Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los pasos de alto nivel necesarios para implementar la supervisión de Defender para IoT para OT. Obtenga más información sobre cada paso de implementación en las secciones siguientes, incluidas las referencias cruzadas pertinentes para obtener más detalles.
En la imagen siguiente se muestran las fases de una ruta de implementación de supervisión de OT de un extremo a otro, junto con el equipo responsable de cada fase.
Aunque los equipos y los títulos de trabajo difieren entre distintas organizaciones, todas las implementaciones de Defender para IoT requieren comunicación entre los responsables de las distintas áreas de la red y la infraestructura.
Sugerencia
Cada paso del proceso puede tardar una cantidad de tiempo diferente. Por ejemplo, la descarga de un archivo de activación del sensor OT puede tardar cinco minutos, mientras que la configuración de la supervisión del tráfico puede tardar días o incluso semanas, en función de los procesos de su organización.
Se recomienda iniciar el proceso para cada paso sin esperar a que se complete antes de pasar al paso siguiente. Asegúrese de seguir los pasos que todavía están en proceso para garantizar su finalización.
Requisitos previos
Antes de empezar a planear la implementación de la supervisión de OT, asegúrese de que tiene una suscripción Azure y un plan OT incorporado a Defender para IoT.
Para obtener más información, consulte Inicio de una prueba de Microsoft Defender para IoT.
Planificación y preparación
En la imagen siguiente se muestran los pasos incluidos en la fase de planeamiento y preparación. Los equipos de arquitectura controlan los pasos de planeamiento y preparación.
Planeamiento del sistema de supervisión de OT
Planee detalles básicos sobre el sistema de supervisión, como:
Sitios y zonas: decida cómo segmentará la red que desea supervisar mediante sitios y zonas que pueden representar ubicaciones de todo el mundo.
Administración de sensores: decida si va a usar sensores OT conectados a la nube o aireados, administrados localmente o un sistema híbrido de ambos. Si usa sensores conectados a la nube, seleccione un método de conexión, como conectarse directamente o a través de un proxy.
Usuarios y roles: lista de los tipos de usuarios que necesitará en cada sensor y los roles que necesitarán para cada actividad.
Para obtener más información, consulte Planeamiento del sistema de supervisión de OT con Defender para IoT.
Preparación para una implementación de sitio de OT
Defina detalles adicionales para cada sitio planeado en el sistema, entre los que se incluyen:
Diagrama de red. Identifique todos los dispositivos que desea supervisar y cree una lista bien definida de subredes. Después de implementar los sensores, use esta lista para comprobar que Todas las subredes que desea supervisar están cubiertas por Defender para IoT.
Una lista de sensores: use la lista de tráfico, subredes y dispositivos que desea supervisar para crear una lista de los sensores OT que necesitará y dónde se colocarán en la red.
Métodos de creación de reflejo del tráfico: elija un método de creación de reflejo del tráfico para cada sensor OT, como un puerto SPAN o TAP.
Dispositivos: prepare una estación de trabajo de implementación y cualquier hardware o aplicación de máquina virtual que use para cada uno de los sensores de OT que haya planeado. Si usa dispositivos preconfigurados, asegúrese de ordenarlos.
Para obtener más información, consulte Preparación de una implementación de sitio de OT.
Incorporación de sensores para Azure
En la imagen siguiente se muestra el paso incluido en la fase de sensores incorporados. Los equipos de implementación incorporan sensores a Azure.
Incorporación de sensores OT en el Azure Portal
Incorpore tantos sensores ot a Defender para IoT como haya planeado. Asegúrese de descargar los archivos de activación proporcionados para cada sensor OT y guárdelos en una ubicación a la que se pueda acceder desde las máquinas del sensor.
Para obtener más información, consulte Incorporación de sensores ot a Defender para IoT.
Configuración de redes de sitio
En la imagen siguiente se muestran los pasos incluidos en la frase de configuración de redes de sitio. Los equipos de conectividad controlan los pasos de red de sitio.
