Bagikan melalui

Tutorial: Menginstal defender untuk agen mikro IoT

  • Artikel

Tutorial ini akan membantu Anda mempelajari cara menginstal dan mengautentikasi agen mikro Defender untuk IoT.

Dalam tutorial ini Anda akan belajar cara:

  • Mengunduh dan menginstal agen mikro
  • Mengautentikasi agen mikro
  • Validasi penginstalan
  • Menguji sistem
  • Menginstal versi agen mikro tertentu

Prasyarat

Mengunduh dan menginstal agen mikro

Bergantung pada pengaturan Anda, paket Microsoft yang sesuai harus diinstal.

Untuk menambahkan repositori rencana Microsoft yang sesuai:

  1. Unduh konfigurasi repositori yang cocok dengan sistem operasi perangkat Anda.

    • Untuk Ubuntu 18.04:

      curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list

    • Untuk Ubuntu 20.04:

          curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list

    • Untuk Debian 9 (BAIK AMD64 maupun ARM64):

      curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list

  2. Gunakan perintah berikut untuk menyalin konfigurasi repositori ke direktori sources.list.d:

    sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/

  3. Instal kunci umum Microsoft GPG dengan perintah berikut:

    curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/

  4. Pastikan Anda telah memperbarui apt menggunakan perintah berikut:

    sudo apt-get update

  5. Gunakan perintah berikut untuk menginstal paket agen mikro Defender untuk IoT di Debian, atau distribusi Linux berbasis Ubuntu:

    sudo apt-get install defender-iot-micro-agent

Menyambungkan melalui sebuah proksi

Prosedur ini menjelaskan bagaimana Anda dapat menghubungkan defender untuk agen mikro IoT ke IoT Hub melalui proksi.

Untuk mengonfigurasi koneksi melalui sebuah proksi:

  1. Di mesin agen mikro Anda, buat /etc/defender_iot_micro_agent/conf.json file dengan konten berikut:

    {
    "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>",
    "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
}

    Bidang pengguna dan kata sandi adalah opsional. Jika Anda tidak memerlukannya, gunakan sintaksis berikut ini sebagai gantinya:

    {
    "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>",
    "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
}

  2. Hapus file cache apa pun di /var/lib/defender_iot_micro_agent/cache.json.

  3. Mulai ulang agen mikro. Jalankan:

    sudo systemctl restart defender-iot-micro-agent.service

Tambahkan dukungan protokol AMQP

Prosedur ini menjelaskan langkah-langkah tambahan yang diperlukan untuk mendukung protokol AMQP.

Untuk menambahkan dukungan protokol AMQP:

  1. Di mesin agen mikro Anda, buka /etc/defender_iot_micro_agent/conf.json file dan tambahkan konten berikut:

    {
"IothubModule_TransportProtocol": "AMQP_Protocol"
}

  2. Hapus file cache apa pun di /var/lib/defender_iot_micro_agent/cache.json.

  3. Mulai ulang agen mikro. Jalankan:

    sudo systemctl restart defender-iot-micro-agent.service

Untuk menambahkan AMQP melalui dukungan protokol soket web:

  1. Di mesin agen mikro Anda, buka /etc/defender_iot_micro_agent/conf.json file dan tambahkan konten berikut:

    {
"IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol"
}

  2. Hapus file cache apa pun di /var/lib/defender_iot_micro_agent/cache.json.

  3. Mulai ulang agen mikro. Jalankan:

    sudo systemctl restart defender-iot-micro-agent.service

Agen akan menggunakan protokol ini, dan berkomunikasi dengan IoT Hub pada port 443. Konfigurasi Proksi Http didukung untuk protokol ini, jika proksi juga dikonfigurasi, port komunikasi dengan proksi akan seperti yang didefinisikan dalam konfigurasi proksi.

Mengautentikasi agen mikro

Ada dua opsi yang dapat digunakan untuk mengautentikasi agen mikro Defender untuk IoT:

Mengautentikasi menggunakan string koneksi identitas modul

Anda perlu menyalin string koneksi identitas modul dari detail identitas modul DefenderIoTMicroAgent.

Untuk menyalin string koneksi identitas modul:

  1. Navigasikan keperangkat manajemen >IoT Hub>Your hub>Device.

    Pilih perangkat IoT dari menu sebelah kiri.

  2. Pilih perangkat dari daftar ID Perangkat.

  3. Pilih tab Identitas Modul.

  4. Pilih modul DefenderIotMicroAgent dari daftar identitas modul yang terkait dengan perangkat.

    Pilih tab identitas modul.

  5. Salin String koneksi (kunci utama) dengan memilih tombol salin.

    Pilih tombol salin untuk menyalin string Koneksi (kunci primer).

  6. Buat file bernama connection_string.txt yang berisi string koneksi yang disalin yang dikodekan dalam utf-8 di jalur /etc/defender_iot_micro_agent direktori agen Defender untuk IoT dengan memasukkan perintah berikut:

    sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'

    connection_string.txt sekarang akan ditempatkan di lokasi jalur berikut /etc/defender_iot_micro_agent/connection_string.txt.

    Catatan

    String koneksi menyertakan kunci yang memungkinkan akses langsung ke modul itu sendiri, oleh karena itu mencakup informasi sensitif yang hanya boleh digunakan dan dapat dibaca oleh pengguna root.

  7. Mulai ulang layanan menggunakan perintah ini:

    sudo systemctl restart defender-iot-micro-agent.service

Mengautentikasi menggunakan sertifikat

Untuk mengautentikasi menggunakan sertifikat:

  1. Dapatkan sertifikat dengan mengikuti instruksi berikut.

  2. Tempatkan bagian publik yang dikodekan PEM dari sertifikat, dan kunci pribadi, di /etc/defender_iot_micro_agent, ke file bernama certificate_public.pem, dan certificate_private.pem.

  3. Tempatkan string koneksi yang sesuai dalam file connection_string.txt. Atring koneksi akan terlihat seperti ini:

    HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true

    String ini memberi tahu agen Defender untuk IoT, agar mengharapkan sertifikat disediakan untuk autentikasi.

  4. Mulai ulang layanan menggunakan perintah berikut:

    sudo systemctl restart defender-iot-micro-agent.service

Validasi penginstalan

Untuk memvalidasi penginstalan Anda:

  1. Gunakan perintah berikut untuk memastikan agen mikro berjalan dengan baik dengan:

    systemctl status defender-iot-micro-agent.service

  2. Pastikan layanan stabil dengan memastikan bahwa layanan tersebut active, dan waktu aktif prosesnya sesuai.

    Periksa untuk memastikan layanan Anda stabil dan aktif.

Menguji sistem

Anda dapat menguji sistem dengan membuat file pemicu pada perangkat. File pemicu akan menyebabkan pemindaian dasar di agen untuk mendeteksi file sebagai pelanggaran dasar.

  1. Buat file pada sistem file dengan perintah berikut:

    sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt

  2. Pastikan ruang kerja Log Analytics Anda dilampirkan ke hub IoT Anda. Untuk informasi selengkapnya, lihat Membuat ruang kerja analitik log.

  3. Mulai ulang agen menggunakan perintah:

    sudo systemctl restart defender-iot-micro-agent.service

Berikan waktu hingga satu jam agar rekomendasi muncul di hub.

Rekomendasi garis besar yang disebut 'IoT_CISBenchmarks_DIoTTest' dibuat. Anda dapat mengkueri rekomendasi ini dari Log Analytics sebagai berikut:

SecurityRecommendation

| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"

| where DeviceId contains "<device-id>"

| top 1 by TimeGenerated desc

Contohnya:

Cuplikan layar kueri IoT_CISBenchmarks_DIoTTest yang dijalankan di dalam Analisis Log.

Menginstal versi agen mikro tertentu

Anda dapat menginstal versi tertentu dari agen mikro menggunakan perintah tertentu.

Untuk menginstal versi tertentu dari agen mikro Defender untuk IoT:

  1. Buka terminal.

  2. Jalankan perintah berikut:

    sudo apt-get install defender-iot-micro-agent=<version>

Membersihkan sumber daya

Tidak ada sumber daya untuk dibersihkan.

Langkah berikutnya

Mengonfigurasi Microsoft Defender untuk solusi berbasis agen IoT