Планирование системы мониторинга OT с помощью Defender для Интернета вещей

Эта статья является одной из серии статей, описывающих путь развертывания для мониторинга OT с Microsoft Defender для Интернета вещей.

Используйте содержимое ниже, чтобы узнать, как спланировать общий мониторинг OT с помощью Microsoft Defender для Интернета вещей, включая сайты, которые вы собираетесь отслеживать, группы и типы пользователей и многое другое.

Схема индикатора выполнения, где выделен этап «Планирование и подготовка».

Предварительные условия

Прежде чем приступить к планированию развертывания мониторинга OT, убедитесь, что у вас есть подписка Azure и план OT, подключенный к Defender для Интернета вещей. Дополнительные сведения см. в разделе Управление планами Defender for IoT для мониторинга OT.

Этот шаг выполняется командами по архитектуре.

Планируйте объекты и зоны OT

При работе с сетями OT рекомендуется перечислить все расположения, в которых у вашей организации есть ресурсы, подключенные к сети, а затем разделить эти расположения на сайты и зоны.

Каждое физическое расположение может иметь собственный сайт, который далее сегментируется по зонам. Вы свяжете каждый сетевой датчик OT с определенным сайтом и зоной, чтобы каждый датчик охватывал только определенную область сети.

Использование сайтов и зон поддерживает принципы "Никому не доверяй", а также обеспечивает дополнительную детализацию мониторинга и отчетности.

Например, если у вашей растущей компании есть заводы и офисы в Париже, Лагосе, Дубае и Тяньцзине, вы можете разделить сеть следующим образом:

Сайт Зоны
Офис в Париже - Нижний этаж (гости)
- Этаж 1 (продажи)
- Этаж 2 (исполнительный)
Офис в Лагосе - Первый этаж (офисы)
- Этажи 1-2 (завод)
Офис в Дубае - Первый этаж (конференц-центр)
- Этаж 1 (продажи)
- Этаж 2 (офисы)
Офис в Тяньцзине - Первый этаж (офисы)
- Этажи 1-2 (завод)

Если вы не планируете детализированную структуру сайтов и зон, Defender for IoT всё равно использует сайт и зону по умолчанию и назначает их всем OT-датчикам.

Дополнительные сведения см. в разделе "Никому не доверяй" и ваши OT-сети.

Разделение зон для повторяющихся диапазонов IP-адресов

Каждая зона может поддерживать несколько датчиков, и если вы развертываете Defender для Интернета вещей в большом масштабе, каждый датчик может обнаружить различные аспекты одного устройства. Defender для Интернета вещей автоматически объединяет устройства, обнаруженные в одной зоне, с одинаковым логическим сочетанием характеристик устройства, например с одним и тем же IP-адресом и MAC-адресом.

Если вы работаете с несколькими сетями и имеете уникальные устройства со схожими характеристиками, такими как повторяющиеся диапазоны IP-адресов, назначьте каждому датчику отдельную зону, чтобы Defender для Интернета вещей знал, как различать устройства и однозначно идентифицировать каждое устройство.

Например, ваша сеть может выглядеть так, как показано на следующем рисунке: шесть сегментов сети логически распределены между двумя сайтами и зонами Defender для Интернета вещей. Обратите внимание, что на этом изображении показаны два сегмента сети с одинаковыми IP-адресами из разных производственных линий.

Схема повторяющихся сетей в одной зоне.

В этом случае рекомендуется разделить сайт 2 на две отдельные зоны, чтобы устройства в сегментах с повторяющимися IP-адресами не объединялись неправильно и определялись как отдельные и уникальные устройства в инвентаризации устройств.

Например, вы можете:

Схема повторяющихся сетей в разных зонах.

Планирование пользователей

Узнайте, кто в вашей организации будет использовать Defender для Интернета вещей, и каковы их варианты использования. Хотя ваш центр управления безопасностью (SOC) и ИТ-персонал будут наиболее распространенными пользователями, в вашей организации могут быть другие пользователи, которым потребуется доступ на чтение к ресурсам в Azure или в локальных ресурсах.

  • В Azure назначения пользователей основаны на их Microsoft Entra ID и ролях RBAC. Если вы сегментируете сеть на несколько сайтов, решите, какие разрешения следует применить для каждого сайта.

  • Сетевые датчики OT поддерживают синхронизацию локальных пользователей и Active Directory. Если вы будете использовать Active Directory, убедитесь, что у вас есть сведения о доступе к серверу Active Directory.

Дополнительные сведения см. в разделе:

Планирование подключений датчиков OT и подключений для управления

Для подключенных к облаку датчиков определите, как вы будете подключать каждый датчик OT к Defender для Интернета вещей в Azure облаке, например какой прокси-сервер может потребоваться. Дополнительные сведения см. в разделе Методы подключения датчиков к Azure.

Если вы работаете в воздушной или гибридной среде и у вас есть несколько локальных сетевых датчиков OT, см. путь развертывания управления датчиком OT с воздушным зазором.

Планирование локальных сертификатов SSL/TLS

Мы рекомендуем использовать подписанный ЦС SSL/TLS-сертификат в рабочей системе, чтобы обеспечить постоянную безопасность ваших устройств.

Спланируйте, какие сертификаты и какие центры сертификации (ЦС) будут использоваться для каждого датчика OT, какие средства вы будете использовать для создания сертификатов и какие атрибуты вы будете включать в каждый сертификат.

Дополнительные сведения см. в статье Требования к ssl/TLS-сертификатам для локальных ресурсов.

Дальнейшие действия