Tutorial: Durchführen des Onboardings und Aktivieren eines OT-Sensors
In diesem Tutorial werden die Grundlagen zum Einrichten eines Microsoft Defender for IoT-OT-Sensors unter Verwendung eines Testabonnements von Microsoft Defender for IoT und einem virtuellen Computer beschrieben.
Führen Sie für eine vollständige End-to-End-Bereitstellung die Schritte zum Planen und Vorbereiten Ihres Systems aus, und kalibrieren und optimieren Sie Ihre Einstellungen vollständig. Weitere Informationen finden Sie unter Bereitstellen von Defender for IoT für die OT-Überwachung.
Hinweis
Wenn Sie die Sicherheitsüberwachung für IoT-Unternehmenssysteme einrichten möchten, lesen Sie stattdessen die Informationen unter Aktivieren von Enterprise IoT-Sicherheit in Defender for Endpoint.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen eines virtuellen Computers für den Sensor
- Durchführen des Onboarding eines virtuellen Computers
- Konfigurieren eines virtuellen SPAN-Ports
- Bereitstellen für die Cloudverwaltung
- Herunterladen von Software für einen virtuellen Sensor
- Installieren der Software für den virtuellen Sensor
- Aktivieren des virtuellen Sensors
Voraussetzungen
Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:
Abgeschlossener Schnellstart: Erste Schritte mit Defender für IoT, sodass Sie ein Azure-Abonnement haben, das zu Defender für IoT hinzugefügt wurde.
Zugriff auf das Azure-Portal als Sicherheitsadministrator, Mitwirkender oder Besitzer. Weitere Informationen finden Sie unter Azure-Benutzerrollen für OT- und Enterprise IoT-Überwachung mit Defender for IoT.
Stellen Sie sicher, dass Sie über einen Netzwerkswitch verfügen, der die Datenverkehrsüberwachung über einen SPAN-Port unterstützt. Außerdem benötigen Sie mindestens ein zu überwachende Gerät, das mit dem SPAN-Port des Switches verbunden ist.
Betriebsbereite Installation von VMware (ab ESXi 5.5) in Ihrem Sensor
Verfügbare Hardwareressourcen für Ihren virtuellen Computer gemäß folgender Tabelle:
Bereitstellungstyp Unternehmen Enterprise SMB Maximale Bandbreite 2,5 GB/s 800 MB/s 160 MB/s Maximale Anzahl geschützter Geräte 12,000 10.000 800 Kenntnisse der OT-Überwachung mit virtuellen Appliances.
Details zu den folgenden Netzwerkparametern, die für Ihre Sensor-Appliance verwendet werden sollen:
- IP-Adresse des Verwaltungsnetzwerks
- Sensorsubnetzmaske
- Appliance-Hostname
- DNS-Adresse
- Standardgateway
- Eingabeschnittstellen
Erstellen eines virtuellen Computers für Ihren Sensor
In diesem Verfahren wird beschrieben, wie Sie einen virtuellen Computer für Ihren Sensor mit VMware ESXi erstellen.
Defender für IoT unterstützt auch andere Prozesse, z. B. Hyper-V oder physische Sensoren. Weitere Informationen finden Sie unter Installation von Defender für IoT.
So erstellen Sie einen virtuellen Computer für Ihren Sensor
Vergewissern Sie sich, dass VMware auf dem lokalen Computer ausgeführt wird.
Melden Sie sich beim ESXi an, wählen Sie den relevanten Datenspeicher und dann Datenspeicherbrowser aus.
Laden Sie das Image hoch, und wählen Sie Schließen aus.
Wechseln Sie zu Virtuelle Computer, und wählen Sie VM erstellen/registrieren aus.
Wählen Sie Neuen virtuellen Computer erstellen und dann Weiter aus.
Fügen Sie einen Sensornamen hinzu, und legen Sie dann die folgenden Optionen fest:
Kompatibilität: <Neueste ESXi-Version> aus.
