Управление трафиком OT, отслеживаемым Microsoft Defender для Интернета вещей

Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.

Схема индикатора хода выполнения с выделенной выделенной настройкой мониторинга OT.

Датчики сети OT в Microsoft Defender для Интернета вещей автоматически выполняют глубокое обнаружение пакетов для ИТ-трафика и OT, разрешая данные сетевого устройства, такие как атрибуты и поведение устройства.

После установки, активации и настройки сетевого датчика OT используйте средства, описанные в этой статье, для анализа трафика, обнаруженного автоматически, добавления дополнительных подсетей при необходимости и управления сведениями о трафике, включенными в оповещения Defender для Интернета вещей.

Необходимые компоненты

Перед выполнением процедур в этой статье необходимо:

Этот шаг выполняется командами развертывания.

Анализ развертывания

После подключения нового сетевого датчика OT к Microsoft Defender для Интернета вещей убедитесь, что датчик развернут правильно, анализируя отслеживаемый трафик.

Чтобы проанализировать сеть, выполните приведенные действия.

  1. Войдите в датчик OT в качестве пользователя администратора и выберите "Базовое>развертывание систем".>

  2. Выберите Анализ. Начинается анализ, а вкладка отображается для каждого интерфейса, отслеживаемого датчиком. На каждой вкладке показаны подсети, обнаруженные указанным интерфейсом.

  3. На каждой вкладке интерфейса показаны следующие сведения:

    • Состояние подключения, указанное зеленым или красным значком подключения в имени вкладки. Например, на приведенном выше изображении интерфейс eth1 отображается как зеленый и поэтому подключен.
    • Общее количество обнаруженных подсетей и виртуальных ЛС, показанное в верхней части вкладки.
    • Протоколы, обнаруженные в каждой подсети.
    • Количество адресов одноадресной рассылки, обнаруженных для каждой подсети.
    • Обнаружен ли широковещательный трафик для каждой подсети, указывающий локальную сеть.
  4. Дождитесь завершения анализа, а затем проверьте каждую вкладку интерфейса, чтобы понять, отслеживает ли интерфейс соответствующий трафик или требует дополнительной настройки.

Если трафик, отображаемый на странице развертывания , не является ожидаемым, может потребоваться точно настроить развертывание, изменив расположение датчика в сети или убедившись, что интерфейсы мониторинга подключены правильно. Если вы вносите какие-либо изменения и хотите снова проанализировать трафик, чтобы узнать, улучшилось ли оно, нажмите кнопку "Анализ " еще раз, чтобы увидеть обновленное состояние мониторинга.

Настройка списка подсетей

После анализа трафика датчик отслеживает и настраивает развертывание, возможно, потребуется дополнительно настроить список подсетей. Используйте эту процедуру, чтобы убедиться, что подсети настроены правильно.

Хотя датчик OT автоматически изучает сетевые подсети во время первоначального развертывания, рекомендуется анализировать обнаруженный трафик и обновлять их при необходимости для оптимизации представлений карты и инвентаризации устройств.

Кроме того, используйте эту процедуру для определения параметров подсети, определения того, как устройства отображаются на карте устройства датчика и инвентаризации устройств Azure.

  • На карте устройств ИТ-устройства автоматически агрегируются по подсети, где можно развернуть и свернуть представление каждой подсети для детализации по мере необходимости.
  • В инвентаризации устройств Azure после настройки подсетей используйте фильтр "Расположение сети " (общедоступная предварительная версия) для просмотра локальных или перенаправленных устройств, как определено в списке подсетей. Все устройства, связанные с перечисленными подсетями, отображаются как локальные, а устройства, связанные с обнаруженными подсетями, не включенными в список, будут отображаться как перенаправленные.

Хотя датчик сети OT автоматически изучает подсети в сети, рекомендуется подтвердить полученные параметры и обновить их при необходимости для оптимизации представлений карт и инвентаризации устройств. Все подсети, не перечисленные как подсети, рассматриваются как внешние сети.

