البرنامج التعليمي: تثبيت Defender لعامل IoT الصغير
سيساعدك هذا البرنامج التعليمي على تعلم كيفية تثبيت عامل Defender for IoT الصغير والمصادقة عليه.
في هذا البرنامج التعليمي، ستتعرف على كيفية القيام بما يلي:
- قم بتنزيل وتثبيت برنامج العامل الصغير
- توثيق العامل الصغير
- التحقق من صحة التثبيت
- اختبر النظام
- قم بتثبيت إصدار عامل محدد
المتطلبات الأساسية
حساب Azure باشتراك نشط. إنشاء حساب مجاناً.
تحقق من أنك تقوم بتشغيل أحد أنظمة التشغيل التالية.
يجب أن تكون قد قمت بتمكين Microsoft Defender for IoT على Azure IoT Hub.
يجب أن تكون قد أضفت مجموعة موارد إلى حل إنترنت الأشياء الخاص بك.
يجب أن تكون قد أنشأت وحدة Defender for IoT micro agent المزدوجة.
قم بتنزيل وتثبيت برنامج العامل الصغير
اعتماداً على الإعداد الخاص بك، يجب تثبيت حزمة Microsoft المناسبة.
لإضافة مستودع حزمة Microsoft المناسب::
قم بتنزيل تكوين المستودع الذي يتطابق مع نظام تشغيل جهازك.
بالنسبة إلى Ubuntu 18.04:
curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
بالنسبة إلى Ubuntu 20.04:
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
بالنسبة إلى Debian 9 (كل من AMD64 وARM64):
curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
استخدم الأمر التالي لنسخ تكوين المستودع إلى الدليل
sources.list.d
:sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
قم بتثبيت المفتاح العام لـ Microsoft GPG بالأمر التالي:
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
تأكد من تحديث apt باستخدام الأمر التالي:
sudo apt-get update
استخدم الأمر التالي لتثبيت حزمة عامل Defender for IoT الصغير على توزيعات Debian أو توزيعات Linux التي تستند إلى Ubuntu:
sudo apt-get install defender-iot-micro-agent
الاتصال عبر وكيل
يصف هذا الإجراء كيفية توصيل Defender لعامل IoT الصغير بمركز IoT عبر وكيل.
لتكوين الاتصالات عبر وكيل:
على جهاز العامل الصغير، قم بإنشاء
/etc/defender_iot_micro_agent/conf.json
ملف بالمحتوى التالي:{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
حقول المستخدم وكلمة المرور اختيارية. إذا لم تكن بحاجة إليها، فاستخدم بناء الجملة التالي بدلاً من ذلك:
{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.
أعد تشغيل العامل الصغير. قم بتشغيل:
sudo systemctl restart defender-iot-micro-agent.service
إضافة دعم بروتوكول AMQP
يصف هذا الإجراء الخطوات الإضافية المطلوبة لدعم بروتوكول AMQP.
لإضافة دعم بروتوكول AMQP:
على جهاز العامل الصغير، افتح
/etc/defender_iot_micro_agent/conf.json
الملف وأضف المحتوى التالي:{ "IothubModule_TransportProtocol": "AMQP_Protocol" }
احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.
أعد تشغيل العامل الصغير. قم بتشغيل:
sudo systemctl restart defender-iot-micro-agent.service
لإضافة AMQP عبر دعم بروتوكول مأخذ توصيل الويب:
على جهاز العامل الصغير، افتح
/etc/defender_iot_micro_agent/conf.json
الملف وأضف المحتوى التالي:{ "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol" }
احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.
أعد تشغيل العامل الصغير. قم بتشغيل:
sudo systemctl restart defender-iot-micro-agent.service
سيستخدم العامل هذا البروتوكول، ويتواصل مع IoT Hub على المنفذ 443. يتم دعم تكوين وكيل Http لهذا البروتوكول، في حالة تكوين الوكيل أيضا، سيتم تحديد منفذ الاتصال بالوكيل كما هو محدد في تكوين الوكيل.