Gastbetriebssystemfamilie: Linux
Gastbetriebssystemversion: Debian
Wählen Sie Weiter aus.
Wählen Sie den relevanten Datenspeicher und dann Weiter aus.
Ändern Sie die virtuellen Hardwareparameter entsprechend den für Sie erforderlichen Spezifikationen. Weitere Informationen finden Sie weiter oben in der Tabelle im Abschnitt „Voraussetzungen“.
Ihr virtueller Computer ist jetzt für die Installation der Defender für IoT-Software vorbereitet. Sie fahren fort, indem Sie die Software später in diesem Tutorial installieren, nachdem Sie das Onboarding Ihres Sensor im Azure-Portal durchgeführt, die Datenverkehrsspiegelung konfiguriert und den Computer für die Cloudverwaltung bereitgestellt haben.
Integrieren des virtuellen Sensors
Bevor Sie Ihren Defender for IoT-Sensor verwenden können, müssen Sie das Onboarding für Ihren neuen virtuellen Sensor in Ihrem Azure-Abonnement durchführen.
So integrieren Sie den virtuellen Sensor:
Navigieren Sie im Azure-Portal zur Seite Defender für IoT > Erste Schritte.
Wählen Sie unten links die Option Einrichten von OT/ICS-Sicherheit aus.
Wählen Sie alternativ auf der „Defender für IoT“-Seite Standorte und Sensoren die Option OT-Sensor integrieren>OT aus.
Standardmäßig sind auf der Seite OT/ICS-Sicherheit einrichten die Schritte Schritt 1: Haben Sie einen Sensor eingerichtet? und Schritt 2: SPAN-Port oder TAP konfigurieren des Assistenten reduziert.
Sie installieren Software und konfigurieren die Datenverkehrsspiegelung später im Bereitstellungsprozess, sollten jedoch Ihre Appliances bereit halten und die Methode zur Verkehrsspiegelung geplant haben.
Legen Sie in Schritt 3: Registrieren dieses Sensors bei Microsoft Defender für IoT die folgenden Werte fest:
Feldname BESCHREIBUNG Ressourcenname Wählen Sie den Standort aus, den Sie Ihren Sensoren anfügen möchten, oder wählen Sie Standort erstellen aus, um einen neuen Standort zu erstellen.
Wenn Sie einen neuen Standort erstellen:
1. Geben Sie im Feld Neuer Standort den Namen Ihres Standorts ein, und wählen Sie das Häkchen aus.
2. Wählen Sie im Menü Standortgröße die Größe Ihres Standorts aus. Die in diesem Menü aufgeführten Größen sind die Größen, für die Sie lizenziert sind, basierend auf den Lizenzen, die Sie im Microsoft 365 Admin Center erworben haben.Anzeigename Geben Sie einen aussagekräftigen Namen für Ihren Standort ein, der in Defender for IoT angezeigt werden soll. Tags Geben Sie Tagschlüssel und -werte ein, damit Sie Ihren Standort und Sensor im Azure-Portal identifizieren und finden können. Zone Wählen Sie die Zone aus, die Sie für Ihren OT-Sensor verwenden möchten, oder wählen Sie Zone erstellen aus, um eine neue Zone zu erstellen. Weitere Informationen finden Sie unter Planen von OT-Websites und -Zonen.
Wenn Sie mit allen anderen Feldern fertig sind, wählen Sie Registrieren aus, um Ihren Sensor zu Defender für IoT hinzuzufügen. Eine Erfolgsmeldung wird angezeigt, und Ihre Aktivierungsdatei wird automatisch heruntergeladen. Die Aktivierungsdatei ist für Ihren Sensor eindeutig und enthält Anweisungen zum Verwaltungsmodus Ihres Sensors.
Alle aus dem Azure-Portal heruntergeladenen Dateien sind durch den Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.
Speichern Sie die heruntergeladene Aktivierungsdatei an einem Speicherort, auf den die Benutzerin bzw. der Benutzer, die/der sich zum ersten Mal bei der Konsole anmeldet, Zugriff hat.
Sie können die Datei auch manuell herunterladen, indem Sie im Feld Activate your sensor (Ihren Sensor aktivieren) den relevanten Link auswählen. Sie verwenden diese Datei zum Aktivieren Ihres Sensors, wie unten beschrieben wird.
Wählen Sie im Feld Ausgehende Zulassungsregeln hinzufügen den Link Endpunktdetails herunterladen aus, um eine JSON-Liste der Endpunkte herunterzuladen, die Sie als sichere Endpunkte von Ihrem Sensor konfigurieren müssen.
Speichern Sie die heruntergeladene Datei lokal. Verwenden Sie die Endpunkte, die in der heruntergeladenen Datei später in diesem Tutorial aufgeführt sind, um sicherzustellen, dass Ihr neuer Sensor erfolgreich eine Verbindung zu Azure herstellen kann.
Tipp
Sie können auf die Liste der erforderlichen Endpunkte auch über die Seite Websites und Sensoren zugreifen. Weitere Informationen finden Sie unter Sensorverwaltungsoptionen aus dem Azure-Portal.
Wählen Sie unten links auf der Seite Fertig stellen aus. Ihr neuer Sensor wird jetzt in der Liste auf der Seite Standorte und Sensoren von Defender für IoT angezeigt.
Bis Sie Ihren Sensor aktivieren, wird der Status des Sensors als Ausstehende Aktivierung angezeigt.
Weitere Informationen finden Sie unter Verwalten von Sensoren mit Defender für IoT im Azure-Portal.
Konfigurieren eines SPAN-Ports
Virtuelle Switches verfügen nicht über Spiegelungsfunktionen. Für dieses Lernprogramm können Sie jedoch den Promiscuous-Modus in einer Umgebung mit virtuellen Switches verwenden, um den gesamten Netzwerkdatenverkehr anzuzeigen, der über den virtuellen Switch geleitet wird.
In diesem Verfahren wird beschrieben, wie Sie einen SPAN-Port mithilfe einer Problemumgehung mit VMware ESXi konfigurieren.
Hinweis
Der Promiscuous-Modus ist ein Betriebsmodus und eine Sicherheitsüberwachungstechnik für die VM-Schnittstellen auf derselben Portgruppenebene wie der virtuelle Switch und dient um Anzeigen des Netzwerkdatenverkehrs des Switches. Der Promiscuous-Modus ist standardmäßig deaktiviert, kann jedoch auf Ebene der virtuellen Switches oder Portgruppen definiert werden.
So konfigurieren Sie eine Überwachungsschnittstelle mit Promiscuous-Modus auf einem ESXi v-Switch:
Öffnen Sie die vSwitch-Eigenschaftenseite, und wählen Sie Virtuellen Standardswitch hinzufügen aus.
Geben Sie das SPAN-Netzwerk als Netzwerkbezeichnung ein.
Geben Sie im Feld „MTU“ den Wert 4096 ein.
Wählen Sie Sicherheit aus, und überprüfen Sie, ob die Richtlinie für Promisker Modus auf den Modus Akzeptieren festgelegt wurde.
Wählen Sie Hinzufügen aus, um die vSwitch-Eigenschaften zu schließen.
Markieren Sie den erstellten vSwitch, und wählen Sie Uplink hinzufügen aus.
Wählen Sie die physische NIC aus, die Sie für den SPAN-Datenverkehr verwenden möchten, ändern Sie die MTU in 4096, und wählen Sie dann Speichern aus.
Öffnen Sie die Eigenschaftenseite Portgruppe, und wählen Sie Portgruppe hinzufügen aus.
Geben Sie SPAN-Portgruppe als Namen und 4095 als VLAN-ID ein, und wählen Sie in der Dropdownliste „vSwitch“ die Option SPAN-Netzwerk und dann Hinzufügen aus.
Öffnen Sie die OT Sensor VM-Eigenschaften.
Wählen Sie für Netzwerkadapter 2 das SPAN-Netzwerk aus.
Klicken Sie auf OK.
Stellen Sie eine Verbindung mit dem Sensor her, und überprüfen Sie, ob die Spiegelung funktioniert.
Überprüfen der Datenverkehrsspiegelung
Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.
Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:
- Überprüfen der Switchkonfiguration
- Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
- Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden
Verwenden Sie eine Netzwerkprotokollanalyseanwendung wie Wireshark, um für einige Minuten eine PCAP-Beispieldatei aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.
Überprüfen Sie, ob Unicast-Pakete im aufgezeichneten Datenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.
Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.
Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.
Beispiel:
Bereitstellen für die Cloudverwaltung
In diesem Abschnitt wird beschrieben, wie Sie Endpunkte konfigurieren, um sie in Firewallregeln zu definieren und so sicherzustellen, dass Ihre OT-Sensoren eine Verbindung zu Azure herstellen können.
Weitere Informationen finden Sie unter Methoden zum Verbinden von Sensoren mit Azure.
So konfigurieren Sie Endpunktdetails:
Öffnen Sie die Datei, die Sie zuvor heruntergeladen haben, um die Liste der erforderlichen Endpunkte anzuzeigen. Konfigurieren Sie Ihre Firewallregeln so, dass Ihr Sensor über Port 443 auf jeden der erforderlichen Endpunkte zugreifen kann.
Tipp
Sie können die Liste der erforderlichen Endpunkte auch von der Seite Websites und Sensoren im Azure-Portal herunterladen. Wechseln Sie zu Standorte und Sensoren>Weitere Aktionen>Endpunktdetails herunterladen. Weitere Informationen finden Sie unter Sensorverwaltungsoptionen aus dem Azure-Portal.
Weitere Informationen finden Sie unter Bereitstellen von Sensoren für die Cloudverwaltung.
Herunterladen von Software für Ihren virtuellen Sensor
In diesem Abschnitt wird beschrieben, wie Sie die Sensorsoftware herunterladen und auf Ihrem eigenen Computer installieren.
So laden Sie Software für Ihren virtuellen Sensor herunter
Wechseln Sie im Azure-Portal zur Seite Defender für IoT > Erste Schritte und wählen Sie die Registerkarte Sensor aus.
Vergewissern Sie sich im Feld Appliance erwerben und Software installieren, dass die Standardoption für die neueste und empfohlene Softwareversion aktiviert ist, und wählen Sie dann Herunterladen aus.
Speichern Sie die heruntergeladene Software an einem Speicherort, auf den Sie von Ihrem virtuellen Computer aus zugreifen können.
Alle aus dem Azure-Portal heruntergeladenen Dateien sind durch den Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.
Installieren der Sensorsoftware
In diesem Verfahren wird beschrieben, wie Sie die Sensorsoftware auf Ihrem virtuellen Computer installieren.
Hinweis
Gegen Ende dieses Prozesses werden Ihnen die Benutzernamen und Kennwörter für Ihr Gerät angezeigt. Kopieren Sie diese Kennwörter unbedingt, da sie nicht erneut angezeigt werden.
So installieren Sie die Software auf dem virtuellen Sensor:
Wenn Sie Ihren virtuellen Computer geschlossen haben, melden Sie sich erneut bei ESXi an, und öffnen Sie Ihre VM-Einstellungen.
Wählen Sie für CD/DVD-Laufwerk 1 die Option Datenspeicher-ISO-Datei aus, und wählen Sie die Defender für IoT-Software aus, die Sie zuvor heruntergeladen haben.
Klicken Sie auf Weiter>Fertig stellen.
Schalten Sie den virtuellen Computer ein, und öffnen Sie eine Konsole.
