Oktatóanyag: A Defender for IoT mikroügynök telepítése
Ez az oktatóanyag segítséget nyújt az IoT-alapú Defender mikroügynök telepítésének és hitelesítésének elsajátításában.
Ezen oktatóanyag segítségével megtanulhatja a következőket:
- A mikroügynök letöltése és telepítése
- A mikroügynök hitelesítése
- A telepítés ellenőrzése
- A rendszer tesztelése
- Adott mikroügynök-verzió telepítése
Feljegyzés
A Defender for IoT 2025. augusztus 1-jén tervezi kivonni a mikroügynököt.
Előfeltételek
Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
Egy IoT Hub.
Ellenőrizze, hogy az alábbi operációs rendszerek egyikét futtatja-e.
Engedélyeznie kell a Microsoft Defender for IoT-t az Azure IoT Hubon.
Hozzá kell adnia egy erőforráscsoportot az IoT-megoldáshoz.
Létre kell hoznia egy Defender for IoT mikroügynök modul ikerpéldányát.
A mikroügynök letöltése és telepítése
A beállítástól függően telepíteni kell a megfelelő Microsoft-csomagot.
A megfelelő Microsoft-csomagtárház hozzáadása:
Töltse le az eszköz operációs rendszerének megfelelő adattár-konfigurációt.
Ubuntu 18.04 esetén:
curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
Ubuntu 20.04 esetén:
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
Debian 9 esetén (amd64 és ARM64 egyaránt):
curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
A következő paranccsal másolja az adattár konfigurációját a
sources.list.d
könyvtárba:sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
Telepítse a Microsoft GPG nyilvános kulcsát a következő paranccsal:
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
Győződjön meg arról, hogy a következő paranccsal frissítette az apt-t:
sudo apt-get update
Az alábbi paranccsal telepítse a Defender for IoT mikroügynökcsomagot Debianra vagy Ubuntu-alapú Linux-disztribúciókra:
sudo apt-get install defender-iot-micro-agent
Csatlakozás proxyn keresztül
Ez az eljárás azt ismerteti, hogyan csatlakoztathatja a Defender for IoT mikroügynököt az IoT Hubhoz proxyn keresztül.
Kapcsolatok konfigurálása proxyn keresztül:
A mikroügynök-gépen hozzon létre egy
/etc/defender_iot_micro_agent/conf.json
fájlt a következő tartalommal:{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
A felhasználói és jelszómezők megadása nem kötelező. Ha nincs rájuk szüksége, használja inkább a következő szintaxist:
{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json helyen.
Indítsa újra a mikroügynököt. Futtatás:
sudo systemctl restart defender-iot-micro-agent.service
AMQP protokoll támogatásának hozzáadása
Ez az eljárás az AMQP protokoll támogatásához szükséges további lépéseket ismerteti.
AMQP protokolltámogatás hozzáadása:
Nyissa meg a fájlt a
/etc/defender_iot_micro_agent/conf.json
mikroügynök-gépen, és adja hozzá a következő tartalmat:{ "IothubModule_TransportProtocol": "AMQP_Protocol" }
Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json helyen.
Indítsa újra a mikroügynököt. Futtatás:
sudo systemctl restart defender-iot-micro-agent.service
AMQP hozzáadása a webes szoftvercsatornák protokolltámogatásán keresztül:
Nyissa meg a fájlt a
/etc/defender_iot_micro_agent/conf.json
mikroügynök-gépen, és adja hozzá a következő tartalmat:{ "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol" }
Törölje a gyorsítótárazott fájlokat a /var/lib/defender_iot_micro_agent/cache.json helyen.
Indítsa újra a mikroügynököt. Futtatás:
sudo systemctl restart defender-iot-micro-agent.service
Az ügynök ezt a protokollt fogja használni, és kommunikál az IoT Hubbal a 443-as porton. Ehhez a protokollhoz HTTP-proxykonfiguráció támogatott, ha a proxy is konfigurálva van, a proxyval való kommunikáció portja a proxykonfigurációban meghatározott módon lesz meghatározva.
A mikroügynök hitelesítése
A Defender for IoT mikroügynök hitelesítéséhez két lehetőség közül választhat:
Hitelesítés modulidentitás-kapcsolati sztring használatával.
