los identificadores de cualquier VLAN que cruzan el dispositivo. Por ejemplo, compruebe estos identificadores de VLAN comprobando el modo de operación del árbol de expansión en cada VLAN para ver si cruzan un puerto asociado. |
| Puerta de enlace para | Las VLAN para las que el dispositivo actúa como puerta de enlace predeterminada. |
| Detalles de red | Dirección IP, subred, D-GW y host DNS del dispositivo |
| Protocolos | Protocolos usados en el dispositivo. Compare los protocolos con la lista de protocolos de Defender para IoT compatibles de fábrica. |
| Creación de reflejo del tráfico compatible | Defina qué tipo de creación de reflejo del tráfico es compatible con cada dispositivo, como SPAN, RSPAN, ERSPAN o TAP. Use esta información para elegir métodos de creación de reflejo del tráfico para los sensores ot. |
| ¿Administrado por los servicios de asociados? | Describir si un servicio asociado, como Siemens, Rockwell o Emerson, administra el dispositivo. Si procede, describa la directiva de administración. |
| Conexiones serie | Si el dispositivo se comunica a través de una conexión serie, especifique el protocolo de comunicación serie. |
Cálculo de dispositivos en la red
Calcule el número de dispositivos de cada sitio para que pueda comprar licencias de Defender para IoT con el tamaño correcto.
Para calcular el número de dispositivos en cada sitio::
Recopile el número total de dispositivos en su sitio y agréguelos juntos.
Quite cualquiera de los siguientes dispositivos, que Defender para IoT no identifica como dispositivos individuales:
- Direcciones IP públicas de Internet
- Grupos de conversión múltiple
- Grupos de difusión
- Dispositivos inactivos: dispositivos que no tienen ninguna actividad de red detectada durante más de 60 días
Para obtener más información, consulte Dispositivos supervisados por Defender para IoT.
Planeamiento de una implementación de varios sensores
Si planea implementar varios sensores de red, tenga en cuenta también las siguientes recomendaciones al decidir dónde colocar los sensores:
Conmutadores conectados físicamente: para los conmutadores que están conectados físicamente por cable Ethernet, asegúrese de planear al menos un sensor por cada 80 metros de distancia entre los conmutadores.
Varias redes sin conectividad física: si tiene varias redes sin ninguna conectividad física entre ellas, planee al menos un sensor para cada red individual.
Conmutadores con compatibilidad con RSPAN: si tiene conmutadores que pueden usar la creación de reflejo del tráfico RSPAN, planee al menos un sensor por cada ocho conmutadores, con un puerto SPAN local. Planee colocar el sensor lo suficientemente cerca de los interruptores para que pueda conectarlos por cable.
Creación de una lista de subredes
Cree una lista agregada de subredes que quiera supervisar, en función de la lista de dispositivos que desea supervisar en toda la red.
Después de implementar los sensores, usará esta lista para comprobar que las subredes enumeradas se detectan automáticamente y actualizar manualmente la lista según sea necesario.
Enumeración de los sensores de OT planeados
Después de comprender el tráfico que desea reflejar en Defender para IoT, cree una lista completa de todos los sensores ot que va a incorporar.
Para cada sensor, enumera:
Si el sensor será un sensor conectado a la nube o administrado localmente
En el caso de los sensores conectados a la nube, el método de conexión en la nube que va a usar.
Tanto si va a usar dispositivos físicos como virtuales para los sensores, teniendo en cuenta el ancho de banda que necesitará para la calidad de servicio (QoS). Para obtener más información, consulte ¿Qué dispositivos necesito?
El sitio y la zona que va a asignar a cada sensor.
Los datos ingeridos de sensores en el mismo sitio o zona se pueden ver juntos, segmentados desde otros datos del sistema. Si hay datos del sensor que desea ver agrupados en el mismo sitio o zona, asegúrese de asignar sitios y zonas del sensor en consecuencia.
El método de creación de reflejo del tráfico que usará para cada sensor
A medida que la red se expande a tiempo, puede incorporar más sensores o modificar las definiciones de sensor existentes.
Importante
Se recomienda comprobar las características de los dispositivos que espera que detecte cada sensor, como direcciones IP y MAC. Los dispositivos que se detectan en la misma zona con el mismo conjunto lógico de características de dispositivo se consolidan automáticamente y se identifican como el mismo dispositivo.
Por ejemplo, si trabaja con varias redes y direcciones IP periódicas, asegúrese de planear cada sensor con una zona diferente para que los dispositivos se identifiquen correctamente como dispositivos independientes y únicos.
Para obtener más información, consulte Separación de zonas para intervalos IP periódicos.
Preparación de dispositivos locales
Si usa aplicaciones virtuales, asegúrese de que tiene configurados los recursos pertinentes. Para obtener más información, consulte Supervisión de OT con aplicaciones virtuales.
Si usa dispositivos físicos, asegúrese de que tiene el hardware necesario. Puede comprar dispositivos preconfigurados o planear la instalación de software en sus propios dispositivos.
Para comprar dispositivos preconfigurados:
- Vaya a Defender para IoT en el Azure Portal.
- Seleccione Introducción>Sensor>Comprar dispositivo> preconfiguradoContacto.
El vínculo abre un correo electrónico a hardware.sales@arrow.comcon una solicitud de plantilla para aplicaciones de Defender para IoT.
Para obtener más información, consulte ¿Qué dispositivos necesito?
Preparación del hardware auxiliar
Si usa dispositivos físicos, asegúrese de que tiene el siguiente hardware adicional disponible para cada dispositivo físico:
- Un monitor y un teclado
- Espacio en bastidor
- Alimentación de CA
- Un cable LAN para conectar el puerto de administración del dispositivo al conmutador de red
- Cables LAN para conectar puertos reflejados (SPAN) y puntos de acceso de terminal de red (TAP) al dispositivo
Preparación de los detalles de la red del dispositivo
Cuando tenga los dispositivos listos, haga una lista de los siguientes detalles para cada dispositivo:
- Dirección IP
- Subred
- Puerta de enlace predeterminada
- Nombre de host
- Servidor DNS (opcional), con la dirección IP del servidor DNS y el nombre de host
Preparación de una estación de trabajo de implementación
Prepare una estación de trabajo desde donde pueda ejecutar actividades de implementación de Defender para IoT. La estación de trabajo puede ser una máquina Windows o Mac, con los siguientes requisitos:
Software de terminal, como PuTTY
Un explorador compatible para conectarse a las consolas del sensor y el Azure Portal. Para obtener más información, consulte exploradores recomendados para la Azure Portal.
Reglas de firewall necesarias configuradas, con acceso abierto para las interfaces necesarias. Para obtener más información, consulte Requisitos de red.
Preparación de certificados firmados por entidad de certificación
Se recomienda usar certificados firmados por ca en implementaciones de producción.
Asegúrese de comprender los requisitos de certificado SSL/TLS para los recursos locales. Si desea implementar un certificado firmado por la ENTIDAD de certificación durante la implementación inicial, asegúrese de tener preparado el certificado.
Si decide realizar la implementación con el certificado autofirmado integrado, se recomienda implementar un certificado firmado por la ENTIDAD de certificación en entornos de producción más adelante.
Para más información, vea: