Mengonfigurasi dan mengaktifkan sensor OT Anda

  • Artikel

Artikel ini adalah salah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT, dan menjelaskan cara mengonfigurasi pengaturan penyiapan awal dan mengaktifkan sensor OT Anda.

Diagram bilah kemajuan dengan Sebarkan sensor Anda disorot.

Beberapa langkah penyiapan awal dapat dilakukan di browser atau melalui CLI.

  • Gunakan browser jika Anda dapat menyambungkan kabel fisik dari sakelar ke sensor untuk mengidentifikasi antarmuka Anda dengan benar. Pastikan untuk mengonfigurasi ulang adaptor jaringan Anda agar sesuai dengan pengaturan default pada sensor.
  • Gunakan CLI jika Anda mengetahui detail jaringan Tanpa perlu menyambungkan kabel fisik. Gunakan CLI jika Anda hanya dapat terhubung ke sensor melalui iLo / iDrac

Mengonfigurasi penyiapan Anda melalui CLI masih mengharuskan Anda menyelesaikan beberapa langkah terakhir di browser.

Prasyarat

Untuk melakukan prosedur dalam artikel ini, Anda perlu:

  • Sensor OT diorientasikan ke Defender untuk IoT di portal Azure.

  • Perangkat lunak sensor OT diinstal pada appliance Anda. Pastikan Anda telah menginstal perangkat lunak sendiri atau membeli appliance yang telah dikonfigurasi sebelumnya.

  • File aktivasi sensor, yang diunduh setelah onboarding sensor Anda. Anda memerlukan file aktivasi unik untuk setiap sensor OT yang Anda sebarkan.

    Semua file yang diunduh dari portal Azure ditandatangani oleh akar kepercayaan sehingga mesin Anda hanya menggunakan aset yang ditandatangani.

    Catatan

    File aktivasi kedaluwarsa 14 hari setelah pembuatan. Jika Anda melakukan onboarding sensor tetapi tidak mengunggah file aktivasi sebelum kedaluwarsa, unduh file aktivasi baru.

  • Sertifikat SSL/TLS. Sebaiknya gunakan sertifikat yang ditandatangani CA, dan bukan sertifikat yang ditandatangani sendiri. Untuk informasi selengkapnya, lihat Membuat sertifikat SSL/TLS untuk appliance OT.

  • Akses ke appliance fisik atau virtual tempat Anda menginstal sensor. Untuk informasi selengkapnya, lihat Appliance mana yang saya butuhkan?

Langkah ini dilakukan oleh tim penyebaran Anda.

Mengonfigurasi penyiapan melalui browser

Mengonfigurasi penyiapan sensor melalui browser mencakup langkah-langkah berikut:

  • Masuk ke konsol sensor dan mengubah kata sandi pengguna admin
  • Menentukan detail jaringan untuk sensor Anda
  • Menentukan antarmuka yang ingin Anda pantau
  • Mengaktifkan sensor Anda
  • Mengonfigurasi pengaturan sertifikat SSL/TLS

Masuk ke konsol sensor dan ubah kata sandi default

Prosedur ini menjelaskan cara masuk ke konsol sensor OT untuk pertama kalinya. Anda diminta untuk mengubah kata sandi default untuk pengguna admin .

Untuk masuk ke sensor Anda:

  1. Di browser, buka 192.168.0.101 alamat IP, yang merupakan alamat IP default yang disediakan untuk sensor Anda di akhir penginstalan.

    Halaman masuk awal muncul. Contohnya:

    Cuplikan layar halaman masuk sensor awal.

  2. Masukkan kredensial berikut dan pilih Masuk:

    • Nama pengguna:admin
    • Kata sandi: admin

    Anda diminta untuk menentukan kata sandi baru untuk pengguna admin .

  3. Di bidang Kata sandi baru, masukkan kata sandi baru Anda. Kata sandi Anda harus berisi karakter, angka, dan simbol alfabet huruf kecil dan huruf besar.

    Di bidang Konfirmasi kata sandi baru, masukkan kata sandi baru Anda lagi, lalu pilih Mulai.

    Untuk informasi selengkapnya, lihat Pengguna istimewa default.

Defender untuk IoT | Halaman gambaran umum terbuka ke tab Antarmuka manajemen.

Menentukan detail jaringan sensor

Di tab Antarmuka manajemen, gunakan bidang berikut untuk menentukan detail jaringan untuk sensor baru Anda:

Nama Deskripsi
Antarmuka manajemen Pilih antarmuka yang ingin Anda gunakan sebagai antarmuka manajemen, untuk menyambungkan ke portal Azure atau konsol manajemen lokal.

Untuk mengidentifikasi antarmuka fisik pada komputer Anda, pilih antarmuka lalu pilih LED antarmuka fisik Blink. Port yang cocok dengan antarmuka yang dipilih menyala sehingga Anda dapat menyambungkan kabel dengan benar.
Alamat IP Masukkan alamat IP yang ingin Anda gunakan untuk sensor Anda. Ini adalah alamat IP yang digunakan tim Anda untuk terhubung ke sensor melalui browser atau CLI.
Subnet Mask Masukkan alamat yang ingin Anda gunakan sebagai subnet mask sensor.
Default Gateway Masukkan alamat yang ingin Anda gunakan sebagai gateway default sensor.
DNS Masukkan alamat IP server DNS sensor.
Hostname Masukkan nama host yang ingin Anda tetapkan ke sensor. Pastikan Anda menggunakan nama host yang sama seperti yang ditentukan di server DNS.
Mengaktifkan proksi untuk konektivitas cloud (Opsional) Pilih untuk menentukan server proksi untuk sensor Anda.

Jika Anda menggunakan sertifikat SSL/TSL untuk mengakses server proksi, pilih Sertifikat klien dan unggah sertifikat Anda.

Setelah selesai, pilih Berikutnya: Konfigurasi antarmuka untuk melanjutkan.

Tentukan antarmuka yang ingin Anda pantau

Tab Konfigurasi antarmuka menunjukkan semua antarmuka yang terdeteksi oleh sensor secara default. Gunakan tab ini untuk mengaktifkan atau menonaktifkan pemantauan per antarmuka, atau tentukan pengaturan tertentu untuk setiap antarmuka.

Tip

Kami menyarankan agar Anda mengoptimalkan performa pada sensor dengan mengonfigurasi pengaturan untuk memantau hanya antarmuka yang aktif digunakan.

Di tab Konfigurasi antarmuka , lakukan hal berikut untuk mengonfigurasi pengaturan untuk antarmuka yang dipantau:

  1. Pilih tombol Aktifkan/Nonaktifkan untuk antarmuka apa pun yang Anda inginkan untuk dipantau sensor. Anda harus memilih setidaknya satu antarmuka untuk melanjutkan.

    Jika Anda tidak yakin tentang antarmuka mana yang akan digunakan, pilih tombol LED antarmuka fisik Blink untuk memiliki blink port yang dipilih di komputer Anda. Pilih salah satu antarmuka yang telah Anda sambungkan ke sakelar Anda.

  2. (Opsional) Untuk setiap antarmuka yang Anda pilih untuk dipantau, pilih tombol Pengaturan tingkat lanjut untuk mengubah salah satu pengaturan berikut:

    Nama Deskripsi
    Mode Pilih salah satu hal berikut ini:
    - Lalu Lintas SPAN (tanpa enkapulasi) untuk menggunakan pencerminan port SPAN default.
    - ERSPAN jika Anda menggunakan pencerminan ERSPAN.

    Untuk informasi selengkapnya, lihat Memilih metode pencerminan lalu lintas untuk sensor OT.
    Keterangan Masukkan deskripsi opsional untuk antarmuka. Anda akan melihat ini nanti di halaman Konfigurasi antarmuka pengaturan > sistem sensor, dan deskripsi ini mungkin berguna dalam memahami tujuan setiap antarmuka.
    Negosiasi otomatis Relevan hanya untuk komputer fisik. Gunakan opsi ini untuk menentukan jenis metode komunikasi mana yang digunakan, atau jika metode komunikasi secara otomatis ditentukan di antara komponen.

    Penting: Kami menyarankan agar Anda mengubah pengaturan ini hanya atas saran tim jaringan Anda.

    Pilih Simpan untuk menerapkan perubahan.

  3. Pilih Berikutnya: Reboot > untuk melanjutkan, lalu Mulai boot ulang untuk me-reboot mesin sensor Anda. Setelah sensor dimulai lagi, Anda secara otomatis diarahkan ke alamat IP yang telah Anda tentukan sebelumnya sebagai alamat IP sensor Anda.

