Ermitteln von Enterprise IoT-Geräten mit einem Enterprise IoT-Netzwerksensor (öffentliche Vorschau)
Wichtig
Die Registrierung eines neuen Enterprise IoT-Netzwerksensors, wie in diesem Artikel beschrieben, ist nicht mehr aktuell. Für Kunden mit Azure Consumption Revenue (ACR) oder einer Legacy-Lizenz verwaltet Defender for IoT vorhandene Enterprise IoT-Netzwerksensoren.
In diesem Artikel wird beschrieben, wie Sie einen Enterprise IoT-Netzwerksensor in Microsoft Defender for IoT registrieren.
Kunden von Microsoft Defender XDR mit einem Enterprise IoT-Netzwerksensor können alle ermittelten Geräte im Gerätebestand in Microsoft Defender XDR oder Defender for IoT anzeigen. Außerdem erhalten Sie mehr Sicherheit durch weitere Warnungen, Hinweise auf Sicherheitsrisiken und Empfehlungen in Microsoft Defender XDR für die neu ermittelten Geräte.
Wenn Sie Defender for IoT verwenden und ausschließlich das Azure-Portal verwenden, bietet ein Enterprise IoT-Netzwerksensor zusätzliche Gerätetransparenz für Enterprise IoT-Geräte, z. B. VoIP-Geräte, Drucker und Kameras, die möglicherweise nicht von Ihren OT-Netzwerksensoren abgedeckt werden.
Defender for IoT-Warnungen und -Empfehlungen für Geräte, die nur vom Enterprise IoT-Sensor erkannt werden, sind nur im Azure-Portal verfügbar.
Weitere Informationen finden Sie unter Schützen von IoT-Geräten im Unternehmen.
Wichtig
Der Enterprise IoT-Netzwerksensor befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Voraussetzungen
Dieser Abschnitt beschreibt die Voraussetzungen, die Sie erfüllen müssen, bevor Sie einen Enterprise IoT-Netzwerksensor einsetzen können.
Anforderungen für Azure
Um Defender for IoT-Daten, wie Geräte, Warnungen, Empfehlungen und Sicherheitsrisiken, in Microsoft Defender XDR anzuzeigen, muss die Enterprise IoT-Sicherheit in Microsoft Defender XDR aktiviert sein.
Wenn Sie nur Daten im Azure-Portal anzeigen möchten, benötigen Sie Microsoft Defender XDR nicht. Sie können die Enterprise IoT-Sicherheit auch in Microsoft Defender XDR aktivieren, nachdem Sie Ihren Netzwerksensor registriert haben, um eine gesteigerte Gerätetransparenz und Sicherheit für Ihre Organisation zu ermöglichen.
Stellen Sie sicher, dass Sie als Sicherheitsadministrator und Mitwirkender oder Besitzer auf das Azure-Portal zugreifen können. Wenn Sie noch kein Azure-Konto haben, können Sie noch heute Ihr kostenloses Azure-Konto erstellen.
Netzwerkanforderungen
Identifizieren Sie die Geräte und Subnetze, die Sie überwachen möchten, damit Sie wissen, wo Sie einen Enterprise IoT-Sensor in Ihrem Netzwerk platzieren sollten. Sie möchten vielleicht mehrere Enterprise IoT-Sensoren einsetzen.
Richten Sie die Verkehrsspiegelung in Ihrem Netzwerk so ein, dass der Verkehr, den Sie überwachen möchten, auf Ihren Enterprise IoT-Sensor gespiegelt wird. Die unterstützten Methoden für die Datenverkehrsspiegelung sind identisch mit der OT-Überwachung. Weitere Informationen finden Sie unter Auswählen einer Methode zur Verkehrsspiegelung für die Datenverkehrsüberwachung.
Anforderungen an physische oder virtuelle Computer
Weisen Sie eine physische Appliance oder einen virtuellen Computer (VM) als Netzwerksensor zu. Stellen Sie sicher, dass Ihr Computer die folgenden Spezifikationen aufweist:
Tarif | Anforderungen |
---|---|
Mindestanforderungen | Sie benötigen Folgendes, um bis zu 1 GBit/s Daten zu unterstützen: – 4 CPUs mit jeweils 2,4 GHz oder mehr – 16 GB RAM DDR4 oder höher - 250 GB HDD |
Empfohlen | Sie benötigen Folgendes, um bis zu 15 GBit/s Daten zu unterstützen: – 8 CPUs mit jeweils 2,4 GHz oder mehr – 32 GB RAM DDR4 oder höher - 500 GB HDD |
Außerdem muss Ihr Computer über Folgendes verfügen:
Das Betriebssystem Ubuntu 18.04 Server. Wenn Sie Ubuntu noch nicht installiert haben, laden Sie die Installationsdateien auf einen externen Speicher (z. B. eine DVD oder einen USB-Stick) herunter, und installieren Sie sie dann auf Ihrer Appliance oder VM. Weitere Informationen finden Sie im Leitfaden zum Brennen von Images für Ubuntu.
