Tutorial: Onboarding dan aktifkan sensor OT virtual

  • Artikel

Tutorial ini menjelaskan dasar-dasar menyiapkan sensor OT Pertahanan Microsoft untuk IoT, menggunakan langganan percobaan Pertahanan Microsoft untuk IoT dan komputer virtual Anda sendiri.

Untuk penyebaran menyeluruh dan menyeluruh, pastikan untuk mengikuti langkah-langkah untuk merencanakan dan menyiapkan sistem Anda, dan juga sepenuhnya mengkalibrasi dan menyempurnakan pengaturan Anda. Untuk informasi selengkapnya, lihat Menyebarkan Defender untuk IoT untuk pemantauan OT.

Catatan

Jika Anda ingin menyiapkan pemantauan keamanan untuk sistem IoT perusahaan, lihat Mengaktifkan keamanan IoT Perusahaan di Pertahanan untuk Titik Akhir.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat VM untuk sensor
  • Onboarding sensor virtual
  • Mengonfigurasi port SPAN virtual
  • Provisi untuk manajemen cloud
  • Mengunduh perangkat lunak untuk sensor virtual
  • Menginstal perangkat lunak sensor virtual
  • Mengaktifkan sensor virtual

Prasyarat

Sebelum memulai, pastikan Anda memiliki hal berikut ini:

  • Menyelesaikan Mulai Cepat: Mulai menggunakan Defender untuk IoT sehingga Anda memiliki langganan Azure yang ditambahkan ke Defender untuk IoT.

  • Akses ke portal Azure sebagai Admin Keamanan, Kontributor, atau Pemilik. Untuk informasi selengkapnya, lihat Peran pengguna Azure untuk pemantauan OT dan Enterprise IoT dengan Defender for IoT.

  • Pastikan Anda memiliki sakelar jaringan yang mendukung pemantauan lalu lintas melalui port SPAN. Anda juga memerlukan setidaknya satu perangkat untuk memantau, terhubung ke port SPAN switch.

  • VMware, ESXi 5.5 atau yang lebih baru, diinstal dan beroperasi pada sensor Anda.

  • Sumber daya perangkat keras yang tersedia untuk VM Anda sebagai berikut:

    Jenis penyebaran Korporasi Perusahaan SMB
    Bandwidth maksimum 2.5 Gb/dtk 800 MB/dtk 160 MB/dtk
    Perangkat maksimum yang dilindungi 12.000 10,000 800

  • Pemahaman tentang pemantauan OT dengan appliance virtual.

  • Detail untuk parameter jaringan berikut yang akan digunakan untuk appliance sensor Anda:

    • Alamat IP jaringan manajemen
    • Subnet mask sensor
    • Nama host appliance
    • Alamat DNS
    • Gateway default
    • Antarmuka input apa pun

Membuat VM untuk sensor Anda

Prosedur ini menjelaskan cara membuat VM untuk sensor Anda dengan VMware ESXi.

Defender untuk IoT juga mendukung proses lain, seperti menggunakan Hyper-V atau sensor fisik. Untuk informasi selengkapnya, lihat penginstalan Defender for IoT.

Untuk membuat VM untuk sensor Anda:

  1. Pastikan VMware berjalan di komputer Anda.

  2. Masuk ke ESXi, pilih datastoreyang relevan, dan pilih Browser Datastore.

  3. Unggah gambar dan pilih Tutup.

  4. Buka Microsoft Azure Virtual Machines, lalu pilih Buat/Daftarkan VM.

  5. Pilih Buat komputer virtual baru, lalu pilih Berikutnya.

  6. Tambahkan nama sensor lalu tentukan opsi berikut:

    • Kompatibilitas: < ESXi versi terbaru>

    • Family OS tamu: Linux

    • Versi OS tamu: Ubuntu Linux (64-bit)

  7. Pilih Selanjutnya.

  8. Pilih datastore yang relevan dan pilih Berikutnya.

  9. Ubah parameter perangkat keras virtual sesuai dengan spesifikasi yang diperlukan untuk kebutuhan Anda. Untuk informasi selengkapnya, lihat tabel di bagian Prasyarat di atas.

VM Anda sekarang disiapkan untuk penginstalan perangkat lunak Defender for IoT Anda. Anda akan melanjutkan dengan menginstal perangkat lunak nanti dalam tutorial ini, setelah Anda melakukan onboarding sensor di portal Azure, mengonfigurasi pencerminan lalu lintas, dan menyediakan komputer untuk manajemen cloud.

Melakukan onboard untuk sensor virtual

Sebelum dapat mulai menggunakan sensor Defender for IoT, Anda perlu melakukan onboarding sensor virtual baru ke langganan Azure Anda.

