A magas rendelkezésre állásról (örökölt)
Fontos
Az IoT-hez készült Defender mostantól a Microsoft felhőszolgáltatásait vagy meglévő informatikai infrastruktúráját javasolja a központi monitorozáshoz és az érzékelőkezeléshez, és 2025. január 1-jén tervezi a helyszíni felügyeleti konzol kivonását.
További információkért lásd a hibrid vagy a levegőben csatlakoztatott OT-érzékelő felügyeletének üzembe helyezését ismertető témakört.
A helyszíni felügyeleti konzol magas rendelkezésre állásának konfigurálásával növelheti a Defender for IoT üzembe helyezésének rugalmasságát. A magas rendelkezésre állású üzemelő példányok biztosítják, hogy a felügyelt érzékelők folyamatosan jelentsenek egy aktív helyszíni felügyeleti konzolon.
Ez az üzembe helyezés egy helyszíni felügyeleti konzolpárnal van implementálva, amely egy elsődleges és egy másodlagos berendezést tartalmaz.
Megjegyzés:
Ebben a dokumentumban az elsődleges helyszíni felügyeleti konzolt nevezzük elsődlegesnek, az ügynököt pedig másodlagosnak.
Előfeltételek
A cikkben szereplő eljárások végrehajtása előtt ellenőrizze, hogy teljesítette-e a következő előfeltételeket:
Győződjön meg arról, hogy egy helyszíni felügyeleti konzol van telepítve egy elsődleges berendezésre és egy másodlagos berendezésre is.
- Az elsődleges és a másodlagos helyszíni felügyeleti konzol berendezéseinek azonos hardvermodelleket és szoftververziókat kell futtatniuk.
- A PARANCSSOR-parancsok futtatásához képesnek kell lennie az elsődleges és a másodlagos helyszíni felügyeleti konzolok elérésére. További információ: Helyszíni felhasználók és szerepkörök az OT-monitorozáshoz.
Győződjön meg arról, hogy az elsődleges helyszíni felügyeleti konzol teljes mértékben konfigurálva van, beleértve legalább két csatlakoztatott és látható OT hálózati érzékelőt a konzol felhasználói felületén, valamint az ütemezett biztonsági mentéseket vagy VLAN-beállításokat. A rendszer a párosítást követően automatikusan alkalmazza az összes beállítást a másodlagos berendezésre.
Győződjön meg arról, hogy az SSL-/TLS-tanúsítványok megfelelnek a szükséges feltételeknek. További információ: SSL/TLS-tanúsítványkövetelmények a helyszíni erőforrásokhoz.
Győződjön meg arról, hogy a szervezeti biztonsági szabályzat hozzáférést biztosít a következő szolgáltatásokhoz az elsődleges és másodlagos helyszíni felügyeleti konzolon. Ezek a szolgáltatások lehetővé teszik az érzékelők és a másodlagos helyszíni felügyeleti konzol közötti kapcsolatot is:
Kikötő Szolgáltatás Leírás 443 vagy TCP HTTPS Hozzáférést biztosít a helyszíni felügyeleti konzol webkonzolhoz. 22 vagy TCP SSH Szinkronizálja az adatokat az elsődleges és a másodlagos helyszíni felügyeleti konzol berendezései között 123 vagy UDP NTP A helyszíni felügyeleti konzol NTP-időszinkronizálása. Ellenőrizze, hogy az aktív és passzív berendezések azonos időzónával vannak-e definiálva.
Az elsődleges és a másodlagos pár létrehozása
Fontos
Futtassa a parancsokat sudo-val, csak a megadott helyre. Ha nincs megadva, ne futtasson sudo-val.
Az elsődleges és a másodlagos helyszíni felügyeleti konzol berendezéseinek bekapcsolása.
A másodlagos berendezésen a következő lépésekkel másolja a kapcsolati sztring a vágólapra:
Jelentkezzen be a másodlagos helyszíni felügyeleti konzolra, és válassza a System Gépház lehetőséget.
Az Érzékelő beállítása – Csatlakozás ion sztring területén, a Másolás Csatlakozás ion sztring területen kattintson a gombra a teljes kapcsolati sztring megtekintéséhez.
A kapcsolati sztring az IP-címből és a jogkivonatból áll. Az IP-cím a kettőspont előtt van, a jogkivonat pedig a kettőspont után van. Másolja külön az IP-címet és a jogkivonatot. Ha például a kapcsolati sztring van
172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f
, másolja külön az IP-címet172.10.246.232
és a jogkivonatota2c4gv9de23f56n078a44e12gf2ce77f
.
Az elsődleges berendezésen a következő lépésekkel csatlakoztassa a másodlagos berendezést az elsődlegeshez a parancssori felületen keresztül:
Jelentkezzen be az elsődleges helyszíni felügyeleti konzolra az SSH-n keresztül a parancssori felület eléréséhez, majd futtassa a következőt:
sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
ahol
<Secondary IP>
a másodlagos berendezés IP-címe, és<Secondary token>
a kettőspont utáni kapcsolati sztring második része, amelyet korábban a vágólapra másolt.Például:
sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f
A rendszer ellenőrzi az IP-címet, letölti az SSL/TLS-tanúsítványt az elsődleges berendezésre, és az elsődleges berendezéshez csatlakoztatott összes érzékelő csatlakozik a másodlagos berendezéshez.