Netzwerkadapter, mindestens einen für den SPAN-Port (Switchüberwachung) und einen für den Verwaltungsport zum Zugriff auf die Benutzeroberfläche des Sensors
Ihr Enterprise IoT-Sensor muss über eine Direktverbindung Zugriff auf die Azure-Cloud haben. Direkte Verbindungen werden für Enterprise IoT-Sensoren mit demselben Verfahren wie für OT-Sensoren konfiguriert. Weitere Informationen finden Sie unter Bereitstellen von Sensoren für die Cloudverwaltung.
Vorbereiten einer physischen Appliance oder VM
In diesem Verfahren wird beschrieben, wie Sie eine physische Appliance oder VM vorbereiten, um die Enterprise IoT-Netzwerksensorsoftware zu installieren.
So bereiten Sie Ihre Appliance vor:
Verbinden Sie eine Netzwerkschnittstelle (NIC) von Ihrer physischen Appliance oder VM wie folgt mit einem Switch:
Physische Appliance: Verbinden Sie eine Überwachungs-Netzwerkschnittstelle direkt über ein Kupfer- oder Glasfaserkabel mit einem SPAN-Port.
VM: Verbinden Sie eine vNIC mit einem vSwitch, und konfigurieren Sie die vSwitch-Einstellungen so, dass der Promiscuous mode (Promisker Modus) akzeptiert wird. Weitere Informationen finden Sie beispielsweise unter Konfigurieren einer SPAN-Überwachungsschnittstelle für ein virtuelles Gerät.
Melden Sie sich bei Ihrer physischen Appliance oder VM an, und führen Sie den folgenden Befehl aus, um den am Überwachungsport eingehenden Datenverkehr zu überprüfen:
ifconfig
Das System zeigt eine Liste aller überwachten Schnittstellen an.
Identifizieren Sie die Schnittstellen, die Sie überwachen möchten. In der Regel sind dies die Schnittstellen ohne IP-Adressen. Schnittstellen mit eingehendem Datenverkehr weisen eine steigende Anzahl an RX-Paketen auf.
Führen Sie für jede zu überwachende Schnittstelle den folgenden Befehl aus, um den Promiscuous-Modus im Netzwerkadapter zu aktivieren:
ifconfig <monitoring port> up promisc
Wo
<monitoring port>
eine zu überwachende Schnittstelle ist. Wiederholen Sie diesen Schritt für jede Schnittstelle, die Sie überwachen möchten.Stellen Sie die Netzwerkkonnektivität sicher, indem Sie die folgenden Ports in Ihrer Firewall öffnen:
Protokoll Transport Ein/Aus Port Zweck HTTPS TCP Ein/Aus 443 Cloudverbindung DNS TCP/UDP Ein/Aus 53 Adressauflösung Stellen Sie sicher, dass Ihre physische Appliance oder Ihre VM über HTTP an Port 443 auf die Cloud zugreifen kann, um die folgenden Microsoft-Endpunkte zu erreichen:
- EventHub:
*.servicebus.windows.net
- Storage:
*.blob.core.windows.net
- Download Center:
download.microsoft.com
- IoT Hub:
*.azure-devices.net
Tipp
Sie können auch die öffentlichen Azure-IP-Adressbereiche herunterladen und hinzufügen, damit Ihre Firewall die oben angegebenen Azure-Endpunkte zusammen mit deren Region zulässt.
Die öffentlichen Azure-IP-Adressbereiche werden wöchentlich aktualisiert. In der Datei enthaltene neue Bereiche werden frühestens nach einer Woche in Azure verwendet. Um diese Option zu nutzen, laden Sie die neue JSON-Datei jede Woche herunter, und nehmen Sie die erforderlichen Änderungen vor, um in Azure ausgeführte Dienste korrekt zu identifizieren.
- EventHub:
Registrieren eines Enterprise IoT-Sensors in Defender for IoT
In diesem Abschnitt wird beschrieben, wie Sie einen Enterprise IoT-Sensor in Defender for IoT registrieren. Wenn Sie mit der Registrierung Ihres Sensors fertig sind, fahren Sie mit der Installation der Enterprise IoT-Überwachungssoftware auf Ihrem Sensorcomputer fort.
Zum Registrieren eines Sensors im Azure-Portal folgen Sie diesen Schritten:
Wechseln Sie zu Defender für IoT>Standorte und Sensoren, und wählen Sie dann Onboarding des Sensors>EIoT aus.
Geben Sie auf der Seite Set up Enterprise IoT Security die folgenden Details ein, und wählen Sie dann Registrieren aus:
- Geben Sie im Feld Sensorname einen aussagekräftigen Namen für Ihren Sensor ein.
- Wählen Sie in der Dropdownliste Abonnement das Abonnement aus, dem Sie den Sensor hinzufügen möchten.
Der Bildschirm Sensorregistrierung erfolgreich zeigt Ihre nächsten Schritte und den Befehl, mit dem Sie die Sensorinstallation starten können.
Beispiel:
Kopieren Sie den Befehl an einen sicheren Ort, von dem Sie ihn auf Ihre physische Appliance oder VM kopieren können, um Sensorsoftware zu installieren.
Installieren der Enterprise IoT-Sensorsoftware
In dieser Vorgehensweise wird beschrieben, wie Sie Enterprise IoT-Überwachungssoftware auf Ihrem Sensorcomputer installieren, entweder auf einer physischen Appliance oder VM.
Hinweis
In diesem Verfahren wird zwar beschrieben, wie Sie Sensorsoftware unter Verwendung von ESXi auf einer VM installieren, Enterprise IoT-Sensoren werden aber auch mithilfe von Hyper-V unterstützt.
So installieren Sie Sensorsoftware:
Melden Sie sich auf Ihrem Sensorcomputer mithilfe eines Terminals wie PUTTY oder MobaXterm bei der CLI des Sensors an.
Führen Sie den Befehl aus, den Sie aus dem Schritt zur Sensorregistrierung kopiert haben. Beispiel:
Der Vorgang überprüft, ob die erforderliche Docker-Version bereits installiert ist. Falls nicht, installiert die Sensorinstallation auch die neueste Docker-Version.
Wenn der Befehlsvorgang abgeschlossen ist, wird der Ubuntu-Assistent Configure microsoft-eiot-sensor angezeigt. Drücken Sie in diesem Assistenten die NACH-OBEN- bzw. NACH-UNTEN-TASTE, um zu navigieren, und die LEERTASTE, um eine Option auszuwählen. Drücken Sie die EINGABETASTE, um zum nächsten Bildschirm zu gelangen.
Wählen Sie im Assistenten Configure microsoft-eiot-sensor auf dem Bildschirm What is the name of the monitored interface? (Wie lautet der Name der überwachten Schnittstelle?) eine oder mehrere Schnittstellen aus, die Sie mit Ihrem Sensor überwachen möchten, und wählen Sie dann OK aus.
Beispiel:
Wählen Sie im Bildschirm Set up proxy server? (Proxyserver einrichten?) aus, ob Sie einen Proxyserver für Ihren Sensor einrichten möchten. Zum Beispiel:
Wenn Sie einen Proxyserver einrichten, wählen Sie Ja aus. Definieren Sie dann den Host, den Port und das Kennwort des Proxyservers, und wählen Sie nach jeder Option OK aus.
Die Installation dauert einige Minuten.
Überprüfen Sie im Azure-Portal, ob Ihr neuer Sensor jetzt auf der Seite Sites and sensors (Standorte und Sensoren) aufgelistet ist.
Beispiel:
Auf der Seite Sites and Sensors werden alle Enterprise IoT-Sensoren automatisch demselben Standort namens Enterprise network (Unternehmensnetzwerk) hinzugefügt. Weitere Informationen finden Sie unter Verwalten von Sensoren mit Defender für IoT im Azure-Portal.
Tipp
Wenn Ihre Enterprise IoT-Daten nicht wie erwartet in Defender für IoT angezeigt werden, überprüfen Sie, ob Sie das Azure-Portal mit den richtigen ausgewählten Abonnements anzeigen. Weitere Informationen finden Sie unter Verwalten von Einstellungen und Voreinstellungen im Azure-Portal.
Wenn Ihre Daten weiterhin nicht wie erwartet angezeigt werden, überprüfen Sie Ihre Sensoreinrichtung über die CLI.
Anzeigen neu erkannter Enterprise IoT-Geräte
Nachdem Sie die Einrichtung überprüft haben, wird nach 15 Minuten begonnen, die Seite Gerätebestand in Defender for IoT mit den von Ihrem Sensor erkannten neuen Geräten aufzufüllen.
Wenn Sie Defender for Endpoint mit einem Enterprise IoT-Legacy-Plan verwenden, können Sie alle erkannten Geräte im Gerätebestand in Defender for IoT und Microsoft Defender XDR anzeigen. Zu den erkannten Geräten gehören sowohl die von Defender for Endpoint als auch die vom Enterprise IoT-Sensor erkannten Geräte.
Weitere Informationen finden Sie unter Verwalten des Gerätebestands über das Azure-Portal und Microsoft Defender XDR-Geräteermittlung.
Löschen eines Enterprise IoT-Netzwerksensors
Löschen Sie einen Sensor, wenn er nicht mehr mit Defender for IoT verwendet wird.
Suchen Sie auf der Seite Sites and sensors im Azure-Portal nach Ihrem Sensor im Raster.
Wählen Sie in der Zeile Ihres Sensors das Optionsmenü ...>Sensor löschen auf der rechten Seite aus.
Weitere Informationen finden Sie unter Verwalten von Sensoren mit Defender für IoT im Azure-Portal.
Tipp
Sie können den Sensor auch manuell über die CLI entfernen. Weitere Informationen finden Sie unter Zusätzliche Schritte und Beispiele für die Enterprise IoT-Bereitstellung.
Wenn Sie die Enterprise IoT-Sicherheit mit Microsoft Defender XDR kündigen möchten, ist dies über das Microsoft Defender-Portal möglich. Weitere Informationen finden Sie unter Deaktivieren der Enterprise IoT-Sicherheit.