Konfigurieren und Aktivieren des OT-Sensors

  • Artikel

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird. Außerdem wird erläutert, wie Sie die Einstellungen für die Ersteinrichtung konfigurieren und Ihren OT-Sensor aktivieren.

Diagramm einer Statusleiste mit hervorgehobenem Text „Ihre Sensoren bereitstellen“.

Mehrere Schritte für die Ersteinrichtung können im Browser oder über die CLI ausgeführt werden.

  • Verwenden Sie den Browser, wenn Sie physische Kabel von Ihrem Switch an den Sensor anschließen können, um Ihre Schnittstellen richtig zu identifizieren. Stellen Sie sicher, dass Sie Ihren Netzwerkadapter so konfigurieren, dass er den Standardeinstellungen auf dem Sensor entspricht.
  • Verwenden Sie die CLI, wenn Sie Ihre Netzwerkdetails kennen, sodass Sie keine physischen Kabel anschließen zu müssen. Verwenden Sie die CLI, wenn Sie nur über iLo/iDrac eine Verbindung mit dem Sensor herstellen können.

Wenn Sie Ihr Setup über die CLI konfigurieren, müssen Sie die letzten Schritte trotzdem im Browser ausführen.

Voraussetzungen

Um die Verfahren in diesem Artikel auszuführen, benötigen Sie Folgendes:

  • Ein in Defender for IoT integrierter OT-Sensor im Azure-Portal.

  • OT-Sensorsoftware, die auf Ihrer Appliance installiert ist. Stellen Sie sicher, dass Sie die Software entweder selbst installiert oder eine vorkonfigurierte Appliance erworben haben.

  • Die Aktivierungsdatei des Sensors, die nach dem Onboarding Ihres Sensors heruntergeladen wurde. Sie benötigen eine eindeutige Aktivierungsdatei für jeden OT-Sensor, den Sie bereitstellen.

    Alle aus dem Azure-Portal heruntergeladenen Dateien sind vom Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.

    Hinweis

    Aktivierungsdateien laufen 14 Tage nach der Erstellung ab. Wenn Sie ein Onboarding für Ihren Sensor durchführt haben, die Aktivierungsdatei jedoch nicht vor ihrem Ablauf hochgeladen haben, laden Sie eine neue Aktivierungsdatei herunter.

  • Ein SSL/TLS-Zertifikat Es wird empfohlen, ein von der Zertifizierungsstelle signiertes Zertifikat und kein selbstsigniertes Zertifikat zu verwenden. Weitere Informationen finden Sie unter Erstellen von SSL-/TLS-Zertifikaten für OT-Appliances.

  • Greifen Sie auf die physische oder virtuelle Appliance zu, auf der Sie Ihren Sensor installieren. Weitere Informationen finden Sie unter Welche Appliances benötige ich?

Dieser Schritt wird von Ihren Bereitstellungsteams ausgeführt.

Konfigurieren des Setups über den Browser

Das Konfigurieren des Sensorsetups über den Browser umfasst die folgenden Schritte:

  • Anmelden bei der Sensorkonsole und Ändern des Kennworts des Admin-Benutzers
  • Definieren von Netzwerkdetails für den Sensor
  • Definieren der zu überwachenden Schnittstellen
  • Aktivieren des Sensors
  • Konfigurieren von SSL/TLS-Zertifikateinstellungen

Anmelden bei der Sensorkonsole und Ändern des Standardkennworts

In diesem Verfahren wird beschrieben, wie Sie sich zum ersten Mal bei der OT-Sensorkonsole anmelden. Sie werden aufgefordert, das Standardkennwort für den Admin-Benutzer zu ändern.

So melden Sie sich bei Ihrem Sensor an:

  1. Verwenden Sie in einem Browser die IP-Adresse 192.168.0.101. Dabei handelt es sich um die Standard-IP-Adresse, die am Ende der Installation für Ihren Sensor angegeben wird.

    Die Seite für die Erstanmeldung wird angezeigt. Zum Beispiel:

    Screenshot: die anfängliche Sensoranmeldungsseite.

