この記事は、IoT 用のMicrosoft Defenderを使用した OT 監視のデプロイ パスについて説明する一連の記事の 1 つです。
ネットワークを完全に監視するには、ネットワーク内のすべてのエンドポイント デバイスの可視性が必要です。 Microsoft Defender for IoT は、ネットワーク デバイスを介して移動するトラフィックを Defender for IoT ネットワーク センサーに反映します。 OT ネットワーク センサーは、トラフィック データを分析し、アラートをトリガーし、推奨事項を生成し、Azureで Defender for IoT にデータを送信します。
この記事では、監視するトラフィックが必要に応じてミラーリングされるように、OT センサーをネットワークに配置する場所と、センサーの展開用にサイトを準備する方法を計画するのに役立ちます。
前提条件
特定のサイトの OT 監視を計画する前に、 OT 監視システム全体を計画していることを確認してください。
この手順は、アーキテクチャ チームによって実行されます。
Defender for IoT の監視アーキテクチャについて説明します
ネットワークおよび Defender for IoT システムのコンポーネントとアーキテクチャの詳細については、次の記事を参照してください。
ネットワーク ダイアグラムを作成する
各organizationのネットワークには、独自の複雑さがあります。 監視するトラフィックを特定できるように、ネットワーク内のすべてのデバイスを完全に一覧表示するネットワーク マップ 図を作成します。
ネットワーク ダイアグラムの作成中に、次の質問を使用して、ネットワーク内のさまざまな要素とその通信方法を特定してメモします。
操作全般についての質問
全体的な監視目標は何ですか?
冗長ネットワークがあり、監視を必要としないネットワーク マップの領域があり、無視できますか?
ネットワークのセキュリティと運用上のリスクはどこにありますか?
ネットワークに関する質問
監視対象ネットワークでアクティブなプロトコルはどれですか?
VLAN はネットワーク設計で構成されていますか?
監視対象ネットワークにルーティングはありますか?
ネットワーク内にシリアル通信はありますか?
監視するネットワークにファイアウォールがインストールされている場所
産業用制御 (ICS) ネットワークと企業のビジネス ネットワークの間にトラフィックはありますか? その場合、このトラフィックは監視されますか?
スイッチとエンタープライズ ファイアウォールの間の物理的な距離は何ですか?
OT システムのメンテナンスは固定デバイスまたは一時的なデバイスで行われますか?
質問を切り替える
それ以外の場合、スイッチが管理されていない場合は、上位レベルのスイッチからのトラフィックを監視できますか? たとえば、OT アーキテクチャで リング トポロジを使用している場合、監視が必要なスイッチはリング内の 1 つだけです。
アンマネージド スイッチをマネージド スイッチに置き換えることができますか、それともネットワーク TAP を使用するオプションですか?
スイッチの VLAN を監視できますか、それとも別のスイッチで VLAN を監視できますか。
ネットワーク センサーをスイッチに接続すると、HMI と PLC の間の通信がミラーされますか?
ネットワーク センサーをスイッチに接続する場合、スイッチのキャビネットに物理的なラックスペースはありますか?
各スイッチを監視する場合のコスト/メリットは何ですか?
監視するデバイスとサブネットを特定する
監視して Defender for IoT ネットワーク センサーにミラーするトラフィックは、セキュリティまたは運用の観点から最も興味深いトラフィックです。
サイト エンジニアと共に OT ネットワークダイアグラムを確認し、監視に最も関連するトラフィックを見つける場所を定義します。 期待を明確にするために、ネットワークチームと運用チームの両方と会うことをお勧めします。
チームと一緒に、監視するデバイスのテーブルを次の詳細と共に作成します。
| 仕様 | 説明 |
|---|---|
| ベンダー | デバイスの製造ベンダー |
| [デバイス名] | 継続的な使用と参照の意味のある名前 |
| Type | デバイスの種類 ( スイッチ、 ルーター、 ファイアウォール、 アクセス ポイントなど) |
| ネットワーク層 | 監視するデバイスは、L2 または L3 デバイスです。 - L2 デバイス は IP セグメント内のデバイスです - L3 デバイス は、IP セグメントの外部にあるデバイスです 両方のレイヤーをサポートするデバイスは、L3 デバイスと見なすことができます。 |
| VLAN の交差 | デバイスを通過する VLAN の ID。 たとえば、各 VLAN のスパニング ツリー操作モードを確認して、関連付けられたポートを通過するかどうかを確認して、これらの VLAN ID を確認します。 |
| ゲートウェイ | デバイスが既定のゲートウェイとして機能する VLAN。 |
| ネットワークの詳細 | デバイスの IP アドレス、サブネット、D-GW、DNS ホスト |
| プロトコル | デバイスで使用されるプロトコル。 既定でサポートされている Defender for IoT のプロトコルの一覧とプロトコル を比較します。 |
| サポートされているトラフィック ミラーリング | SPAN、RSPAN、ERSPAN、TAP など、各デバイスでサポートされるトラフィック ミラーリングの種類を定義します。 OT センサーのトラフィック ミラーリング方法を選択するには、この情報を使用します。 |
| パートナー サービスによって管理されますか? | シーメンス、ロックウェル、エマーソンなどのパートナー サービスがデバイスを管理するかどうかを説明します。 該当する場合は、管理ポリシーについて説明します。 |
| シリアル接続 | デバイスがシリアル接続を介して通信する場合は、シリアル通信プロトコルを指定します。 |
ネットワーク内のデバイスを計算する
適切なサイズで Defender for IoT ライセンスを購入 できるように、各サイトのデバイス数を計算します。
各サイト内のデバイスの数を計算するには::
サイト内のデバイスの合計数を収集し、それらを一緒に追加します。
Defender for IoT によって個々のデバイスとして識別 されない 、次のいずれかのデバイスを削除します。
