Nasazení monitorování Defenderu for IoT pro OT
Tento článek popisuje základní kroky potřebné k nasazení monitorování Defenderu for IoT pro OT. Další informace o jednotlivých krocích nasazení najdete v následujících částech, včetně příslušných křížových odkazů, kde najdete další podrobnosti.
Následující obrázek znázorňuje fáze v komplexní cestě nasazení monitorování OT společně s týmem zodpovědným za každou fázi.
I když se týmy a názvy pracovních pozic v různých organizacích liší, všechna nasazení Defenderu for IoT vyžadují komunikaci mezi lidmi zodpovědnými za různé oblasti vaší sítě a infrastruktury.
Tip
Každý krok v procesu může trvat různě dlouho. Například stažení aktivačního souboru senzoru OT může trvat pět minut, zatímco konfigurace monitorování provozu může v závislosti na procesech vaší organizace trvat dny nebo dokonce týdny.
Před přechodem k dalšímu kroku doporučujeme zahájit proces pro každý krok bez čekání na jeho dokončení. Nezapomeňte pokračovat v dalším sledování všech kroků, které jsou ještě v procesu, abyste zajistili jejich dokončení.
Požadavky
Než začnete plánovat nasazení monitorování OT, ujistěte se, že máte předplatné Azure a plán OT nasazený ve službě Defender for IoT.
Další informace najdete v tématu Spuštění zkušební verze Microsoft Defender pro IoT.
Plánování a příprava
Následující obrázek znázorňuje kroky zahrnuté do fáze plánování a přípravy. Plánování a přípravu kroků se řídí týmy architektury.
Plánování monitorovacího systému OT
Naplánujte základní podrobnosti o monitorovacím systému, například:
Lokality a zóny: Rozhodněte se, jak budete síť, kterou chcete monitorovat, segmentovat pomocí lokalit a zón , které můžou představovat umístění po celém světě.
Správa senzorů: Rozhodněte se, jestli budete používat senzory OT připojené ke cloudu nebo senzory se vzduchovou mezerou, místně spravované OT nebo hybridní systém obojího. Pokud používáte senzory připojené ke cloudu, vyberte způsob připojení, například přímé připojení nebo přes proxy server.
Uživatelé a role: Seznam typů uživatelů, které budete potřebovat u jednotlivých senzorů, a rolí, které budou potřebovat pro každou aktivitu.
Další informace najdete v tématu Plánování systému monitorování OT pomocí Defenderu for IoT.
Tip
Pokud používáte několik místně spravovaných senzorů, můžete také chtít nasadit místní konzolu pro správu pro centrální viditelnost a správu.
Příprava na nasazení lokality OT
Definujte další podrobnosti pro každou lokalitu plánovanou v systému, včetně následujících:
Diagram sítě. Identifikujte všechna zařízení, která chcete monitorovat, a vytvořte dobře definovaný seznam podsítí. Po nasazení senzorů pomocí tohoto seznamu ověřte, že defender for IoT pokrývá všechny podsítě, které chcete monitorovat.
Seznam senzorů: Pomocí seznamu přenosů dat, podsítí a zařízení, která chcete monitorovat, vytvořte seznam snímačů OT, které budete potřebovat a kde budou umístěny ve vaší síti.
Metody zrcadlení provozu: Zvolte metodu zrcadlení provozu pro každý senzor OT, například port SPAN nebo TAP.
Zařízení: Připravte pracovní stanici nasazení a všechna hardwarová zařízení nebo zařízení virtuálních počítačů, která budete používat pro každý z plánovaných senzorů OT. Pokud používáte předem nakonfigurovaná zařízení, nezapomeňte si je objednat.
Další informace najdete v tématu Příprava nasazení lokality OT.
Onboarding senzorů do Azure
Následující obrázek znázorňuje krok, který je součástí fáze onboardových senzorů. Vaše týmy nasazení nasadí senzory do Azure.
Připojení OT senzorů na Azure Portal
Připojte do Defenderu for IoT tolik snímačů OT, kolik jste naplánovali. Nezapomeňte si stáhnout aktivační soubory, které jsou k dispozici pro každý senzor OT, a uložit je do umístění, které bude přístupné ze snímacích počítačů.
Další informace najdete v tématu Připojení senzorů OT do Defenderu for IoT.
Nastavení sítě lokality
Následující obrázek znázorňuje kroky zahrnuté ve frázi nastavení sítě lokality. Kroky sítě lokality jsou zpracovávány týmy připojení.
Konfigurace zrcadlení provozu v síti
Pomocí plánů, které jste vytvořili dříve , nakonfigurujte zrcadlení provozu v místech ve vaší síti, kde budete nasazovat senzory OT a zrcadlit provoz do Defenderu for IoT.
Další informace naleznete v tématu:
- Konfigurace zrcadlení s portem SPAN přepínače
- Konfigurace zrcadlení provozu pomocí portu RSPAN (Remote SPAN)
- Konfigurace aktivní nebo pasivní agregace (TAP)
- Aktualizace rozhraní pro monitorování senzoru (konfigurace ERSPAN)
- Konfigurace zrcadlení provozu pomocí virtuálního přepínače ESXi
- Konfigurace zrcadlení provozu pomocí virtuálního přepínače Hyper-V
Zřízení pro správu cloudu
Nakonfigurujte všechna pravidla brány firewall, abyste zajistili, že vaše zařízení senzorů OT budou mít přístup k Defenderu for IoT v cloudu Azure. Pokud se plánujete připojit přes proxy server, nakonfigurujete tato nastavení až po instalaci senzoru.
Tento krok přeskočte pro všechny senzory OT, u kterého je naplánováno, že bude mít vzduchovou mezeru a spravovat místně, a to buď přímo v konzole senzoru, nebo prostřednictvím místní konzoly pro správu.
Další informace najdete v tématu Zřízení senzorů OT pro správu cloudu.
Nasazení senzorů OT
Následující obrázek znázorňuje kroky zahrnuté ve fázi nasazení senzoru. Senzory OT nasazuje a aktivuje váš tým nasazení.
Instalace senzorů OT
Pokud software Defender for IoT instalujete na vlastní zařízení, stáhněte si instalační software z Azure Portal a nainstalujte ho na zařízení s senzorem OT.
Po instalaci softwaru senzoru OT spusťte několik kontrol, abyste ověřili instalaci a konfiguraci.
Další informace naleznete v tématu:
Pokud kupujete předem nakonfigurovaná zařízení, tyto kroky přeskočte.
Aktivace senzorů OT a počáteční nastavení
Pomocí průvodce počáteční instalací potvrďte nastavení sítě, aktivujte senzor a použijte certifikáty SSH/TLS.
Další informace najdete v tématu Konfigurace a aktivace senzoru OT.
Konfigurace připojení proxy serveru
Pokud jste se rozhodli použít proxy server pro připojení senzorů ke cloudu, nastavte proxy server a nakonfigurujte nastavení senzoru. Další informace najdete v tématu Konfigurace nastavení proxy serveru na senzoru OT.
Tento krok přeskočte v následujících situacích:
- Pro jakýkoli senzor OT, ve kterém se připojujete přímo k Azure bez proxy serveru
- Pro každý senzor, u kterého je naplánováno, že bude vzduchem oříznutý a spravovaný místně, buď přímo v konzole senzoru, nebo prostřednictvím místní konzoly pro správu.
Konfigurace volitelných nastavení
Doporučujeme nakonfigurovat připojení Active Directory ke správě místních uživatelů na senzoru OT a také nastavit monitorování stavu senzoru prostřednictvím protokolu SNMP.
Pokud tato nastavení během nasazování nenakonfigurujete, můžete se k nim později vrátit a nakonfigurovat.
Další informace naleznete v tématu:
Kalibrace a vyladění monitorování OT
Následující obrázek znázorňuje kroky spojené se kalibrací a vyladěním monitorování OT pomocí nově nasazeného senzoru. Aktivity kalibrace a jemného doladění provádí váš tým nasazení.
Řízení monitorování OT na senzoru
Ve výchozím nastavení senzor OT nemusí detekovat přesné sítě, které chcete monitorovat, nebo je identifikovat přesně tak, jak byste je chtěli zobrazit. Pomocí seznamů, které jste vytvořili dříve, ověřte a ručně nakonfigurujte podsítě, upravte názvy portů a sítí VLAN a podle potřeby nakonfigurujte rozsahy adres DHCP.
Další informace najdete v tématu Řízení provozu OT monitorovaného službou Microsoft Defender pro IoT.