Hitelesítés tanúsítvány használatával.
Hitelesítés modulidentitás-kapcsolati sztring
A modul identitásának kapcsolati sztring a DefenderIoTMicroAgent modul identitásadataiból kell másolnia.
A modul identitásának kapcsolati sztring másolása:
Lépjen az IoT Hub>
Your hub
>eszközfelügyeleti>eszközeire.Válasszon ki egy eszközt az eszközazonosítók listájából.
Válassza a Modulidentitások lapot.
Válassza ki a DefenderIotMicroAgent modult az eszközhöz társított modulidentitások listájából.
Másolja a kapcsolati sztringet (elsődleges kulcsot) a másolási gombra kattintva.
Hozzon létre egy fájlt
connection_string.txt
, amely tartalmazza az utf-8 kódolt másolt kapcsolati sztring az IoT-ügynökhöz készült Defender címtár/etc/defender_iot_micro_agent
elérési útján a következő paranccsal:sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
A
connection_string.txt
rendszer ekkor a következő elérési útvonalon fog elhelyezkedni/etc/defender_iot_micro_agent/connection_string.txt
.Feljegyzés
A kapcsolati sztring tartalmaz egy kulcsot, amely lehetővé teszi a modulhoz való közvetlen hozzáférést, ezért olyan bizalmas információkat tartalmaz, amelyeket csak a legfelső szintű felhasználók használhatnak és olvashatnak.
Indítsa újra a szolgáltatást a következő paranccsal:
sudo systemctl restart defender-iot-micro-agent.service
Hitelesítés tanúsítvány használatával
Hitelesítés tanúsítvány használatával:
Szerezze be a tanúsítványt az alábbi utasítások követésével.
Helyezze a tanúsítvány PEM-kódolású nyilvános részét és a titkos kulcsot
/etc/defender_iot_micro_agent
a következő fájlbacertificate_public.pem
certificate_private.pem
:Helyezze a megfelelő kapcsolati sztring a
connection_string.txt
fájlba. A kapcsolati sztring a következőképpen kell kinéznie:HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true
Ez a sztring arra figyelmezteti a Defender for IoT-ügynököt, hogy a hitelesítéshez tanúsítványt kell megadni.
Indítsa újra a szolgáltatást a következő paranccsal:
sudo systemctl restart defender-iot-micro-agent.service
A telepítés ellenőrzése
A telepítés ellenőrzése:
Az alábbi paranccsal győződjön meg arról, hogy a mikroügynök megfelelően működik:
systemctl status defender-iot-micro-agent.service
Győződjön meg arról, hogy a szolgáltatás stabil, és a
active
folyamat üzemideje megfelelő.
A rendszer tesztelése
A rendszer teszteléséhez hozzon létre egy triggerfájlt az eszközön. Az eseményindító fájl hatására az ügynök alapkonfiguráció-vizsgálata alapkonfigurációs szabálysértésként észleli a fájlt.
Hozzon létre egy fájlt a fájlrendszerben a következő paranccsal:
sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
Győződjön meg arról, hogy a Log Analytics-munkaterület csatlakoztatva van az IoT Hubhoz. További információ: Log Analytics-munkaterület létrehozása.
Indítsa újra az ügynököt a következő paranccsal:
sudo systemctl restart defender-iot-micro-agent.service
Akár egy órát is hagyhat, hogy a javaslat megjelenjen a központban.
Létrejön egy "IoT_CISBenchmarks_DIoTTest" nevű alapjavaslat. Ezt a javaslatot az alábbiak szerint kérdezheti le a Log Analyticsből:
SecurityRecommendation
| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"
| where DeviceId contains "<device-id>"
| top 1 by TimeGenerated desc
Példa:
Adott mikroügynök-verzió telepítése
A mikroügynök egy adott verzióját egy adott paranccsal telepítheti.
Az IoT-hez készült Defender mikroügynök egy adott verziójának telepítése:
Nyisson meg egy terminált.
Futtassa az alábbi parancsot:
sudo apt-get install defender-iot-micro-agent=<version>
Az erőforrások eltávolítása
Nincsenek megtisztítandó erőforrások.