Aktivieren und Einrichten des Sensors

  • Artikel
  • 9 Minuten Lesedauer

In diesem Artikel wird beschrieben, wie Sie einen Sensor aktivieren und das anfängliche Setup vornehmen.

Administratoren führen die Aktivierung durch, wenn sie sich erstmals anmelden und die Verwaltung der Aktivierung erforderlich ist. Das Setup stellt sicher, dass der Sensor für eine optimale Erkennung und Warnung konfiguriert ist.

Sicherheitsanalysten und Benutzer mit Leseberechtigung können einen Sensor nicht aktivieren und kein neues Kennwort generieren.

Anmeldung und Aktivierung für Administratoren

Administratoren, die sich erstmals anmelden, müssen sich vergewissern, dass sie Zugriff auf die Aktivierungs- und Kennwortwiederherstellungsdateien für diesen Sensor besitzen. Diese Dateien wurden beim Onboardings des Sensors heruntergeladen. Sollte ein Administrator nicht über diese Dateien verfügen, kann er im Azure-Portal über Defender für IoT neue Dateien generieren. Dafür sind die folgenden Azure-Berechtigungen erforderlich:

  • Azure-Sicherheitsadministrator
  • Abonnementmitwirkender
  • Berechtigungen des Abonnementbesitzers

Prüfliste für die erstmalige Anmeldung und Aktivierung

Ehe Sie sich an der Sensorkonsole anmelden, müssen Administratoren Zugriff auf Folgendes haben:

  • Die IP-Adresse des Sensors, die bei der Installation festgelegt wurde.

  • Anmeldeinformationen für die Anmeldung des Benutzers beim Sensor. Wenn Sie eine ISO-Datei für den Sensor heruntergeladen haben, verwenden Sie die Standardanmeldeinformationen, die Sie bei der Installation erhalten haben. Wir empfehlen, nach der Aktivierung einen neuen Benutzer des Typs Administrator anzulegen.

  • Ein anfängliches Kennwort. Wenn Sie einen vorkonfigurierten Sensor von Arrow erworben haben, müssen Sie bei der Erstanmeldung ein Kennwort generieren.

  • Die diesem Sensor zugeordnete Aktivierungsdatei. Die Datei wurde beim Onboarding des Sensors im Defender für IoT-Portal generiert und heruntergeladen.

  • Ein von einer Zertifizierungsstelle signiertes SSL/TLS-Zertifikat, das Ihr Unternehmen benötigt.

Alle aus dem Azure-Portal heruntergeladenen Dateien sind vom Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.

Informationen zu Aktivierungsdateien

Ihr Sensor wurde in einem bestimmten Verwaltungsmodus in Microsoft Defender für IoT integriert:

Modustyp BESCHREIBUNG
Modus „Mit Cloud verbunden“ Die vom Sensor erkannten Informationen werden in der Sensorkonsole angezeigt. Warnungsinformationen werden außerdem an Azure übermittelt und können für andere Azure-Dienste wie Microsoft Sentinel freigegeben werden. Sie können auch automatische Threat Intelligence-Updates aktivieren.
Modus „Lokal verbunden“ Die vom Sensor erkannten Informationen werden in der Sensorkonsole angezeigt. Erkennungsinformationen werden auch für die lokale Verwaltungskonsole freigegeben, wenn der Sensor damit verbunden ist.

Während des Onboardings wurde für diesen Sensor eine lokal oder mit der Cloud verbundene Aktivierungsdatei generiert und heruntergeladen. Die Aktivierungsdatei enthält Anweisungen für den Verwaltungsmodus des Sensors. In jeden von Ihnen bereitgestellten Sensor muss eine eindeutige Aktivierungsdatei hochgeladen werden. Bei der ersten Anmeldung müssen Sie die entsprechende Aktivierungsdatei für diesen Sensor hochladen.

Screenshot: Herunterladen der Aktivierungsdatei für Defender für IoT-Sensoren im Azure-Portal.

Informationen zu Zertifikaten

Nach der Installation des Sensors wird ein lokales selbstsigniertes Zertifikat generiert. Dieses Zertifikat wird für den Zugriff auf die Sensorkonsole verwendet. Nachdem sich ein Administrator zum ersten Mal bei der Konsole angemeldet hat, wird er zum Onboarding eines SSL/TLS-Zertifikats aufgefordert.