Guna melakukan onboard untuk sensor virtual:

  1. Buka halaman Defender untuk IoT > Memulai di portal Microsoft Azure.

  2. Di kiri bawah, pilih Siapkan Keamanan OT/ICS.

    Secara bergantian, dari halaman Defender untuk Situs dan sensor IoT, pilih OT sensor>OT Onboard.

    Secara default, pada halaman Atur Keamanan OT/ICSLangkah 1: Apakah Anda menyiapkan sensor? dan Langkah 2: Mengonfigurasi port SPAN atau TAP wisaya diciutkan.

    Anda akan menginstal perangkat lunak dan mengonfigurasi pencerminan lalu lintas nanti dalam proses penyebaran, tetapi harus menyiapkan peralatan Anda dan metode pencerminan lalu lintas yang direncanakan.

  3. Di Langkah 3: Daftarkan sensor ini dengan Defender Microsoft for IoT, tentukan nilai berikut:

    Nama bidang Deskripsi
    Nama sumber daya Pilih situs tempat Anda ingin melampirkan sensor, atau pilih Buat situs untuk membuat situs baru.

    Jika Anda membuat situs baru:
    1. Di bidang Situs baru, masukkan nama situs Anda dan pilih tombol tanda centang.
    2. Dari menu Ukuran situs, pilih ukuran situs Anda. Ukuran yang tercantum dalam menu ini adalah ukuran lisensi Anda, berdasarkan lisensi yang anda beli di pusat admin Microsoft 365.
    Nama tampilan Masukkan nama yang bermakna agar situs Anda ditampilkan di seluruh Defender untuk IoT.
    Tag Masukkan kunci dan nilai tag untuk membantu Anda mengidentifikasi dan menemukan situs dan sensor Anda di portal Azure.
    Zone Pilih zona yang ingin Anda gunakan untuk sensor OT Anda, atau pilih Buat zona untuk membuat yang baru.

    Untuk informasi selengkapnya, lihat Merencanakan situs dan zona OT.

  4. Setelah selesai dengan semua bidang lainnya, pilih Daftar untuk menambahkan sensor Anda ke Defender for IoT. Pesan sukses ditampilkan dan file aktivasi Anda diunduh secara otomatis. File aktivasi unik untuk sensor Anda dan berisi instruksi tentang mode manajemen sensor Anda.

    Semua file yang diunduh dari portal Azure ditandatangani oleh akar kepercayaan sehingga mesin Anda hanya menggunakan aset yang ditandatangani.

  5. Simpan file aktivasi yang diunduh di lokasi yang akan dapat diakses oleh pengguna yang masuk ke konsol untuk pertama kalinya sehingga mereka dapat mengaktifkan sensor.

    Anda juga dapat mengunduh file secara manual dengan memilih tautan yang relevan di kotak Aktifkan sensor Anda. Anda akan menggunakan file ini untuk mengaktifkan sensor Anda, seperti yang dijelaskan di bawah ini.

  6. Dalam kotak Tambahkan aturan izin keluar, pilih tautan Unduh detail titik akhir untuk mengunduh daftar JSON titik akhir yang harus Anda konfigurasi sebagai titik akhir aman dari sensor Anda.

    Simpan file yang diunduh secara lokal. Gunakan titik akhir yang tercantum dalam file yang diunduh nanti dalam tutorial ini untuk memastikan bahwa sensor baru Anda dapat berhasil terhubung ke Azure.

    Tip

    Anda juga dapat mengakses daftar titik akhir yang diperlukan dari halaman Situs dan sensor . Untuk informasi selengkapnya, lihat Opsi manajemen sensor dari portal Azure.

  7. Di kiri bawah halaman, pilih Selesai. Sekarang Anda dapat melihat sensor baru Anda tercantum di halaman Defender untuk IoT Situs dan sensor.

    Hingga Anda mengaktifkan sensor, status sensor ditampilkan sebagai Aktivasi Tertunda.

Untuk informasi selengkapnya, lihat Mengelola sensor dengan Defender untuk IoT di portal Microsoft Azure.

Mengonfigurasi port SPAN

Sakelar virtual tidak memiliki kemampuan pencerminan. Namun, demi tutorial ini, Anda dapat menggunakan mode promiscuous di lingkungan sakelar virtual untuk melihat semua lalu lintas yang melewati sakelar virtual.

Prosedur ini menjelaskan cara mengonfigurasi port SPAN menggunakan solusi dengan VMware ESXi.

Catatan

Mode promiscuous adalah mode operasi dan teknik pemantauan keamanan untuk antarmuka VM di tingkat portgroup yang sama dengan sakelar virtual untuk melihat lalu lintas sakelar. Mode promiscuous dinonaktifkan secara default tetapi dapat ditentukan pada tingkat sakelar virtual atau portgroup.

Untuk mengonfigurasi antarmuka pemantauan dengan mode Promiscuous pada ESXi v-Switch:

  1. Buka halaman properti vSwitch dan pilih Tambahkan sakelar virtual standar.

  2. Masukkan Jaringan SPAN sebagai label jaringan.

  3. Di bidang MTU, masukkan 4096.

  4. Pilih Keamanan, dan verifikasi bahwa kebijakan Mode Promiscuous diatur ke mode Terima.

  5. Pilih Tambahkan untuk menutup properti vSwitch.

  6. Sorot vSwitch yang telah Anda buat, dan pilih Tambahkan uplink.

  7. Pilih NIC fisik yang akan Anda gunakan untuk lalu lintas SPAN, ubah MTU menjadi 4096, lalu pilih Simpan.

  8. Buka halaman properti Grup Port dan pilih Tambahkan Grup Port.

  9. Masukkan Grup Port SPAN sebagai nama, masukkan 4095 sebagai ID VLAN, dan pilih Jaringan SPAN di menu drop-down vSwitch, lalu pilih Tambahkan.

  10. Buka properti VM Sensor OT.

  11. Untuk Adaptor Jaringan 2,pilih jaringan SPAN.

  12. Pilih OK.

  13. Sambungkan ke sensor, dan verifikasi bahwa pencerminan berfungsi.

Memvalidasi pencerminan lalu lintas

Setelah mengonfigurasi pencerminan lalu lintas, lakukan upaya untuk menerima sampel lalu lintas yang direkam (file PCAP) dari SPAN switch atau port cermin.

Contoh file PCAP akan membantu Anda:

  • Memvalidasi konfigurasi pengalihan
  • Konfirmasikan bahwa lalu lintas yang melalui switch Anda relevan untuk pemantauan
  • Mengidentifikasi bandwidth dan perkiraan jumlah perangkat yang terdeteksi oleh sakelar

  1. Gunakan aplikasi penganalisis protokol jaringan, seperti Wireshark, untuk merekam sampel file PCAP selama beberapa menit. Misalnya, sambungkan laptop ke port tempat Anda mengonfigurasi pemantauan lalu lintas.

  2. Periksa apakah paket Unicast ada di lalu lintas rekaman. Lalu lintas Unicast dikirim dari alamat ke alamat lain.

    Jika sebagian besar lalu lintas adalah pesan ARP, konfigurasi pencerminan lalu lintas Anda tidak benar.

  3. Verifikasi bahwa protokol OT Anda ada dalam lalu lintas yang dianalisis.

    Misalnya:

    Screenshot of Wireshark validation.

Provisi untuk manajemen cloud

Bagian ini menjelaskan cara mengonfigurasi titik akhir untuk ditentukan dalam aturan firewall, memastikan bahwa sensor OT Anda dapat tersambung ke Azure.

Untuk informasi selengkapnya, lihat Metode untuk menyambungkan sensor ke Azure.

Untuk mengonfigurasi detail titik akhir:

Buka file yang telah Anda unduh sebelumnya untuk melihat daftar titik akhir yang diperlukan. Konfigurasikan aturan firewall Anda sehingga sensor Anda dapat mengakses setiap titik akhir yang diperlukan, melalui port 443.

Tip

Anda juga dapat mengunduh daftar titik akhir yang diperlukan dari halaman Situs dan sensor di portal Azure. Buka Situs dan sensor>Tindakan>lainnya Unduh detail titik akhir. Untuk informasi selengkapnya, lihat Opsi manajemen sensor dari portal Azure.

Untuk informasi selengkapnya, lihat Memprovisikan sensor untuk manajemen cloud.

Mengunduh perangkat lunak untuk sensor virtual Anda

Bagian ini menjelaskan cara mengunduh dan menginstal perangkat lunak sensor di komputer Anda sendiri.

Untuk mengunduh perangkat lunak untuk sensor virtual Anda:

  1. Di portal Azure, buka halaman Memulai Defender for IoT>, dan pilih tab Sensor.

  2. Dalam kotak Beli appliance dan pasang perangkat lunak, pastikan bahwa opsi default dipilih untuk versi perangkat lunak terbaru dan yang direkomendasikan, lalu pilih Unduh.

  3. Simpan perangkat lunak yang diunduh di lokasi yang dapat diakses dari VM Anda.

Semua file yang diunduh dari portal Azure ditandatangani oleh akar kepercayaan sehingga mesin Anda hanya menggunakan aset yang ditandatangani.