Configuración de la creación de reflejo del tráfico en la red
Use los planes que creó anteriormente para configurar la creación de reflejo del tráfico en los lugares de la red donde implementará sensores ot y reflejará el tráfico en Defender para IoT.
Un breve resumen de la información necesaria para elegir la mejor ubicación para el sensor OT e implementarlo en la red está disponible en la introducción a la configuración de creación de reflejo del tráfico.
Para más información, vea:
- Configuración de la creación de reflejo con un puerto SPAN de conmutador
- Configuración de la creación de reflejo del tráfico con un puerto remote SPAN (RSPAN)
- Configuración de la agregación activa o pasiva (TAP)
- Actualizar las interfaces de supervisión de un sensor (configurar ERSPAN)
- Configuración de la creación de reflejo del tráfico con un vSwitch ESXi
- Configuración de la creación de reflejo del tráfico con un vSwitch de Hyper-V
Aprovisionamiento para la administración en la nube
Configure las reglas de firewall para asegurarse de que los dispositivos del sensor OT podrán acceder a Defender para IoT en la nube de Azure. Si tiene previsto conectarse a través de un proxy, configurará esas opciones solo después de instalar el sensor.
Omita este paso para cualquier sensor OT que esté planeado para ser aireado y administrado localmente directamente en la consola del sensor.
Para obtener más información, consulte Aprovisionamiento de sensores ot para la administración de la nube.
Implementación de los sensores de OT
En la imagen siguiente se muestran los pasos incluidos en la fase de implementación del sensor. El equipo de implementación implementa y activa los sensores de OT.
Instalación de los sensores de OT
Si va a instalar el software de Defender para IoT en sus propios dispositivos, descargue el software de instalación de la Azure Portal e instálelo en el dispositivo del sensor OT.
Después de instalar el software del sensor OT, ejecute varias comprobaciones para validar la instalación y la configuración.
Para más información, vea:
- Instalación del software de supervisión de OT en sensores OT
- Validación de una instalación de software del sensor OT
Omita estos pasos si va a comprar dispositivos preconfigurados.
Activar los sensores de OT y la configuración inicial
Use un asistente de configuración inicial para confirmar la configuración de red, activar el sensor y aplicar certificados SSH/TLS.
Para obtener más información, consulte Configuración y activación del sensor OT.
Configuración de conexiones de proxy
Si ha decidido usar un proxy para conectar los sensores a la nube, configure el proxy y configure los valores en el sensor. Para obtener más información, consulte Configuración de los valores de proxy en un sensor OT.
Omita este paso en las situaciones siguientes:
- Para cualquier sensor OT en el que se conecte directamente a Azure, sin un proxy
- Para cualquier sensor que esté planeado para ser aireado y administrado localmente directamente en la consola del sensor.
Configuración de opciones opcionales
Se recomienda configurar una conexión de Active Directory para administrar usuarios locales en el sensor OT y también configurar la supervisión del estado del sensor a través de SNMP.
Si no configura estas opciones durante la implementación, también puede devolverlas y configurarlas más adelante.
Para más información, vea:
- Configuración de la supervisión de SNMP MIB en un sensor OT
- Configuración de una conexión de Active Directory
Calibrar y ajustar la supervisión de OT
En la imagen siguiente se muestran los pasos necesarios para calibrar y ajustar la supervisión de OT con el sensor recién implementado. El equipo de implementación realiza las actividades de calibración y ajuste preciso.
Control de la supervisión de OT en el sensor
De forma predeterminada, es posible que el sensor OT no detecte las redes exactas que desea supervisar o que las identifique de forma precisa de la forma en que desea que se muestren. Use las listas que creó anteriormente para comprobar y configurar manualmente las subredes, personalizar los nombres de puerto y VLAN y configurar los intervalos de direcciones DHCP según sea necesario.
Para obtener más información, consulte Control del tráfico de OT supervisado por Microsoft Defender para IoT.
Comprobación y actualización del inventario de dispositivos detectado
Una vez que los dispositivos se detecten por completo, revise el inventario de dispositivos y modifique los detalles del dispositivo según sea necesario. Por ejemplo, puede identificar los tipos de dispositivo u otras propiedades que se van a modificar, etc.
Para obtener más información, consulte Comprobación y actualización del inventario de dispositivos detectado.
Información sobre las alertas de OT para crear una línea base de red
Las alertas desencadenadas por el sensor OT pueden incluir varias alertas que querrá omitir periódicamente, o Learn, como tráfico autorizado.
Revise todas las alertas del sistema como una evaluación inicial. En este paso se crea una línea base de tráfico de red para Que Defender para IoT funcione con el avance.
Para obtener más información, consulte Creación de una línea base aprendida de alertas de OT.
Fin del aprendizaje de línea base
Los sensores de OT permanecerán en modo de aprendizaje mientras se detecte nuevo tráfico y tenga alertas no controladas.
Cuando finalice el aprendizaje de línea base, se completa el proceso de implementación de supervisión de OT y continuará en modo operativo para la supervisión continua. En modo operativo, cualquier actividad que difiera de los datos de línea base desencadenará una alerta.
Sugerencia
Desactive el modo de aprendizaje manualmente cuando las alertas actuales de Defender para IoT reflejen el tráfico de red con precisión.
Conexión de datos de Defender para IoT a SIEM
Una vez implementado Defender para IoT, envíe alertas de seguridad y administre incidentes de OT/IoT mediante la integración de Defender para IoT con la plataforma de administración de eventos e información de seguridad (SIEM) y las herramientas y flujos de trabajo de SOC existentes. Integre las alertas de Defender para IoT con siem organizativo mediante la integración con Microsoft Sentinel y el aprovechamiento de la solución de Microsoft Defender integrada para IoT o mediante la creación de reglas de reenvío a otros sistemas SIEM. Defender para IoT se integra de forma inmediata con Microsoft Sentinel, así como una amplia gama de sistemas SIEM, como Splunk, IBM QRadar, LogRhythm, Fortinet y mucho más.
Un breve resumen de la información necesaria para elegir la mejor ubicación para el sensor OT e implementarlo en la red está disponible en la introducción a la configuración de creación de reflejo del tráfico.
Para más información, vea:
- Supervisión de amenazas de OT en SOC empresariales
- Tutorial: Conexión de Microsoft Defender para IoT con Microsoft Sentinel
- Conexión de sensores de red OT locales a Microsoft Sentinel
- Integraciones con Microsoft y servicios asociados
- Stream alertas en la nube de Defender para IoT a un SIEM de asociado
Después de integrar alertas de Defender para IoT con un SIEM, se recomiendan los siguientes pasos para poner en funcionamiento las alertas de OT/IoT e integrarlas completamente con sus herramientas y flujos de trabajo de SOC existentes:
Identifique y defina las amenazas de seguridad de IoT/OT pertinentes y los incidentes de SOC que desea supervisar en función de sus necesidades y entornos específicos de OT.
Cree reglas de detección y niveles de gravedad en SIEM. Solo se desencadenarán los incidentes pertinentes, lo que reduce el ruido innecesario. Por ejemplo, definiría los cambios de código de PLC realizados desde dispositivos no autorizados, o fuera del horario laboral, como un incidente de gravedad alta debido a la alta fidelidad de esta alerta específica.
En Microsoft Sentinel, la solución Microsoft Defender para IoT incluye un conjunto de reglas de detección integradas, que se crean específicamente para los datos de Defender para IoT, y le ayudan a ajustar los incidentes creados en Sentinel.
Defina el flujo de trabajo adecuado para la mitigación y cree cuadernos de estrategias de investigación automatizados para cada caso de uso. En Microsoft Sentinel, la solución Microsoft Defender para IoT incluye cuadernos de estrategias integrados para la respuesta automatizada a las alertas de Defender para IoT.
Pasos siguientes
Ahora que comprende los pasos de implementación del sistema de supervisión de OT, está listo para empezar.