A magas rendelkezésre állásról (örökölt)

Fontos

Az IoT-hez készült Defender mostantól a Microsoft felhőszolgáltatásait vagy meglévő informatikai infrastruktúráját javasolja a központi monitorozáshoz és az érzékelőkezeléshez, és 2025. január 1-jén tervezi a helyszíni felügyeleti konzol kivonását.

További információkért lásd a hibrid vagy a levegőben csatlakoztatott OT-érzékelő felügyeletének üzembe helyezését ismertető témakört.

A helyszíni felügyeleti konzol magas rendelkezésre állásának konfigurálásával növelheti a Defender for IoT üzembe helyezésének rugalmasságát. A magas rendelkezésre állású üzemelő példányok biztosítják, hogy a felügyelt érzékelők folyamatosan jelentsenek egy aktív helyszíni felügyeleti konzolon.

Ez az üzembe helyezés egy helyszíni felügyeleti konzolpárnal van implementálva, amely egy elsődleges és egy másodlagos berendezést tartalmaz.

Megjegyzés:

Ebben a dokumentumban az elsődleges helyszíni felügyeleti konzolt nevezzük elsődlegesnek, az ügynököt pedig másodlagosnak.

Előfeltételek

A cikkben szereplő eljárások végrehajtása előtt ellenőrizze, hogy teljesítette-e a következő előfeltételeket:

• Győződjön meg arról, hogy egy helyszíni felügyeleti konzol van telepítve egy elsődleges berendezésre és egy másodlagos berendezésre is.

  • Az elsődleges és a másodlagos helyszíni felügyeleti konzol berendezéseinek azonos hardvermodelleket és szoftververziókat kell futtatniuk.
  • A PARANCSSOR-parancsok futtatásához képesnek kell lennie az elsődleges és a másodlagos helyszíni felügyeleti konzolok elérésére. További információ: Helyszíni felhasználók és szerepkörök az OT-monitorozáshoz.

• Győződjön meg arról, hogy az elsődleges helyszíni felügyeleti konzol teljes mértékben konfigurálva van, beleértve legalább két csatlakoztatott és látható OT hálózati érzékelőt a konzol felhasználói felületén, valamint az ütemezett biztonsági mentéseket vagy VLAN-beállításokat. A rendszer a párosítást követően automatikusan alkalmazza az összes beállítást a másodlagos berendezésre.

• Győződjön meg arról, hogy az SSL-/TLS-tanúsítványok megfelelnek a szükséges feltételeknek. További információ: SSL/TLS-tanúsítványkövetelmények a helyszíni erőforrásokhoz.

• Győződjön meg arról, hogy a szervezeti biztonsági szabályzat hozzáférést biztosít a következő szolgáltatásokhoz az elsődleges és másodlagos helyszíni felügyeleti konzolon. Ezek a szolgáltatások lehetővé teszik az érzékelők és a másodlagos helyszíni felügyeleti konzol közötti kapcsolatot is:

  Kikötő	Szolgáltatás	Leírás
  443 vagy TCP	HTTPS	Hozzáférést biztosít a helyszíni felügyeleti konzol webkonzolhoz.
  22 vagy TCP	SSH	Szinkronizálja az adatokat az elsődleges és a másodlagos helyszíni felügyeleti konzol berendezései között
  123 vagy UDP	NTP	A helyszíni felügyeleti konzol NTP-időszinkronizálása. Ellenőrizze, hogy az aktív és passzív berendezések azonos időzónával vannak-e definiálva.

Az elsődleges és a másodlagos pár létrehozása

Fontos

Futtassa a parancsokat sudo-val, csak a megadott helyre. Ha nincs megadva, ne futtasson sudo-val.

1. Az elsődleges és a másodlagos helyszíni felügyeleti konzol berendezéseinek bekapcsolása.

2. A másodlagos berendezésen a következő lépésekkel másolja a kapcsolati sztring a vágólapra:

   1. Jelentkezzen be a másodlagos helyszíni felügyeleti konzolra, és válassza a System Gépház lehetőséget.

   2. Az Érzékelő beállítása – Csatlakozás ion sztring területén, a Másolás Csatlakozás ion sztring területen kattintson a gombra a teljes kapcsolati sztring megtekintéséhez.

   3. A kapcsolati sztring az IP-címből és a jogkivonatból áll. Az IP-cím a kettőspont előtt van, a jogkivonat pedig a kettőspont után van. Másolja külön az IP-címet és a jogkivonatot. Ha például a kapcsolati sztring van172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, másolja külön az IP-címet 172.10.246.232 és a jogkivonatota2c4gv9de23f56n078a44e12gf2ce77f.

      

3. Az elsődleges berendezésen a következő lépésekkel csatlakoztassa a másodlagos berendezést az elsődlegeshez a parancssori felületen keresztül:

   1. Jelentkezzen be az elsődleges helyszíni felügyeleti konzolra az SSH-n keresztül a parancssori felület eléréséhez, majd futtassa a következőt:

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>
      

      ahol <Secondary IP> a másodlagos berendezés IP-címe, és <Secondary token> a kettőspont utáni kapcsolati sztring második része, amelyet korábban a vágólapra másolt.

      Például:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      A rendszer ellenőrzi az IP-címet, letölti az SSL/TLS-tanúsítványt az elsődleges berendezésre, és az elsődleges berendezéshez csatlakoztatott összes érzékelő csatlakozik a másodlagos berendezéshez.

   2. Alkalmazza a módosításokat az elsődleges berendezésre. Futtatás:

      sudo cyberx-management-trusted-hosts-apply
      

   3. Ellenőrizze, hogy a tanúsítvány megfelelően van-e telepítve az elsődleges berendezésen. Futtatás:

      cyberx-management-trusted-hosts-list
      

4. Az elsődleges és másodlagos berendezések biztonsági mentési és visszaállítási folyamatának engedélyezése:

   • Az elsődleges berendezésen futtassa a következőt:

     cyberx-management-deploy-ssh-key <secondary appliance IP address>
     

   • A másodlagos berendezésen jelentkezzen be az SSH-n keresztül a parancssori felület eléréséhez, és futtassa a következőt:

     cyberx-management-deploy-ssh-key <primary appliance IP address>
     

5. Ellenőrizze, hogy alkalmazták-e a módosításokat a másodlagos berendezésen. A másodlagos berendezésen futtassa a következőt:

   cyberx-management-trusted-hosts-list
   

Magas rendelkezésre állási tevékenység nyomon követése

Az alapvető alkalmazásnaplók exportálhatók a Defender for IoT támogatási csapatba a magas rendelkezésre állási problémák kezelése érdekében.

Az alapvető naplók elérése:

1. Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a System Gépház> Export lehetőséget. A támogatási csapatnak küldendő naplók exportálásáról további információt a helyszíni felügyeleti konzol naplóinak exportálása hibaelhárítási útmutatójában talál.

A helyszíni felügyeleti konzol frissítése magas rendelkezésre állással

A magas rendelkezésre állású helyszíni felügyeleti konzol frissítéséhez a következőkre lesz szükség:

1. Válassza le a magas rendelkezésre állást az elsődleges és a másodlagos berendezésekről.
2. Frissítse a berendezéseket az új verzióra.
3. Konfigurálja újra a magas rendelkezésre állást mindkét készülékre.

Hajtsa végre a frissítést az alábbi sorrendben. Az új lépés megkezdése előtt győződjön meg arról, hogy minden lépés befejeződött.

Helyszíni felügyeleti konzol frissítése magas rendelkezésre állással konfigurálva:

1. Válassza le a magas rendelkezésre állást az elsődleges és a másodlagos berendezésekről:

   Az elsődlegesen:

   1. Kérje le az aktuálisan csatlakoztatott berendezések listáját. Futtatás:

      cyberx-management-trusted-hosts-list
      

   2. Keresse meg a másodlagos berendezéshez társított tartományt, és másolja a vágólapra. Például:

      

   3. Távolítsa el a másodlagos tartományt a megbízható gazdagépek listájából. Futtatás:

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]
      

   4. Ellenőrizze, hogy a tanúsítvány megfelelően van-e telepítve. Futtatás:

      sudo cyberx-management-trusted-hosts-apply
      

   A másodlagos:

   1. Kérje le az aktuálisan csatlakoztatott berendezések listáját. Futtatás:

      cyberx-management-trusted-hosts-list
      

   2. Keresse meg az elsődleges berendezéshez társított tartományt, és másolja a vágólapra.

   3. Távolítsa el az elsődleges tartományt a megbízható gazdagépek listájából. Futtatás:

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]
      

   4. Ellenőrizze, hogy a tanúsítvány megfelelően van-e telepítve. Futtatás:

      sudo cyberx-management-trusted-hosts-apply
      

2. Frissítse mind az elsődleges, mind a másodlagos berendezéseket az új verzióra. További információ: Helyszíni felügyeleti konzol frissítése.

3. Állítsa be ismét a magas rendelkezésre állást az elsődleges és a másodlagos berendezéseken is. További információ: Az elsődleges és a másodlagos pár létrehozása.

Feladatátvételi folyamat

A magas rendelkezésre állás beállítása után az OT-érzékelők automatikusan csatlakoznak egy másodlagos helyszíni felügyeleti konzolhoz, ha nem tudnak csatlakozni az elsődlegeshez. Ha jelenleg az OT-érzékelők kevesebb mint fele kommunikál a másodlagos géppel, a rendszert egyszerre az elsődleges és a másodlagos gépek is támogatják. Ha az OT-érzékelők több mint fele kommunikál a másodlagos géppel, a másodlagos gép átveszi az összes OT-érzékelő kommunikációját. Az elsődleges gépről a másodlagos gépre történő feladatátvétel körülbelül három percet vesz igénybe.

Feladatátvétel esetén az elsődleges helyszíni felügyeleti konzol lefagy, és ugyanazzal a bejelentkezési hitelesítő adatokkal jelentkezhet be a másodlagosba.

A feladatátvétel során az érzékelők továbbra is megpróbálnak kommunikálni az elsődleges berendezéssel. Ha a felügyelt érzékelők több mint fele sikeresen kommunikál az elsődlegessel, az elsődleges lesz visszaállítva. Az elsődleges rendszer visszaállításakor a következő üzenet jelenik meg a másodlagos konzolon:

Az átirányítás után jelentkezzen be újra az elsődleges berendezésbe.

Lejárt aktiválási fájlok kezelése

Az aktiválási fájlok csak az elsődleges helyszíni felügyeleti konzolon frissíthetők.

Mielőtt az aktiválási fájl lejár a másodlagos gépen, adja meg elsődleges gépként, hogy frissíthesse a licencet.

További információ: Új aktiválási fájl feltöltése.

További lépések

További információ: Helyszíni felügyeleti konzol aktiválása és beállítása.