Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.
Per monitorare completamente la rete, è necessaria visibilità su tutti i dispositivi endpoint della rete. Microsoft Defender per IoT esegue il mirroring del traffico che passa attraverso i dispositivi di rete ai sensori di rete Defender per IoT. I sensori di rete OT analizzano quindi i dati del traffico, attivano avvisi, generano raccomandazioni e inviano dati a Defender per IoT in Azure.
Questo articolo consente di pianificare dove posizionare i sensori OT nella rete in modo che il traffico che si vuole monitorare sia sottoposto a mirroring in base alle esigenze e come preparare il sito per la distribuzione dei sensori.
Prerequisiti
Prima di pianificare il monitoraggio OT per un sito specifico, assicurarsi di aver pianificato il sistema di monitoraggio OT complessivo.
Questo passaggio viene eseguito dai team di architettura.
Informazioni sull'architettura di monitoraggio di Defender per IoT
Usare gli articoli seguenti per comprendere meglio i componenti e l'architettura nella rete e nel sistema Defender per IoT:
Creare un diagramma di rete
La rete di ogni organizzazione avrà la propria complessità. Creare un diagramma mappa di rete che elenca accuratamente tutti i dispositivi nella rete in modo da poter identificare il traffico da monitorare.
Durante la creazione del diagramma di rete, usare le domande seguenti per identificare e prendere nota dei diversi elementi della rete e del modo in cui comunicano.
Domande generali
Quali sono gli obiettivi generali di monitoraggio?
Sono presenti reti ridondanti e sono presenti aree della mappa di rete che non necessitano di monitoraggio e che è possibile ignorare?
Dove sono i rischi operativi e di sicurezza della rete?
Domande sulla rete
Quali protocolli sono attivi nelle reti monitorate?
Le VLAN sono configurate nella progettazione di rete?
C'è un routing nelle reti monitorate?
È presente una comunicazione seriale nella rete?
Dove sono installati i firewall nelle reti da monitorare?
C'è traffico tra una rete di controllo industriale (ICS) e una rete aziendale aziendale? In caso affermativo, il traffico viene monitorato?
Qual è la distanza fisica tra i commutatori e il firewall aziendale?
La manutenzione del sistema OT viene eseguita con dispositivi fissi o temporanei?
Cambiare domanda
Se un commutatore non è altrimenti gestito, è possibile monitorare il traffico da un commutatore di livello superiore? Ad esempio, se l'architettura OT usa una topologia ad anello, è necessario monitorare solo un commutatore nell'anello.
I commutatori non gestiti possono essere sostituiti con commutatori gestiti o l'uso dei TAP di rete è un'opzione?
È possibile monitorare la VLAN del commutatore o la VLAN è visibile in un altro commutatore che è possibile monitorare?
Se si connette un sensore di rete al commutatore, la comunicazione tra HMI e PLC verrà rispecchiata?
Se si vuole connettere un sensore di rete al commutatore, è disponibile spazio fisico su rack nell'armadio dell'interruttore?
Qual è il costo/vantaggio del monitoraggio di ogni commutatore?
Identificare i dispositivi e le subnet da monitorare
Il traffico che si vuole monitorare e eseguire il mirroring dei sensori di rete Defender per IoT è il traffico più interessante dal punto di vista della sicurezza o operativo.
Esaminare il diagramma di rete OT insieme ai tecnici del sito per definire dove si trova il traffico più rilevante per il monitoraggio. È consigliabile incontrare team operativi e di rete per chiarire le aspettative.
Insieme al team, creare una tabella di dispositivi da monitorare con i dettagli seguenti:
| Specifica | Descrizione |
|---|---|
| Fornitore | Fornitore di produzione del dispositivo |
| Nome dispositivo | Un nome significativo per l'uso e il riferimento in corso |
| Tipo | Tipo di dispositivo, ad esempio: Commutatore, Router, Firewall, Punto di accesso e così via |
| Livello di rete | I dispositivi da monitorare sono dispositivi L2 o L3: - I dispositivi L2 sono dispositivi all'interno del segmento IP - I dispositivi L3 sono dispositivi esterni al segmento IP I dispositivi che supportano entrambi i livelli possono essere considerati dispositivi L3. |
| Attraversamento di VLAN | ID di tutte le VLAN che attraversano il dispositivo. Ad esempio, verificare questi ID VLAN controllando la modalità di operazione dell'albero di spanning in ogni VLAN per verificare se attraversano una porta associata. |
| Gateway per | VLAN per cui il dispositivo funge da gateway predefinito. |
| Dettagli della rete | Indirizzo IP, subnet, D-GW e host DNS del dispositivo |
| Protocolli | Protocolli usati nel dispositivo. Confrontare i protocolli con l'elenco di protocolli supportati di Defender per IoT. |
| Mirroring del traffico supportato | Definire il tipo di mirroring del traffico supportato da ogni dispositivo, ad esempio SPAN, RSPAN, ERSPAN o TAP. Usare queste informazioni per scegliere i metodi di mirroring del traffico per i sensori OT. |
| Gestito dai servizi partner? | Descrivere se un servizio partner, ad esempio Siemens, Rockwell o Emerson, gestisce il dispositivo. Se pertinente, descrivere i criteri di gestione. |
| Connessioni seriali | Se il dispositivo comunica tramite una connessione seriale, specificare il protocollo di comunicazione seriale. |
Calcolare i dispositivi nella rete
Calcolare il numero di dispositivi in ogni sito in modo che sia possibile acquistare licenze di Defender per IoT alle dimensioni corrette.
Per calcolare il numero di dispositivi in ogni sito::
Raccogliere il numero totale di dispositivi nel sito e aggiungerli insieme.
Rimuovere uno dei dispositivi seguenti, che non sono identificati come singoli dispositivi da Defender per IoT:
- Indirizzi IP Internet pubblici
- Gruppi con più cast
- Gruppi di trasmissione
- Dispositivi inattivi: dispositivi che non hanno alcuna attività di rete rilevata per più di 60 giorni
Per altre informazioni, vedere Dispositivi monitorati da Defender per IoT.
Pianificare una distribuzione con più sensori
Se si prevede di distribuire più sensori di rete, prendere in considerazione anche le raccomandazioni seguenti quando si decide dove posizionare i sensori:
Commutatori fisicamente connessi: per gli interruttori fisicamente connessi tramite cavo Ethernet, assicurarsi di pianificare almeno un sensore per ogni 80 metri di distanza tra gli interruttori.
Più reti senza connettività fisica: se sono presenti più reti senza alcuna connettività fisica tra di esse, pianificare almeno un sensore per ogni singola rete
Commutatori con supporto RSPAN: se sono presenti commutatori che possono usare il mirroring del traffico RSPAN, pianificare almeno un sensore per ogni otto commutatori, con una porta SPAN locale. Si prevede di posizionare il sensore abbastanza vicino agli interruttori in modo che sia possibile collegarli tramite cavo.
Creare un elenco di subnet
Creare un elenco aggregato di subnet da monitorare, in base all'elenco dei dispositivi da monitorare nell'intera rete.
Dopo aver distribuito i sensori, si userà questo elenco per verificare che le subnet elencate vengano rilevate automaticamente e aggiornare manualmente l'elenco in base alle esigenze.
Elencare i sensori OT pianificati
Dopo aver compreso il traffico di cui si vuole eseguire il mirroring in Defender per IoT, creare un elenco completo di tutti i sensori OT di cui eseguire l'onboarding.
Per ogni sensore, elencare:
Indica se il sensore sarà connesso al cloud o gestito localmente
Per i sensori connessi al cloud, il metodo di connessione cloud che verrà usato.
Sia che si useranno appliance fisiche o virtuali per i sensori, considerando la larghezza di banda necessaria per la qualità del servizio (QoS). Per altre informazioni, vedere Quali appliance sono necessarie?