Zwei Sicherheitsstufen stehen zur Verfügung:

  • Erfüllen spezifischer Zertifikat- und Verschlüsselungsanforderungen, die von Ihrer Organisation angefordert wurden, durch Hochladen des von der Zertifizierungsstelle signierten Zertifikats.
  • Zulassen der Überprüfung zwischen Verwaltungskonsole und verbundenen Sensoren. Die Überprüfung wird anhand einer Zertifikatssperrliste und des Ablaufdatums des Zertifikats ausgewertet. Wenn bei der Überprüfung ein Fehler auftritt, wird die Kommunikation zwischen Verwaltungskonsole und Sensor angehalten, und in der Konsole wird ein Überprüfungsfehler angezeigt. Diese Option wird nach der Installation standardmäßig aktiviert.

Die Konsole unterstützt die folgenden Zertifikattypen:

  • Private und Enterprise Key-Infrastruktur (Private PKI)

  • Public Key-Infrastruktur (Public PKI)

  • Lokal auf dem Gerät generiert (lokal selbstsigniert)

    Wichtig

    Es empfiehlt sich, nicht das standardmäßige selbstsignierte Zertifikat zu verwenden. Das Zertifikat ist nicht sicher und darf nur für Testumgebungen verwendet werden. Der Besitzer des Zertifikats kann nicht überprüft und die Sicherheit Ihres Systems nicht aufrechterhalten werden. Verwenden Sie diese Option auf keinen Fall in Produktionsnetzwerken.

Weitere Informationen zur Verwendung von Zertifikaten finden Sie unter Verwalten von Zertifikaten.

Anmelden und Aktivieren des Sensors

So erfolgen Anmeldung und Aktivierung

  1. Rufen Sie die Sensorkonsole in Ihrem Browser auf, indem Sie die bei der Installation festgelegte IP-Adresse verwenden. Das Dialogfeld zur Anmeldung wird geöffnet.

    Screenshot der Anmeldeseite eines Defender für IoT-Sensors.

  2. Geben Sie die Anmeldeinformationen ein, die Sie bei der Sensorinstallation definiert haben, oder klicken Sie auf Password recovery (Kennwortwiederherstellung). Wenn Sie einen vorkonfigurierten Sensor von Arrow erworben haben, generieren Sie zunächst ein Kennwort. Weitere Informationen zur Kennwortwiederherstellung finden Sie unter Untersuchen von Kennwortfehlern bei der ersten Anmeldung.

  3. Klicken Sie auf Anmelden/Weiter. Dadurch wird die Registerkarte Sensornetzwerkeinstellungen geöffnet.

    Screenshot der Optionen für die Sensornetzwerkeinstellungen bei der Anmeldung beim Sensor.

  4. Über diese Registerkarte können Sie die Konfiguration des Sensornetzwerks vor der Aktivierung ändern. Die Konfigurationsparameter wurden bei der Softwareinstallation oder beim Kauf eines vorkonfigurierten Sensors definiert. Die folgenden Parameter wurden definiert:

    • IP-Adresse
    • DNS
    • Standardgateway
    • Subnetzmaske
    • Hostname

    Sie möchten diese Informationen möglicherweise aktualisieren, ehe Sie den Sensor aktivieren. Sie müssen z. B. die von Arrow festgelegten vorkonfigurierten Parameter ändern. Sie können vor dem Aktivieren des Sensors auch Proxyeinstellungen festlegen.

    Wenn Sie mit einem Proxy arbeiten möchten, aktivieren Sie die Umschaltfläche „Proxy aktivieren“, und fügen Sie Host, Port und Benutzernamen des Proxys hinzu.

    Screenshot: Proxy-Optionen für Anmeldung bei einem Sensor.

  5. Klicken Sie auf Weiter. Dadurch wird die Registerkarte „Aktivierung“ geöffnet.

    Screenshot: Upload-Option für erstmalige Aktivierungsdatei.

  6. Wählen Sie Hochladen aus, und navigieren Sie zu der Aktivierungsdatei, die Sie beim Onboarding des Sensors heruntergeladen haben.

  7. Genehmigen Sie die Geschäftsbedingungen.

  8. Wählen Sie Aktivierenaus. Dadurch wird die Registerkarte „SSL/TLS-Zertifikate“ geöffnet. Informationen zum Definieren von Zertifikaten finden Sie unter Bereitstellen von SSL-/TLS-Zertifikaten auf OT-Appliances.

    Die Verwendung eines lokal generierten Zertifikats in einer Produktionsumgebung wird nicht empfohlen.

    Screenshot: die Seite SSL/TLS-Zertifikate beim Anmelden bei einem Sensor.

  9. Aktivieren Sie die Option Vertrauenswürdiges ZS-Zertifikat importieren (empfohlen).

  10. Legen Sie einen Zertifikatnamen fest.

  11. Laden Sie die KEY-, CRT- und PEM-Dateien hoch.

  12. Geben Sie eine Passphrase ein, und laden Sie bei Bedarf eine PEM-Datei hoch.

  13. Es wird empfohlen, die Umschaltfläche Zertifikatüberprüfung aktivieren zu aktivieren, um die Verbindungen zwischen der Verwaltungskonsole und verbundenen Sensoren zu überprüfen.

  14. Wählen Sie Fertig stellen aus.

Möglicherweise müssen Sie den Bildschirm aktualisieren, nachdem Sie das von einer Zertifizierungsstelle signierte Zertifikat hochgeladen haben.

Informationen zum Hochladen eines neuen Zertifikats, zu unterstützten Zertifikatsparametern und zum Arbeiten mit CLI-Zertifikatsbefehlen finden Sie unter Verwalten einzelner Sensoren.

Aktivierungsablauf

Nachdem Sie einen Sensor aktiviert haben, bleiben mit der Cloud verbundene und lokal verwaltete Sensoren so lange aktiviert, wie Ihr Azure-Abonnement mit Ihrem Defender for IoT-Plan aktiv ist.

Wenn Sie einen OT-Sensor von einer Legacyversion aktualisieren, müssen Sie den aktualisierten Sensor erneut aktivieren. Weitere Informationen finden Sie unter Aktualisieren einer Legacy-OT-Sensorsoftware.

Weitere Informationen finden Sie unter Verwalten von Defender für IoT-Abonnements und Verwalten der lokalen Verwaltungskonsole.

Aktivieren einer abgelaufenen Lizenz (Versionen unter 10.0)

Für Benutzer mit Versionen unter 10.0 läuft die Lizenz möglicherweise ab und die folgende Warnung wird angezeigt.

Screenshot: Popup-Meldung für eine ablaufende Lizenz.

So aktivieren Sie Ihre Lizenz

  1. Öffnen Sie einen Fall beim Support.

  2. Stellen Sie dem Support Ihre Aktivierungs-ID-Nummer bereit.

  3. Der Support stellt Ihnen neue Lizenzinformationen in Form einer Zeichenfolge aus Buchstaben zur Verfügung.

  4. Lesen Sie die Geschäftsbedingungen, und aktivieren Sie zur Genehmigung das Kontrollkästchen.

  5. Fügen Sie die Zeichenfolge in das vorgesehene Feld ein.

    Screenshot: Kästchen und Schaltfläche der Lizenzaktivierung.

  6. Wählen Sie Aktivierenaus.

Nachfolgende Anmeldungen

Nach der erstmaligen Aktivierung wird die Sensorkonsole von Microsoft Defender für IoT nach der Anmeldung geöffnet, ohne dass eine Aktivierungsdatei oder Zertifikatdefinition erforderlich ist. Sie benötigen nur Ihre Anmeldeinformationen.

Screenshot: Sensoranmeldungsseite nach der anfänglichen Aktivierung.

Nach der Anmeldung wird die Microsoft Defender für IoT-Sensorkonsole geöffnet.

Screenshot: die Übersichtsseite der anfänglichen Sensorkonsole.

Anfängliches Setup und Lernmodus (für Administratoren)

Nach Ihrer ersten Anmeldung beginnt der Microsoft Defender für IoT-Sensor automatisch mit der Überwachung Ihres Netzwerks. Netzwerkgeräte werden in den Abschnitten mit der Gerätezuordnung und dem Gerätebestand angezeigt. Microsoft Defender für IoT beginnt mit der Erkennung und Warnung bei allen Sicherheits- und Betriebsvorfällen, die in Ihrem Netzwerk auftreten. Sie können anschließend Berichte und Abfragen auf Grundlage der erkannten Informationen erstellen.

Zunächst erfolgt diese Aktivität im Lernmodus. Dabei wird Ihr Sensor angewiesen, die übliche Aktivität des Netzwerks zu erfassen. Der Sensor erfasst z. B. in Ihrem Netzwerk entdeckte Geräte, im Netzwerk erkannte Protokolle und zwischen bestimmten Geräten stattfindende Dateiübertragungen. Diese Aktivität wird zur Baselineaktivität Ihres Netzwerks.

Überprüfen und Aktualisieren grundlegender Systemeinstellungen

Überprüfen Sie die Systemeinstellungen des Sensors, um sicherzustellen, dass der Sensor für eine optimale Erkennung und Warnung konfiguriert ist.

Legen Sie die Systemeinstellungen des Sensors fest. Beispiel:

  • Legen Sie ICS- (oder IoT-) und getrennte Subnetze fest.

  • Legen Sie Portaliase für standortspezifische Protokolle fest.

  • Bestimmen Sie die verwendeten VLANs und Namen.

  • Wenn DHCP verwendet wird, bestimmen Sie zulässige DHCP-Bereiche.

  • Bestimmen Sie entsprechend die Integration mit Active Directory und dem E-Mail-Server.

Deaktivieren des Lernmodus

Nach Anpassung der Systemeinstellungen können Sie den Sensor im Lernmodus ausführen, bis Sie das Gefühl haben, dass die Systemerkennungen Ihre Netzwerkaktivität präzise widerspiegeln.

Der Lernmodus sollte je nach Größe und Komplexität Ihres Netzwerks etwa 2 bis 6 Wochen aktiv bleiben. Sobald Sie den Lernmodus deaktiviert haben, löst jede Aktivität, die von Ihrer Baselineaktivität abweicht, eine Warnung aus.

So deaktivieren Sie den Lernmodus

  • Klicken Sie auf Systemeinstellungen, Netzwerküberwachung, Erkennungsmodule und Netzwerkmodellierung, und deaktivieren Sie die Umschaltfläche Lernen.

Erstmalige Anmeldung für Sicherheitsanalysten und Benutzer mit Leseberechtigung

Vergewissern Sie sich vor der Anmeldung, dass Sie über Folgendes verfügen:

  • Die IP-Adresse des Sensors

  • Von Ihrem Administrator bereitgestellte Anmeldeinformationen

    Screenshot: die Sensoranmeldungsseite nach der anfänglichen Einrichtung.

Konsolentools: Übersicht

Sie können über das seitliche Menü auf die Konsolentools zugreifen. Die Tools bieten Ihnen folgende Möglichkeiten:

  • Umfassende Einblicke in Ihr Netzwerk

  • Analysieren von Netzwerkrisiken, Sicherheitsrisiken, Trends und Statistiken

  • Einrichten des Sensors für eine optimale Leistung

  • Erstellen und Verwalten von Benutzern

    Screenshot: das Hauptmenü der Sensorkonsole auf der linken Seite.

Entdecken

Tools BESCHREIBUNG
Übersicht Zeigt ein Dashboard mit allgemeinen Informationen zur Sensorbereitstellung, Warnungen, Datenverkehr usw. an.
Geräteübersicht Zeigt eine Zuordnung der Netzwerkgeräte, Geräteverbindungen, Purdue-Ebenen und Geräteeigenschaften an. Es stehen verschiedene Zoom-, Hervorhebungs- und Filteroptionen zur Verfügung, mit denen Sie die gewünschten Einblicke gewinnen können. Weitere Informationen finden Sie unter Untersuchen von Sensorerkennungen in der Geräteübersicht.
Gerätebestand Zeigt eine umfangreiche Liste der von diesem Sensor erkannten Geräteattribute an. Folgende Optionen stehen zur Verfügung:
Sortieren oder Filtern der Informationen gemäß den Tabellenfeldern und Prüfen der angezeigten gefilterten Informationen
Exportieren von Informationen in eine CSV-Datei
Importieren von Windows-Registrierungsdetails Weitere Informationen finden Sie unter Erkennen von Windows-Arbeitsstationen und -Servern mit einem lokalen Skript.
Alerts Warnungen werden ausgelöst, wenn Änderungen oder verdächtige Aktivitäten im Netzwerkdatenverkehr, die von den Sensormodulen erkannt wurden, Ihre Aufmerksamkeit erfordern. Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen auf Ihrem OT-Sensor.

Analysieren

Tools BESCHREIBUNG
Zeitskala der Ereignisse Zeigt eine Zeitachse mit Informationen zu Warnungen, Netzwerkereignissen und Benutzervorgängen an. Weitere Informationen finden Sie unter Nachverfolgen der Sensoraktivität.
Data Mining Generiert umfassende und detaillierte Informationen zu den Geräten in Ihrem Netzwerk auf verschiedenen Ebenen. Weitere Informationen finden Sie unter Data Mining-Abfragen für Sensoren.
Trends und Statistiken Zeigt Trends und Statistiken zu einer Vielzahl von Netzwerkdatenverkehr und -aktivitäten an. Beispiel: Diagramme und Graphen für Ports mit dem meisten Datenverkehr, Verbindungsabbrüche nach Stunden, S7-Datenverkehr nach Steuerungsfunktion, Anzahl der Geräte nach VLAN, SRTP-Fehler nach Tagen oder MODBUS-Datenverkehr nach Funktion. Weitere Informationen finden Sie unter Sensortrend- und Statistikberichte.
Risikobewertung Behebt proaktiv Sicherheitsrisiken und identifiziert Risiken wie fehlende Patches oder nicht autorisierte Anwendungen. Änderungen an Gerätekonfigurationen, Controllerlogik und Firmware werden erkannt. Fehlerbehebungen werden basierend auf der Risikobewertung und automatisierten Bedrohungsmodellierung priorisiert. Weitere Informationen finden Sie unter Berichterstellung zur Risikobewertung.
Angriffsvektor Bietet eine grafische Darstellung einer Risikokette von Geräten mit Sicherheitslücken. Durch diese Sicherheitslücken kann ein Angreifer Zugriff auf wichtige Netzwerkgeräte erhalten. Der Angriffsvektorsimulator berechnet Angriffsvektoren in Echtzeit und analysiert alle Angriffsvektoren für ein bestimmtes Ziel. Weitere Informationen finden Sie unter Berichte zu Angriffsvektoren.

Verwalten

Tools Beschreibung
Systemeinstellungen Dient zum Konfigurieren der Systemeinstellungen. Sie können beispielsweise DHCP-Einstellungen festlegen, Details zum E-Mail-Server angeben oder Portaliase erstellen.
Benutzerdefinierte Warnungsregeln Mit benutzerdefinierten Warnungsregeln können Sie für Sie interessante Aktivitäten oder Datenverkehr genauer ermitteln. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Warnungsregeln auf einem OT-Sensor.
Benutzer Dient zum Festlegen von Benutzern und Rollen mit verschiedenen Zugriffsebenen. Weitere Informationen finden Sie unter Erstellen und Verwalten von Benutzern auf einem OT-Netzwerksensor.
Weiterleitung Leitet Warnungsinformationen an Partner weiter, die in Defender für IoT integriert sind, z. B. Microsoft Sentinel, Splunk, ServiceNow. Sie können die Informationen auch an E-Mail-Adressen, Webhookserver usw. senden.
Einzelheiten finden Sie unter Weiterleiten von Warnungsinformationen.

Unterstützung

Tool BESCHREIBUNG
Support Wenden Sie sich an den Microsoft-Support, um Hilfe zu erhalten.

Überprüfen von Systemmeldungen

Systemmeldungen enthalten allgemeine Informationen zu Ihrem Sensor, die Ihre Aufmerksamkeit erfordern können. Dazu zählen folgende Ereignisse:

  • Ihre Sensoraktivierungsdatei ist abgelaufen oder läuft bald ab.
  • Ihr Sensor erkennt keinen Datenverkehr.
  • Das SSL-Zertifikat Ihres Sensors ist abgelaufen oder läuft bald ab.

Screenshot: der Systemnachrichtenbereich auf der Sensorkonsolenseite, die nach der Auswahl des Glockensymbols angezeigt wird.

Gehen Sie folgendermaßen vor, um Systemmeldungen zu überprüfen:

  1. Melden Sie sich bei Ihrem Sensor an.
  2. Klicken Sie auf das Symbol Systemmeldungen (Glockensymbol).

Nächste Schritte

Weitere Informationen finden Sie unter