البرنامج التعليمي: تثبيت Defender for IoT micro agent

سيساعدك هذا البرنامج التعليمي على تعلم كيفية تثبيت عامل Defender for IoT الصغير والمصادقة عليه.

في هذا البرنامج التعليمي، ستتعلم كيفية:

• قم بتنزيل وتثبيت برنامج العامل الصغير
• توثيق العامل الصغير
• التحقق من صحة التثبيت
• اختبر النظام
• قم بتثبيت إصدار عامل محدد

إشعار

يخطط Defender for IoT لتقاعد الوكيل الصغير في 1 أغسطس 2025.

المتطلبات الأساسية

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.

• IoT Hub.

• تحقق من أنك تقوم بتشغيل أحد أنظمة التشغيل التالية.

• يجب أن تكون قد قمت بتمكين Microsoft Defender for IoT على Azure IoT Hub.

• يجب أن تكون قد أضفت مجموعة موارد إلى حل إنترنت الأشياء الخاص بك.

• يجب أن تكون قد أنشأت وحدة Defender for IoT micro agent المزدوجة.

قم بتنزيل وتثبيت برنامج العامل الصغير

اعتماداً على الإعداد الخاص بك، يجب تثبيت حزمة Microsoft المناسبة.

لإضافة مستودع حزمة Microsoft المناسب:

1. قم بتنزيل تكوين المستودع الذي يتطابق مع نظام تشغيل جهازك.

   • بالنسبة إلى Ubuntu 18.04:

     curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
     

   • بالنسبة إلى Ubuntu 20.04:

         curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
     

   • بالنسبة ل Debian 9 (كل من AMD64 وARM64):

     curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
     

2. استخدم الأمر التالي لنسخ تكوين المستودع إلى الدليل sources.list.d:

   sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
   

3. قم بتثبيت المفتاح العام لـ Microsoft GPG بالأمر التالي:

   curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
   sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
   

4. تأكد من تحديث apt باستخدام الأمر التالي:

   sudo apt-get update
   

5. استخدم الأمر التالي لتثبيت حزمة عامل Defender for IoT الصغير على توزيعات Debian أو توزيعات Linux التي تستند إلى Ubuntu:

   sudo apt-get install defender-iot-micro-agent 
   

الاتصال عبر وكيل

يصف هذا الإجراء كيفية توصيل Defender for IoT micro agent ب IoT Hub عبر وكيل.

لتكوين الاتصالات عبر وكيل:

1. على جهاز العامل الصغير، أنشئ ملفا /etc/defender_iot_micro_agent/conf.json بالمحتوى التالي:

   {
       "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>",
       "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
   }
   

   حقول المستخدم وكلمة المرور اختيارية. إذا لم تكن بحاجة إليها، فاستخدم بناء الجملة التالي بدلاً من ذلك:

   {
       "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>",
       "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
   }
   
   

2. احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.

3. أعد تشغيل العامل الصغير. تشغيل:

   sudo systemctl restart defender-iot-micro-agent.service
   

إضافة دعم بروتوكول AMQP

يصف هذا الإجراء الخطوات الإضافية المطلوبة لدعم بروتوكول AMQP.

لإضافة دعم بروتوكول AMQP:

1. على جهاز العامل الصغير، افتح /etc/defender_iot_micro_agent/conf.json الملف وأضف المحتوى التالي:

   {
   "IothubModule_TransportProtocol": "AMQP_Protocol"
   }
   

2. احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.

3. أعد تشغيل العامل الصغير. تشغيل:

   sudo systemctl restart defender-iot-micro-agent.service
   

لإضافة AMQP عبر دعم بروتوكول مأخذ توصيل الويب:

1. على جهاز العامل الصغير، افتح /etc/defender_iot_micro_agent/conf.json الملف وأضف المحتوى التالي:

   {
   "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol"
   }
   

2. احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.

3. أعد تشغيل العامل الصغير. تشغيل:

   sudo systemctl restart defender-iot-micro-agent.service
   

سيستخدم العامل هذا البروتوكول، ويتواصل مع IoT Hub على المنفذ 443. يتم دعم تكوين وكيل HTTP لهذا البروتوكول، في حالة تكوين الوكيل أيضا، سيتم تحديد منفذ الاتصال بالوكيل كما هو محدد في تكوين الوكيل.