Ověření a aktualizace inventáře zjištěných zařízení
Po úplném zjištění zařízení zkontrolujte inventář zařízení a podle potřeby upravte podrobnosti o zařízení. Můžete například identifikovat duplicitní položky zařízení, které lze sloučit, typy zařízení nebo jiné vlastnosti, které se mají upravit, a další.
Další informace najdete v tématu Ověření a aktualizace inventáře zjištěných zařízení.
Informace o upozorněních OT pro vytvoření standardních hodnot sítě
Výstrahy aktivované vaším senzorem OT můžou obsahovat několik výstrah, které budete chtít pravidelně ignorovat nebo se učit jako autorizovaný provoz.
Zkontrolujte všechna upozornění ve vašem systému jako počáteční třídění. Tento krok vytvoří směrný plán síťového provozu pro Defender for IoT, se kterým bude dál pracovat.
Další informace najdete v tématu Vytvoření naučeného směrného plánu upozornění OT.
Učení podle směrného plánu končí
Vaše senzory OT zůstanou ve výukovém režimu tak dlouho, dokud bude zjištěn nový provoz a budete mít neošetřená upozornění.
Po ukončení základního učení se proces nasazení monitorování OT dokončí a budete pokračovat v provozním režimu, abyste mohli pokračovat v průběžném monitorování. V provozním režimu se výstraha aktivuje u všech aktivit, které se liší od standardních dat.
Tip
Pokud máte pocit, že aktuální upozornění v Defenderu for IoT přesně odrážejí síťový provoz a režim učení ještě automaticky neskončil, vypněte režim učení ručně.
Připojení dat Defenderu for IoT k vašemu SIEM
Jakmile je Defender for IoT nasazený, odesílejte výstrahy zabezpečení a spravujte incidenty OT/IoT integrací Defenderu pro IoT s platformou siEM (Security Information and Event Management) a stávajícími pracovními postupy a nástroji SOC. Integrujte výstrahy Defenderu for IoT se systémem SIEM vaší organizace integrací se službou Microsoft Sentinel a využitím integrovaného řešení Microsoft Defender for IoT nebo vytvořením pravidel předávání do jiných systémů SIEM. Defender for IoT se hned po instalaci integruje se službou Microsoft Sentinel a širokou řadou systémů SIEM, jako jsou Splunk, IBM QRadar, LogRhythm, Fortinet a další.
Další informace naleznete v tématu:
- Monitorování hrozeb OT v podnikových socs
- Kurz: Připojení Microsoft Defender pro IoT pomocí Služby Microsoft Sentinel
- Připojení místních síťových senzorů OT ke službě Microsoft Sentinel
- Integrace s Microsoftem a partnerskými službami
- Streamovat upozornění cloudu Defenderu pro IoT partnerovi SIEM
Po integraci upozornění Defenderu pro IoT se systémem SIEM doporučujeme následující kroky k zprovoznění upozornění OT/IoT a jejich plné integraci se stávajícími pracovními postupy a nástroji SOC:
Identifikujte a definujte relevantní bezpečnostní hrozby IoT/OT a incidenty SOC, které chcete monitorovat na základě vašich konkrétních potřeb AT a prostředí.
Vytvořte pravidla detekce a úrovně závažnosti v SYSTÉMU SIEM. Budou aktivovány pouze relevantní incidenty, čímž se sníží zbytečný šum. Například byste definovali změny kódu PLC provedené z neautorizovaných zařízení nebo mimo pracovní dobu jako incident s vysokou závažností z důvodu vysoké přesnosti této konkrétní výstrahy.
Řešení Microsoft Defender for IoT ve službě Microsoft Sentinel zahrnuje sadu předdefinovaných pravidel detekce, která jsou vytvořená speciálně pro data Defenderu for IoT a pomáhají vyladit incidenty vytvořené ve službě Sentinel.
Definujte vhodný pracovní postup pro zmírnění rizik a vytvořte automatizované playbooky pro šetření pro každý případ použití. Řešení Microsoft Defender for IoT ve službě Microsoft Sentinel zahrnuje předem připravenou playbooky pro automatickou reakci na výstrahy Defenderu for IoT.
Další kroky
Teď, když rozumíte krokům nasazení systému monitorování OT, jste připraveni začít!