Az OT-érzékelő konfigurálása és aktiválása
Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti, valamint ismerteti a kezdeti beállítási beállítások konfigurálását és az OT-érzékelő aktiválását.
A böngészőben vagy a parancssori felületen számos kezdeti beállítási lépés végezhető el.
- Használja a böngészőt, ha fizikai kábeleket tud csatlakoztatni a kapcsolótól az érzékelőhöz a felületek helyes azonosításához. Győződjön meg arról, hogy újrakonfigurálja a hálózati adaptert az érzékelő alapértelmezett beállításainak megfelelően.
- Használja a parancssori felületet, ha ismeri a hálózati adatokat anélkül, hogy fizikai kábeleket kellene csatlakoztatnia. Használja a parancssori felületet, ha csak iLo/iDrac használatával tud csatlakozni az érzékelőhöz
A parancssori felületen keresztüli beállítás konfigurálásához továbbra is el kell végeznie az utolsó néhány lépést a böngészőben.
Előfeltételek
A cikkben szereplő eljárások végrehajtásához a következőkre van szükség:
Az Azure Portalon a Defender for IoT-be előkészített OT-érzékelő.
A készülékre telepített OT érzékelőszoftver. Győződjön meg arról, hogy saját maga telepítette a szoftvert, vagy vásárolt egy előre konfigurált berendezést.
Az érzékelő aktiválási fájlja, amely az érzékelő előkészítése után lett letöltve. Minden üzembe helyezett OT-érzékelőhöz egyedi aktiválási fájlra van szükség.
Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.
Feljegyzés
Az aktiválási fájlok a létrehozás után 14 nappal lejárnak. Ha előkészítette az érzékelőt, de nem töltötte fel az aktiválási fájlt a lejárata előtt, töltsön le egy új aktiválási fájlt.
SSL/TLS-tanúsítvány. Javasoljuk, hogy hitelesítésszolgáltató által aláírt tanúsítványt használjon, és ne önaláírt tanúsítványt. További információ: SSL/TLS-tanúsítványok létrehozása AZ OT-berendezésekhez.
Hozzáférés a fizikai vagy virtuális berendezéshez, ahol az érzékelőt telepíti. További információ: Melyik készülékre van szükségem?
Ezt a lépést az üzembehelyezési csapatok hajtják végre.
Beállítás konfigurálása a böngészőn keresztül
Az érzékelő beállításának böngészőn keresztüli konfigurálása a következő lépéseket tartalmazza:
- Bejelentkezés az érzékelőkonzolra és a rendszergazdai felhasználói jelszó módosítása
- Az érzékelő hálózati adatainak meghatározása
- A monitorozni kívánt felületek meghatározása
- Az érzékelő aktiválása
- SSL-/TLS-tanúsítványbeállítások konfigurálása
Jelentkezzen be az érzékelőkonzolra, és módosítsa az alapértelmezett jelszót
Ez az eljárás azt ismerteti, hogyan jelentkezhet be először az OT érzékelőkonzolba. A rendszer kéri, hogy módosítsa a rendszergazdai felhasználó alapértelmezett jelszavát.
Az érzékelőbe való bejelentkezéshez:
Egy böngészőben nyissa meg az
192.168.0.101
IP-címet, amely az érzékelőhöz a telepítés végén megadott alapértelmezett IP-cím.Megjelenik a kezdeti bejelentkezési oldal. Példa:
Adja meg a következő hitelesítő adatokat, és válassza a Bejelentkezés lehetőséget:
- Felhasználónév:
admin
- Jelszó:
admin
A rendszer megkéri, hogy adjon meg egy új jelszót a rendszergazdai felhasználó számára.
- Felhasználónév:
Az Új jelszó mezőben adja meg az új jelszót. A jelszónak kisbetűs és nagybetűs betűrendű karaktereket, számokat és szimbólumokat kell tartalmaznia.
Az Új jelszó megerősítése mezőbe írja be újra az új jelszót, majd válassza az Első lépések lehetőséget.
További információ: Alapértelmezett jogosultsággal rendelkező felhasználók.
Az IoT Defender | Az Áttekintés lap megnyílik a Felügyeleti felület lapon.
Érzékelő hálózatkezelési részleteinek meghatározása
A Felügyeleti felület lapon az alábbi mezőkkel határozhatja meg az új érzékelő hálózati adatait:
Ha elkészült, válassza a Tovább: Felületkonfigurációk lehetőséget a folytatáshoz.
A monitorozni kívánt felületek meghatározása
Az Interfészkonfigurációk lapon alapértelmezés szerint az érzékelő által észlelt összes illesztő látható. Ezen a lapon be- és kikapcsolhatja a monitorozást interfészenként, vagy megadhat bizonyos beállításokat az egyes felületekhez.
Tipp.
Javasoljuk, hogy optimalizálja az érzékelő teljesítményét úgy, hogy a beállításokat úgy konfigurálja, hogy csak az aktív használatban lévő interfészeket figyelje.
Az Interfészkonfigurációk lapon az alábbi lépéseket követve konfigurálhatja a figyelt felületek beállításait:
Válassza az Érzékelő által monitorozni kívánt felületek engedélyezése/letiltása váltógombot. A folytatáshoz legalább egy felületet ki kell választania.
Ha nem biztos abban, hogy melyik felületet használja, válassza a Pislogás fizikai felület LED gombot , hogy a kiválasztott port villogjon a gépen. Válassza ki a kapcsolóhoz csatlakoztatott interfészeket.
(Nem kötelező) A monitorozáshoz kiválasztott összes felületnél válassza a Speciális beállítások gombot az alábbi beállítások módosításához:
Név Leírás Üzemmód Válasszon az alábbiak közül:
- SPAN-forgalom (nincs beágyazás) az alapértelmezett SPAN-porttükrözés használatához.
- ERSPAN , ha ERSPAN-tükrözést használ.
További információ: Forgalomtükrözési módszer kiválasztása az OT-érzékelőkhöz.Leírás Adjon meg egy opcionális leírást a felülethez. Ezt később láthatja az érzékelő Rendszerbeállítások > felületének konfigurációi oldalán, és ezek a leírások hasznosak lehetnek az egyes interfészek céljának megértésében. Automatikus egyeztetés Csak fizikai gépekre vonatkozik. Ezzel a beállítással meghatározhatja, hogy milyen kommunikációs módszereket használ, vagy hogy a kommunikációs módszerek automatikusan vannak-e definiálva az összetevők között.
Fontos: Javasoljuk, hogy ezt a beállítást csak a hálózati csapat tanácsára módosítsa.ERSPAN-bújtatás hozzáadása a felülethez:
A Mód beállításnál válassza az Bújtatás lehetőséget a legördülő listából.
Az alagút konfigurálásához frissítse a következő OT-érzékelő adatait:
- Leírás (nem kötelező).
- Interfész IP-címe.
- Alhálózat.
Példa:
Válassza a Mentés lehetőséget a módosítások mentéséhez.
Válassza a Tovább elemet: Újraindítás >a folytatáshoz, majd indítsa újra az újraindítást az érzékelőgép újraindításához. Az érzékelő újraindulása után a rendszer automatikusan átirányítja a korábban az érzékelő IP-címeként definiált IP-címre.
Válassza a Mégse lehetőséget az újraindításra való várakozáshoz.
Az OT-érzékelő aktiválása
Ez az eljárás azt ismerteti, hogyan aktiválhatja az új OT-érzékelőt.
Ha eddig a parancssori felületen konfigurálta a kezdeti beállításokat, ebben a lépésben fogja elindítani a böngészőalapú konfigurációt. Az érzékelő újraindítása után a rendszer átirányítja ugyanarra az IoT-alapú Defenderre | Áttekintés lap az Aktiválás lapra.
Az érzékelő aktiválása:
- Az Aktiválás lapon válassza a Feltöltés lehetőséget az érzékelő Azure Portalról letöltött aktiválási fájljának feltöltéséhez.
- Válassza ki a feltételek és feltételek lehetőséget, majd válassza az Aktiválás lehetőséget.
- Válassza a Következő: Tanúsítványok lehetőséget.
Ha a felhőalapú érzékelő és az Azure Portal kapcsolati problémája van az aktiválási folyamat során, amely miatt az aktiválás sikertelen lesz, az Aktiválás gomb alatt megjelenik egy üzenet. A csatlakozási probléma megoldásához válassza a További információ lehetőséget, és megnyílik a Felhőkapcsolat panel. A panel felsorolja a probléma okait és a megoldására vonatkozó javaslatokat.
Még a probléma megoldása nélkül is folytathatja a következő szakaszt a Next: Certificates (Tanúsítványok) gombra kattintva.
Az egyetlen csatlakozási probléma, amelyet a következő fázisra való áttérés előtt ki kell javítani, az az, amikor időeltolódást észlel, és az érzékelő nincs szinkronizálva a felhővel. Ebben az esetben az érzékelőt megfelelően kell szinkronizálni a javaslatokban leírtak szerint, mielőtt továbblépne a következő fázisra.
SSL-/TLS-tanúsítványbeállítások megadása
A Tanúsítványok lapon ssl-/TLS-tanúsítványt helyezhet üzembe az OT-érzékelőn. Javasoljuk, hogy minden éles környezetben használjon hitelesítésszolgáltató által aláírt tanúsítványt .
SSL-/TLS-tanúsítványbeállítások definiálása:
A Tanúsítványok lapon válassza a Megbízható hitelesítésszolgáltatói tanúsítvány importálása (ajánlott) lehetőséget a hitelesítésszolgáltató által aláírt tanúsítvány üzembe helyezéséhez.
Adja meg a tanúsítvány nevét és jelszavát, majd válassza a Feltöltés lehetőséget a titkos kulcsfájl, a tanúsítványfájl és egy opcionális tanúsítványláncfájl feltöltéséhez.
Előfordulhat, hogy a fájlok feltöltése után frissítenie kell a lapot. További információ: Tanúsítványfeltöltési hibák elhárítása.
Tipp.
Ha tesztelési környezetben dolgozik, a telepítés során helyileg létrehozott önaláírt tanúsítványt is használhatja. Ha önaláírt tanúsítványt szeretne használni, mindenképpen válassza a Javaslatok megerősítése lehetőséget.
További információ: SSL/TLS-tanúsítványok kezelése.
A helyszíni felügyeleti konzol tanúsítványterületén válassza a Kötelező lehetőséget a helyszíni felügyeleti konzol tanúsítványának a tanúsítványban konfigurált visszavont tanúsítványok listájára (CRL) való érvényesítéséhez.
További információ: SSL/TLS-tanúsítványkövetelmények a helyszíni erőforrásokhoz és SSL/TLS-tanúsítványok létrehozása OT-berendezésekhez.
A Befejezés gombra kattintva fejezze be a kezdeti beállítást, és nyissa meg az érzékelőkonzolt.
Beállítás konfigurálása a parancssori felületről
Ezzel az eljárással konfigurálhatja a következő kezdeti beállítási beállításokat a parancssori felületről:
- Bejelentkezés az érzékelőkonzolba és új rendszergazdai felhasználói jelszó beállítása
- Az érzékelő hálózati adatainak meghatározása
- A monitorozni kívánt felületek meghatározása
Folytassa az SSL/TLS-tanúsítványbeállítások aktiválásával és konfigurálásával a böngészőben.
Feljegyzés
A cikkben szereplő információk az érzékelő 24.1.5-ös verziójára vonatkoznak. Ha egy korábbi verziót futtat, tekintse meg az ERSPAN-tükrözés konfigurálását.
A kezdeti beállítási beállítások konfigurálása parancssori felülettel:
A telepítési képernyőn az alapértelmezett hálózati adatok megjelenítése után nyomja le az ENTER billentyűt a folytatáshoz.
D4Iot login
Az üzenetben jelentkezzen be az alábbi alapértelmezett hitelesítő adatokkal:- Felhasználónév:
admin
- Jelszó:
admin
A jelszó megadásakor a jelszókarakterek nem jelennek meg a képernyőn. Ügyeljen arra, hogy gondosan adja meg őket.
- Felhasználónév:
A parancssorban adjon meg egy új jelszót a rendszergazdai felhasználónak. A jelszónak kisbetűs és nagybetűs betűrendű karaktereket, számokat és szimbólumokat kell tartalmaznia.
Amikor a rendszer kéri a jelszó megerősítését, adja meg újra az új jelszót. További információ: Alapértelmezett jogosultsággal rendelkező felhasználók.
A jelszó módosítása után a
Sensor Config
varázsló automatikusan elindul. Folytassa az 5. lépésben.Ha további alkalmakkor jelentkezik be, folytassa a 4. lépéssel.
A
Sensor Config
varázsló elindításához írja be a parancssortnetwork reconfigure
. Ha a cyberx-felhasználót használja, írja be a következőtERSPAN=1 python3 -m cyberx.config.configure
: .A
Sensor Config
képernyőn a felületek jelenlegi beállítása látható. Győződjön meg arról, hogy egy felület van beállítva felügyeleti felületként. Ebben a varázslóban a felfelé vagy lefelé mutató nyilakkal navigálhat, a SZÓKÖZ sáv pedig kiválaszthat egy lehetőséget. Az ENTER billentyűt lenyomva lépjen a következő képernyőre.Válassza ki a konfigurálni kívánt felületet, például:
Select type
A képernyőn válassza ki a felület új konfigurációs típusát.
Fontos
Győződjön meg arról, hogy csak a csatlakoztatott felületeket választja ki.
Ha olyan interfészeket választ ki, amelyek engedélyezve vannak, de nincsenek csatlakoztatva, az érzékelő nem jelenít meg forgalomfigyelő állapotértesítést az Azure Portalon. Ha a telepítés után több forgalmi forrást csatlakoztat, és az IoT-hez készült Defenderrel szeretné őket figyelni, később hozzáadhatja őket a parancssori felületről.
Az illesztő beállítható felügyeleti, monitorozási, alagút- vagy nem használtként. Előfordulhat, hogy ideiglenes beállításként nem használtként szeretne beállítani egy felületet, hogy visszaállítsa azt, vagy ha hiba történt az eredeti beállításban.
Felügyeleti felület konfigurálása:
Válassza ki a felületet.
Válassza a Felügyelet lehetőséget.
Írja be az érzékelő IP-címét, a DNS-kiszolgáló IP-címét és az alapértelmezett átjáró IP-címét.
Válassza a Vissza gombot.
Monitor felület konfigurálása:
- Válassza ki a felületet.
- Válassza a Monitorozás lehetőséget. Frissül a Sensor Config képernyő.
ERSPAN-alagút-adapter konfigurálása:
Válassza ki a felület IP-címét, és adja hozzá az IP-címet és az alhálózat részleteit.
Válassza a Megerősítés elemet.
Válassza az Alagutak lehetőséget, és adjon hozzá egy nevet, forrás IP-címet és egy 1 és 1023 közötti számozott azonosítót.
Válassza a Megerősítés elemet.
Egy felület nem használtként való konfigurálása:
- Válassza ki a felületet.
- Válassza ki a meglévő állapotot.
- Válassza a Nem használt lehetőséget. Frissül a Sensor Config képernyő.
Miután konfigurálta az összes felületet, válassza a Mentés lehetőséget.
Automatikus biztonsági mentési mappa helye
Az érzékelő automatikusan létrehoz egy biztonsági mentési mappát. A csatlakoztatott biztonsági másolatok helyének módosításához a következőkre van szükség:
- Jelentkezzen be az érzékelőbe a rendszergazdai felhasználóval.
- Írja be a következő kódot a parancssori felületbe:
system backup path
majd adja hozzá például/opt/sensor/backup
az elérési utat. - A biztonsági mentés automatikusan fut, és akár egy percet is igénybe vehet.
Feljegyzés
A kezdeti beállítás során az ERSPAN monitorozási portok beállításai csak a böngészőalapú eljárásban érhetők el.
Ha a hálózati adatokat cli-vel definiálja, és ERSPAN monitorozási portokat szeretne beállítani, ezt később tegye meg az érzékelő Beállítások > felületének kapcsolati lapján. További információt az érzékelő monitorozási felületeinek frissítése (ERSPAN konfigurálása) című témakörben talál.