Wenn die Installation gestartet wird, werden Sie aufgefordert, den Installationsvorgang zu starten. Wählen Sie das Element iot-sensor-
<version number>
installieren aus, um den Vorgang sofort fortzusetzen. Nach 30 Sekunden startet der Vorgang automatisch. Zum Beispiel:Hinweis
Wenn Sie eine veraltete BIOS-Version verwenden, werden Sie aufgefordert, eine Sprache auszuwählen, und die Installationsoptionen werden oben links statt in der Mitte angezeigt. Wenn Sie dazu aufgefordert werden, wählen Sie
English
und dann die Option iot-sensor-<version number>
installieren aus, um den Vorgang fortzusetzen.Die Installation beginnt, und während des Vorgangs werden aktualisierte Statusmeldungen angezeigt. Der gesamte Installationsvorgang dauert etwa 20 bis 30 Minuten und kann je nach Art der verwendeten Medien variieren.
Nach Abschluss der Installation werden die folgenden Standardnetzwerkdetails angezeigt.
IP: 172.23.41.83, SUBNET: 255.255.255.0, GATEWAY: 172.23.41.1, UID: 91F14D56-C1E4-966F-726F-006A527C61D
Verwenden Sie die bereitgestellte Standard-IP-Adresse, um auf Ihren Sensor für Ersteinrichtung und Aktivierung zuzugreifen.
Überprüfung nach der Installation
In diesem Verfahren wird beschrieben, wie Sie Ihre Installation mithilfe der internen Systemintegritätsprüfungen des Sensors überprüfen. Dies ist für den Standard-Administrator-Benutzer verfügbar.
So überprüfen Sie Ihre Installation
Melden Sie sich beim OT-Sensor mit dem Benutzernamen
admin
an.Wählen Sie Systemeinstellungen>Sensorverwaltung>Systemintegritätsprüfung aus.
Wählen Sie die folgenden Befehle aus:
- Appliance, um zu überprüfen, ob das System ausgeführt wird. Stellen Sie sicher, dass für jedes Zeilenelement Wird ausgeführt angezeigt wird und dass die letzte Zeile angibt, dass das System aktiv ist.
- Version, um zu überprüfen, ob die richtige Version installiert ist
- ifconfig, um zu überprüfen, ob alle während der Installation konfigurierten Eingabeschnittstellen ausgeführt werden
Weitere Validierungstests nach der Installation, z. B. Gateway-, DNS- oder Firewall-Überprüfungen, finden Sie unter Überprüfen der Installation einer OT-Sensorsoftware.
Definieren der Ersteinrichtung
Im folgenden Verfahren wird beschrieben, wie Sie die anfänglichen Setupeinstellungen für Ihren Sensor konfigurieren, z. B.:
- Anmelden bei der Sensorkonsole und Ändern des Kennworts des Admin-Benutzers
- Definieren von Netzwerkdetails für den Sensor
- Definieren der zu überwachenden Schnittstellen
- Aktivieren des Sensors
- Konfigurieren von SSL/TLS-Zertifikateinstellungen
Anmelden bei der Sensorkonsole und Ändern des Standardkennworts
In diesem Verfahren wird beschrieben, wie Sie sich zum ersten Mal bei der OT-Sensorkonsole anmelden. Sie werden aufgefordert, das Standardkennwort für den Admin-Benutzer zu ändern.
So melden Sie sich bei Ihrem Sensor an:
Verwenden Sie in einem Browser die IP-Adresse
192.168.0.101
. Dabei handelt es sich um die Standard-IP-Adresse, die am Ende der Installation für Ihren Sensor angegeben wird.Die Seite für die Erstanmeldung wird angezeigt. Zum Beispiel:
Geben Sie die folgenden Anmeldeinformationen ein, und wählen Sie Anmelden aus:
- Benutzername:
support
- Kennwort:
support
Sie werden aufgefordert, ein neues Kennwort für den Admin-Benutzer zu definieren.
- Benutzername:
Geben Sie im Feld Neues Kennwort Ihr neues Kennwort ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.
Geben Sie im Feld Neues Kennwort bestätigen Ihr neues Kennwort erneut ein, und wählen Sie dann Erste Schritte aus.
Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.