توثيق العامل الصغير

هناك خياران يمكن استخدامهما لمصادقة عامل Defender for IoT الصغير:

• المصادقة باستخدام سلسلة الاتصال هوية الوحدة النمطية.

• المصادقة باستخدام شهادة.

المصادقة باستخدام سلسلة اتصال هوية وحدة نمطية

ستحتاج إلى نسخ سلسلة اتصال هوية الوحدة من تفاصيل هوية وحدة DefenderIoTMicroAgent.

لنسخ سلسلة اتصال هوية الوحدة:

1. انتقل إلى >

   

2. حدد جهازاً من قائمة معرف الجهاز.

3. حدد علامة التبويب Module Identities.

4. حدد الوحدة النمطية DefenderIotMicroAgent من قائمة هويات الوحدة النمطية المرتبطة بالجهاز.

   

5. انسخ سلسلة الاتصال (المفتاح الأساسي) عن طريق تحديد الزر copy.

   

6. قم بإنشاء ملف باسم connection_string.txt يحتوي على سلسلة الاتصال المنسوخة المشفرة في utf-8 في مسار دليل عامل إنترنت الأشياء /etc/defender_iot_micro_agent عن طريق إدخال الأمر التالي:

   sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
   

   سيتم وضع connection_string.txt الآن في موقع المسار التالي /etc/defender_iot_micro_agent/connection_string.txt.

   إشعار

   يتضمن سلسلة الاتصال مفتاحا يتيح الوصول المباشر إلى الوحدة النمطية نفسها، وبالتالي يتضمن معلومات حساسة يجب استخدامها فقط وقابلة للقراءة من قبل مستخدمي الجذر.

7. إعادة تشغيل الخدمة باستخدام هذا الأمر:

   sudo systemctl restart defender-iot-micro-agent.service 
   

المصادقة باستخدام شهادة

للمصادقة باستخدام شهادة:

1. قم بشراء شهادة باتباع هذه الإرشادات.

2. ضع الجزء العام المشفر بواسطة PEM من الشهادة والمفتاح الخاص في /etc/defender_iot_micro_agentعلى الملفات المسماة certificate_public.pemو certificate_private.pem.

3. ضع سلسلة الاتصال المناسبة في الملفconnection_string.txt. يجب أن تبدو سلسلة الاتصال كما يلي:

   HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true

   تنبه هذه السلسلة عامل Defender for IoT إلى توقع تقديم شهادة للمصادقة.

4. إعادة تشغيل الخدمة باستخدام الأمر التالي:

   sudo systemctl restart defender-iot-micro-agent.service
   

التحقق من صحة التثبيت

للتحقق من صحة التثبيت:

1. استخدم الأمر التالي للتأكد من أن العامل الصغير يعمل بشكل صحيح:

   systemctl status defender-iot-micro-agent.service
   

2. تأكد من استقرار الخدمة عن طريق التأكد من أنها active، وأن وقت تشغيل العملية مناسب.

   

اختبر النظام

يمكنك اختبار النظام عن طريق إنشاء ملف المشغل على الجهاز. يؤدي ملف المشغل لفحص الأساس في العامل للكشف عن الملف باعتباره انتهاكًا للأساس.

1. إنشاء ملف على نظام الملفات مع الأمر التالي:

   sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
   

2. تأكد من أن مساحة عمل Log Analytics متصلة بمركز IoT الخاص بك. لمزيد من المعلومات، راجع إنشاء مساحة عمل تحليلات السجل.

3. أعد تشغيل العامل باستخدام الأمر:

   sudo systemctl restart defender-iot-micro-agent.service
   

السماح حتى ساعة واحدة لتظهر التوصية في المركز.

تم إنشاء توصية أساسية تسمى "IoT_CISBenchmarks_DIoTTest". يمكنك الاستعلام عن هذه التوصية من Log Analytics على النحو التالي:

SecurityRecommendation

| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"

| where DeviceId contains "<device-id>"

| top 1 by TimeGenerated desc

على سبيل المثال:

قم بتثبيت إصدار عامل محدد

يمكنك تثبيت إصدار محدد من العامل الصغير باستخدام أمر محدد.

لتثبيت إصدار محدد من عامل Defender for IoT الصغير:

1. افتح terminal.

2. شغّل الأمر التالي:

   sudo apt-get install defender-iot-micro-agent=<version>
   

تنظيف الموارد

لا توجد موارد تحتاج إلى إزالة.

الخطوات التالية

تكوين Microsoft Defender للحل المستند إلى عامل IoT