Oktatóanyag: Az IoT-hez készült Defender mikroügynök telepítése
Ebből az oktatóanyagból megtudhatja, hogyan telepítheti és hitelesítheti az IoT-hez készült Defender mikroügynököt.
Ezen oktatóanyag segítségével megtanulhatja a következőket:
- A mikroügynök letöltése és telepítése
- A mikroügynök hitelesítése
- A telepítés ellenőrzése
- A rendszer tesztelése
- Adott mikroügynök-verzió telepítése
Előfeltételek
Egy Azure-fiók, aktív előfizetéssel. Hozzon létre ingyenes fiókot.
Egy IoT Hub.
Ellenőrizze, hogy az alábbi operációs rendszerek valamelyikét futtatja-e.
Engedélyeznie kell Microsoft Defender az IoT-hez a Azure IoT Hub.
Hozzá kell adnia egy erőforráscsoportot az IoT-megoldáshoz.
Létre kell hoznia egy IoT-hez készült Defender mikroügynök modul ikerpéldányát.
A mikroügynök letöltése és telepítése
A beállítástól függően telepíteni kell a megfelelő Microsoft-csomagot.
A megfelelő Microsoft-csomagtár hozzáadása:
Töltse le az eszköz operációs rendszerének megfelelő adattár-konfigurációt.
Ubuntu 18.04 esetén:
curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
Ubuntu 20.04 esetén:
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
Debian 9 esetén (AMD64 és ARM64 esetén is):
curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
A következő paranccsal másolja az adattár konfigurációját a
sources.list.d
könyvtárba:sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
Telepítse a Microsoft GPG nyilvános kulcsát a következő paranccsal:
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
Győződjön meg arról, hogy frissítette az apt-t a következő paranccsal:
sudo apt-get update
Az alábbi paranccsal telepítse a Defender for IoT micro agent csomagot Debian vagy Ubuntu alapú Linux-disztribúciókra:
sudo apt-get install defender-iot-micro-agent
Csatlakozás proxyn keresztül
Ez az eljárás azt ismerteti, hogyan csatlakoztathatja az IoT-hez készült Defender mikroügynököt a IoT Hub proxyn keresztül.
Kapcsolatok konfigurálása proxyn keresztül:
A mikroügynök-gépen hozzon létre egy
/etc/defender_iot_micro_agent/conf.json
fájlt a következő tartalommal:{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
A felhasználói és jelszómezők megadása nem kötelező. Ha nincs rájuk szüksége, használja inkább a következő szintaxist:
{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json címen.
Indítsa újra a mikroügynököt. Futtassa a következőt:
sudo systemctl restart defender-iot-micro-agent.service
AMQP protokolltámogatás hozzáadása
Ez az eljárás az AMQP protokoll támogatásához szükséges további lépéseket ismerteti.
AMQP protokolltámogatás hozzáadása:
Nyissa meg a fájlt a
/etc/defender_iot_micro_agent/conf.json
mikroügynök-gépen, és adja hozzá a következő tartalmat:{ "IothubModule_TransportProtocol": "AMQP_Protocol" }
Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json címen.
Indítsa újra a mikroügynököt. Futtassa a következőt:
sudo systemctl restart defender-iot-micro-agent.service
AMQP hozzáadása webes szoftvercsatorna protokollon keresztüli támogatással:
Nyissa meg a fájlt a
/etc/defender_iot_micro_agent/conf.json
mikroügynök-gépen, és adja hozzá a következő tartalmat:{ "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol" }
Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json címen.
Indítsa újra a mikroügynököt. Futtassa a következőt:
sudo systemctl restart defender-iot-micro-agent.service
Az ügynök ezt a protokollt fogja használni, és kommunikál a IoT Hub a 443-as porton. Ehhez a protokollhoz http-proxykonfiguráció támogatott, abban az esetben, ha a proxy is konfigurálva van, a proxyval való kommunikáció portja a proxykonfigurációban meghatározott módon lesz meghatározva.
A mikroügynök hitelesítése
Az IoT-hez készült Defender mikroügynök hitelesítéséhez két lehetőség közül választhat:
Hitelesítés modulidentitás-kapcsolati sztring
A modulidentitást kapcsolati sztring a DefenderIoTMicroAgent modul identitásadataiból kell átmásolnia.
A modul identitásának kapcsolati sztring másolása:
Lépjen a IoT Hub>
Your hub
>A felügyeleti>eszközök területre.Válasszon ki egy eszközt az Eszközazonosító listából.
Válassza a Modulidentitások lapot.
Válassza ki a DefenderIotMicroAgent modult az eszközhöz társított modulidentitások listájából.
Másolja ki a Kapcsolati sztringet (elsődleges kulcsot) a Másolás gombra kattintva.
Hozzon létre egy nevű fájlt
connection_string.txt
, amely tartalmazza a másolt kapcsolati sztring utf-8 kóddal az IoT-ügynökhöz készült Defender címtár/etc/defender_iot_micro_agent
elérési útján az alábbi paranccsal:sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
A
connection_string.txt
következő elérési útvonalon/etc/defender_iot_micro_agent/connection_string.txt
fog elhelyezkedni.Megjegyzés
A kapcsolati sztring tartalmaz egy kulcsot, amely lehetővé teszi a modulhoz való közvetlen hozzáférést, ezért olyan bizalmas információkat tartalmaz, amelyeket csak a gyökérfelhasználók használhatnak és olvashatnak.
Indítsa újra a szolgáltatást a következő paranccsal:
sudo systemctl restart defender-iot-micro-agent.service
Hitelesítés tanúsítvány használatával
Hitelesítés tanúsítvány használatával:
A következő utasítások követésével szerezzen be tanúsítványt.
Helyezze a tanúsítvány PEM-kódolású nyilvános részét és a titkos kulcsot a () fájlba
/etc/defender_iot_micro_agent
a , éscertificate_private.pem
nevűcertificate_public.pem
fájlokba.Helyezze a megfelelő kapcsolati sztring a
connection_string.txt
fájlba. A kapcsolati sztring a következőképpen kell kinéznie:HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true
Ez a sztring arra figyelmezteti a Defender for IoT-ügynököt, hogy elvárja a hitelesítéshez szükséges tanúsítványt.
Indítsa újra a szolgáltatást a következő paranccsal:
sudo systemctl restart defender-iot-micro-agent.service
A telepítés ellenőrzése
A telepítés ellenőrzése:
A következő paranccsal győződjön meg arról, hogy a mikroügynök megfelelően fut:
systemctl status defender-iot-micro-agent.service
Győződjön meg arról, hogy a szolgáltatás stabil, és győződjön meg arról, hogy az
active
, és a folyamat üzemideje megfelelő.
A rendszer tesztelése
A rendszer teszteléséhez hozzon létre egy triggerfájlt az eszközön. Az eseményindítófájl miatt az ügynök alapkonfiguráció-vizsgálata alapkonfiguráció-szabálysértésként észleli a fájlt.
Hozzon létre egy fájlt a fájlrendszeren a következő paranccsal:
sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
Győződjön meg arról, hogy a Log Analytics-munkaterület csatlakoztatva van az IoT Hubhoz. További információ: Log Analytics-munkaterület létrehozása.
Indítsa újra az ügynököt a következő paranccsal:
sudo systemctl restart defender-iot-micro-agent.service
Akár egy órát is hagyhat, hogy a javaslat megjelenjen a központban.
Létrejön egy "IoT_CISBenchmarks_DIoTTest" nevű alapterv-javaslat. Ezt a javaslatot a Log Analyticsből a következőképpen kérdezheti le:
SecurityRecommendation
| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"
| where DeviceId contains "<device-id>"
| top 1 by TimeGenerated desc
Például:
Adott mikroügynök-verzió telepítése
A mikroügynök egy adott verzióját egy adott paranccsal telepítheti.
Az IoT-hez készült Defender mikroügynök egy adott verziójának telepítése:
Nyisson meg egy terminált.
Futtassa az alábbi parancsot:
sudo apt-get install defender-iot-micro-agent=<version>
Az erőforrások eltávolítása
Nincsenek megtisztítandó erőforrások.