Alkalmazza a módosításokat az elsődleges berendezésre. Futtatás:
sudo cyberx-management-trusted-hosts-apply
Ellenőrizze, hogy a tanúsítvány megfelelően van-e telepítve az elsődleges berendezésen. Futtatás:
cyberx-management-trusted-hosts-list
Az elsődleges és másodlagos berendezések biztonsági mentési és visszaállítási folyamatának engedélyezése:
Az elsődleges berendezésen futtassa a következőt:
cyberx-management-deploy-ssh-key <secondary appliance IP address>
A másodlagos berendezésen jelentkezzen be az SSH-n keresztül a parancssori felület eléréséhez, és futtassa a következőt:
cyberx-management-deploy-ssh-key <primary appliance IP address>
Ellenőrizze, hogy alkalmazták-e a módosításokat a másodlagos berendezésen. A másodlagos berendezésen futtassa a következőt:
cyberx-management-trusted-hosts-list
Magas rendelkezésre állási tevékenység nyomon követése
Az alapvető alkalmazásnaplók exportálhatók a Defender for IoT támogatási csapatba a magas rendelkezésre állási problémák kezelése érdekében.
Az alapvető naplók elérése:
- Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a System Gépház> Export lehetőséget. A támogatási csapatnak küldendő naplók exportálásáról további információt a helyszíni felügyeleti konzol naplóinak exportálása hibaelhárítási útmutatójában talál.
A helyszíni felügyeleti konzol frissítése magas rendelkezésre állással
A magas rendelkezésre állású helyszíni felügyeleti konzol frissítéséhez a következőkre lesz szükség:
- Válassza le a magas rendelkezésre állást az elsődleges és a másodlagos berendezésekről.
- Frissítse a berendezéseket az új verzióra.
- Konfigurálja újra a magas rendelkezésre állást mindkét készülékre.
Hajtsa végre a frissítést az alábbi sorrendben. Az új lépés megkezdése előtt győződjön meg arról, hogy minden lépés befejeződött.
Helyszíni felügyeleti konzol frissítése magas rendelkezésre állással konfigurálva:
Válassza le a magas rendelkezésre állást az elsődleges és a másodlagos berendezésekről:
Az elsődlegesen:
Kérje le az aktuálisan csatlakoztatott berendezések listáját. Futtatás:
cyberx-management-trusted-hosts-list
Keresse meg a másodlagos berendezéshez társított tartományt, és másolja a vágólapra. Például:
Távolítsa el a másodlagos tartományt a megbízható gazdagépek listájából. Futtatás:
sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
Ellenőrizze, hogy a tanúsítvány megfelelően van-e telepítve. Futtatás:
sudo cyberx-management-trusted-hosts-apply
A másodlagos:
Kérje le az aktuálisan csatlakoztatott berendezések listáját. Futtatás:
cyberx-management-trusted-hosts-list
Keresse meg az elsődleges berendezéshez társított tartományt, és másolja a vágólapra.
Távolítsa el az elsődleges tartományt a megbízható gazdagépek listájából. Futtatás:
sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
Ellenőrizze, hogy a tanúsítvány megfelelően van-e telepítve. Futtatás:
sudo cyberx-management-trusted-hosts-apply
Frissítse mind az elsődleges, mind a másodlagos berendezéseket az új verzióra. További információ: Helyszíni felügyeleti konzol frissítése.
Állítsa be ismét a magas rendelkezésre állást az elsődleges és a másodlagos berendezéseken is. További információ: Az elsődleges és a másodlagos pár létrehozása.
Feladatátvételi folyamat
A magas rendelkezésre állás beállítása után az OT-érzékelők automatikusan csatlakoznak egy másodlagos helyszíni felügyeleti konzolhoz, ha nem tudnak csatlakozni az elsődlegeshez. Ha jelenleg az OT-érzékelők kevesebb mint fele kommunikál a másodlagos géppel, a rendszert egyszerre az elsődleges és a másodlagos gépek is támogatják. Ha az OT-érzékelők több mint fele kommunikál a másodlagos géppel, a másodlagos gép átveszi az összes OT-érzékelő kommunikációját. Az elsődleges gépről a másodlagos gépre történő feladatátvétel körülbelül három percet vesz igénybe.
Feladatátvétel esetén az elsődleges helyszíni felügyeleti konzol lefagy, és ugyanazzal a bejelentkezési hitelesítő adatokkal jelentkezhet be a másodlagosba.
A feladatátvétel során az érzékelők továbbra is megpróbálnak kommunikálni az elsődleges berendezéssel. Ha a felügyelt érzékelők több mint fele sikeresen kommunikál az elsődlegessel, az elsődleges lesz visszaállítva. Az elsődleges rendszer visszaállításakor a következő üzenet jelenik meg a másodlagos konzolon:
Az átirányítás után jelentkezzen be újra az elsődleges berendezésbe.
Lejárt aktiválási fájlok kezelése
Az aktiválási fájlok csak az elsődleges helyszíni felügyeleti konzolon frissíthetők.
Mielőtt az aktiválási fájl lejár a másodlagos gépen, adja meg elsődleges gépként, hogy frissíthesse a licencet.
További információ: Új aktiválási fájl feltöltése.
További lépések
További információ: Helyszíni felügyeleti konzol aktiválása és beállítása.