Sdílet prostřednictvím

Konfigurace a aktivace senzoru OT

  • Článek

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT a popisuje, jak nakonfigurovat počáteční nastavení nastavení a aktivovat senzor OT.

Diagram indikátoru průběhu se zvýrazněnou možností Nasadit senzory

V prohlížeči nebo prostřednictvím rozhraní příkazového řádku je možné provést několik počátečních kroků nastavení.

  • Pokud můžete z přepínače připojit fyzické kabely ke snímači a správně identifikovat vaše rozhraní, použijte prohlížeč. Nezapomeňte překonfigurovat síťový adaptér tak, aby odpovídal výchozímu nastavení senzoru.
  • Pokud znáte podrobnosti o síti, aniž byste museli připojit fyzické kabely, použijte rozhraní příkazového řádku. Rozhraní příkazového řádku použijte, pokud se k senzoru můžete připojit pouze přes iLo / iDrac.

Konfigurace nastavení prostřednictvím rozhraní příkazového řádku stále vyžaduje dokončení posledních několika kroků v prohlížeči.

Požadavky

K provedení postupů v tomto článku potřebujete:

  • Senzor OT nasazený do Defenderu pro IoT na webu Azure Portal.

  • Software senzoru OT nainstalovaný na vašem zařízení. Ujistěte se, že jste software nainstalovali sami nebo koupili předkonfigurované zařízení.

  • Aktivační soubor senzoru, který se stáhl po připojení senzoru. Pro každý nasazený senzor OT potřebujete jedinečný aktivační soubor.

    Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

    Poznámka:

    Platnost aktivačních souborů vyprší 14 dnů po vytvoření. Pokud jste senzor onboardovali, ale nenahráli jste aktivační soubor před vypršením jeho platnosti, stáhněte si nový aktivační soubor.

  • Certifikát SSL/TLS. Doporučujeme používat certifikát podepsaný certifikační autoritou, nikoli certifikát podepsaný svým držitelem. Další informace najdete v tématu Vytvoření certifikátů SSL/TLS pro zařízení OT.

  • Přístup k fyzickému nebo virtuálnímu zařízení, kam instalujete senzor. Další informace najdete v tématu Která zařízení potřebuji?

Tento krok provádí týmy nasazení.

Konfigurace nastavení prostřednictvím prohlížeče

Konfigurace nastavení senzoru prostřednictvím prohlížeče zahrnuje následující kroky:

  • Přihlášení ke konzole senzoru a změna uživatelského hesla správce
  • Definování podrobností o síti pro senzor
  • Definování rozhraní, která chcete monitorovat
  • Aktivace senzoru
  • Konfigurace nastavení certifikátu SSL/TLS

Přihlaste se ke konzole senzoru a změňte výchozí heslo.

Tento postup popisuje, jak se poprvé přihlásit ke konzole senzoru OT. Zobrazí se výzva ke změně výchozího hesla pro uživatele správce .

Přihlášení ke snímači:

  1. V prohlížeči přejděte na 192.168.0.101 IP adresu, což je výchozí IP adresa zadaná pro váš senzor na konci instalace.

    Zobrazí se úvodní přihlašovací stránka. Příklad:

    Snímek obrazovky s přihlašovací stránkou počátečního senzoru

  2. Zadejte následující přihlašovací údaje a vyberte Přihlásit:

    • Uživatelské jméno: admin
    • Heslo: admin

    Zobrazí se výzva k definování nového hesla pro uživatele s rolí správce .

  3. Do pole Nové heslo zadejte nové heslo. Heslo musí obsahovat malá a velká písmena, číslice a symboly.

    Do pole Potvrdit nové heslo znovu zadejte nové heslo a pak vyberte Začínáme.

    Další informace najdete v tématu Výchozí privilegovaní uživatelé.

Defender for IoT | Otevře se stránka Přehled na kartě Rozhraní pro správu.

Definování podrobností o sítích snímačů

Na kartě Rozhraní pro správu definujte podrobnosti o síti pro nový senzor pomocí následujících polí:

Název Popis
Rozhraní pro správu Vyberte rozhraní, které chcete použít jako rozhraní pro správu, a připojte se k webu Azure Portal nebo k místní konzole pro správu.

Pokud chcete identifikovat fyzické rozhraní na vašem počítači, vyberte rozhraní a pak vyberte Blink fyzické rozhraní LED. Port, který odpovídá vybranému rozhraní, se rozsvítí, abyste mohli kabel správně připojit.
IP Address Zadejte IP adresu, kterou chcete použít pro senzor. Toto je IP adresa, kterou váš tým používá k připojení k senzoru přes prohlížeč nebo rozhraní příkazového řádku.
Maska podsítě Zadejte adresu, kterou chcete použít jako masku podsítě senzoru.
Výchozí brána Zadejte adresu, kterou chcete použít jako výchozí bránu senzoru.
DNS Zadejte IP adresu serveru DNS senzoru.
Název hostitele Zadejte název hostitele, který chcete přiřadit k senzoru. Ujistěte se, že používáte stejný název hostitele, jako je definovaný na serveru DNS.
Povolení proxy serveru pro připojení ke cloudu (volitelné) Vyberte, pokud chcete definovat proxy server pro váš senzor.

Pokud pro přístup k proxy serveru používáte certifikát SSL/TSL, vyberte Klientský certifikát a nahrajte certifikát.

Až budete hotovi, vyberte Další: Konfigurace rozhraní a pokračujte.

Definování rozhraní, která chcete monitorovat

Na kartě Konfigurace rozhraní se ve výchozím nastavení zobrazují všechna rozhraní zjištěná senzorem. Na této kartě můžete zapnout nebo vypnout monitorování na rozhraní nebo definovat konkrétní nastavení pro každé rozhraní.

Tip

Doporučujeme optimalizovat výkon senzoru tak, že nakonfigurujete nastavení tak, aby monitorovala pouze rozhraní, která se aktivně používají.

Na kartě Konfigurace rozhraní nakonfigurujte nastavení pro monitorovaná rozhraní následujícím způsobem:

  1. U všech rozhraní, která mají senzor monitorovat, vyberte přepínač Povolit/Zakázat. Abyste mohli pokračovat, musíte vybrat alespoň jedno rozhraní.

    Pokud si nejste jistí, které rozhraní použít, vyberte tlačítko Blink fyzického rozhraní LED , aby vybraný port bliknul na vašem počítači. Vyberte všechna rozhraní, která jste připojili k přepínači.

  2. (Volitelné) U každého rozhraní, které vyberete pro monitorování, vyberte tlačítko Upřesnit nastavení a upravte některé z následujících nastavení:

    Název Popis
    Režimu Vyberte jednu z následujících možností:
    - Span Traffic (bez zapouzdření) pro použití výchozího zrcadlení portů SPAN.
    - ERSPAN , pokud používáte zrcadlení ERSPAN.

    Další informace najdete v tématu Volba metody zrcadlení provozu pro senzory OT.
    Popis Zadejte volitelný popis rozhraní. Uvidíte to později na stránce Konfigurace rozhraní nastavení > systému senzoru a tyto popisy můžou být užitečné při pochopení účelu každého rozhraní.
    Automatické vyjednávání Relevantní pouze pro fyzické počítače. Pomocí této možnosti můžete určit, jaký druh komunikačních metod se používá, nebo jestli jsou komunikační metody automaticky definovány mezi komponentami.

    Důležité: Doporučujeme toto nastavení změnit jenom na radu vašeho síťového týmu.

    Výběrem možnosti Uložit uložte změny.

  3. Vyberte Další: Pokračujte restartováním > a pak spusťte restartování počítače se senzorem. Po opětovném spuštění senzoru se automaticky přesměrujete na IP adresu, kterou jste definovali dříve jako IP adresu senzoru.

    Výběrem možnosti Storno počkejte na restartování.

Aktivace senzoru OT

Tento postup popisuje, jak aktivovat nový senzor OT.

