共用方式為

流量鏡像概觀

  • 發行項

本文是一系列文章中的一篇,說明如何使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑,並提供在網路中設定流量程序的概觀。

已醒目提示 [網路層級部署] 進度列的圖表。

必要條件

設定流量鏡像之前,請確定您已決定感測器位置和流量鏡像方法。

感測器位置

找出將感測器放在網路中的最佳位置,以監視網路流量,並提供最佳的探索和安全性值。 位置應該讓感測器存取下列三個重要類型的網路流量:

類型 描述
第 2 層 (L2) 流量 L2 流量,包括 ARP 和 DHCP 等通訊協定,是感測器放置的重要指標。 存取 L2 流量也表示感測器可以收集網路裝置的相關精確且有價值的數據。 當感測器正確定位時,它會準確地擷取裝置的 MAC 位址。 這項重要資訊提供廠商指標,可增強感測器分類裝置的能力。
OT 通訊協定 OT 通訊協定對於擷取網路內裝置的詳細信息至關重要。 這些通訊協定提供導致精確裝置分類的重要數據。 藉由分析 OT 通訊協定流量,感測器可以收集每個裝置的完整詳細數據,例如其型號、韌體版本和其他相關特性。 為了維護所有裝置的準確且最新的清查,這對於網路管理和安全性至關重要,因此需要此層級的詳細數據。
內部子網通訊 OT 網路裝置會在子網內進行通訊,而內部子網通訊中發現的信息可確保感測器所收集的數據品質。 感測器位於可存取內部子網通訊的位置,以監視裝置互動,這通常包括重要數據。 藉由擷取這些數據封包,感測器會建置網路的詳細且精確的圖片。

如需詳細資訊,請參閱 將 OT 感測器放在您的網路中

流量鏡像方法

有三種類型的流量鏡像方法分別針對特定使用案例所設計。 根據網路使用量和大小選擇最佳方法。

鏡像類型 交換器埠分析器 (SPAN) 遠端 SPAN (RSPAN) 封裝遠端 SPAN (ERSPAN)
使用案例 非常適合用於監視和分析單一交換器或小型網路區段內的流量。 適用於需要跨不同網路區段監視流量的大型網路或案例。 適合用來監視不同或分散網路的流量,包括遠端月臺。
說明 SPAN 是單一交換器或交換器堆疊中使用的本機流量鏡像技術。 它可讓網路管理員將流量從指定的來源埠或 VLAN 複製到監視裝置,例如網路感測器或分析器連線的目的地埠。 RSPAN 允許跨多個交換器鏡像流量,藉此擴充 SPAN 的功能。 它是針對需要透過不同交換器或交換器堆疊進行監視的環境所設計。 ERSPAN 將鏡像流量封裝在一般路由封裝 (GRE) 封包中,進一步採用 RSPAN。 此方法可跨不同網路區段或甚至跨因特網進行流量鏡像。
鏡像設定 - 來源埠/VLAN:設定交換器以鏡像來自所選埠或 VLAN 的流量。
- 目的地埠:鏡像流量會傳送至相同交換器上的指定埠。 此埠會連線到您的監視裝置。		 - 來源埠/VLAN:流量會從來源交換器上的指定來源埠或 VLAN 鏡像。
- RSPAN VLAN:鏡像流量會傳送至跨越多個交換器的特殊 RSPAN VLAN。
- 目的地埠:接著,流量會從此 RSPAN VLAN 擷取到遠端交換器上的指定埠,並在監視裝置連線所在的遠端交換器上擷取流量。		 - 來源埠/VLAN:類似於SPAN和 RSPAN,流量會從指定的來源埠或 VLAN 鏡像。
- 封裝:鏡像流量會封裝在 GRE 封包中,然後可跨 IP 網路路由傳送。
- 目的地埠:封裝的流量會傳送至連線到目的地埠的監視裝置,其中 GRE 封包會解除封裝和分析。
福利 - 簡單性:易於設定和管理。
- 低延遲:因為它受限於單一交換器,因此會引入最少的延遲。		 - 延伸涵蓋範圍:允許跨多個交換器進行監視。
- 彈性:可用來監視來自網路不同部分的流量。		 - 廣泛涵蓋範圍:跨不同的IP網路和位置啟用監視。
- 彈性:可用於需要透過長距離或透過複雜網路路徑監視流量的案例。
限制 本機範圍:僅限於在相同交換器內進行監視,這可能不足以供較大的網路使用。 網路負載:可能會因為 RSPAN VLAN 流量而增加網路上的負載。

選取鏡像方法時,也請考慮下列因素:

因素 描述
網路大小和版面配置 - SPAN 適用於本機監視。
- 適用於較大、多交換器環境的 RSPAN
- 適用於地理位置分散或複雜網路的 ERSPAN。
流量 請確定選擇的方法可以處理流量,而不會造成顯著的延遲或網路負載。
監視需求 判斷在本機或跨不同網路區段擷取流量,並選擇適當的方法。

流量鏡像流程

使用下列其中一個程序,在網路中設定流量鏡像:

SPAN 連接埠

虛擬交換器

適用於 IoT 的 Defender 也支援使用 TAP 設定進行流量鏡像。 如需詳細資訊,請參閱主動或被動彙總 (TAP)

下一步

網路感測器鏡像設定 >>