  2. Geben Sie die folgenden Anmeldeinformationen ein, und wählen Sie Anmelden aus:

    • Benutzername: admin
    • Kennwort: admin

    Sie werden aufgefordert, ein neues Kennwort für den Admin-Benutzer zu definieren.

  3. Geben Sie im Feld Neues Kennwort Ihr neues Kennwort ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.

    Geben Sie im Feld Neues Kennwort bestätigen Ihr neues Kennwort erneut ein, und wählen Sie dann Erste Schritte aus.

    Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.

Die Seite Defender for IoT | Übersicht wird mit der Registerkarte Verwaltungsschnittstelle geöffnet.

Definieren von Sensornetzwerkdetails

Verwenden Sie auf der Registerkarte Verwaltungsschnittstelle die folgenden Felder, um Netzwerkdetails für Ihren neuen Sensor zu definieren:

Name Beschreibung
Verwaltungsschnittstelle Wählen Sie die Schnittstelle aus, die Sie als Verwaltungsschnittstelle verwenden möchten, um entweder eine Verbindung mit dem Azure-Portal oder einer lokalen Verwaltungskonsole herzustellen.

Um eine physische Schnittstelle auf Ihrem Computer zu identifizieren, wählen Sie eine Schnittstelle und dann LED der physischen Schnittstelle blinken lassen aus. Der Anschluss, der mit der ausgewählten Schnittstelle übereinstimmt, leuchtet auf, damit Sie ihr Kabel ordnungsgemäß anschließen können.
IP-Adresse Geben Sie die IP-Adresse ein, die Sie für Ihren Sensor verwenden möchten. Dies ist die IP-Adresse, die Ihr Team verwendet, um über den Browser oder die CLI eine Verbindung mit dem Sensor herzustellen.
Subnetzmaske Geben Sie die Adresse ein, die Sie als Subnetzmaske des Sensors verwenden möchten.
Standardgateway Geben Sie die Adresse ein, die Sie als Standardgateway des Sensors verwenden möchten.
DNS Geben Sie die IP-Adresse des DNS-Servers des Sensors ein.
Hostname Geben Sie den Hostnamen ein, den Sie dem Sensor zuweisen möchten. Stellen Sie sicher, dass Sie denselben Hostnamen verwenden, der auf dem DNS-Server definiert ist.
Aktivieren des Proxys für Cloudkonnektivität (optional) Wählen Sie diese Option aus, um einen Proxyserver für Ihren Sensor zu definieren.

Wenn Sie ein SSL/TSL-Zertifikat für den Zugriff auf den Proxyserver verwenden, wählen Sie Clientzertifikat aus, und laden Sie Ihr Zertifikat hoch.

Wenn Sie fertig sind, wählen Sie Weiter: Schnittstellenkonfigurationen aus, um fortzufahren.

Definieren der zu überwachenden Schnittstellen

Auf der Registerkarte Schnittstellenkonfigurationen werden standardmäßig alle vom Sensor erkannten Schnittstellen angezeigt. Verwenden Sie diese Registerkarte, um die Überwachung pro Schnittstelle zu aktivieren oder zu deaktivieren, oder definieren Sie bestimmte Einstellungen für jede Schnittstelle.

Tipp

Es wird empfohlen, die Leistung ihres Sensors zu optimieren, indem Sie Ihre Einstellungen so konfigurieren, dass nur die aktiv verwendeten Schnittstellen überwacht werden.

Führen Sie auf der Registerkarte Schnittstellenkonfigurationen die folgenden Schritte aus, um Einstellungen für Ihre überwachten Schnittstellen zu konfigurieren:

  1. Wählen Sie die Umschaltfläche Aktivieren/Deaktivieren für alle Schnittstellen aus, die vom Sensor überwacht werden sollen. Sie müssen mindestens eine Assembly auswählen, um den Vorgang fortsetzen zu können.

    Wenn Sie nicht sicher sind, welche Schnittstelle verwendet werden soll, wählen Sie LED der physischen Schnittstelle blinken lassen aus, damit der ausgewählte Port auf Ihrem Computer blinkt. Wählen Sie eine der Schnittstellen aus, die Sie mit Ihrem Switch verbunden haben.

  2. (Optional) Wählen Sie für jede zu überwachende Schnittstelle die Schaltfläche Erweiterte Einstellungen aus, um eine der folgenden Einstellungen zu ändern:

    Name Beschreibung
    Mode Wählen Sie eines der folgenden Szenarien aus:
    - SPAN-Datenverkehr (keine Kapselung), um die standardmäßige SPAN-Portspiegelung zu verwenden.
    - ERSPAN, wenn Sie die ERSPAN-Spiegelung verwenden.

    Weitere Informationen finden Sie unter Auswählen einer Methode zur Verkehrsspiegelung für OT-Sensoren.
    Beschreibung Geben Sie eine optionale Beschreibung für die Schnittstelle ein. Diese wird später auf der Seite Systemeinstellungen > Schnittstellenkonfigurationen des Sensors angezeigt und kann hilfreich sein, um den Zweck der einzelnen Schnittstellen zu verstehen.
    Automatische Aushandlung Nur für physische Computer relevant. Verwenden Sie diese Option, um zu bestimmen, welche Art von Kommunikationsmethoden verwendet wird oder ob die Kommunikationsmethoden automatisch zwischen Komponenten definiert werden.

    Wichtig: Es wird empfohlen, diese Einstellung nur auf Anraten Ihres Netzwerkteams zu ändern.

    Wählen Sie Speichern aus, um die Änderungen zu speichern.

  3. Wählen Sie Weiter: Neustart > aus, um fortzufahren, und dann Neu starten, um Den Sensorcomputer neu zu starten. Nachdem der Sensor erneut gestartet wurde, werden Sie automatisch an die IP-Adresse weitergeleitet, die Sie zuvor als Ihre Sensor-IP-Adresse definiert haben.

    Wählen Sie Abbrechen aus, um auf den Neustart zu warten.

Aktivieren Ihres OT-Sensors

In diesem Verfahren wird beschrieben, wie Sie Ihren neuen OT-Sensor aktivieren.

Wenn Sie die Ersteinstellungen bisher über die CLI konfiguriert haben, starten Sie in diesem Schritt die browserbasierte Konfiguration. Nach dem Neustart des Sensors werden Sie auf derselben Seite Defender for IoT | Übersicht zur Registerkarte Aktivierung weitergeleitet.

So aktivieren Sie Ihren Sensor

  1. Wählen Sie auf der Registerkarte Aktivierung die Option Hochladen aus, um die Aktivierungsdatei hochzuladen, die Sie aus dem Azure-Portal heruntergeladen haben.
  2. Wählen Sie die Option „Geschäftsbedingungen“ und dann aktivieren aus.
  3. Wählen Sie Weiter: Zertifikate aus.

Definieren von SSL/TLS-Zertifikateinstellungen

Verwenden Sie die Registerkarte Zertifikate, um ein SSL/TLS-Zertifikat auf Ihrem OT-Sensor bereitzustellen. Die Verwendung eines von der Zertifizierungsstelle signierten Zertifikats für alle Produktionsumgebungen wird empfohlen.

So definieren Sie die SSL/TLS-Zertifikateinstellungen:

  1. Wählen Sie auf der Registerkarte Zertifikate die Option Vertrauenswürdiges Zertifizierungsstellenzertifikat importieren (empfohlen) aus, um ein von der Zertifizierungsstelle signiertes Zertifikat bereitzustellen.

    Geben Sie den Zertifikatnamen und die Passphrase ein, und wählen Sie dann Hochladen aus, um Ihre Datei für den privaten Schlüssel, die Zertifikatdatei und eine optionale Zertifikatkettendatei hochzuladen.

