Oktatóanyag: Virtuális OT-érzékelő előkészítése és aktiválása
Ez az oktatóanyag a Microsoft Defender for IoT OT-érzékelő beállításának alapjait ismerteti a Microsoft Defender for IoT próbaverziós előfizetésének és a saját virtuális gépének használatával.
A teljes körű, teljes körű üzembe helyezéshez mindenképpen kövesse a rendszer megtervezéséhez és előkészítéséhez szükséges lépéseket, valamint a beállítások teljes kalibrálásához és finomhangolásához. További információ: Deploy Defender for IoT for OT monitoring.
Feljegyzés
Ha vállalati IoT-rendszerek biztonsági monitorozását szeretné beállítani, olvassa el a Vállalati IoT-biztonság engedélyezése a Defender for Endpoint szolgáltatásban című témakört.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Virtuális gép létrehozása az érzékelőhöz
- Virtuális érzékelő előkészítése
- Virtuális SPAN-port konfigurálása
- Felhőfelügyelet kiépítése
- Szoftver letöltése virtuális érzékelőhöz
- A virtuális érzékelő szoftverének telepítése
- A virtuális érzékelő aktiválása
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik az alábbiakval:
Kész rövid útmutató: Ismerkedés az IoT Defender szolgáltatással, hogy azure-előfizetést kapjon az IoT-hez készült Defenderhez.
Hozzáférés az Azure Portalhoz biztonsági Rendszergazda, közreműködőként vagy tulajdonosként. További információ: Azure-beli felhasználói szerepkörök az OT és a nagyvállalati IoT monitorozásához a Defender for IoT használatával.
Győződjön meg arról, hogy rendelkezik egy hálózati kapcsolóval, amely támogatja a forgalom figyelését span porton keresztül. Legalább egy eszközre is szüksége lesz a monitorozáshoz, amely a kapcsoló SPAN-portjához csatlakozik.
A VMware, ESXi 5.5 vagy újabb, telepítve és működik az érzékelőn.
A virtuális géphez elérhető hardvererőforrások az alábbiak szerint érhetők el:
Üzemelő példány típusa Vállalati Vállalat SMB Maximális sávszélesség 2,5 Gb/s 800 Mb/s 160 Mb/s Védett eszközök maximális száma 12 000 10,000. 800 A virtuális készülékekkel végzett OT-monitorozás ismerete.
Az érzékelőberendezéshez használandó alábbi hálózati paraméterek részletei:
- Felügyeleti hálózati IP-cím
- Érzékelő alhálózati maszkja
- Egy berendezés állomásneve
- DNS-cím
- Alapértelmezett átjáró
- Bármely bemeneti adapter
Virtuális gép létrehozása az érzékelőhöz
Ez az eljárás azt ismerteti, hogyan hozhat létre virtuális gépet az érzékelőhöz a VMware ESXi használatával.
Az IoT Defender más folyamatokat is támogat, például Hyper-V vagy fizikai érzékelők használatát. További információ: Defender for IoT install.
Virtuális gép létrehozása az érzékelőhöz:
Győződjön meg arról, hogy a VMware fut a számítógépen.
Jelentkezzen be az ESXi-be, válassza ki a megfelelő adattárat, és válassza a Datastore Browser lehetőséget.
Töltse fel a képet, és válassza a Bezárás lehetőséget.
Nyissa meg a virtuális gépeket, majd válassza a Virtuális gép létrehozása/regisztrálása lehetőséget.
Válassza az Új virtuális gép létrehozása, majd a Tovább gombot.
Adjon hozzá egy érzékelőnevet, majd adja meg a következő beállításokat:
Kompatibilitás: <a legújabb ESXi-verzió>
Vendég operációsrendszer-család: Linux
Vendég operációs rendszer verziója: Ubuntu Linux (64 bites)
Válassza a Tovább lehetőséget.
Válassza ki a megfelelő adattárat, és válassza a Tovább gombot.
Módosítsa a virtuális hardver paramétereit az igényeinek megfelelő specifikációknak megfelelően. További információkért tekintse meg a fenti Előfeltételek szakaszban található táblázatot .
A virtuális gép készen áll az IoT-szoftvertelepítéshez készült Defenderre. Az oktatóanyag későbbi részében a szoftver telepítésével folytathatja, miután előkészítette az érzékelőt az Azure Portalon, konfigurálta a forgalomtükrözést, és kiépítette a gépet a felhőfelügyelethez.
A virtuális érzékelő előkészítése
Mielőtt elkezdené használni a Defender for IoT-érzékelőt, fel kell vennie az új virtuális érzékelőt az Azure-előfizetésbe.
A virtuális érzékelő előkészítése:
Az Azure Portalon nyissa meg a Defender for IoT > – Első lépések lapot.
A bal alsó sarokban válassza az OT/ICS-biztonság beállítása lehetőséget.
Másik lehetőségként az IoT-webhelyekhez készült Defender és az érzékelők lapon válassza az OT-érzékelő>előkészítése lehetőséget.
Alapértelmezés szerint az OT/ICS biztonsági beállítása lapon az 1. lépés: Beállított egy érzékelőt? és 2. lépés: A SPAN-port vagy a varázsló TAP-jának konfigurálása össze van csukva.
A szoftver telepítése és a forgalomtükrözés konfigurálása az üzembe helyezési folyamat későbbi szakaszában történik, de a berendezéseknek készen kell állniuk, és el kell tervezni a forgalomtükrözési módszert.
A 3. lépésben : Regisztrálja ezt az érzékelőt a Microsoft Defender for IoT-ben, adja meg a következő értékeket:
Mező neve Leírás Erőforrás neve Válassza ki azt a webhelyet, amelyhez az érzékelőket csatolni szeretné, vagy válassza a Webhely létrehozása lehetőséget egy új webhely létrehozásához.
Ha új webhelyet hoz létre:
1. Az Új hely mezőben adja meg a webhely nevét, és válassza a pipa gombot.
2. A Webhelyméret menüben válassza ki a webhely méretét. Az ebben a menüben felsorolt méretek azok a méretek, amelyekre licenccel rendelkezik, a Microsoft 365 Felügyeleti központ vásárolt licencek alapján.Megjelenített név Adjon meg egy értelmes nevet a webhelynek, amely megjelenik az IoT-hez készült Defenderben. Címkék Adja meg a címkekulcsot és az értékeket, amelyek segítenek azonosítani és megtalálni a webhelyet és az érzékelőt az Azure Portalon. Zóna Jelölje ki az OT-érzékelőhöz használni kívánt zónát, vagy válassza a Zóna létrehozása lehetőséget egy új létrehozásához. További információ: Ot-helyek és zónák tervezése.
Ha végzett az összes többi mezővel, válassza a Regisztráció lehetőséget, ha hozzá szeretné adni az érzékelőt az IoT Defenderhez. Megjelenik egy sikeres üzenet, és a rendszer automatikusan letölti az aktiválási fájlt. Az aktiválási fájl egyedi az érzékelőhöz, és utasításokat tartalmaz az érzékelő felügyeleti módjáról.
Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.
Mentse a letöltött aktiválási fájlt olyan helyre, amely első alkalommal lesz elérhető a konzolra bejelentkező felhasználó számára, hogy aktiválhassa az érzékelőt.
A fájlt manuálisan is letöltheti a megfelelő hivatkozás kiválasztásával az Érzékelő aktiválása mezőben. Ezzel a fájllal aktiválhatja az érzékelőt az alábbiak szerint.
A Kimenő forgalom engedélyezése szabályok hozzáadása párbeszédpanelen válassza a Végpont részleteinek letöltése hivatkozást az érzékelőből biztonságos végpontként konfigurálni kívánt végpontok JSON-listájának letöltéséhez.
Mentse a letöltött fájlt helyileg. Az oktatóanyag későbbi részében a letöltött fájlban felsorolt végpontokkal biztosíthatja, hogy az új érzékelő sikeresen csatlakozzon az Azure-hoz.
Tipp.
A szükséges végpontok listáját a Helyek és érzékelők lapon is elérheti. További információ: Érzékelőkezelési lehetőségek az Azure Portalon.
A lap bal alsó részén válassza a Befejezés lehetőséget. Most már láthatja az új érzékelőt az IoT-webhelyekhez készült Defender oldalon és az érzékelők oldalán.
Amíg nem aktiválja az érzékelőt, az érzékelő állapota függőben lévő aktiválásként jelenik meg.
További információ: Érzékelők kezelése az IoT-hez készült Defenderrel az Azure Portalon.
SPAN-port konfigurálása
A virtuális kapcsolók nem rendelkeznek tükrözési képességekkel. Ennek az oktatóanyagnak a kedvéért azonban virtuális kapcsolókörnyezetben használhatja a kitartó módot a virtuális kapcsolón áthaladó összes hálózati forgalom megtekintéséhez.
Ez az eljárás azt ismerteti, hogyan konfigurálhat SPAN-portot a VMware ESXi megkerülő megoldásával.
Feljegyzés
A promiscuous mód egy működési mód és egy biztonsági monitorozási technika a virtuális gép adapterei számára a virtuális kapcsolóval azonos portcsoportszinten a kapcsoló hálózati forgalmának megtekintéséhez. A nem egyértelmű mód alapértelmezés szerint le van tiltva, de a virtuális kapcsoló vagy a portcsoport szintjén definiálható.
Monitorozási felület konfigurálása promiscuous móddal ESXi v-Switchen:
Nyissa meg a vSwitch tulajdonságai lapot, és válassza a Standard virtuális kapcsoló hozzáadása lehetőséget.
Adja meg a SPAN Networkt hálózati címkeként.
Az MTU mezőbe írja be a 4096 értéket.
Válassza a Biztonság lehetőséget, és győződjön meg arról, hogy a "Promiscuous Mode" szabályzat elfogadási módra van állítva.
Válassza a Hozzáadás lehetőséget a vSwitch tulajdonságainak bezárásához.
Jelölje ki a létrehozott vSwitch-et, és válassza a Hozzáadás hivatkozás lehetőséget.
Válassza ki a SPAN-forgalomhoz használni kívánt fizikai hálózati adaptert, módosítsa az MTU-t 4096-ra, majd válassza a Mentés lehetőséget.
Nyissa meg a Portcsoport tulajdonságai lapot, és válassza a Portcsoport hozzáadása lehetőséget.
Névként adja meg a SPAN portcsoportot , adja meg a 4095-öt VLAN-azonosítóként, és válassza a SPAN Network lehetőséget a vSwitch legördülő listában, majd válassza a Hozzáadás lehetőséget.
Nyissa meg az OT-érzékelő virtuális gép tulajdonságait.
A 2. hálózati adapter esetében válassza ki a SPAN hálózatot.
Kattintson az OK gombra.
Csatlakozás az érzékelőhöz, és ellenőrizze, hogy működik-e a tükrözés.
Forgalomtükrözés ellenőrzése
A forgalomtükrözés konfigurálása után próbáljon meg mintát kapni a rögzített forgalomból (PCAP-fájl) a SPAN kapcsolóból vagy a tükrözési portról.
A PCAP-mintafájl a következő segítségére lesz:
- A kapcsoló konfigurációjának ellenőrzése
- Ellenőrizze, hogy a kapcsolón áthaladó forgalom releváns-e a figyeléshez
- A sávszélesség és a kapcsoló által észlelt eszközök becsült számának azonosítása
Használjon hálózati protokollelemző alkalmazást, például a Wiresharkot egy PCAP-mintafájl rögzítéséhez néhány percig. Csatlakoztathat például egy laptopot egy porthoz, ahol konfigurálta a forgalomfigyelést.
Ellenőrizze, hogy az Unicast-csomagok szerepelnek-e a rögzítési forgalomban. Az egycímes forgalom a címről egy másikba küldött forgalom.
Ha a forgalom nagy része ARP-üzenet, a forgalomtükrözés konfigurációja nem megfelelő.
Ellenőrizze, hogy az OT-protokollok jelen vannak-e az elemzett forgalomban.
Példa:
Felhőfelügyelet kiépítése
Ez a szakasz bemutatja, hogyan konfigurálhatja a végpontokat a tűzfalszabályokban való definiáláshoz, biztosítva, hogy az OT-érzékelők csatlakozni tudjanak az Azure-hoz.
További információkért lásd az érzékelők Azure-hoz való csatlakoztatásának módszereit.
A végpont részleteinek konfigurálása:
Nyissa meg a korábban letöltött fájlt a szükséges végpontok listájának megtekintéséhez. Konfigurálja a tűzfalszabályokat, hogy az érzékelő hozzáférhessen az egyes szükséges végpontokhoz a 443-as porton keresztül.
Tipp.
A szükséges végpontok listáját az Azure Portal Helyek és érzékelők oldaláról is letöltheti. Ugrás a Helyek és érzékelők>elemre További műveletek>A végpont részleteinek letöltése. További információ: Érzékelőkezelési lehetőségek az Azure Portalon.
További információ: Érzékelők kiépítése felhőfelügyelethez.
Szoftver letöltése a virtuális érzékelőhöz
Ez a szakasz azt ismerteti, hogyan töltheti le és telepítheti az érzékelőszoftvert a saját gépére.
Szoftver letöltése a virtuális érzékelőkhöz:
Az Azure Portalon nyissa meg a Defender for IoT > – Első lépések lapot, és válassza az Érzékelő lapot.
A Berendezés vásárlása és a Szoftver telepítése mezőben győződjön meg arról, hogy az alapértelmezett beállítás a legújabb és javasolt szoftververzióhoz van kiválasztva, majd válassza a Letöltés lehetőséget.
Mentse a letöltött szoftvert a virtuális gépről elérhető helyre.
Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.
Érzékelőszoftver telepítése
Ez az eljárás azt ismerteti, hogyan telepítheti az érzékelőszoftvert a virtuális gépre.
Feljegyzés
A folyamat vége felé megjelenik az eszköz felhasználónevei és jelszavai. Mindenképpen másolja le ezeket a jelszavakat, mert ezek a jelszavak nem jelennek meg újra.
A szoftver telepítése a virtuális érzékelőre:
Ha bezárta a virtuális gépet, jelentkezzen be ismét az ESXi-be, és nyissa meg a virtuális gép beállításait.
CD/DVD Meghajtó 1 esetén válassza a Datastore ISO-fájlt, és válassza ki a korábban letöltött Defender for IoT-szoftvert.
Válassza a Next>Finish (Tovább > Befejezés) elemet.
Kapcsolja be a virtuális gépet, és nyisson meg egy konzolt.
A telepítés indításakor a rendszer kérni fogja a telepítési folyamat elindítását. Válassza az iot-sensor
<version number>
telepítése elemet a folytatáshoz, vagy hagyja, hogy 30 másodperc után automatikusan elinduljon. Például:Feljegyzés
Ha régi BIOS-verziót használ, a rendszer kérni fogja, hogy válasszon egy nyelvet, és a telepítési beállítások a bal felső sarokban jelennek meg ahelyett, hogy középre kerülnek. Amikor a rendszer kéri, válassza az
English
iot-sensor<version number>
telepítése lehetőséget a folytatáshoz.A telepítés megkezdődik, így folyamatosan frissülnek az állapotüzenetek. A teljes telepítési folyamat akár 20–30 percet is igénybe vehet, és a használt adathordozó típusától függően változhat.
Ha a telepítés befejeződött, az alábbi alapértelmezett hálózatkezelési adatok jelennek meg.
IP: 172.23.41.83, SUBNET: 255.255.255.0, GATEWAY: 172.23.41.1, UID: 91F14D56-C1E4-966F-726F-006A527C61D
A megadott alapértelmezett IP-címmel érheti el az érzékelőt a kezdeti beállításhoz és aktiváláshoz.
Telepítés utáni ellenőrzés
Ez az eljárás azt ismerteti, hogyan ellenőrizheti a telepítést az érzékelő saját rendszerállapot-ellenőrzésével, és hogyan érhető el az alapértelmezett rendszergazdai felhasználó számára.
A telepítés ellenőrzése:
Jelentkezzen be felhasználóként az OT-érzékelőbe
admin
.Válassza a System Gépház> Sensor management>System Health Check lehetőséget.
Válassza ki a következő parancsokat:
- Berendezés , amely ellenőrzi, hogy a rendszer fut-e. Győződjön meg arról, hogy minden sorelemnél a Futtatás látható, és hogy az utolsó sor azt jelzi, hogy a rendszer működik.a0>
- Verzió , amely ellenőrzi, hogy a megfelelő verzió van-e telepítve.
- ha konfigurálja , hogy ellenőrizze, hogy a telepítés során konfigurált összes bemeneti adapter fut-e.
A telepítés utáni ellenőrzési tesztek, például átjáró-, DNS- vagy tűzfalellenőrzések további információiért tekintse meg az OT-érzékelő szoftvertelepítésének ellenőrzése című témakört.
Kezdeti beállítás definiálása
Az alábbi eljárás azt ismerteti, hogyan konfigurálhatja az érzékelő kezdeti beállítási beállításait, beleértve a következőket:
- Bejelentkezés az érzékelőkonzolra és a rendszergazdai felhasználói jelszó módosítása
- Az érzékelő hálózati adatainak meghatározása
- A monitorozni kívánt felületek meghatározása
- Az érzékelő aktiválása
- SSL-/TLS-tanúsítványbeállítások konfigurálása
Jelentkezzen be az érzékelőkonzolra, és módosítsa az alapértelmezett jelszót
Ez az eljárás azt ismerteti, hogyan jelentkezhet be először az OT érzékelőkonzolba. A rendszer kéri, hogy módosítsa a rendszergazdai felhasználó alapértelmezett jelszavát.
Az érzékelőbe való bejelentkezéshez:
Egy böngészőben nyissa meg az
192.168.0.101
IP-címet, amely az érzékelőhöz a telepítés végén megadott alapértelmezett IP-cím.Megjelenik a kezdeti bejelentkezési oldal. Példa:
Adja meg a következő hitelesítő adatokat, és válassza a Bejelentkezés lehetőséget:
- Felhasználónév:
support
- Jelszó:
support
A rendszer megkéri, hogy adjon meg egy új jelszót a rendszergazdai felhasználó számára.
- Felhasználónév:
Az Új jelszó mezőben adja meg az új jelszót. A jelszónak kisbetűs és nagybetűs betűrendű karaktereket, számokat és szimbólumokat kell tartalmaznia.
Az Új jelszó megerősítése mezőbe írja be újra az új jelszót, majd válassza az Első lépések lehetőséget.
További információ: Alapértelmezett jogosultsággal rendelkező felhasználók.
Az IoT Defender | Az Áttekintés lap megnyílik a Felügyeleti felület lapon.
Érzékelő hálózatkezelési részleteinek meghatározása
A Felügyeleti felület lapon az alábbi mezőkkel határozhatja meg az új érzékelő hálózati adatait:
Az oktatóanyag kedvéért hagyja ki a proxykonfigurációkat az Enable proxy for cloud connectivity (Optional) (Nem kötelező) területen.
Ha elkészült, válassza a Tovább: Felületkonfigurációk lehetőséget a folytatáshoz.
A monitorozni kívánt felületek meghatározása
Az Interfészkapcsolatok lapon alapértelmezés szerint az érzékelő által észlelt összes adapter látható. Ezen a lapon be- és kikapcsolhatja a monitorozást interfészenként, vagy megadhat bizonyos beállításokat az egyes felületekhez.
Tipp.
Javasoljuk, hogy optimalizálja az érzékelő teljesítményét úgy, hogy a beállításokat úgy konfigurálja, hogy csak az aktív használatban lévő interfészeket figyelje.
Az Interfészkonfigurációk lapon az alábbi lépéseket követve konfigurálhatja a figyelt felületek beállításait:
Válassza az Érzékelő által monitorozni kívánt felületek engedélyezése/letiltása váltógombot. A folytatáshoz legalább egy felületet ki kell választania.
Ha nem biztos abban, hogy melyik felületet használja, válassza a Pislogás fizikai felület LED gombot , hogy a kiválasztott port villogjon a gépen. Válassza ki a kapcsolóhoz csatlakoztatott interfészeket.
Az oktatóanyag kedvéért hagyja ki a speciális beállításokat, és válassza a Tovább: Újraindítás > lehetőséget a folytatáshoz.
Amikor a rendszer kéri, válassza az Újraindítás indítása lehetőséget az érzékelőgép újraindításához. Az érzékelő újraindulása után a rendszer automatikusan átirányítja a korábban az érzékelő IP-címeként definiált IP-címre.
Válassza a Mégse lehetőséget az újraindításra való várakozáshoz.
Az OT-érzékelő aktiválása
Ez az eljárás azt ismerteti, hogyan aktiválhatja az új OT-érzékelőt.
Az érzékelő aktiválása:
Az Aktiválás lapon válassza a Feltöltés lehetőséget az érzékelőnek az Azure Portalról letöltött aktiválási fájljának feltöltéséhez.
Válassza ki a feltételek és feltételek lehetőséget, majd válassza a Tovább: Tanúsítványok lehetőséget.
SSL-/TLS-tanúsítványbeállítások megadása
A Tanúsítványok lapon ssl-/TLS-tanúsítványt helyezhet üzembe az OT-érzékelőn. Bár azt javasoljuk, hogy minden éles környezetben használjon hitelesítésszolgáltató által aláírt tanúsítványt , az oktatóanyag kedvéért válasszon önaláírt tanúsítványt.
SSL-/TLS-tanúsítványbeállítások definiálása:
A Tanúsítványok lapon válassza a Helyileg létrehozott önaláírt tanúsítvány használata (Nem ajánlott) lehetőséget, majd válassza a Megerősítés lehetőséget.
További információ: SSL/TLS-tanúsítványkövetelmények a helyszíni erőforrásokhoz és SSL/TLS-tanúsítványok létrehozása OT-berendezésekhez.
A Befejezés gombra kattintva fejezze be a kezdeti beállítást, és nyissa meg az érzékelőkonzolt.