Il sito e la zona che verranno assegnati a ogni sensore.
I dati inseriti dai sensori nello stesso sito o zona possono essere visualizzati insieme, segmentati da altri dati nel sistema. Se sono presenti dati del sensore che si desidera visualizzare raggruppati nello stesso sito o zona, assicurarsi di assegnare i siti e le zone dei sensori di conseguenza.
Il metodo di mirroring del traffico che verrà usato per ogni sensore
Man mano che la rete si espande nel tempo, è possibile eseguire l'onboarding di più sensori o modificare le definizioni dei sensori esistenti.
Importante
È consigliabile controllare le caratteristiche dei dispositivi che si prevede vengano rilevati da ogni sensore, ad esempio indirizzi IP e MAC. I dispositivi rilevati nella stessa zona con lo stesso set logico di caratteristiche del dispositivo vengono consolidati automaticamente e identificati come lo stesso dispositivo.
Ad esempio, se si usano più reti e indirizzi IP ricorrenti, assicurarsi di pianificare ogni sensore con una zona diversa in modo che i dispositivi vengano identificati correttamente come dispositivi separati e univoci.
Per altre informazioni, vedere Separazione delle zone per gli intervalli IP ricorrenti.
Preparare le appliance locali
Se si usano appliance virtuali, assicurarsi di avere le risorse pertinenti configurate. Per altre informazioni, vedere Monitoraggio OT con appliance virtuali.
Se si usano appliance fisiche, assicurarsi di disporre dell'hardware necessario. È possibile acquistare appliance pre-configurate o pianificare l'installazione di software nelle proprie appliance.
Per acquistare appliance pre-configurate:
- Passare a Defender per IoT nel portale di Azure.
- Selezionare Getting started>Sensor>Buy preconfigured appliance Contact (Contatto dell'appliance> preconfigurata).
Il collegamento apre un messaggio di posta elettronica a hardware.sales@arrow.comcon una richiesta di modello per le appliance Defender per IoT.
Per altre informazioni, vedere Quali appliance sono necessarie?
Preparare l'hardware ausiliario
Se si usano appliance fisiche, assicurarsi di disporre dell'hardware aggiuntivo seguente per ogni appliance fisica:
- Un monitor e una tastiera
- Spazio su rack
- Alimentazione AC
- Un cavo LAN per connettere la porta di gestione dell'appliance al commutatore di rete
- Cavi LAN per la connessione delle porte mirror (SPAN) e dei punti di accesso del terminale di rete (TAP) all'appliance
Preparare i dettagli di rete dell'appliance
Quando gli elettrodomestici sono pronti, creare un elenco dei dettagli seguenti per ogni appliance:
- Indirizzo IP
- Subnet
- Gateway predefinito
- Nome host
- Server DNS (facoltativo), con l'indirizzo IP e il nome host del server DNS
Preparare una workstation di distribuzione
Preparare una workstation da cui è possibile eseguire le attività di distribuzione di Defender per IoT. La workstation può essere un computer Windows o Mac, con i requisiti seguenti:
Software terminale, ad esempio PuTTY
Browser supportato per la connessione alle console del sensore e alla portale di Azure. Per altre informazioni, vedere browser consigliati per il portale di Azure.
Regole del firewall necessarie configurate, con accesso aperto per le interfacce necessarie. Per altre informazioni, vedere Requisiti di rete.
Preparare i certificati firmati dall'autorità di certificazione
È consigliabile usare certificati firmati dall'autorità di certificazione nelle distribuzioni di produzione.
Assicurarsi di comprendere i requisiti del certificato SSL/TLS per le risorse locali. Se si vuole distribuire un certificato firmato dalla CA durante la distribuzione iniziale, assicurarsi di aver preparato il certificato.
Se si decide di eseguire la distribuzione con il certificato autofirmata predefinito, è consigliabile distribuire un certificato firmato dalla CA negli ambienti di produzione in un secondo momento.
Per altre informazioni, vedere: