Sdílet prostřednictvím

Konfigurace a aktivace senzoru OT

  • Článek

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT a popisuje, jak nakonfigurovat počáteční nastavení nastavení a aktivovat senzor OT.

Diagram indikátoru průběhu se zvýrazněnou možností Nasadit senzory

V prohlížeči nebo prostřednictvím rozhraní příkazového řádku je možné provést několik počátečních kroků nastavení.

  • Pokud můžete z přepínače připojit fyzické kabely ke snímači a správně identifikovat vaše rozhraní, použijte prohlížeč. Nezapomeňte překonfigurovat síťový adaptér tak, aby odpovídal výchozímu nastavení senzoru.
  • Pokud znáte podrobnosti o síti, aniž byste museli připojit fyzické kabely, použijte rozhraní příkazového řádku. Rozhraní příkazového řádku použijte, pokud se k senzoru můžete připojit pouze přes iLo / iDrac.

Konfigurace nastavení prostřednictvím rozhraní příkazového řádku stále vyžaduje dokončení posledních několika kroků v prohlížeči.

Požadavky

K provedení postupů v tomto článku potřebujete:

  • Senzor OT nasazený do Defenderu pro IoT na webu Azure Portal.

  • Software senzoru OT nainstalovaný na vašem zařízení. Ujistěte se, že jste software nainstalovali sami nebo koupili předkonfigurované zařízení.

  • Aktivační soubor senzoru, který se stáhl po připojení senzoru. Pro každý nasazený senzor OT potřebujete jedinečný aktivační soubor.

    Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

    Poznámka:

    Platnost aktivačních souborů vyprší 14 dnů po vytvoření. Pokud jste senzor onboardovali, ale nenahráli jste aktivační soubor před vypršením jeho platnosti, stáhněte si nový aktivační soubor.

  • Certifikát SSL/TLS. Doporučujeme používat certifikát podepsaný certifikační autoritou, nikoli certifikát podepsaný svým držitelem. Další informace najdete v tématu Vytvoření certifikátů SSL/TLS pro zařízení OT.

  • Přístup k fyzickému nebo virtuálnímu zařízení, kam instalujete senzor. Další informace najdete v tématu Která zařízení potřebuji?

Tento krok provádí týmy nasazení.

Konfigurace nastavení prostřednictvím prohlížeče

Konfigurace nastavení senzoru prostřednictvím prohlížeče zahrnuje následující kroky:

  • Přihlášení ke konzole senzoru a změna uživatelského hesla správce
  • Definování podrobností o síti pro senzor
  • Definování rozhraní, která chcete monitorovat
  • Aktivace senzoru
  • Konfigurace nastavení certifikátu SSL/TLS

Přihlaste se ke konzole senzoru a změňte výchozí heslo.

Tento postup popisuje, jak se poprvé přihlásit ke konzole senzoru OT. Zobrazí se výzva ke změně výchozího hesla pro uživatele správce .

Přihlášení ke snímači:

  1. V prohlížeči přejděte na 192.168.0.101 IP adresu, což je výchozí IP adresa zadaná pro váš senzor na konci instalace.

    Zobrazí se úvodní přihlašovací stránka. Příklad:

    Snímek obrazovky s přihlašovací stránkou počátečního senzoru

  2. Zadejte následující přihlašovací údaje a vyberte Přihlásit:

    • Uživatelské jméno: admin
    • Heslo: admin

    Zobrazí se výzva k definování nového hesla pro uživatele s rolí správce .

  3. Do pole Nové heslo zadejte nové heslo. Heslo musí obsahovat malá a velká písmena, číslice a symboly.

    Do pole Potvrdit nové heslo znovu zadejte nové heslo a pak vyberte Začínáme.

    Další informace najdete v tématu Výchozí privilegovaní uživatelé.

Defender for IoT | Otevře se stránka Přehled na kartě Rozhraní pro správu.

Definování podrobností o sítích snímačů

Na kartě Rozhraní pro správu definujte podrobnosti o síti pro nový senzor pomocí následujících polí:

Název Popis
Rozhraní pro správu Vyberte rozhraní, které chcete použít jako rozhraní pro správu, a připojte se k webu Azure Portal nebo k místní konzole pro správu.

Pokud chcete identifikovat fyzické rozhraní na vašem počítači, vyberte rozhraní a pak vyberte Blink fyzické rozhraní LED. Port, který odpovídá vybranému rozhraní, se rozsvítí, abyste mohli kabel správně připojit.
IP Address Zadejte IP adresu, kterou chcete použít pro senzor. Toto je IP adresa, kterou váš tým používá k připojení k senzoru přes prohlížeč nebo rozhraní příkazového řádku.
Maska podsítě Zadejte adresu, kterou chcete použít jako masku podsítě senzoru.
Výchozí brána Zadejte adresu, kterou chcete použít jako výchozí bránu senzoru.
DNS Zadejte IP adresu serveru DNS senzoru.
Název hostitele Zadejte název hostitele, který chcete přiřadit k senzoru. Ujistěte se, že používáte stejný název hostitele, jako je definovaný na serveru DNS.
Povolení proxy serveru pro připojení ke cloudu (volitelné) Vyberte, pokud chcete definovat proxy server pro váš senzor.

Pokud pro přístup k proxy serveru používáte certifikát SSL/TSL, vyberte Klientský certifikát a nahrajte certifikát.

Až budete hotovi, vyberte Další: Konfigurace rozhraní a pokračujte.

Definování rozhraní, která chcete monitorovat

Na kartě Konfigurace rozhraní se ve výchozím nastavení zobrazují všechna rozhraní zjištěná senzorem. Na této kartě můžete zapnout nebo vypnout monitorování na rozhraní nebo definovat konkrétní nastavení pro každé rozhraní.

Tip

Doporučujeme optimalizovat výkon senzoru tak, že nakonfigurujete nastavení tak, aby monitorovala pouze rozhraní, která se aktivně používají.

Na kartě Konfigurace rozhraní nakonfigurujte nastavení pro monitorovaná rozhraní následujícím způsobem:

  1. U všech rozhraní, která mají senzor monitorovat, vyberte přepínač Povolit/Zakázat. Abyste mohli pokračovat, musíte vybrat alespoň jedno rozhraní.

    Pokud si nejste jistí, které rozhraní použít, vyberte tlačítko Blink fyzického rozhraní LED , aby vybraný port bliknul na vašem počítači. Vyberte všechna rozhraní, která jste připojili k přepínači.

  2. (Volitelné) U každého rozhraní, které vyberete pro monitorování, vyberte tlačítko Upřesnit nastavení a upravte některé z následujících nastavení:

    Název Popis
    Režim Vyberte jednu z následujících možností:
    - Span Traffic (bez zapouzdření) pro použití výchozího zrcadlení portů SPAN.
    - ERSPAN , pokud používáte zrcadlení ERSPAN.

    Další informace najdete v tématu Volba metody zrcadlení provozu pro senzory OT.
    Popis Zadejte volitelný popis rozhraní. Uvidíte to později na stránce Konfigurace rozhraní nastavení > systému senzoru a tyto popisy můžou být užitečné při pochopení účelu každého rozhraní.
    Automatické vyjednávání Relevantní pouze pro fyzické počítače. Pomocí této možnosti můžete určit, jaký druh komunikačních metod se používá, nebo jestli jsou komunikační metody automaticky definovány mezi komponentami.

    Důležité: Doporučujeme toto nastavení změnit jenom na radu vašeho síťového týmu.

    Výběrem možnosti Uložit uložte změny.

  3. Vyberte Další: Pokračujte restartováním > a pak spusťte restartování počítače se senzorem. Po opětovném spuštění senzoru se automaticky přesměrujete na IP adresu, kterou jste definovali dříve jako IP adresu senzoru.

    Výběrem možnosti Storno počkejte na restartování.

Aktivace senzoru OT

Tento postup popisuje, jak aktivovat nový senzor OT.

Pokud jste počáteční nastavení nakonfigurovali prostřednictvím rozhraní příkazového řádku až doteď, spustíte konfiguraci založenou na prohlížeči v tomto kroku. Po restartování senzoru budete přesměrováni do stejného defenderu pro IoT | Stránka Přehled na kartě Aktivace

Aktivace senzoru:

  1. Na kartě Aktivace vyberte Nahrát a nahrajte aktivační soubor senzoru, který jste stáhli z webu Azure Portal.
  2. Vyberte možnost Podmínky a ujednání a pak vyberte Aktivovat.
  3. Vyberte Další: Certifikáty.

Pokud máte problém s připojením mezi cloudovým senzorem a webem Azure Portal během procesu aktivace, který způsobuje selhání aktivace, zobrazí se zpráva pod tlačítkem Aktivovat. Pokud chcete vyřešit problém s připojením, vyberte Další informace a otevře se podokno Cloudové připojení . V podokně jsou uvedeny příčiny problému a doporučení, která je potřeba vyřešit.

I bez řešení problému, který můžete pokračovat v další fázi, vyberte Další: Certifikáty.

Jediným problémem s připojením, který je potřeba vyřešit před přechodem do další fáze, je zjištění posunu času a senzor není synchronizovaný s cloudem. V takovém případě musí být senzor před přechodem do další fáze správně synchronizovaný, jak je popsáno v doporučeních.

Definování nastavení certifikátu SSL/TLS

Pomocí karty Certifikáty nasaďte na senzor OT certifikát SSL/TLS. Doporučujeme použít certifikát podepsaný certifikační autoritou pro všechna produkční prostředí.

Definování nastavení certifikátu SSL/TLS:

  1. Na kartě Certifikáty vyberte Importovat certifikát důvěryhodné certifikační autority (doporučeno) a nasaďte certifikát podepsaný certifikační autoritou.

    Zadejte název a heslo certifikátu a pak vyberte Nahrát a nahrajte soubor privátního klíče, soubor certifikátu a volitelný soubor řetězu certifikátů.

    Po nahrání souborů možná budete muset stránku aktualizovat. Další informace najdete v tématu Řešení chyb nahrávání certifikátů.

    Tip

    Pokud pracujete na testovacím prostředí, můžete také použít certifikát podepsaný svým držitelem místně vygenerovaný během instalace. Pokud se rozhodnete použít certifikát podepsaný svým držitelem, nezapomeňte vybrat možnost Potvrdit doporučení.

    Další informace najdete v tématu Správa certifikátů SSL/TLS.

  2. V oblasti Ověření místního certifikátu konzoly pro správu vyberte Možnost Povinné, pokud chcete ověřit certifikát místní konzoly pro správu vůči seznamu odvolaných certifikátů (CRL), jak je nakonfigurováno v certifikátu.

    Další informace najdete v tématu Požadavky na certifikáty SSL/TLS pro místní prostředky a vytvoření certifikátů SSL/TLS pro zařízení OT.

  3. Výběrem možnosti Dokončit dokončete počáteční nastavení a otevřete konzolu senzoru.

Konfigurace nastavení prostřednictvím rozhraní příkazového řádku

Tento postup použijte ke konfiguraci následujících počátečních nastavení nastavení prostřednictvím rozhraní příkazového řádku:

  • Přihlášení ke konzole snímače a nastavení nového uživatelského hesla správce
  • Definování podrobností o síti pro senzor
  • Definování rozhraní, která chcete monitorovat

Pokračujte v aktivaci a konfiguraci nastavení certifikátu SSL/TLS v prohlížeči.

Poznámka:

Informace v tomto článku platí pro senzor verze 24.1.5. Pokud používáte starší verzi, přečtěte si informace o konfiguraci zrcadlení ERSPAN.

Konfigurace počátečního nastavení pomocí rozhraní příkazového řádku:

  1. Po zobrazení výchozích podrobností sítě na instalační obrazovce pokračujte stisknutím klávesy ENTER .

  2. Na příkazovém D4Iot login řádku se přihlaste pomocí následujících výchozích přihlašovacích údajů:

    • Uživatelské jméno: admin
    • Heslo: admin

    Při zadávání hesla se na obrazovce nezobrazí znaky hesla. Ujistěte se, že jste je zadali pečlivě.