    Möglicherweise müssen Sie die Seite aktualisieren, nachdem Sie Ihre Dateien hochgeladen haben. Weitere Informationen finden Sie unter Problembehandlung für Fehler beim Hochladen von Zertifikaten.

    Tipp

    Wenn Sie in einer Testumgebung arbeiten, können Sie auch das selbstsignierte Zertifikat verwenden, das während der Installation lokal generiert wird. Wenn Sie ein selbstsigniertes Zertifikat verwenden möchten, stellen Sie sicher, dass Sie die Option Bestätigen für die Empfehlungen auswählen.

    Weitere Informationen finden Sie unter Verwalten von SSL/TLS-Zertifikaten.

  2. Wählen Sie im Bereich Validierung des Zertifikats für die lokale Verwaltungskonsole die Option Obligatorisch aus, um das Zertifikat einer lokalen Verwaltungskonsole anhand einer Zertifikatsperrliste (Certificate Revocation List, CRL) zu überprüfen, wie in Ihrem Zertifikat konfiguriert.

    Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.

  3. Wählen Sie Fertig stellen aus, um die Ersteinrichtung abzuschließen und die Sensorkonsole zu öffnen.

Konfigurieren des Setups über die CLI

Verwenden Sie dieses Verfahren, um die folgenden Einstellungen für die Ersteinrichtung über die CLI zu konfigurieren:

  • Anmelden bei der Sensorkonsole und Festlegen eines neuen Admin-Benutzerkennworts
  • Definieren von Netzwerkdetails für den Sensor
  • Definieren der zu überwachenden Schnittstellen

Fahren Sie mit der Aktivierung und Konfiguration der SSL/TLS-Zertifikateinstellungen im Browser fort.

So konfigurieren Sie die Einstellungen für die Ersteinrichtung über die CLI:

  1. Drücken Sie auf dem Installationsbildschirm, nachdem die Standardnetzwerkdetails angezeigt wurden, die EINGABETASTE, um fortzufahren.

  2. Melden Sie sich nach der D4Iot login-Eingabeaufforderung mit den folgenden Standardanmeldeinformationen an:

    • Benutzername: admin
    • Kennwort: admin

    Wenn Sie Ihr Kennwort eingeben, werden die Kennwortzeichen nicht auf dem Bildschirm angezeigt. Stellen Sie sicher, dass Sie sie sorgfältig eingeben.

  3. Geben Sie nach der Eingabeaufforderung ein neues Kennwort für den Admin-Benutzer ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.

    Wenn Sie zur Bestätigung Ihres Kennworts aufgefordert werden, geben Sie Ihr neues Kennwort erneut ein. Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.

    <does this happen immediately? unclear-->Der Linux-Konfigurations-Assistent für Package configuration wird geöffnet. Drücken Sie in diesem Assistenten die NACH-OBEN- bzw. NACH-UNTEN-TASTE, um zu navigieren, und die LEERTASTE, um eine Option auszuwählen. Drücken Sie die EINGABETASTE, um zum nächsten Bildschirm zu gelangen.

  4. Wählen Sie auf dem Bildschirm Select monitor interfaces des Assistenten eine der Schnittstellen aus, die Sie mit diesem Sensor überwachen möchten.

    Das System wählt die erste gefundene Schnittstelle als Verwaltungsschnittstelle aus, und es wird empfohlen, die Standardauswahl beizubehalten. Wenn Sie einen anderen Port als Verwaltungsschnittstelle verwenden, wird die Änderung erst nach dem Neustart des Sensors implementiert. Stellen Sie in solchen Fällen sicher, dass der Sensor bei Bedarf angeschlossen ist.

    Zum Beispiel:

    Screenshot: Bildschirm zum Auswählen der Monitorschnittstelle

    Wichtig

    Achten Sie darauf, nur Schnittstellen auszuwählen, die verbunden sind.

    Wenn Sie Schnittstellen auswählen, die aktiviert, aber nicht verbunden sind, wird für den Sensor im Azure-Portal die Integritätsbenachrichtigung Kein Datenverkehr überwacht angezeigt. Wenn Sie nach der Installation weitere Datenverkehrsquellen verbinden und diese mit Defender for IoT überwachen möchten, können Sie sie später über die Befehlszeilenschnittstelle hinzufügen.