    Pilih Batal untuk menunggu boot ulang.

Mengaktifkan sensor OT Anda

Prosedur ini menjelaskan cara mengaktifkan sensor OT baru Anda.

Jika Anda telah mengonfigurasi pengaturan awal melalui CLI hingga saat ini, Anda akan memulai konfigurasi berbasis browser pada langkah ini. Setelah reboot sensor, Anda dialihkan ke Defender for IoT yang sama | Halaman gambaran umum , ke tab Aktivasi .

Untuk mengaktifkan sensor Anda:

  1. Di tab Aktivasi, pilih Unggah untuk mengunggah file aktivasi sensor yang Anda unduh dari portal Azure.
  2. Pilih opsi syarat dan ketentuan lalu pilih Aktifkan.
  3. Pilih Berikutnya: Sertifikat.

Menentukan pengaturan sertifikat SSL/TLS

Gunakan tab Sertifikat untuk menyebarkan sertifikat SSL/TLS pada sensor OT Anda. Kami menyarankan agar Anda menggunakan sertifikat yang ditandatangani CA untuk semua lingkungan produksi.

Untuk menentukan pengaturan sertifikat SSL/TLS:

  1. Di tab Sertifikat, pilih Impor sertifikat CA tepercaya (disarankan) untuk menyebarkan sertifikat yang ditandatangani CA.

    Masukkan nama sertifikat dan frase sandi, lalu pilih Unggah untuk mengunggah file kunci privat, file sertifikat, dan file rantai sertifikat opsional Anda.

    Anda mungkin perlu merefresh halaman setelah mengunggah file Anda. Untuk informasi selengkapnya, lihat Memecahkan masalah kesalahan unggahan sertifikat.

    Tip

    Jika Anda mengerjakan lingkungan pengujian, Anda juga dapat menggunakan sertifikat yang ditandatangani sendiri yang dihasilkan secara lokal selama penginstalan. Jika Anda memilih untuk menggunakan sertifikat yang ditandatangani sendiri, pastikan untuk memilih opsi Konfirmasi tentang rekomendasi.

    Untuk informasi selengkapnya, lihat Mengelola sertifikat SSL/TLS.

  2. Di area Validasi sertifikat konsol manajemen lokal, pilih Wajib untuk memvalidasi sertifikat konsol manajemen lokal terhadap daftar pencabutan sertifikat (CRL), seperti yang dikonfigurasi dalam sertifikat Anda.

    Untuk informasi selengkapnya, lihat Persyaratan sertifikat SSL/TLS untuk sumber daya lokal dan Membuat sertifikat SSL/TLS untuk appliance OT.

  3. Pilih Selesai untuk menyelesaikan penyiapan awal dan buka konsol sensor Anda.

Mengonfigurasi penyiapan melalui CLI

Gunakan prosedur ini untuk mengonfigurasi pengaturan penyiapan awal berikut melalui CLI:

  • Masuk ke konsol sensor dan mengatur kata sandi pengguna admin baru
  • Menentukan detail jaringan untuk sensor Anda
  • Menentukan antarmuka yang ingin Anda pantau

Lanjutkan dengan mengaktifkan dan mengonfigurasi pengaturan sertifikat SSL/TLS di browser.

Untuk mengonfigurasi pengaturan penyiapan awal melalui CLI:

  1. Di layar penginstalan, setelah detail jaringan default ditampilkan, tekan ENTER untuk melanjutkan.

  2. D4Iot login Pada perintah, masuk dengan kredensial default berikut:

    • Nama pengguna:admin
    • Kata sandi: admin

    Saat Anda memasukkan kata sandi, karakter kata sandi tidak ditampilkan di layar. Pastikan Anda memasukkannya dengan hati-hati.

  3. Pada perintah, masukkan kata sandi baru untuk pengguna admin . Kata sandi Anda harus berisi karakter, angka, dan simbol alfabet huruf kecil dan huruf besar.

    Ketika diminta untuk mengonfirmasi kata sandi Anda, masukkan kata sandi baru Anda lagi. Untuk informasi selengkapnya, lihat Pengguna istimewa default.

    <apakah ini terjadi segera? tidak jelas-->Package configurationWizard konfigurasi Linux terbuka. Dalam panduan ini, gunakan panah atas atau bawah untuk menavigasi, dan bilah SPASI untuk memilih opsi. Tekan ENTER untuk melanjutkan ke layar berikutnya.

  4. Di layar wizard Select monitor interfaces , pilih salah satu antarmuka yang ingin Anda pantau dengan sensor ini.

    Sistem memilih antarmuka pertama yang ditemukannya sebagai antarmuka manajemen, dan kami sarankan Anda meninggalkan pilihan default. Jika Anda memutuskan untuk menggunakan port yang berbeda sebagai antarmuka manajemen, perubahan hanya diimplementasikan setelah sensor dimulai ulang. Dalam kasus seperti itu, pastikan bahwa sensor terhubung sesuai kebutuhan.

    Contohnya:

    Cuplikan layar Pilih antarmuka monitor.

    Penting

    Pastikan Anda hanya memilih antarmuka yang tersambung.

    Jika Anda memilih antarmuka yang diaktifkan tetapi tidak tersambung, sensor akan menampilkan pemberitahuan kesehatan Tanpa lalu lintas yang dipantau di portal Azure. Jika Anda menghubungkan lebih banyak sumber lalu lintas setelah penginstalan dan ingin memantaunya dengan Defender untuk IoT, Anda dapat menambahkannya nanti melalui CLI.

  5. Select management interface Di layar, pilih antarmuka yang ingin Anda gunakan untuk menyambungkan ke portal Azure atau konsol manajemen lokal.

    Contohnya:

    Cuplikan layar Pilih antarmuka manajemen.

  6. Enter sensor IP address Di layar, masukkan alamat IP yang ingin Anda gunakan untuk sensor ini. Gunakan alamat IP ini untuk menyambungkan ke sensor melalui CLI atau browser. Contohnya:

    Cuplikan layar Masukkan alamat IP sensor.

  7. Di layar Enter path to the mounted backups folder, masukkan jalur ke cadangan sensor yang dipasang. Sebaiknya gunakan jalur default /opt/sensor/persist/backups. Contohnya:

    Cuplikan layar konfigurasi folder cadangan yang dipasang.

  8. Di layar Enter Subnet Mask, masukkan alamat IP untuk subnet mask sensor. Contohnya:

    Cuplikan layar Masukkan layar Subnet Mask.

  9. Di layar Enter Gateway, masukkan alamat IP gateway default sensor. Contohnya:

    Cuplikan layar Masukkan layar Gateway.

  10. Di layar Enter DNS server, masukkan alamat IP server DNS sensor. Contohnya:

    Cuplikan layar Masukkan layar server DNS.

  11. Enter hostname Di layar, masukkan nama yang ingin Anda gunakan sebagai nama host sensor. Pastikan Anda menggunakan nama host yang sama seperti yang ditentukan di server DNS. Contohnya:

    Cuplikan layar Masukkan layar nama host.

  12. Di layar Run this sensor as a proxy server (Preview), pilih <Yes> hanya jika Anda ingin mengonfigurasi proksi, lalu masukkan kredensial proksi seperti yang diminta. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan proksi pada sensor OT.

    Konfigurasi default adalah tanpa proksi.

  13. Proses konfigurasi mulai berjalan, reboot, lalu meminta Anda untuk masuk lagi. Contohnya:

    Cuplikan layar perintah masuk akhir di akhir konfigurasi CLI awal.

Pada titik ini, buka browser ke alamat IP yang telah Anda tentukan untuk sensor Anda dan lanjutkan penyiapan di browser. Untuk informasi selengkapnya, lihat Mengaktifkan sensor OT Anda.

Catatan

Selama penyiapan awal, opsi untuk port pemantauan ERSPAN hanya tersedia dalam prosedur berbasis browser.

Jika Anda menentukan detail jaringan melalui CLI dan ingin menyiapkan port pemantauan ERSPAN, lakukan setelahnya melalui halaman koneksi Antarmuka Pengaturan > sensor. Untuk informasi selengkapnya, lihat Memperbarui antarmuka pemantauan sensor (mengonfigurasi ERSPAN).

Langkah berikutnya

« Memvalidasi penginstalan perangkat lunak sensor OT

Mengonfigurasi pengaturan proksi pada sensor OT »