Rövid útmutató: Belső vezérlőprogram-rendszerképek feltöltése a Defender for IoT Firmware Analysisbe az Azure CLI használatával
Ez a cikk bemutatja, hogyan tölthet fel belső vezérlőprogram-lemezképeket az Azure CLI-vel a Defender for IoT Firmware Analysis szolgáltatásba.
Az IoT-vezérlőprogram-elemzéshez készült Defender egy eszköz, amely elemzi a belső vezérlőprogram lemezképeit, és a belső vezérlőprogram-rendszerképek biztonsági réseinek megértését biztosítja.
Előfeltételek
Ez a rövid útmutató feltételezi az IoT-vezérlőprogram-elemzéshez készült Defender alapszintű megértését. További információt az eszközkészítők belső vezérlőprogram-elemzésében talál. A támogatott fájlrendszerek listáját az IoT-vezérlőprogram-elemzéshez készült Defenderrel kapcsolatos gyakori kérdések című témakörben találja.
A környezet előkészítése az Azure CLI-hez
Telepítse az Azure CLI-t a cli-parancsok helyi futtatásához. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Jelentkezzen be az Azure CLI-be az az login paranccsal. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.
Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.
- Telepítse a Defender for IoT Firmware Analysis bővítményt az alábbi parancs futtatásával:
az extension add --name firmwareanalysis
- Telepítse a Defender for IoT Firmware Analysis bővítményt az alábbi parancs futtatásával:
A telepített verzió és függő kódtárak megkereséséhez futtassa az az version parancsot. A legújabb verzióra való frissítéshez futtassa az az upgrade parancsot.
Az IoT-alapú Defender belső vezérlőprogram-elemzésre való előfizetés előkészítése .
Válassza ki a megfelelő előfizetés-azonosítót, ahová fel szeretné tölteni a belső vezérlőprogram lemezképeit az az account set parancs futtatásával.
Belső vezérlőprogram-rendszerkép feltöltése a munkaterületre
Hozzon létre egy feltöltendő belső vezérlőprogram-lemezképet. Szúrja be az erőforráscsoport nevét, az előfizetés azonosítóját és a munkaterület nevét a megfelelő paraméterekbe.
az firmwareanalysis firmware create --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default
A parancs kimenete tartalmaz egy tulajdonságot name , amely a belső vezérlőprogram azonosítója. Mentse ezt az azonosítót a következő parancshoz.
Hozzon létre egy SAS URL-címet, amelyet a következő lépésben fog használni a belső vezérlőprogram-rendszerkép Azure Storage-ba való küldéséhez. Cserélje le
sampleFirmwareIDaz előző lépésből mentett belső vezérlőprogram-azonosítóra. Az SAS URL-címet egy változóban tárolhatja a későbbi parancsok könnyebb elérése érdekében:$sasURL = $(az firmwareanalysis workspace generate-upload-url --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID --query "url")Töltse fel a belső vezérlőprogram rendszerképét az Azure Storage-ba. Cserélje le
pathToFilea belső vezérlőprogram lemezképének elérési útját a helyi gépen.az storage blob upload -f pathToFile --blob-url $sasURL
Az alábbi példa munkafolyamat bemutatja, hogyan hozhat létre és tölthet fel belső vezérlőprogram-lemezképeket ezek a parancsok. A változók CLI-parancsokban való használatáról további információt a Változók használata az Azure CLI-parancsokban című témakörben olvashat:
$filePath='/path/to/image'
$resourceGroup='myResourceGroup'
$workspace='default'
$fileName='file1'
$vendor='vendor1'
$model='model'
$version='test'
$FWID=$(az firmwareanalysis firmware create --resource-group $resourceGroup --workspace-name $workspace --file-name $fileName --vendor $vendor --model $model --version $version --query "name")
$URL=$(az firmwareanalysis workspace generate-upload-url --resource-group $resourceGroup --workspace-name $workspace --firmware-id $FWID --query "url")
$OUTPUT=(az storage blob upload -f $filePath --blob-url $URL)
Belső vezérlőprogram-elemzési eredmények lekérése
A belső vezérlőprogram-elemzés eredményeinek lekéréséhez győződjön meg arról, hogy az elemzés állapota "Kész":
az firmwareanalysis firmware show --firmware-id sampleFirmwareID --resource-group myResourceGroup --workspace-name default
Keresse meg az "állapot" mezőt a "Ready" (Kész) érték megjelenítéséhez, majd futtassa az alábbi parancsokat a belső vezérlőprogram elemzési eredményeinek lekéréséhez.
Ha automatizálni szeretné az elemzés állapotának ellenőrzésének folyamatát, használhatja a az resource wait parancsot.
A az resource wait parancs rendelkezik egy --timeout paraméterrel, amely az az idő másodpercben, amikor az elemzés befejeződik, ha az "állapot" nem éri el a "Ready" értéket az időkorláton belül. Az alapértelmezett időtúllépés 3600, ami egy óra. A nagyméretű képek elemzése hosszabb időt vehet igénybe, így igény szerint beállíthatja az időtúllépést a --timeout paraméterrel. Íme egy példa arra, hogyan használhatja a parancsot a az resource wait paraméterrel az --timeout elemzés állapotának ellenőrzésének automatizálására, feltéve, hogy már létrehozott egy belső vezérlőprogramot, és a belső vezérlőprogram azonosítóját egy következő nevű $FWIDváltozóban tárolta:
$ID=$(az firmwareanalysis firmware show --resource-group $resourceGroup --workspace-name $workspace --firmware-id $FWID --query "id")
Write-Host (‘Successfully created a firmware image with the firmware ID of ‘ + $FWID + ‘, recognized in Azure by this resource ID: ‘ + $ID + ‘.’)
$WAIT=$(az resource wait --ids $ID --custom "properties.status=='Ready'" --timeout 10800)
$STATUS=$(az resource show --ids $ID --query 'properties.status')
Write-Host ('Firmware analysis completed with status: ' + $STATUS)
Miután meggyőződött arról, hogy az elemzés állapota "Kész", parancsokat futtathat az eredmények lekéréséhez.
SBOM
Az alábbi parancs lekéri az SBOM-t a belső vezérlőprogram lemezképében. Cserélje le az egyes argumentumokat az erőforráscsoport, az előfizetés, a munkaterület neve és a belső vezérlőprogram-azonosító megfelelő értékére.
az firmwareanalysis firmware sbom-component --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Gyenge pontok
Az alábbi parancs lekéri a belső vezérlőprogram lemezképében található CVE-ket. Cserélje le az egyes argumentumokat az erőforráscsoport, az előfizetés, a munkaterület neve és a belső vezérlőprogram-azonosító megfelelő értékére.
az firmwareanalysis firmware cve --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Bináris megkeményedés
Az alábbi parancs lekéri a belső vezérlőprogram-lemezkép bináris megkeményedésével kapcsolatos elemzési eredményeket. Cserélje le az egyes argumentumokat az erőforráscsoport, az előfizetés, a munkaterület neve és a belső vezérlőprogram-azonosító megfelelő értékére.
az firmwareanalysis firmware binary-hardening --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Jelszókivonatok
Az alábbi parancs lekéri a jelszókivonatokat a belső vezérlőprogram lemezképében. Cserélje le az egyes argumentumokat az erőforráscsoport, az előfizetés, a munkaterület neve és a belső vezérlőprogram-azonosító megfelelő értékére.
az firmwareanalysis firmware password-hash --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Diplomák
Az alábbi parancs lekéri a belső vezérlőprogram lemezképében található sebezhető titkosítási tanúsítványokat. Cserélje le az egyes argumentumokat az erőforráscsoport, az előfizetés, a munkaterület neve és a belső vezérlőprogram-azonosító megfelelő értékére.
az firmwareanalysis firmware crypto-certificate --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Kulcsok
Az alábbi parancs lekéri a belső vezérlőprogram lemezképében található sebezhető kriptokulcsokat. Cserélje le az egyes argumentumokat az erőforráscsoport, az előfizetés, a munkaterület neve és a belső vezérlőprogram-azonosító megfelelő értékére.
az firmwareanalysis firmware crypto-key --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID