Megosztás a következőn keresztül:


Az OT-érzékelő konfigurálása és aktiválása

Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti, valamint ismerteti a kezdeti beállítási beállítások konfigurálását és az OT-érzékelő aktiválását.

Folyamatjelző diagramja kiemelt érzékelők üzembe helyezésével.

A böngészőben vagy a parancssori felületen számos kezdeti beállítási lépés végezhető el.

  • Használja a böngészőt, ha fizikai kábeleket tud csatlakoztatni a kapcsolótól az érzékelőhöz a felületek helyes azonosításához. Győződjön meg arról, hogy újrakonfigurálja a hálózati adaptert az érzékelő alapértelmezett beállításainak megfelelően.
  • Használja a parancssori felületet, ha ismeri a hálózati adatokat anélkül, hogy fizikai kábeleket kellene csatlakoztatnia. Használja a parancssori felületet, ha csak iLo/iDrac használatával tud csatlakozni az érzékelőhöz

A parancssori felületen keresztüli beállítás konfigurálásához továbbra is el kell végeznie az utolsó néhány lépést a böngészőben.

Előfeltételek

A cikkben szereplő eljárások végrehajtásához a következőkre van szükség:

  • Az Azure Portalon a Defender for IoT-be előkészített OT-érzékelő.

  • A készülékre telepített OT érzékelőszoftver. Győződjön meg arról, hogy saját maga telepítette a szoftvert, vagy vásárolt egy előre konfigurált berendezést.

  • Az érzékelő aktiválási fájlja, amely az érzékelő előkészítése után lett letöltve. Minden üzembe helyezett OT-érzékelőhöz egyedi aktiválási fájlra van szükség.

    Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.

    Feljegyzés

    Az aktiválási fájlok a létrehozás után 14 nappal lejárnak. Ha előkészítette az érzékelőt, de nem töltötte fel az aktiválási fájlt a lejárata előtt, töltsön le egy új aktiválási fájlt.

  • SSL/TLS-tanúsítvány. Javasoljuk, hogy hitelesítésszolgáltató által aláírt tanúsítványt használjon, és ne önaláírt tanúsítványt. További információ: SSL/TLS-tanúsítványok létrehozása AZ OT-berendezésekhez.

  • Hozzáférés a fizikai vagy virtuális berendezéshez, ahol az érzékelőt telepíti. További információ: Melyik készülékre van szükségem?

Ezt a lépést az üzembehelyezési csapatok hajtják végre.

Beállítás konfigurálása a böngészőn keresztül

Az érzékelő beállításának böngészőn keresztüli konfigurálása a következő lépéseket tartalmazza:

  • Bejelentkezés az érzékelőkonzolra és a rendszergazdai felhasználói jelszó módosítása
  • Az érzékelő hálózati adatainak meghatározása
  • A monitorozni kívánt felületek meghatározása
  • Az érzékelő aktiválása
  • SSL-/TLS-tanúsítványbeállítások konfigurálása

Jelentkezzen be az érzékelőkonzolra, és módosítsa az alapértelmezett jelszót

Ez az eljárás azt ismerteti, hogyan jelentkezhet be először az OT érzékelőkonzolba. A rendszer kéri, hogy módosítsa a rendszergazdai felhasználó alapértelmezett jelszavát.

Az érzékelőbe való bejelentkezéshez:

  1. Egy böngészőben nyissa meg az 192.168.0.101 IP-címet, amely az érzékelőhöz a telepítés végén megadott alapértelmezett IP-cím.

    Megjelenik a kezdeti bejelentkezési oldal. Példa:

    Képernyőkép az érzékelő kezdeti bejelentkezési oldaláról.

  2. Adja meg a következő hitelesítő adatokat, és válassza a Bejelentkezés lehetőséget:

    • Felhasználónév: admin
    • Jelszó: admin

    A rendszer megkéri, hogy adjon meg egy új jelszót a rendszergazdai felhasználó számára.

  3. Az Új jelszó mezőben adja meg az új jelszót. A jelszónak kisbetűs és nagybetűs betűrendű karaktereket, számokat és szimbólumokat kell tartalmaznia.

    Az Új jelszó megerősítése mezőbe írja be újra az új jelszót, majd válassza az Első lépések lehetőséget.

    További információ: Alapértelmezett jogosultsággal rendelkező felhasználók.

Az IoT Defender | Az Áttekintés lap megnyílik a Felügyeleti felület lapon.

Érzékelő hálózatkezelési részleteinek meghatározása

A Felügyeleti felület lapon az alábbi mezőkkel határozhatja meg az új érzékelő hálózati adatait:

Név Leírás
Felügyeleti felület Válassza ki a felügyeleti felületként használni kívánt felületet az Azure Portalhoz vagy egy helyszíni felügyeleti konzolhoz való csatlakozáshoz.

A gép fizikai felületének azonosításához válasszon ki egy felületet, majd válassza a Pislogás fizikai felület LED-ét. A kiválasztott adapternek megfelelő port kigyullad, hogy megfelelően csatlakoztathassa a kábelt.
IP Address Adja meg az érzékelőhöz használni kívánt IP-címet. Ez az AZ IP-cím, amellyel a csapat a böngészőn vagy a parancssori felületen keresztül csatlakozik az érzékelőhöz.
Alhálózati maszk Adja meg az érzékelő alhálózati maszkjaként használni kívánt címet.
Alapértelmezett átjáró Adja meg az érzékelő alapértelmezett átjárójaként használni kívánt címet.
DNS Adja meg az érzékelő DNS-kiszolgálójának IP-címét.
Állomásnév Adja meg az érzékelőhöz hozzárendelni kívánt állomásnevet. Győződjön meg arról, hogy ugyanazt a gazdagépnevet használja, mint amelyet a DNS-kiszolgálón definiált.
Proxy engedélyezése felhőkapcsolathoz (nem kötelező) Válassza ki az érzékelő proxykiszolgálójának definiálásához.

Ha SSL-/TSL-tanúsítványt használ a proxykiszolgáló eléréséhez, válassza az ügyféltanúsítványt, és töltse fel a tanúsítványt.

Ha elkészült, válassza a Tovább: Felületkonfigurációk lehetőséget a folytatáshoz.

A monitorozni kívánt felületek meghatározása

Az Interfészkonfigurációk lapon alapértelmezés szerint az érzékelő által észlelt összes illesztő látható. Ezen a lapon be- és kikapcsolhatja a monitorozást interfészenként, vagy megadhat bizonyos beállításokat az egyes felületekhez.

Tipp.

Javasoljuk, hogy optimalizálja az érzékelő teljesítményét úgy, hogy a beállításokat úgy konfigurálja, hogy csak az aktív használatban lévő interfészeket figyelje.

Az Interfészkonfigurációk lapon az alábbi lépéseket követve konfigurálhatja a figyelt felületek beállításait:

  1. Válassza az Érzékelő által monitorozni kívánt felületek engedélyezése/letiltása váltógombot. A folytatáshoz legalább egy felületet ki kell választania.

    Ha nem biztos abban, hogy melyik felületet használja, válassza a Pislogás fizikai felület LED gombot , hogy a kiválasztott port villogjon a gépen. Válassza ki a kapcsolóhoz csatlakoztatott interfészeket.

  2. (Nem kötelező) A monitorozáshoz kiválasztott összes felületnél válassza a Speciális beállítások gombot az alábbi beállítások módosításához:

    Név Leírás
    Üzemmód Válasszon az alábbiak közül:
    - SPAN-forgalom (nincs beágyazás) az alapértelmezett SPAN-porttükrözés használatához.
    - ERSPAN , ha ERSPAN-tükrözést használ.

    További információ: Forgalomtükrözési módszer kiválasztása az OT-érzékelőkhöz.
    Leírás Adjon meg egy opcionális leírást a felülethez. Ezt később láthatja az érzékelő Rendszerbeállítások > felületének konfigurációi oldalán, és ezek a leírások hasznosak lehetnek az egyes interfészek céljának megértésében.
    Automatikus egyeztetés Csak fizikai gépekre vonatkozik. Ezzel a beállítással meghatározhatja, hogy milyen kommunikációs módszereket használ, vagy hogy a kommunikációs módszerek automatikusan vannak-e definiálva az összetevők között.

    Fontos: Javasoljuk, hogy ezt a beállítást csak a hálózati csapat tanácsára módosítsa.

    ERSPAN-bújtatás hozzáadása a felülethez:

    1. A Mód beállításnál válassza az Bújtatás lehetőséget a legördülő listából.

    2. Az alagút konfigurálásához frissítse a következő OT-érzékelő adatait:

      • Leírás (nem kötelező).
      • Interfész IP-címe.
      • Alhálózat.

    Példa:

    Képernyőkép az ERSPAN-beállítások konfigurálásáról az OT-érzékelő beállításaiban.

  3. Válassza a Mentés lehetőséget a módosítások mentéséhez.

  4. Válassza a Tovább elemet: Újraindítás >a folytatáshoz, majd indítsa újra az újraindítást az érzékelőgép újraindításához. Az érzékelő újraindulása után a rendszer automatikusan átirányítja a korábban az érzékelő IP-címeként definiált IP-címre.

    Válassza a Mégse lehetőséget az újraindításra való várakozáshoz.

Az OT-érzékelő aktiválása

Ez az eljárás azt ismerteti, hogyan aktiválhatja az új OT-érzékelőt.

Ha eddig a parancssori felületen konfigurálta a kezdeti beállításokat, ebben a lépésben fogja elindítani a böngészőalapú konfigurációt. Az érzékelő újraindítása után a rendszer átirányítja ugyanarra az IoT-alapú Defenderre | Áttekintés lap az Aktiválás lapra.

Az érzékelő aktiválása:

  1. Az Aktiválás lapon válassza a Feltöltés lehetőséget az érzékelő Azure Portalról letöltött aktiválási fájljának feltöltéséhez.
  2. Válassza ki a feltételek és feltételek lehetőséget, majd válassza az Aktiválás lehetőséget.
  3. Válassza a Következő: Tanúsítványok lehetőséget.

Ha a felhőalapú érzékelő és az Azure Portal kapcsolati problémája van az aktiválási folyamat során, amely miatt az aktiválás sikertelen lesz, az Aktiválás gomb alatt megjelenik egy üzenet. A csatlakozási probléma megoldásához válassza a További információ lehetőséget, és megnyílik a Felhőkapcsolat panel. A panel felsorolja a probléma okait és a megoldására vonatkozó javaslatokat.

Még a probléma megoldása nélkül is folytathatja a következő szakaszt a Next: Certificates (Tanúsítványok) gombra kattintva.

Az egyetlen csatlakozási probléma, amelyet a következő fázisra való áttérés előtt ki kell javítani, az az, amikor időeltolódást észlel, és az érzékelő nincs szinkronizálva a felhővel. Ebben az esetben az érzékelőt megfelelően kell szinkronizálni a javaslatokban leírtak szerint, mielőtt továbblépne a következő fázisra.

SSL-/TLS-tanúsítványbeállítások megadása

A Tanúsítványok lapon ssl-/TLS-tanúsítványt helyezhet üzembe az OT-érzékelőn. Javasoljuk, hogy minden éles környezetben használjon hitelesítésszolgáltató által aláírt tanúsítványt .

SSL-/TLS-tanúsítványbeállítások definiálása:

  1. A Tanúsítványok lapon válassza a Megbízható hitelesítésszolgáltatói tanúsítvány importálása (ajánlott) lehetőséget a hitelesítésszolgáltató által aláírt tanúsítvány üzembe helyezéséhez.

    Adja meg a tanúsítvány nevét és jelszavát, majd válassza a Feltöltés lehetőséget a titkos kulcsfájl, a tanúsítványfájl és egy opcionális tanúsítványláncfájl feltöltéséhez.

    Előfordulhat, hogy a fájlok feltöltése után frissítenie kell a lapot. További információ: Tanúsítványfeltöltési hibák elhárítása.

    Tipp.

    Ha tesztelési környezetben dolgozik, a telepítés során helyileg létrehozott önaláírt tanúsítványt is használhatja. Ha önaláírt tanúsítványt szeretne használni, mindenképpen válassza a Javaslatok megerősítése lehetőséget.

    További információ: SSL/TLS-tanúsítványok kezelése.

  2. A helyszíni felügyeleti konzol tanúsítványterületén válassza a Kötelező lehetőséget a helyszíni felügyeleti konzol tanúsítványának a tanúsítványban konfigurált visszavont tanúsítványok listájára (CRL) való érvényesítéséhez.

    További információ: SSL/TLS-tanúsítványkövetelmények a helyszíni erőforrásokhoz és SSL/TLS-tanúsítványok létrehozása OT-berendezésekhez.

  3. A Befejezés gombra kattintva fejezze be a kezdeti beállítást, és nyissa meg az érzékelőkonzolt.

Beállítás konfigurálása a parancssori felületről

Ezzel az eljárással konfigurálhatja a következő kezdeti beállítási beállításokat a parancssori felületről:

  • Bejelentkezés az érzékelőkonzolba és új rendszergazdai felhasználói jelszó beállítása
  • Az érzékelő hálózati adatainak meghatározása
  • A monitorozni kívánt felületek meghatározása

Folytassa az SSL/TLS-tanúsítványbeállítások aktiválásával és konfigurálásával a böngészőben.

Feljegyzés

A cikkben szereplő információk az érzékelő 24.1.5-ös verziójára vonatkoznak. Ha egy korábbi verziót futtat, tekintse meg az ERSPAN-tükrözés konfigurálását.

A kezdeti beállítási beállítások konfigurálása parancssori felülettel:

  1. A telepítési képernyőn az alapértelmezett hálózati adatok megjelenítése után nyomja le az ENTER billentyűt a folytatáshoz.

  2. D4Iot login Az üzenetben jelentkezzen be az alábbi alapértelmezett hitelesítő adatokkal:

    • Felhasználónév: admin
    • Jelszó: admin

    A jelszó megadásakor a jelszókarakterek nem jelennek meg a képernyőn. Ügyeljen arra, hogy gondosan adja meg őket.

  3. A parancssorban adjon meg egy új jelszót a rendszergazdai felhasználónak. A jelszónak kisbetűs és nagybetűs betűrendű karaktereket, számokat és szimbólumokat kell tartalmaznia.

    Amikor a rendszer kéri a jelszó megerősítését, adja meg újra az új jelszót. További információ: Alapértelmezett jogosultsággal rendelkező felhasználók.

  4. A jelszó módosítása után a Sensor Config varázsló automatikusan elindul. Folytassa az 5. lépésben.

    Ha további alkalmakkor jelentkezik be, folytassa a 4. lépéssel.

  5. A Sensor Config varázsló elindításához írja be a parancssort network reconfigure. Ha a cyberx-felhasználót használja, írja be a következőt ERSPAN=1 python3 -m cyberx.config.configure: .

  6. A Sensor Config képernyőn a felületek jelenlegi beállítása látható. Győződjön meg arról, hogy egy felület van beállítva felügyeleti felületként. Ebben a varázslóban a felfelé vagy lefelé mutató nyilakkal navigálhat, a SZÓKÖZ sáv pedig kiválaszthat egy lehetőséget. Az ENTER billentyűt lenyomva lépjen a következő képernyőre.

    Válassza ki a konfigurálni kívánt felületet, például:

    Képernyőkép a Monitorfelületek kiválasztása képernyőről.

  7. Select type A képernyőn válassza ki a felület új konfigurációs típusát.

Fontos

Győződjön meg arról, hogy csak a csatlakoztatott felületeket választja ki.

Ha olyan interfészeket választ ki, amelyek engedélyezve vannak, de nincsenek csatlakoztatva, az érzékelő nem jelenít meg forgalomfigyelő állapotértesítést az Azure Portalon. Ha a telepítés után több forgalmi forrást csatlakoztat, és az IoT-hez készült Defenderrel szeretné őket figyelni, később hozzáadhatja őket a parancssori felületről.

Az illesztő beállítható felügyeleti, monitorozási, alagút- vagy nem használtként. Előfordulhat, hogy ideiglenes beállításként nem használtként szeretne beállítani egy felületet, hogy visszaállítsa azt, vagy ha hiba történt az eredeti beállításban.

  1. Felügyeleti felület konfigurálása:

    1. Válassza ki a felületet.

    2. Válassza a Felügyelet lehetőséget.

    3. Írja be az érzékelő IP-címét, a DNS-kiszolgáló IP-címét és az alapértelmezett átjáró IP-címét.

      Képernyőkép az interfész kezelése képernyőről.

    4. Válassza a Vissza gombot.

  2. Monitor felület konfigurálása:

    1. Válassza ki a felületet.
    2. Válassza a Monitorozás lehetőséget. Frissül a Sensor Config képernyő.
  3. ERSPAN-alagút-adapter konfigurálása:

    1. Válassza ki a felület IP-címét, és adja hozzá az IP-címet és az alhálózat részleteit.

    2. Válassza a Megerősítés elemet.

    3. Válassza az Alagutak lehetőséget, és adjon hozzá egy nevet, forrás IP-címet és egy 1 és 1023 közötti számozott azonosítót.

      Képernyőkép a felületi alagutak képernyőről.

    4. Válassza a Megerősítés elemet.

  4. Egy felület nem használtként való konfigurálása:

    1. Válassza ki a felületet.
    2. Válassza ki a meglévő állapotot.
    3. Válassza a Nem használt lehetőséget. Frissül a Sensor Config képernyő.
  5. Miután konfigurálta az összes felületet, válassza a Mentés lehetőséget.

Automatikus biztonsági mentési mappa helye

Az érzékelő automatikusan létrehoz egy biztonsági mentési mappát. A csatlakoztatott biztonsági másolatok helyének módosításához a következőkre van szükség:

  1. Jelentkezzen be az érzékelőbe a rendszergazdai felhasználóval.
  2. Írja be a következő kódot a parancssori felületbe: system backup path majd adja hozzá például /opt/sensor/backupaz elérési utat.
  3. A biztonsági mentés automatikusan fut, és akár egy percet is igénybe vehet.

Feljegyzés

A kezdeti beállítás során az ERSPAN monitorozási portok beállításai csak a böngészőalapú eljárásban érhetők el.

Ha a hálózati adatokat cli-vel definiálja, és ERSPAN monitorozási portokat szeretne beállítani, ezt később tegye meg az érzékelő Beállítások > felületének kapcsolati lapján. További információt az érzékelő monitorozási felületeinek frissítése (ERSPAN konfigurálása) című témakörben talál.

Következő lépések