Pokud jste počáteční nastavení nakonfigurovali prostřednictvím rozhraní příkazového řádku až doteď, spustíte konfiguraci založenou na prohlížeči v tomto kroku. Po restartování senzoru budete přesměrováni do stejného defenderu pro IoT | Stránka Přehled na kartě Aktivace

Aktivace senzoru:

  1. Na kartě Aktivace vyberte Nahrát a nahrajte aktivační soubor senzoru, který jste stáhli z webu Azure Portal.
  2. Vyberte možnost Podmínky a ujednání a pak vyberte Aktivovat.
  3. Vyberte Další: Certifikáty.

Definování nastavení certifikátu SSL/TLS

Pomocí karty Certifikáty nasaďte na senzor OT certifikát SSL/TLS. Doporučujeme použít certifikát podepsaný certifikační autoritou pro všechna produkční prostředí.

Definování nastavení certifikátu SSL/TLS:

  1. Na kartě Certifikáty vyberte Importovat certifikát důvěryhodné certifikační autority (doporučeno) a nasaďte certifikát podepsaný certifikační autoritou.

    Zadejte název a heslo certifikátu a pak vyberte Nahrát a nahrajte soubor privátního klíče, soubor certifikátu a volitelný soubor řetězu certifikátů.

    Po nahrání souborů možná budete muset stránku aktualizovat. Další informace najdete v tématu Řešení chyb nahrávání certifikátů.

    Tip

    Pokud pracujete na testovacím prostředí, můžete také použít certifikát podepsaný svým držitelem místně vygenerovaný během instalace. Pokud se rozhodnete použít certifikát podepsaný svým držitelem, nezapomeňte vybrat možnost Potvrdit doporučení.

    Další informace najdete v tématu Správa certifikátů SSL/TLS.

  2. V oblasti Ověření místního certifikátu konzoly pro správu vyberte Možnost Povinné, pokud chcete ověřit certifikát místní konzoly pro správu vůči seznamu odvolaných certifikátů (CRL), jak je nakonfigurováno v certifikátu.

    Další informace najdete v tématu Požadavky na certifikáty SSL/TLS pro místní prostředky a vytvoření certifikátů SSL/TLS pro zařízení OT.

  3. Výběrem možnosti Dokončit dokončete počáteční nastavení a otevřete konzolu senzoru.

Konfigurace nastavení prostřednictvím rozhraní příkazového řádku

Tento postup použijte ke konfiguraci následujících počátečních nastavení nastavení prostřednictvím rozhraní příkazového řádku:

  • Přihlášení ke konzole snímače a nastavení nového uživatelského hesla správce
  • Definování podrobností o síti pro senzor
  • Definování rozhraní, která chcete monitorovat

Pokračujte v aktivaci a konfiguraci nastavení certifikátu SSL/TLS v prohlížeči.

Konfigurace počátečního nastavení pomocí rozhraní příkazového řádku:

  1. Po zobrazení výchozích podrobností sítě na instalační obrazovce pokračujte stisknutím klávesy ENTER .

  2. Na příkazovém D4Iot login řádku se přihlaste pomocí následujících výchozích přihlašovacích údajů:

    • Uživatelské jméno: admin
    • Heslo: admin

    Při zadávání hesla se na obrazovce nezobrazí znaky hesla. Ujistěte se, že jste je zadali pečlivě.

  3. Na příkazovém řádku zadejte nové heslo pro uživatele správce . Heslo musí obsahovat malá a velká písmena, číslice a symboly.

    Po zobrazení výzvy k potvrzení hesla zadejte nové heslo znovu. Další informace najdete v tématu Výchozí privilegovaní uživatelé.

    <stane se to okamžitě? nejasné> – Otevře se Package configuration průvodce konfigurací Linuxu. V tomto průvodci můžete procházet pomocí šipek nahoru nebo dolů a pomocí mezerníku vybrat možnost. Stisknutím klávesy ENTER přejděte na další obrazovku.