توثيق العامل الصغير
هناك خياران يمكن استخدامهما لمصادقة عامل Defender for IoT الصغير:
المصادقة باستخدام سلسلة اتصال هوية وحدة نمطية
ستحتاج إلى نسخ سلسلة اتصال هوية الوحدة من تفاصيل هوية وحدة DefenderIoTMicroAgent.
لنسخ سلسلة اتصال هوية الوحدة:
انتقل إلىأجهزةإدارة> أجهزة IoT Hub>
Your hub
>.حدد جهازاً من قائمة معرف الجهاز.
حدد علامة التبويب Module Identities.
حدد الوحدة النمطية DefenderIotMicroAgent من قائمة هويات الوحدة النمطية المرتبطة بالجهاز.
انسخ سلسلة الاتصال (المفتاح الأساسي) عن طريق تحديد الزر copy.
قم بإنشاء ملف باسم
connection_string.txt
يحتوي على سلسلة الاتصال المنسوخة المشفرة في utf-8 في مسار دليل عامل إنترنت الأشياء/etc/defender_iot_micro_agent
عن طريق إدخال الأمر التالي:sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
سيتم وضع
connection_string.txt
الآن في موقع المسار التالي/etc/defender_iot_micro_agent/connection_string.txt
.ملاحظة
تتضمن سلسلة الاتصال مفتاحا يتيح الوصول المباشر إلى الوحدة نفسها، وبالتالي تتضمن معلومات حساسة يجب استخدامها فقط وقابلة للقراءة من قبل مستخدمي الجذر.
إعادة تشغيل الخدمة باستخدام هذا الأمر:
sudo systemctl restart defender-iot-micro-agent.service
المصادقة باستخدام شهادة
للمصادقة باستخدام شهادة:
قم بشراء شهادة باتباع هذه التعليمات.
ضع الجزء العام المشفر بواسطة PEM من الشهادة والمفتاح الخاص في
/etc/defender_iot_micro_agent
على الملفات المسماةcertificate_public.pem
وcertificate_private.pem
.ضع سلسلة الاتصال المناسبة في الملف
connection_string.txt
. يجب أن تبدو سلسلة الاتصال كما يلي:HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true
تنبه هذه السلسلة عامل Defender for IoT إلى توقع تقديم شهادة للمصادقة.
إعادة تشغيل الخدمة باستخدام الأمر التالي:
sudo systemctl restart defender-iot-micro-agent.service
التحقق من صحة التثبيت
للتحقق من صحة التثبيت:
استخدم الأمر التالي للتأكد من أن العامل الصغير يعمل بشكل صحيح:
systemctl status defender-iot-micro-agent.service
تأكد من استقرار الخدمة عن طريق التأكد من أنها
active
، وأن وقت تشغيل العملية مناسب.
اختبر النظام
يمكنك اختبار النظام عن طريق إنشاء ملف المشغل على الجهاز. يؤدي ملف المشغل لفحص الأساس في العامل للكشف عن الملف باعتباره انتهاكًا للأساس.
إنشاء ملف على نظام الملفات مع الأمر التالي:
sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
تأكد من أن مساحة عمل Log Analytics متصلة بمركز IoT الخاص بك. لمزيد من المعلومات، راجع إنشاء مساحة عمل تحليلات السجل.
أعد تشغيل العامل باستخدام الأمر:
sudo systemctl restart defender-iot-micro-agent.service
السماح حتى ساعة واحدة لتظهر التوصية في المركز.
تم إنشاء توصية أساسية تسمى "IoT_CISBenchmarks_DIoTTest". يمكنك الاستعلام عن هذه التوصية من Log Analytics على النحو التالي:
SecurityRecommendation
| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"
| where DeviceId contains "<device-id>"
| top 1 by TimeGenerated desc
على سبيل المثال:
قم بتثبيت إصدار عامل محدد
يمكنك تثبيت إصدار محدد من العامل الصغير باستخدام أمر محدد.
لتثبيت إصدار محدد من عامل Defender for IoT الصغير:
افتح terminal.
تشغيل الأمر التالي:
sudo apt-get install defender-iot-micro-agent=<version>
تنظيف الموارد
لا توجد موارد تحتاج إلى إزالة.