  3. Na příkazovém řádku zadejte nové heslo pro uživatele správce . Heslo musí obsahovat malá a velká písmena, číslice a symboly.

    Po zobrazení výzvy k potvrzení hesla zadejte nové heslo znovu. Další informace najdete v tématu Výchozí privilegovaní uživatelé.

  4. Po změně hesla se Sensor Config průvodce automaticky spustí. Pokračujte krokem 5.

    Pokud se přihlašujete k dalším příležitostem, pokračujte krokem 4.

  5. Průvodce spustíte Sensor Config zadáním výzvy network reconfigure. Pokud používáte kyberzločince, zadejte ERSPAN=1 python3 -m cyberx.config.configure.

  6. Na Sensor Config obrazovce se zobrazí aktuální nastavení rozhraní. Ujistěte se, že je jedno rozhraní nastavené jako rozhraní pro správu. V tomto průvodci můžete procházet pomocí šipek nahoru nebo dolů a pomocí mezerníku vybrat možnost. Stisknutím klávesy ENTER přejděte na další obrazovku.

    Vyberte rozhraní, které chcete nakonfigurovat, například:

    Snímek obrazovky Vybrat rozhraní monitoru

  7. Select type Na obrazovce vyberte nový typ konfigurace pro toto rozhraní.

Důležité

Ujistěte se, že jste vybrali pouze připojená rozhraní.

Pokud vyberete rozhraní, která jsou povolená, ale nepřipojená, senzor na webu Azure Portal zobrazí oznámení o stavu bez monitorování provozu. Pokud po instalaci připojíte další zdroje provozu a chcete je monitorovat pomocí Defenderu pro IoT, můžete je později přidat prostřednictvím rozhraní příkazového řádku.

Rozhraní lze nastavit jako Správa, Monitorování, Tunel nebo Nepoužité. Můžete chtít nastavit rozhraní jako nepoužité jako dočasné nastavení, resetovat ho nebo pokud došlo k chybě v původním nastavení.

  1. Konfigurace rozhraní pro správu:

    1. Vyberte rozhraní.

    2. Vyberte Možnost Správa.

    3. Zadejte IP adresu senzoru, IP adresu serveru DNS a výchozí IP adresu brány.

      Snímek obrazovky správy rozhraní

    4. Vyberte Zpět.

  2. Konfigurace rozhraní monitorování :

    1. Vyberte rozhraní.
    2. Vyberte Monitor. Aktualizuje se obrazovka Konfigurace snímače.

  3. Konfigurace rozhraní ERSPAN :

    1. Vyberte Typ.
    2. Vyberte ERSPAN.
    3. Vyberte Potvrdit.

  4. Konfigurace rozhraní jako nepoužité:

    1. Vyberte rozhraní.
    2. Vyberte existující stav.
    3. Vyberte Nepoužité. Aktualizuje se obrazovka Konfigurace snímače.

  5. Po nakonfigurování všech rozhraní vyberte Uložit.

Umístění složky automatického zálohování

Senzor automaticky vytvoří záložní složku. Pokud chcete změnit umístění připojených záloh, musíte:

  1. Přihlaste se k senzoru pomocí uživatele správce .
  2. Do rozhraní rozhraní příkazového řádku zadejte následující kód: system backup path a pak přidejte umístění cesty, například /opt/sensor/backup.
  3. Zálohování se spustí automaticky a může trvat až jednu minutu.

Poznámka:

Během počátečního nastavení jsou možnosti pro porty monitorování ERSPAN dostupné pouze v postupu založeném na prohlížeči.

Pokud definujete podrobnosti o síti přes rozhraní příkazového řádku a chcete nastavit monitorovací porty ERSPAN, proveďte to poté prostřednictvím stránky připojení rozhraní nastavení > senzoru. Další informace najdete v tématu Aktualizace monitorovacích rozhraní senzoru (konfigurace ERSPAN).

Další kroky

« Ověření instalace softwaru senzoru OT

Konfigurace nastavení proxy serveru na senzoru OT »