- パブリック インターネット IP アドレス
- マルチキャスト グループ
- ブロードキャスト グループ
- 非アクティブなデバイス: 60 日を超えるネットワーク アクティビティが検出されていないデバイス
詳細については、「 Defender for IoT によって監視されるデバイス」を参照してください。
マルチセンサーのデプロイを計画する
複数のネットワーク センサーの展開を計画している場合は、センサーを配置する場所を決定するときに、次の推奨事項も考慮してください。
物理的に接続されたスイッチ: イーサネット ケーブルで物理的に接続されているスイッチの場合は、スイッチ間の距離が 80 メートルごとに少なくとも 1 つのセンサーを計画してください。
物理接続のない複数のネットワーク: ネットワーク間に物理的な接続がない複数のネットワークがある場合は、個々のネットワークごとに少なくとも 1 つのセンサーを計画します
RSPAN をサポートするスイッチ: RSPAN トラフィック ミラーリングを使用できるスイッチがある場合は、ローカル SPAN ポートを使用して、8 つのスイッチごとに少なくとも 1 つのセンサーを計画します。 ケーブルで接続できるように、センサーをスイッチに十分近づけるように計画します。
サブネットの一覧を作成する
ネットワーク全体で監視するデバイスの一覧に基づいて、監視するサブネットの集計リストを作成します。
センサーをデプロイした後、この一覧を使用して、一覧に表示されているサブネットが自動的に検出されることを確認し、必要に応じてリストを手動で更新します。
予定されている OT センサーを一覧表示する
Defender for IoT にミラーするトラフィックを理解したら、オンボードするすべての OT センサーの完全な一覧を作成します。
センサーごとに、次の情報を一覧表示します。
クラウドに接続されたセンサーの場合、使用する クラウド接続方法 。
センサーに物理アプライアンスと仮想アプライアンスのどちらを使用する場合でも、サービス品質 (QoS) に必要な帯域幅を考慮してください。 詳細については、「必要なアプライアンス」を参照してください。
各センサーに割り当てる サイトとゾーン 。
同じサイトまたはゾーン内のセンサーから取り込まれたデータを、システム内の他のデータからセグメント化してまとめて表示できます。 同じサイトまたはゾーンにグループ化して表示するセンサー データがある場合は、それに応じてセンサー サイトとゾーンを割り当てるようにしてください。
センサーごとに使用するトラフィック ミラーリング方法
ネットワークの時間が長くなれば、より多くのセンサーをオンボードしたり、既存のセンサー定義を変更したりできます。
重要
IP アドレスや MAC アドレスなど、各センサーで検出されるデバイスの特性を確認することをお勧めします。 同じ論理デバイス特性セットを持つ同じゾーンで検出されたデバイスは自動的に統合され、同じデバイスとして識別されます。
たとえば、複数のネットワークと定期的な IP アドレスを使用している場合は、デバイスが個別の一意のデバイスとして正しく識別されるように、各センサーを異なるゾーンで計画してください。
詳細については、「 定期的な IP 範囲のゾーンの分離」を参照してください。
オンプレミスアプライアンスを準備する
仮想アプライアンスを使用している場合は、関連するリソースが構成されていることを確認します。 詳細については、「 仮想アプライアンスを使用した OT 監視」を参照してください。
物理アプライアンスを使用している場合は、必要なハードウェアがあることを確認します。 事前構成済みのアプライアンスを購入するか、独自のアプライアンスにソフトウェアをインストールする計画を立てます。
事前構成済みのアプライアンスを購入するには:
- Azure portalで Defender for IoT に移動します。
- [Getting started>Sensor>Buy preconfigured アプライアンス>Contact] を選択します。
リンクにより、Defender for IoT アプライアンスのテンプレート要求を hardware.sales@arrow.comする電子メールが開きます。
詳細については、「必要なアプライアンス」を参照してください。
補助ハードウェアを準備する
物理アプライアンスを使用している場合は、物理アプライアンスごとに次の追加ハードウェアを使用できることを確認します。
- モニターとキーボード
- ラックスペース
- AC 電源
- アプライアンスの管理ポートをネットワーク スイッチに接続するための LAN ケーブル
- ミラー (SPAN) ポートとネットワーク ターミナル アクセス ポイント (TAP) をアプライアンスに接続するための LAN ケーブル
ネットワークの詳細アプライアンス準備する
アプライアンスの準備ができたら、アプライアンスごとに次の詳細の一覧を作成します。
- IP アドレス
- サブネット
- 既定のゲートウェイ
- ホスト名
- DNS サーバー (省略可能)、DNS サーバーの IP アドレスとホスト名
デプロイ ワークステーションを準備する
Defender for IoT デプロイ アクティビティを実行できるワークステーションを準備します。 ワークステーションには、次の要件を満たす Windows または Mac コンピューターを使用できます。
PuTTY などのターミナル ソフトウェア
センサー コンソールとAzure portalに接続するためのサポートされているブラウザー。 詳細については、Azure portalに推奨されるブラウザーに関するページを参照してください。
必要なファイアウォール規則が構成され、必要なインターフェイスに対してアクセスが開きます。 詳細については、「 ネットワーク要件」を参照してください。
CA 署名付き証明書を準備する
運用環境のデプロイでは、CA 署名付き証明書を使用することをお勧めします。
オンプレミス リソースの SSL/TLS 証明書の要件を理解していることを確認してください。 初期デプロイ中に CA 署名付き証明書をデプロイする場合は、証明書を準備しておく必要があります。
組み込みの自己署名証明書を使用してデプロイする場合は、後で運用環境に CA 署名付き証明書をデプロイすることをお勧めします。
詳細については、以下を参照してください: