Oktatóanyag: Virtuális OT-érzékelő előkészítése és aktiválása

  • Cikk

Ez az oktatóanyag a Microsoft Defender for IoT OT-érzékelő beállításának alapjait ismerteti a Microsoft Defender for IoT próbaverziós előfizetésének és a saját virtuális gépének használatával.

A teljes körű, teljes körű üzembe helyezéshez mindenképpen kövesse a rendszer megtervezéséhez és előkészítéséhez szükséges lépéseket, valamint a beállítások teljes kalibrálásához és finomhangolásához. További információ: Deploy Defender for IoT for OT monitoring.

Feljegyzés

Ha vállalati IoT-rendszerek biztonsági monitorozását szeretné beállítani, olvassa el a Vállalati IoT-biztonság engedélyezése a Defender for Endpoint szolgáltatásban című témakört.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Virtuális gép létrehozása az érzékelőhöz
  • Virtuális érzékelő előkészítése
  • Virtuális SPAN-port konfigurálása
  • Felhőfelügyelet kiépítése
  • Szoftver letöltése virtuális érzékelőhöz
  • A virtuális érzékelő szoftverének telepítése
  • A virtuális érzékelő aktiválása

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik az alábbiakval:

  • Kész rövid útmutató: Ismerkedés az IoT Defender szolgáltatással, hogy azure-előfizetést kapjon az IoT-hez készült Defenderhez.

  • Hozzáférés az Azure Portalhoz biztonsági Rendszergazda, közreműködőként vagy tulajdonosként. További információ: Azure-beli felhasználói szerepkörök az OT és a nagyvállalati IoT monitorozásához a Defender for IoT használatával.

  • Győződjön meg arról, hogy rendelkezik egy hálózati kapcsolóval, amely támogatja a forgalom figyelését span porton keresztül. Legalább egy eszközre is szüksége lesz a monitorozáshoz, amely a kapcsoló SPAN-portjához csatlakozik.

  • A VMware, ESXi 5.5 vagy újabb, telepítve és működik az érzékelőn.

  • A virtuális géphez elérhető hardvererőforrások az alábbiak szerint érhetők el:

    Üzemelő példány típusa Vállalati Vállalat SMB
    Maximális sávszélesség 2,5 Gb/s 800 Mb/s 160 Mb/s
    Védett eszközök maximális száma 12 000 10,000. 800

  • A virtuális készülékekkel végzett OT-monitorozás ismerete.

  • Az érzékelőberendezéshez használandó alábbi hálózati paraméterek részletei:

    • Felügyeleti hálózati IP-cím
    • Érzékelő alhálózati maszkja
    • Egy berendezés állomásneve
    • DNS-cím
    • Alapértelmezett átjáró
    • Bármely bemeneti adapter

Virtuális gép létrehozása az érzékelőhöz

Ez az eljárás azt ismerteti, hogyan hozhat létre virtuális gépet az érzékelőhöz a VMware ESXi használatával.

Az IoT Defender más folyamatokat is támogat, például Hyper-V vagy fizikai érzékelők használatát. További információ: Defender for IoT install.

Virtuális gép létrehozása az érzékelőhöz:

  1. Győződjön meg arról, hogy a VMware fut a számítógépen.

  2. Jelentkezzen be az ESXi-be, válassza ki a megfelelő adattárat, és válassza a Datastore Browser lehetőséget.

  3. Töltse fel a képet, és válassza a Bezárás lehetőséget.

  4. Nyissa meg a virtuális gépeket, majd válassza a Virtuális gép létrehozása/regisztrálása lehetőséget.

  5. Válassza az Új virtuális gép létrehozása, majd a Tovább gombot.

  6. Adjon hozzá egy érzékelőnevet, majd adja meg a következő beállításokat:

    • Kompatibilitás: <a legújabb ESXi-verzió>

    • Vendég operációsrendszer-család: Linux

    • Vendég operációs rendszer verziója: Ubuntu Linux (64 bites)

  7. Válassza a Tovább lehetőséget.

  8. Válassza ki a megfelelő adattárat, és válassza a Tovább gombot.

  9. Módosítsa a virtuális hardver paramétereit az igényeinek megfelelő specifikációknak megfelelően. További információkért tekintse meg a fenti Előfeltételek szakaszban található táblázatot .

A virtuális gép készen áll az IoT-szoftvertelepítéshez készült Defenderre. Az oktatóanyag későbbi részében a szoftver telepítésével folytathatja, miután előkészítette az érzékelőt az Azure Portalon, konfigurálta a forgalomtükrözést, és kiépítette a gépet a felhőfelügyelethez.

A virtuális érzékelő előkészítése

Mielőtt elkezdené használni a Defender for IoT-érzékelőt, fel kell vennie az új virtuális érzékelőt az Azure-előfizetésbe.

A virtuális érzékelő előkészítése:

  1. Az Azure Portalon nyissa meg a Defender for IoT > – Első lépések lapot.

  2. A bal alsó sarokban válassza az OT/ICS-biztonság beállítása lehetőséget.

    Másik lehetőségként az IoT-webhelyekhez készült Defender és az érzékelők lapon válassza az OT-érzékelő>előkészítése lehetőséget.

    Alapértelmezés szerint az OT/ICS biztonsági beállítása lapon az 1. lépés: Beállított egy érzékelőt? és 2. lépés: A SPAN-port vagy a varázsló TAP-jának konfigurálása össze van csukva.

    A szoftver telepítése és a forgalomtükrözés konfigurálása az üzembe helyezési folyamat későbbi szakaszában történik, de a berendezéseknek készen kell állniuk, és el kell tervezni a forgalomtükrözési módszert.

  3. A 3. lépésben : Regisztrálja ezt az érzékelőt a Microsoft Defender for IoT-ben, adja meg a következő értékeket:

    Mező neve Leírás
    Erőforrás neve Válassza ki azt a webhelyet, amelyhez az érzékelőket csatolni szeretné, vagy válassza a Webhely létrehozása lehetőséget egy új webhely létrehozásához.

    Ha új webhelyet hoz létre:
    1. Az Új hely mezőben adja meg a webhely nevét, és válassza a pipa gombot.
    2. A Webhelyméret menüben válassza ki a webhely méretét. Az ebben a menüben felsorolt méretek azok a méretek, amelyekre licenccel rendelkezik, a Microsoft 365 Felügyeleti központ vásárolt licencek alapján.
    Megjelenített név Adjon meg egy értelmes nevet a webhelynek, amely megjelenik az IoT-hez készült Defenderben.
    Címkék Adja meg a címkekulcsot és az értékeket, amelyek segítenek azonosítani és megtalálni a webhelyet és az érzékelőt az Azure Portalon.
    Zóna Jelölje ki az OT-érzékelőhöz használni kívánt zónát, vagy válassza a Zóna létrehozása lehetőséget egy új létrehozásához.

    További információ: Ot-helyek és zónák tervezése.

  4. Ha végzett az összes többi mezővel, válassza a Regisztráció lehetőséget, ha hozzá szeretné adni az érzékelőt az IoT Defenderhez. Megjelenik egy sikeres üzenet, és a rendszer automatikusan letölti az aktiválási fájlt. Az aktiválási fájl egyedi az érzékelőhöz, és utasításokat tartalmaz az érzékelő felügyeleti módjáról.

    Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.

  5. Mentse a letöltött aktiválási fájlt olyan helyre, amely első alkalommal lesz elérhető a konzolra bejelentkező felhasználó számára, hogy aktiválhassa az érzékelőt.

    A fájlt manuálisan is letöltheti a megfelelő hivatkozás kiválasztásával az Érzékelő aktiválása mezőben. Ezzel a fájllal aktiválhatja az érzékelőt az alábbiak szerint.

  6. A Kimenő forgalom engedélyezése szabályok hozzáadása párbeszédpanelen válassza a Végpont részleteinek letöltése hivatkozást az érzékelőből biztonságos végpontként konfigurálni kívánt végpontok JSON-listájának letöltéséhez.

    Mentse a letöltött fájlt helyileg. Az oktatóanyag későbbi részében a letöltött fájlban felsorolt végpontokkal biztosíthatja, hogy az új érzékelő sikeresen csatlakozzon az Azure-hoz.

    Tipp.

    A szükséges végpontok listáját a Helyek és érzékelők lapon is elérheti. További információ: Érzékelőkezelési lehetőségek az Azure Portalon.

  7. A lap bal alsó részén válassza a Befejezés lehetőséget. Most már láthatja az új érzékelőt az IoT-webhelyekhez készült Defender oldalon és az érzékelők oldalán.

    Amíg nem aktiválja az érzékelőt, az érzékelő állapota függőben lévő aktiválásként jelenik meg.

További információ: Érzékelők kezelése az IoT-hez készült Defenderrel az Azure Portalon.

SPAN-port konfigurálása

A virtuális kapcsolók nem rendelkeznek tükrözési képességekkel. Ennek az oktatóanyagnak a kedvéért azonban virtuális kapcsolókörnyezetben használhatja a kitartó módot a virtuális kapcsolón áthaladó összes hálózati forgalom megtekintéséhez.

Ez az eljárás azt ismerteti, hogyan konfigurálhat SPAN-portot a VMware ESXi megkerülő megoldásával.

Feljegyzés

A promiscuous mód egy működési mód és egy biztonsági monitorozási technika a virtuális gép adapterei számára a virtuális kapcsolóval azonos portcsoportszinten a kapcsoló hálózati forgalmának megtekintéséhez. A nem egyértelmű mód alapértelmezés szerint le van tiltva, de a virtuális kapcsoló vagy a portcsoport szintjén definiálható.

Monitorozási felület konfigurálása promiscuous móddal ESXi v-Switchen:

  1. Nyissa meg a vSwitch tulajdonságai lapot, és válassza a Standard virtuális kapcsoló hozzáadása lehetőséget.

  2. Adja meg a SPAN Networkt hálózati címkeként.

  3. Az MTU mezőbe írja be a 4096 értéket.

  4. Válassza a Biztonság lehetőséget, és győződjön meg arról, hogy a "Promiscuous Mode" szabályzat elfogadási módra van állítva.

  5. Válassza a Hozzáadás lehetőséget a vSwitch tulajdonságainak bezárásához.

  6. Jelölje ki a létrehozott vSwitch-et, és válassza a Hozzáadás hivatkozás lehetőséget.

  7. Válassza ki a SPAN-forgalomhoz használni kívánt fizikai hálózati adaptert, módosítsa az MTU-t 4096-ra, majd válassza a Mentés lehetőséget.

  8. Nyissa meg a Portcsoport tulajdonságai lapot, és válassza a Portcsoport hozzáadása lehetőséget.

  9. Névként adja meg a SPAN portcsoportot , adja meg a 4095-öt VLAN-azonosítóként, és válassza a SPAN Network lehetőséget a vSwitch legördülő listában, majd válassza a Hozzáadás lehetőséget.

  10. Nyissa meg az OT-érzékelő virtuális gép tulajdonságait.

  11. A 2. hálózati adapter esetében válassza ki a SPAN hálózatot.

  12. Kattintson az OK gombra.

  13. Csatlakozás az érzékelőhöz, és ellenőrizze, hogy működik-e a tükrözés.

Forgalomtükrözés ellenőrzése

A forgalomtükrözés konfigurálása után próbáljon meg mintát kapni a rögzített forgalomból (PCAP-fájl) a SPAN kapcsolóból vagy a tükrözési portról.

A PCAP-mintafájl a következő segítségére lesz:

  • A kapcsoló konfigurációjának ellenőrzése
  • Ellenőrizze, hogy a kapcsolón áthaladó forgalom releváns-e a figyeléshez
  • A sávszélesség és a kapcsoló által észlelt eszközök becsült számának azonosítása

  1. Használjon hálózati protokollelemző alkalmazást, például a Wiresharkot egy PCAP-mintafájl rögzítéséhez néhány percig. Csatlakoztathat például egy laptopot egy porthoz, ahol konfigurálta a forgalomfigyelést.

  2. Ellenőrizze, hogy az Unicast-csomagok szerepelnek-e a rögzítési forgalomban. Az egycímes forgalom a címről egy másikba küldött forgalom.

    Ha a forgalom nagy része ARP-üzenet, a forgalomtükrözés konfigurációja nem megfelelő.

  3. Ellenőrizze, hogy az OT-protokollok jelen vannak-e az elemzett forgalomban.

    Példa:

    Screenshot of Wireshark validation.

Felhőfelügyelet kiépítése

Ez a szakasz bemutatja, hogyan konfigurálhatja a végpontokat a tűzfalszabályokban való definiáláshoz, biztosítva, hogy az OT-érzékelők csatlakozni tudjanak az Azure-hoz.

További információkért lásd az érzékelők Azure-hoz való csatlakoztatásának módszereit.

A végpont részleteinek konfigurálása:

Nyissa meg a korábban letöltött fájlt a szükséges végpontok listájának megtekintéséhez. Konfigurálja a tűzfalszabályokat, hogy az érzékelő hozzáférhessen az egyes szükséges végpontokhoz a 443-as porton keresztül.

Tipp.

A szükséges végpontok listáját az Azure Portal Helyek és érzékelők oldaláról is letöltheti. Ugrás a Helyek és érzékelők>elemre További műveletek>A végpont részleteinek letöltése. További információ: Érzékelőkezelési lehetőségek az Azure Portalon.

További információ: Érzékelők kiépítése felhőfelügyelethez.

Szoftver letöltése a virtuális érzékelőhöz

Ez a szakasz azt ismerteti, hogyan töltheti le és telepítheti az érzékelőszoftvert a saját gépére.

Szoftver letöltése a virtuális érzékelőkhöz:

  1. Az Azure Portalon nyissa meg a Defender for IoT > – Első lépések lapot, és válassza az Érzékelő lapot.

  2. A Berendezés vásárlása és a Szoftver telepítése mezőben győződjön meg arról, hogy az alapértelmezett beállítás a legújabb és javasolt szoftververzióhoz van kiválasztva, majd válassza a Letöltés lehetőséget.

  3. Mentse a letöltött szoftvert a virtuális gépről elérhető helyre.

Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.

Érzékelőszoftver telepítése

Ez az eljárás azt ismerteti, hogyan telepítheti az érzékelőszoftvert a virtuális gépre.

Feljegyzés

A folyamat vége felé megjelenik az eszköz felhasználónevei és jelszavai. Mindenképpen másolja le ezeket a jelszavakat, mert ezek a jelszavak nem jelennek meg újra.

A szoftver telepítése a virtuális érzékelőre:

  1. Ha bezárta a virtuális gépet, jelentkezzen be ismét az ESXi-be, és nyissa meg a virtuális gép beállításait.

  2. CD/DVD Meghajtó 1 esetén válassza a Datastore ISO-fájlt, és válassza ki a korábban letöltött Defender for IoT-szoftvert.

  3. Válassza a Next>Finish (Tovább > Befejezés) elemet.

  4. Kapcsolja be a virtuális gépet, és nyisson meg egy konzolt.

  5. A telepítés indításakor a rendszer kérni fogja a telepítési folyamat elindítását. Válassza az iot-sensor<version number> telepítése elemet a folytatáshoz, vagy hagyja, hogy 30 másodperc után automatikusan elinduljon. Például:

    Screenshot of the initial installation screen.

    Feljegyzés

    Ha régi BIOS-verziót használ, a rendszer kérni fogja, hogy válasszon egy nyelvet, és a telepítési beállítások a bal felső sarokban jelennek meg ahelyett, hogy középre kerülnek. Amikor a rendszer kéri, válassza az Englishiot-sensor<version number> telepítése lehetőséget a folytatáshoz.

    A telepítés megkezdődik, így folyamatosan frissülnek az állapotüzenetek. A teljes telepítési folyamat akár 20–30 percet is igénybe vehet, és a használt adathordozó típusától függően változhat.

    Ha a telepítés befejeződött, az alábbi alapértelmezett hálózatkezelési adatok jelennek meg.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

A megadott alapértelmezett IP-címmel érheti el az érzékelőt a kezdeti beállításhoz és aktiváláshoz.

Telepítés utáni ellenőrzés

Ez az eljárás azt ismerteti, hogyan ellenőrizheti a telepítést az érzékelő saját rendszerállapot-ellenőrzésével, és hogyan érhető el az alapértelmezett rendszergazdai felhasználó számára.

A telepítés ellenőrzése:

  1. Jelentkezzen be felhasználóként az OT-érzékelőbe admin .

  2. Válassza a System Gépház> Sensor management>System Health Check lehetőséget.

  3. Válassza ki a következő parancsokat:

    • Berendezés , amely ellenőrzi, hogy a rendszer fut-e. Győződjön meg arról, hogy minden sorelemnél a Futtatás látható, és hogy az utolsó sor azt jelzi, hogy a rendszer működik.a0>
    • Verzió , amely ellenőrzi, hogy a megfelelő verzió van-e telepítve.
    • ha konfigurálja , hogy ellenőrizze, hogy a telepítés során konfigurált összes bemeneti adapter fut-e.

A telepítés utáni ellenőrzési tesztek, például átjáró-, DNS- vagy tűzfalellenőrzések további információiért tekintse meg az OT-érzékelő szoftvertelepítésének ellenőrzése című témakört.

Kezdeti beállítás definiálása

Az alábbi eljárás azt ismerteti, hogyan konfigurálhatja az érzékelő kezdeti beállítási beállításait, beleértve a következőket:

  • Bejelentkezés az érzékelőkonzolra és a rendszergazdai felhasználói jelszó módosítása
  • Az érzékelő hálózati adatainak meghatározása
  • A monitorozni kívánt felületek meghatározása
  • Az érzékelő aktiválása
  • SSL-/TLS-tanúsítványbeállítások konfigurálása

Jelentkezzen be az érzékelőkonzolra, és módosítsa az alapértelmezett jelszót

Ez az eljárás azt ismerteti, hogyan jelentkezhet be először az OT érzékelőkonzolba. A rendszer kéri, hogy módosítsa a rendszergazdai felhasználó alapértelmezett jelszavát.

Az érzékelőbe való bejelentkezéshez:

  1. Egy böngészőben nyissa meg az 192.168.0.101 IP-címet, amely az érzékelőhöz a telepítés végén megadott alapértelmezett IP-cím.

    Megjelenik a kezdeti bejelentkezési oldal. Példa:

    Screenshot of the initial sensor sign-in page.

  2. Adja meg a következő hitelesítő adatokat, és válassza a Bejelentkezés lehetőséget:

    • Felhasználónév: support
    • Jelszó: support

    A rendszer megkéri, hogy adjon meg egy új jelszót a rendszergazdai felhasználó számára.

  3. Az Új jelszó mezőben adja meg az új jelszót. A jelszónak kisbetűs és nagybetűs betűrendű karaktereket, számokat és szimbólumokat kell tartalmaznia.

    Az Új jelszó megerősítése mezőbe írja be újra az új jelszót, majd válassza az Első lépések lehetőséget.

    További információ: Alapértelmezett jogosultsággal rendelkező felhasználók.

Az IoT Defender | Az Áttekintés lap megnyílik a Felügyeleti felület lapon.

Érzékelő hálózatkezelési részleteinek meghatározása

A Felügyeleti felület lapon az alábbi mezőkkel határozhatja meg az új érzékelő hálózati adatait:

Név Leírás
Felügyeleti felület Válassza ki a felügyeleti felületként használni kívánt felületet, és csatlakozzon az Azure Portalhoz.

A gép fizikai felületének azonosításához válasszon ki egy felületet, majd válassza a Pislogás fizikai felület LED-ét. A kiválasztott adapternek megfelelő port kigyullad, hogy megfelelően csatlakoztathassa a kábelt.
IP Address Adja meg az érzékelőhöz használni kívánt IP-címet. Ez az AZ IP-cím, amellyel a csapat a böngészőn vagy a parancssori felületen keresztül csatlakozik az érzékelőhöz.
Alhálózati maszk Adja meg az érzékelő alhálózati maszkjaként használni kívánt címet.
Alapértelmezett átjáró Adja meg az érzékelő alapértelmezett átjárójaként használni kívánt címet.
DNS Adja meg az érzékelő DNS-kiszolgálójának IP-címét.
Állomásnév Adja meg az érzékelőhöz hozzárendelni kívánt állomásnevet. Győződjön meg arról, hogy ugyanazt a gazdagépnevet használja, mint amelyet a DNS-kiszolgálón definiált.

Az oktatóanyag kedvéért hagyja ki a proxykonfigurációkat az Enable proxy for cloud connectivity (Optional) (Nem kötelező) területen.

Ha elkészült, válassza a Tovább: Felületkonfigurációk lehetőséget a folytatáshoz.

A monitorozni kívánt felületek meghatározása

Az Interfészkapcsolatok lapon alapértelmezés szerint az érzékelő által észlelt összes adapter látható. Ezen a lapon be- és kikapcsolhatja a monitorozást interfészenként, vagy megadhat bizonyos beállításokat az egyes felületekhez.

Tipp.

Javasoljuk, hogy optimalizálja az érzékelő teljesítményét úgy, hogy a beállításokat úgy konfigurálja, hogy csak az aktív használatban lévő interfészeket figyelje.

Az Interfészkonfigurációk lapon az alábbi lépéseket követve konfigurálhatja a figyelt felületek beállításait:

  1. Válassza az Érzékelő által monitorozni kívánt felületek engedélyezése/letiltása váltógombot. A folytatáshoz legalább egy felületet ki kell választania.

    Ha nem biztos abban, hogy melyik felületet használja, válassza a Pislogás fizikai felület LED gombot , hogy a kiválasztott port villogjon a gépen. Válassza ki a kapcsolóhoz csatlakoztatott interfészeket.

  2. Az oktatóanyag kedvéért hagyja ki a speciális beállításokat, és válassza a Tovább: Újraindítás > lehetőséget a folytatáshoz.

  3. Amikor a rendszer kéri, válassza az Újraindítás indítása lehetőséget az érzékelőgép újraindításához. Az érzékelő újraindulása után a rendszer automatikusan átirányítja a korábban az érzékelő IP-címeként definiált IP-címre.

    Válassza a Mégse lehetőséget az újraindításra való várakozáshoz.

Az OT-érzékelő aktiválása

Ez az eljárás azt ismerteti, hogyan aktiválhatja az új OT-érzékelőt.

Az érzékelő aktiválása:

  1. Az Aktiválás lapon válassza a Feltöltés lehetőséget az érzékelőnek az Azure Portalról letöltött aktiválási fájljának feltöltéséhez.

  2. Válassza ki a feltételek és feltételek lehetőséget, majd válassza a Tovább: Tanúsítványok lehetőséget.

SSL-/TLS-tanúsítványbeállítások megadása

A Tanúsítványok lapon ssl-/TLS-tanúsítványt helyezhet üzembe az OT-érzékelőn. Bár azt javasoljuk, hogy minden éles környezetben használjon hitelesítésszolgáltató által aláírt tanúsítványt , az oktatóanyag kedvéért válasszon önaláírt tanúsítványt.

SSL-/TLS-tanúsítványbeállítások definiálása:

  1. A Tanúsítványok lapon válassza a Helyileg létrehozott önaláírt tanúsítvány használata (Nem ajánlott) lehetőséget, majd válassza a Megerősítés lehetőséget.

    További információ: SSL/TLS-tanúsítványkövetelmények a helyszíni erőforrásokhoz és SSL/TLS-tanúsítványok létrehozása OT-berendezésekhez.

  2. A Befejezés gombra kattintva fejezze be a kezdeti beállítást, és nyissa meg az érzékelőkonzolt.

Következő lépések

Teljes üzembehelyezési útvonal az OT monitorozásához