Megosztás a következőn keresztül:


Oktatóanyag: A Defender for IoT mikroügynök telepítése

Ez az oktatóanyag segítséget nyújt az IoT-alapú Defender mikroügynök telepítésének és hitelesítésének elsajátításában.

Ezen oktatóanyag segítségével megtanulhatja a következőket:

  • A mikroügynök letöltése és telepítése
  • A mikroügynök hitelesítése
  • A telepítés ellenőrzése
  • A rendszer tesztelése
  • Adott mikroügynök-verzió telepítése

Feljegyzés

A Defender for IoT 2025. augusztus 1-jén tervezi kivonni a mikroügynököt.

Előfeltételek

A mikroügynök letöltése és telepítése

A beállítástól függően telepíteni kell a megfelelő Microsoft-csomagot.

A megfelelő Microsoft-csomagtárház hozzáadása:

  1. Töltse le az eszköz operációs rendszerének megfelelő adattár-konfigurációt.

    • Ubuntu 18.04 esetén:

      curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
      
    • Ubuntu 20.04 esetén:

          curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
      
    • Debian 9 esetén (amd64 és ARM64 egyaránt):

      curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
      
  2. A következő paranccsal másolja az adattár konfigurációját a sources.list.d könyvtárba:

    sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
    
  3. Telepítse a Microsoft GPG nyilvános kulcsát a következő paranccsal:

    curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
    sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
    
  4. Győződjön meg arról, hogy a következő paranccsal frissítette az apt-t:

    sudo apt-get update
    
  5. Az alábbi paranccsal telepítse a Defender for IoT mikroügynökcsomagot Debianra vagy Ubuntu-alapú Linux-disztribúciókra:

    sudo apt-get install defender-iot-micro-agent 
    

Csatlakozás proxyn keresztül

Ez az eljárás azt ismerteti, hogyan csatlakoztathatja a Defender for IoT mikroügynököt az IoT Hubhoz proxyn keresztül.

Kapcsolatok konfigurálása proxyn keresztül:

  1. A mikroügynök-gépen hozzon létre egy /etc/defender_iot_micro_agent/conf.json fájlt a következő tartalommal:

    {
        "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>",
        "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
    }
    

    A felhasználói és jelszómezők megadása nem kötelező. Ha nincs rájuk szüksége, használja inkább a következő szintaxist:

    {
        "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>",
        "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
    }
    
    
  2. Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json helyen.

  3. Indítsa újra a mikroügynököt. Futtatás:

    sudo systemctl restart defender-iot-micro-agent.service
    

AMQP protokoll támogatásának hozzáadása

Ez az eljárás az AMQP protokoll támogatásához szükséges további lépéseket ismerteti.

AMQP protokolltámogatás hozzáadása:

  1. Nyissa meg a fájlt a /etc/defender_iot_micro_agent/conf.json mikroügynök-gépen, és adja hozzá a következő tartalmat:

    {
    "IothubModule_TransportProtocol": "AMQP_Protocol"
    }
    
  2. Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json helyen.

  3. Indítsa újra a mikroügynököt. Futtatás:

    sudo systemctl restart defender-iot-micro-agent.service
    

AMQP hozzáadása a webes szoftvercsatornák protokolltámogatásán keresztül:

  1. Nyissa meg a fájlt a /etc/defender_iot_micro_agent/conf.json mikroügynök-gépen, és adja hozzá a következő tartalmat:

    {
    "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol"
    }
    
  2. Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json helyen.

  3. Indítsa újra a mikroügynököt. Futtatás:

    sudo systemctl restart defender-iot-micro-agent.service
    

Az ügynök ezt a protokollt fogja használni, és kommunikál az IoT Hubbal a 443-as porton. Ehhez a protokollhoz HTTP-proxykonfiguráció támogatott, ha a proxy is konfigurálva van, a proxyval való kommunikáció portja a proxykonfigurációban meghatározott módon lesz meghatározva.

A mikroügynök hitelesítése

A Defender for IoT mikroügynök hitelesítéséhez két lehetőség közül választhat:

Hitelesítés modulidentitás-kapcsolati sztring

A modul identitásának kapcsolati sztring a DefenderIoTMicroAgent modul identitásadataiból kell másolnia.

A modul identitásának kapcsolati sztring másolása:

  1. Lépjen az IoT Hub>Your hub>eszközfelügyeleti>eszközeire.

    Válassza ki az IoT-eszközöket a bal oldali menüből.

  2. Válasszon ki egy eszközt az eszközazonosítók listájából.

  3. Válassza a Modulidentitások lapot.

  4. Válassza ki a DefenderIotMicroAgent modult az eszközhöz társított modulidentitások listájából.

    Válassza a modulidentitások lapot.

  5. Másolja a kapcsolati sztringet (elsődleges kulcsot) a másolási gombra kattintva.

    Válassza a másolás gombot a kapcsolati sztring (elsődleges kulcs) másolásához.

  6. Hozzon létre egy fájltconnection_string.txt, amely tartalmazza az utf-8 kódolt másolt kapcsolati sztring az IoT-ügynökhöz készült Defender címtár /etc/defender_iot_micro_agent elérési útján a következő paranccsal:

    sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
    

    A connection_string.txt rendszer ekkor a következő elérési útvonalon fog elhelyezkedni /etc/defender_iot_micro_agent/connection_string.txt.

    Feljegyzés

    A kapcsolati sztring tartalmaz egy kulcsot, amely lehetővé teszi a modulhoz való közvetlen hozzáférést, ezért olyan bizalmas információkat tartalmaz, amelyeket csak a legfelső szintű felhasználók használhatnak és olvashatnak.

  7. Indítsa újra a szolgáltatást a következő paranccsal:

    sudo systemctl restart defender-iot-micro-agent.service 
    

Hitelesítés tanúsítvány használatával

Hitelesítés tanúsítvány használatával:

  1. Szerezze be a tanúsítványt az alábbi utasítások követésével.

  2. Helyezze a tanúsítvány PEM-kódolású nyilvános részét és a titkos kulcsot /etc/defender_iot_micro_agenta következő fájlbacertificate_public.pemcertificate_private.pem:

  3. Helyezze a megfelelő kapcsolati sztring a connection_string.txt fájlba. A kapcsolati sztring a következőképpen kell kinéznie:

    HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true

    Ez a sztring arra figyelmezteti a Defender for IoT-ügynököt, hogy a hitelesítéshez tanúsítványt kell megadni.

  4. Indítsa újra a szolgáltatást a következő paranccsal:

    sudo systemctl restart defender-iot-micro-agent.service
    

A telepítés ellenőrzése

A telepítés ellenőrzése:

  1. Az alábbi paranccsal győződjön meg arról, hogy a mikroügynök megfelelően működik:

    systemctl status defender-iot-micro-agent.service
    
  2. Győződjön meg arról, hogy a szolgáltatás stabil, és a activefolyamat üzemideje megfelelő.

    Ellenőrizze, hogy a szolgáltatás stabil-e és aktív-e.

A rendszer tesztelése

A rendszer teszteléséhez hozzon létre egy triggerfájlt az eszközön. Az eseményindító fájl hatására az ügynök alapkonfiguráció-vizsgálata alapkonfigurációs szabálysértésként észleli a fájlt.

  1. Hozzon létre egy fájlt a fájlrendszerben a következő paranccsal:

    sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
    
  2. Győződjön meg arról, hogy a Log Analytics-munkaterület csatlakoztatva van az IoT Hubhoz. További információ: Log Analytics-munkaterület létrehozása.

  3. Indítsa újra az ügynököt a következő paranccsal:

    sudo systemctl restart defender-iot-micro-agent.service
    

Akár egy órát is hagyhat, hogy a javaslat megjelenjen a központban.

Létrejön egy "IoT_CISBenchmarks_DIoTTest" nevű alapjavaslat. Ezt a javaslatot az alábbiak szerint kérdezheti le a Log Analyticsből:

SecurityRecommendation

| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"

| where DeviceId contains "<device-id>"

| top 1 by TimeGenerated desc

Példa:

Képernyőkép a Log Analyticsben futtatott IoT_CISBenchmarks_DIoTTest lekérdezésről.

Adott mikroügynök-verzió telepítése

A mikroügynök egy adott verzióját egy adott paranccsal telepítheti.

Az IoT-hez készült Defender mikroügynök egy adott verziójának telepítése:

  1. Nyisson meg egy terminált.

  2. Futtassa az alábbi parancsot:

    sudo apt-get install defender-iot-micro-agent=<version>
    

Az erőforrások eltávolítása

Nincsenek megtisztítandó erőforrások.

Következő lépések