Совет

Когда вы будете готовы начать управление параметрами датчика OT в масштабе, определите подсети из портал Azure. После применения параметров из портал Azure параметры на консоли датчика доступны только для чтения. Дополнительные сведения см. в разделе "Настройка параметров датчика OT" из портал Azure (общедоступная предварительная версия).

Чтобы точно настроить обнаруженные подсети, выполните приведенные действия.

  1. Войдите в датчик OT в качестве пользователя администратора и выберите "Базовые подсети>">системных параметров. Например:

    Снимок экрана: страница

  2. Обновите подсети, перечисленные с помощью любого из следующих параметров:

    Имя Описание
    Импорт подсетей Импорт . CSV-файл определений подсети. Сведения о подсетях будут обновлены на основе импортированных данных. При импорте пустого поля данные в этом поле теряются.
    Экспорт подсетей Экспортируйте перечисленные в данный момент подсети в объект . CSV-файл.
    Очистить все Снимите все определенные в настоящее время подсети.
    Автоматическое обучение подсети Выбрано по умолчанию. Снимите этот параметр, чтобы запретить датчику автоматически обнаруживать подсети.
    Разрешить весь интернет-трафик как внутренний/закрытый Выберите, чтобы рассмотреть все общедоступные IP-адреса как частные, локальные адреса. Если выбрано, общедоступные IP-адреса обрабатываются как локальные адреса, а оповещения не отправляются о несанкционированном интернет-действии.

    Этот параметр уменьшает уведомления и оповещения, полученные о внешних адресах.
    IP-адрес Определите IP-адрес подсети.
    Маска Определите маску IP-адресов подсети.
    Имя Рекомендуется ввести понятное имя, указывающее сетевую роль подсети. Имена подсети могут содержать до 60 символов.
    Сегрегированных Выберите, чтобы отобразить эту подсеть отдельно при отображении карты устройства на уровне Purdue.
    Удаление подсети Выберите, чтобы удалить все подсети, которые не связаны с областью сети IoT/OT.

    В сетке подсети подсети, помеченные как подсеть ICS, распознаются как сети OT. Этот параметр доступен только для чтения в этой сетке, но вы можете вручную определить подсеть как ICS , если в подсети OT не распознается правильно.

  3. По завершении нажмите кнопку "Сохранить ", чтобы сохранить обновления.

Совет

После отключения параметра автоматического обучения подсети и изменения списка подсетей, чтобы включить только локально отслеживаемые подсети, которые находятся в области Интернета вещей или OT, можно отфильтровать инвентаризацию устройств Azure по сетевому расположению, чтобы просмотреть только устройства, определенные как локальные. Дополнительные сведения см. в разделе Просмотр данных инвентаризации устройств.

Вручную определите подсеть как ICS

Если у вас есть подсеть OT, которая не помечена автоматически как подсеть ICS датчиком, измените тип устройства для любого из устройств в соответствующей подсети на тип устройства ICS или IoT. Затем подсеть автоматически помечается датчиком как подсеть ICS.

Примечание.

Чтобы вручную изменить подсеть, помеченную как ICS, измените тип устройства в инвентаризации устройств в датчике OT. В портал Azure подсети в списке подсетей по умолчанию помечены как ICS в параметрах датчика.

Чтобы изменить тип устройства, чтобы вручную обновить подсеть, выполните следующие действия.

  1. Войдите в консоль датчика OT и перейдите к инвентаризации устройств.

  2. В сетке инвентаризации устройств выберите устройство из соответствующей подсети и нажмите кнопку "Изменить " на панели инструментов в верхней части страницы.

  3. В поле "Тип" выберите тип устройства из раскрывающегося списка, который указан в разделе ICS или IoT.

Теперь подсеть будет помечена как подсеть ICS в датчике.

Дополнительные сведения см. в разделе Редактирование сведений об устройстве.