  5. Wählen Sie auf dem Bildschirm Select management interface die Schnittstelle aus, die Sie verwenden möchten, um eine Verbindung mit dem Azure-Portal oder einem lokalen Verwaltungskonsole herzustellen.

    Zum Beispiel:

    Screenshot: Bildschirm zum Auswählen der Verwaltungsschnittstelle.

  6. Geben Sie auf dem Bildschirm Enter sensor IP address die IP-Adresse ein, die Sie für diesen Sensor verwenden möchten. Verwenden Sie diese IP-Adresse, um eine Verbindung mit dem Sensor über die CLI oder den Browser herzustellen. Zum Beispiel:

    Screenshot. Bildschirm zum Eingeben der IP-Adresse des Sensors.

  7. Geben Sie auf dem Bildschirm Enter path to the mounted backups folder den Pfad zu den bereitgestellten Sicherungen des Sensors ein. Die Verwendung des Standardpfads /opt/sensor/persist/backups wird empfohlen. Zum Beispiel:

    Screenshot: Ordnerkonfiguration für eingebundene Sicherungen.

  8. Geben Sie auf dem Bildschirm Enter Subnet Mask die IP-Adresse für die Subnetzmaske des Sensors ein. Beispiel:

    Screenshot: Bildschirm zum Eingeben der Subnetzmaske.

  9. Geben Sie auf dem Bildschirm Enter Gateway die Standard-IP-Adresse des Gateways des Sensors ein. Beispiel:

    Screenshot: Bildschirm zum Eingeben des Gateways.

  10. Geben Sie auf dem Bildschirm Enter DNS server die IP-Adresse des DNS-Servers des Sensors ein. Beispiel:

    Screenshot: Bildschirm zum Eingeben des DNS-Servers.

  11. Geben Sie auf dem Bildschirm Enter hostname einen Namen ein, den Sie als Sensorhostname verwenden möchten. Stellen Sie sicher, dass Sie denselben Hostnamen verwenden, der auf dem DNS-Server definiert ist. Zum Beispiel:

    Screenshot: Bildschirm zum Eingeben des Hostnamen.

  12. Wählen Sie auf dem Bildschirm Run this sensor as a proxy server (Preview) die Option <Yes> nur dann aus, wenn Sie einen Proxy konfigurieren möchten, und geben Sie dann die Proxyanmeldeinformationen wie aufgefordert ein. Weitere Informationen finden Sie unter Konfigurieren von Proxyeinstellungen auf einem OT-Sensor.

    Die Standardkonfiguration ist ohne Proxy.

  13. Der Konfigurationsprozess beginnt mit der Ausführung, startet neu und fordert Sie dann auf, sich erneut anzumelden. Zum Beispiel:

    Screenshot: Eingabeaufforderung für finale Anmeldung am Ende der anfänglichen CLI-Konfiguration.

Öffnen Sie an diesem Punkt einen Browser mit der IP-Adresse, die Sie für Ihren Sensor definiert haben, und fahren Sie mit der Einrichtung im Browser fort. Weitere Informationen finden Sie unter Aktivieren des OT-Sensors.

Hinweis

Während der Ersteinrichtung sind Optionen für ERSPAN-Überwachungsports nur in der browserbasierten Prozedur verfügbar.

Wenn Sie Ihre Netzwerkdetails über die CLI definieren und ERSPAN-Überwachungsports einrichten möchten, tun Sie dies anschließend über die Seite Einstellungen > Schnittstellenverbindungen des Sensors. Weitere Informationen finden Sie unter Aktualisieren der Überwachungsschnittstellen eines Sensors (Konfigurieren von ERSPAN).

Nächste Schritte

« Überprüfen der Installation einer OT-Sensorsoftware

Proxyeinstellungen auf einem OT-Sensor konfigurieren»