  4. Na obrazovce průvodce Select monitor interfaces vyberte libovolné rozhraní, které chcete monitorovat pomocí tohoto senzoru.

    Systém vybere první rozhraní, které najde jako rozhraní pro správu, a doporučujeme ponechat výchozí výběr. Pokud se rozhodnete použít jiný port jako rozhraní pro správu, změna se implementuje až po restartování senzoru. V takových případech se ujistěte, že je senzor podle potřeby připojený.

    Příklad:

    Snímek obrazovky Vybrat rozhraní monitoru

    Důležité

    Ujistěte se, že jste vybrali pouze připojená rozhraní.

    Pokud vyberete rozhraní, která jsou povolená, ale nepřipojená, senzor na webu Azure Portal zobrazí oznámení o stavu bez monitorování provozu. Pokud po instalaci připojíte další zdroje provozu a chcete je monitorovat pomocí Defenderu pro IoT, můžete je později přidat prostřednictvím rozhraní příkazového řádku.

  5. Select management interface Na obrazovce vyberte rozhraní, které chcete použít pro připojení k webu Azure Portal nebo místní konzole pro správu.

    Příklad:

    Snímek obrazovky s výběrem rozhraní pro správu

  6. Enter sensor IP address Na obrazovce zadejte IP adresu, kterou chcete použít pro tento senzor. Pomocí této IP adresy se připojte k senzoru přes rozhraní příkazového řádku nebo prohlížeče. Příklad:

    Snímek obrazovky s obrazovkou Zadat IP adresu senzoru

  7. Enter path to the mounted backups folder Na obrazovce zadejte cestu k připojeným zálohám snímače. Doporučujeme použít výchozí cestu /opt/sensor/persist/backups. Příklad:

    Snímek obrazovky s konfigurací připojené složky záloh

  8. Enter Subnet Mask Na obrazovce zadejte IP adresu masky podsítě senzoru. Příklad:

    Snímek obrazovky Zadat masku podsítě

  9. Enter Gateway Na obrazovce zadejte výchozí IP adresu brány senzoru. Příklad:

    Snímek obrazovky Enter Gateway

  10. Enter DNS server Na obrazovce zadejte IP adresu serveru DNS senzoru. Příklad:

    Snímek obrazovky Enter DNS server (Enter DNS server)

  11. Na Enter hostname obrazovce zadejte název, který chcete použít jako název hostitele senzoru. Ujistěte se, že používáte stejný název hostitele, jako je definovaný na serveru DNS. Příklad:

    Snímek obrazovky enter hostname (Zadat název hostitele)

  12. Na Run this sensor as a proxy server (Preview) obrazovce vyberte <Yes> pouze v případě, že chcete nakonfigurovat proxy server, a zadejte přihlašovací údaje proxy serveru podle výzvy. Další informace najdete v tématu Konfigurace nastavení proxy serveru na senzoru OT.

    Výchozí konfigurace je bez proxy serveru.

  13. Proces konfigurace se spustí, restartuje a zobrazí výzvu k opětovnému přihlášení. Příklad:

    Snímek obrazovky s poslední výzvou k přihlášení na konci počáteční konfigurace rozhraní příkazového řádku

V tomto okamžiku otevřete prohlížeč s IP adresou, kterou jste definovali pro senzor, a pokračujte v nastavení v prohlížeči. Další informace najdete v tématu Aktivace senzoru OT.

Poznámka:

Během počátečního nastavení jsou možnosti pro porty monitorování ERSPAN dostupné pouze v postupu založeném na prohlížeči.

Pokud definujete podrobnosti o síti přes rozhraní příkazového řádku a chcete nastavit monitorovací porty ERSPAN, proveďte to poté prostřednictvím stránky připojení rozhraní Nastavení > rozhraní senzoru. Další informace najdete v tématu Aktualizace monitorovacích rozhraní senzoru (konfigurace ERSPAN).

Další kroky

« Ověření instalace softwaru senzoru OT

Konfigurace nastavení proxy serveru na senzoru OT »