Настройка имен портов и виртуальных локальных сетей

Используйте следующие процедуры для обогащения данных устройства, отображаемых в Defender для Интернета вещей, путем настройки имен портов и виртуальных ЛС на сетевых датчиках OT.

Например, может потребоваться назначить имя неисключаемого порта, который показывает необычно высокий уровень активности, чтобы вызвать его, или назначить имя номеру виртуальной локальной сети, чтобы определить его быстрее.

Примечание.

Для подключенных к облаку датчиков вы можете в конечном итоге начать настройку параметров датчика OT из портал Azure. После настройки параметров из портал Azure области именования виртуальных ЛС и портов на датчиках OT доступны только для чтения. Дополнительные сведения см. в разделе "Настройка параметров датчика OT" из портал Azure.

Настройка имен обнаруженных портов

Defender для Интернета вещей автоматически назначает имена наиболее универсальным зарезервированным портам, таким как DHCP или HTTP. Однако может потребоваться настроить имя определенного порта, чтобы выделить его, например при просмотре порта с необычно высоким уровнем обнаруженных действий.

Имена портов отображаются в Defender для Интернета вещей при просмотре групп устройств на карте устройства OT или при создании отчетов датчика OT, включающих сведения о портах.

Чтобы настроить имя порта, выполните приведенные действия.

  1. Войдите в датчик OT в качестве пользователя администратора .

  2. Выберите параметры системы, а затем в разделе "Мониторинг сети" выберите "Именование портов".

  3. В появившейся области именования портов введите номер порта, который нужно назвать, протокол порта и понятное имя. Поддерживаемые значения протокола включают: TCP, UDP и ОБА.

  4. Нажмите кнопку +Добавить порт для настройки другого порта и сохраните его после завершения.

Настройка имени виртуальной ЛС

Виртуальные локальные сети автоматически обнаруживаются датчиком сети OT или добавляются вручную. Автоматически обнаруженные виртуальные локальные сети не могут быть изменены или удалены, но для добавления виртуальных ЛС вручную требуется уникальное имя. Если виртуальная локальная сеть не имеет явного имени, вместо этого отображается номер виртуальной ЛС.

Поддержка виртуальной локальной сети основана на версии 802.1q (до идентификатора VLAN 4094).

Примечание.

Имена VLAN не синхронизируются между сетевым датчиком OT и локальным консоль управления. Если вы хотите просмотреть настраиваемые имена VLAN в локальной консоль управления, определите также имена виртуальных ЛС.

Чтобы настроить имена VLAN на сетевом датчике OT, выполните следующее:

  1. Войдите в датчик OT в качестве пользователя администратора .

  2. Выберите "Параметры системы", а затем в разделе "Мониторинг сети" выберите имя виртуальной локальной сети.

  3. В появившейся области именования виртуальной локальной сети введите идентификатор виртуальной ЛС и уникальное имя виртуальной ЛС. Имена виртуальных ЛС могут содержать до 50 символов ASCII.

  4. Нажмите кнопку "+ Добавить виртуальную локальную сеть ", чтобы настроить другую виртуальную локальную сеть и сохранить после завершения.

  5. Для коммутаторов Cisco: добавьте команду в monitor session 1 destination interface XX/XX encapsulation dot1q конфигурацию порта SPAN, где XX/XX — это имя и номер порта.

Определение DNS-серверов

Улучшение обогащения данных устройства путем настройки нескольких DNS-серверов для выполнения обратного поиска и разрешения имен узлов или полных доменных имен, связанных с IP-адресами, обнаруженными в сетевых подсетях. Например, если датчик обнаруживает IP-адрес, он может запросить несколько DNS-серверов для разрешения имени этого узла. Вам потребуется DNS-адрес, порт сервера и адреса подсети.

Чтобы определить поиск DNS-сервера, выполните следующие действия.

  1. В консоли датчика>OT выберите "Мониторинг сети параметров системы" и в разделе "Активное обнаружение" выберите "Обратный поиск DNS".

  2. Используйте Планирование обратного просмотра, чтобы настроить сканирование через определенные интервалы, по часам или в определенное время.

    Если выбрано В определенное время, укажите время в 24-часовом формате, например 14:30. Нажмите кнопку + сбоку, чтобы добавить дополнительное время выполнения поиска.

  3. Выберите Добавить DNS-сервер, а затем заполните следующие поля:

    • Адрес DNS-сервера — IP-адрес DNS-сервера.
    • Порт DNS-сервера.
    • Количество меток, то есть количество отображаемых меток домена. Чтобы получить это значение, разрешите IP-адрес сети в полное доменное имя устройства. В этом поле можно ввести до 30 символов.
    • Подсети, которые являются подсетями, которые требуется запрашивать DNS-сервер
  4. Чтобы запустить запрос обратного поиска по расписанию, установите переключатель Включено в верхней части, а затем нажмите кнопку Сохранить, чтобы завершить настройку.

Дополнительные сведения см. в разделе "Настройка обратного поиска DNS".

Тестирование конфигурации DNS

Используйте тестовое устройство, чтобы убедиться, что параметры обратного поиска DNS, которые вы определили, работают, как ожидалось.

  1. В консоли датчика выберите Параметры системы>Мониторинг сети и в разделе Активное обнаружение выберите Обратный поиск DNS.

  2. Убедитесь, что установлен переключатель Включено.

  3. Выберите Тест.

  4. В диалоговом окне обратного поиска DNS введите адрес в адрес подстановки и нажмите кнопку "Тест".

Настройка диапазонов адресов DHCP

Сеть OT может состоять как из статических, так и динамических IP-адресов.

  • Статические адреса обычно находятся в сетях OT с помощью историков, контроллеров и сетевых устройств инфраструктуры, таких как коммутаторы и маршрутизаторы.
  • Динамическое распределение IP-адресов обычно реализуется в гостевых сетях с ноутбуками, пк, смартфонами и другим портативным оборудованием, используя физические подключения Wi-Fi или LAN в разных расположениях.

Если вы работаете с динамическими сетями, необходимо обрабатывать изменения IP-адресов по мере их возникновения, определяя диапазоны DHCP-адресов на каждом сетевом датчике OT. Если IP-адрес определен в качестве DHCP-адреса, Defender для Интернета вещей определяет любые действия, происходящие на одном устройстве, независимо от изменений IP-адресов.

Чтобы определить диапазоны АДРЕСОВ DHCP, выполните следующие действия.

  1. Войдите в датчик OT и выберите диапазоны DHCP мониторинга сети для>параметров>системы.

  2. Выполните одно из следующих действий:

    • Чтобы добавить один диапазон, выберите +Добавить диапазон и введите диапазон IP-адресов и необязательное имя для диапазона.
    • Чтобы добавить несколько диапазонов, создайте . CSV-файл со столбцами для данных from, To и Name для каждого диапазона. Выберите "Импорт" , чтобы импортировать файл в датчик OT. Значения диапазона, импортированные из объекта . CSV-файл перезаписывает все данные диапазона, настроенные для датчика.
    • Экспорт текущих настроенных диапазонов в объект . CSV-файл, выберите "Экспорт".
    • Чтобы очистить все настроенные в данный момент диапазоны, нажмите кнопку "Очистить все".

    Имена диапазонов могут содержать до 256 символов.

  3. Выберите Сохранить, чтобы сохранить изменения.

Настройка фильтров трафика (дополнительно)

Чтобы уменьшить усталость оповещений и сосредоточиться на мониторинге сети на трафике с высоким приоритетом, вы можете отфильтровать трафик, который передается в Defender для Интернета вещей в источнике. Фильтры отслеживания настраиваются с помощью интерфейса командной строки датчика OT и позволяют блокировать трафик высокой пропускной способности на аппаратном уровне, оптимизируя производительность устройства и использование ресурсов.

Дополнительные сведения см. в разделе:

Следующие шаги