Die Seite Defender for IoT | Übersicht wird mit der Registerkarte Verwaltungsschnittstelle geöffnet.
Definieren von Sensornetzwerkdetails
Verwenden Sie auf der Registerkarte Verwaltungsschnittstelle die folgenden Felder, um Netzwerkdetails für Ihren neuen Sensor zu definieren:
Behalten Sie für dieses Tutorial im Bereich Proxy für Cloudkonnektivität aktivieren (Optional) die Einstellung „Proxykonfigurationen überspringen“ bei.
Wenn Sie fertig sind, wählen Sie Weiter: Schnittstellenkonfigurationen aus, um fortzufahren.
Definieren der zu überwachenden Schnittstellen
Auf der Registerkarte Schnittstellenverbindungen werden standardmäßig alle vom Sensor erkannten Schnittstellen angezeigt. Verwenden Sie diese Registerkarte, um die Überwachung pro Schnittstelle zu aktivieren oder zu deaktivieren, oder definieren Sie bestimmte Einstellungen für jede Schnittstelle.
Tipp
Es wird empfohlen, die Leistung ihres Sensors zu optimieren, indem Sie Ihre Einstellungen so konfigurieren, dass nur die aktiv verwendeten Schnittstellen überwacht werden.
Führen Sie auf der Registerkarte Schnittstellenkonfigurationen die folgenden Schritte aus, um Einstellungen für Ihre überwachten Schnittstellen zu konfigurieren:
Wählen Sie die Umschaltfläche Aktivieren/Deaktivieren für alle Schnittstellen aus, die vom Sensor überwacht werden sollen. Sie müssen mindestens eine Assembly auswählen, um den Vorgang fortsetzen zu können.
Wenn Sie nicht sicher sind, welche Schnittstelle verwendet werden soll, wählen Sie LED der physischen Schnittstelle blinken lassen aus, damit der ausgewählte Port auf Ihrem Computer blinkt. Wählen Sie eine der Schnittstellen aus, die Sie mit Ihrem Switch verbunden haben.
Überspringen Sie für dieses Tutorial alle erweiterten Einstellungen, und wählen Sie Weiter: > neu starten aus, um den Vorgang fortzusetzen.
Wenn Sie dazu aufgefordert werden, wählen Sie Neustart starten aus, um den Sensorcomputer neu zu starten. Nachdem der Sensor erneut gestartet wurde, werden Sie automatisch an die IP-Adresse weitergeleitet, die Sie zuvor als Ihre Sensor-IP-Adresse definiert haben.
Wählen Sie Abbrechen aus, um auf den Neustart zu warten.
Aktivieren Ihres OT-Sensors
In diesem Verfahren wird beschrieben, wie Sie Ihren neuen OT-Sensor aktivieren.
So aktivieren Sie Ihren Sensor
Wählen Sie auf der Registerkarte Aktivierung die Option Hochladen aus, um die Aktivierungsdatei hochzuladen, die Sie aus dem Azure-Portal heruntergeladen haben.
Akzeptieren Sie die Bestimmungen und wählen Sie dann Weiter: Zertifikate aus.
Definieren von SSL/TLS-Zertifikateinstellungen
Verwenden Sie die Registerkarte Zertifikate, um ein SSL/TLS-Zertifikat auf Ihrem OT-Sensor bereitzustellen. Es wird zwar empfohlen, ein von der Zertifizierungsstelle signiertes Zertifikat für alle Produktionsumgebungen zu verwenden, für dieses Tutorial wählen Sie aber ein selbstsigniertes Zertifikat aus.
So definieren Sie die SSL/TLS-Zertifikateinstellungen:
Wählen Sie auf der Registerkarte Zertifikate die Option Lokal generiertes selbstsigniertes Zertifikat verwenden (nicht empfohlen) und dann die Option Bestätigen aus.
Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.
Wählen Sie Fertig stellen aus, um die Ersteinrichtung abzuschließen und die Sensorkonsole zu öffnen.