Pasang perangkat lunak sensor

Prosedur ini menjelaskan cara memasang perangkat lunak sensor pada VM Anda.

Catatan

Di akhir proses ini, Anda akan disajikan dengan nama pengguna dan kata sandi untuk perangkat Anda. Pastikan untuk menyalinnya karena kata sandi ini tidak akan disajikan lagi.

Untuk menginstal perangkat lunak di sensor virtual:

  1. Jika Anda menutup VM, masuk lagi ke ESXi dan buka pengaturan VM Anda.

  2. Untuk CD/DVD Drive 1, pilih file ISO Datastore dan pilih perangkat lunak Defender untuk IoT yang telah Anda unduh sebelumnya.

  3. Pilih Berikutnya>Selesai.

  4. Aktifkan VM, dan buka konsol.

  5. Saat penginstalan boot, Anda diminta untuk memulai proses penginstalan. Pilih item Instal iot-sensor-<version number> untuk melanjutkan atau membiarkannya dimulai secara otomatis setelah 30 detik. Contoh:

    Screenshot of the initial installation screen.

    Catatan

    Jika Anda menggunakan versi BIOS warisan, Anda diminta untuk memilih bahasa dan opsi penginstalan disajikan di kiri atas alih-alih di tengah. Saat diminta, pilih English lalu opsi Instal iot-sensor-<version number> untuk melanjutkan.

    Penginstalan dimulai, memberi Anda pesan status yang diperbarui saat berjalan. Seluruh proses penginstalan membutuhkan waktu hingga 20-30 menit, dan dapat bervariasi tergantung pada jenis media yang Anda gunakan.

    Setelah penginstalan selesai, Anda akan menampilkan sekumpulan detail jaringan default berikut.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Gunakan alamat IP default yang disediakan untuk mengakses sensor Anda untuk penyiapan dan aktivasi awal.

Validasi pasca-instalasi

Prosedur ini menjelaskan cara memvalidasi penginstalan Anda menggunakan pemeriksaan kesehatan sistem sensor sendiri dan tersedia untuk pengguna admin default.

Untuk memvalidasi penginstalan Anda:

  1. Masuk ke sensor OT sebagai admin pengguna.

  2. Pilih Pengaturan Sistem>Pengelolaan sensor>Pemeriksaan Kesehatan Sistem.

  3. Pilih perintah berikut:

    • Appliance untuk memeriksa apakah sistem sedang berjalan. Verifikasi bahwa setiap item baris menunjukkan Berjalan dan baris terakhir menyatakan bahwa Sistem sudah aktif.
    • Versi untuk memverifikasi bahwa Anda memasang versi yang benar.
    • ifconfig untuk memverifikasi bahwa semua antarmuka input yang dikonfigurasi selama proses penginstalan berjalan.

Untuk pengujian validasi pasca-penginstalan lainnya, seperti gateway, DNS, atau pemeriksaan firewall, lihat Memvalidasi penginstalan perangkat lunak sensor OT.

Tentukan penyetelan awal

Prosedur berikut menjelaskan cara mengonfigurasi pengaturan penyiapan awal sensor Anda, termasuk:

  • Masuk ke konsol sensor dan mengubah kata sandi pengguna admin
  • Menentukan detail jaringan untuk sensor Anda
  • Menentukan antarmuka yang ingin Anda pantau
  • Mengaktifkan sensor Anda
  • Mengonfigurasi pengaturan sertifikat SSL/TLS

Masuk ke konsol sensor dan ubah kata sandi default

Prosedur ini menjelaskan cara masuk ke konsol sensor OT untuk pertama kalinya. Anda diminta untuk mengubah kata sandi default untuk pengguna admin .

Untuk masuk ke sensor Anda:

  1. Di browser, buka 192.168.0.101 alamat IP, yang merupakan alamat IP default yang disediakan untuk sensor Anda di akhir penginstalan.

    Halaman masuk awal muncul. Misalnya:

    Screenshot of the initial sensor sign-in page.

  2. Masukkan kredensial berikut dan pilih Masuk:

    • Nama pengguna:support
    • Kata sandi: support

    Anda diminta untuk menentukan kata sandi baru untuk pengguna admin .

  3. Di bidang Kata sandi baru, masukkan kata sandi baru Anda. Kata sandi Anda harus berisi karakter, angka, dan simbol alfabet huruf kecil dan huruf besar.

    Di bidang Konfirmasi kata sandi baru, masukkan kata sandi baru Anda lagi, lalu pilih Mulai.

    Untuk informasi selengkapnya, lihat Pengguna istimewa default.

Defender untuk IoT | Halaman gambaran umum terbuka ke tab Antarmuka manajemen.

Menentukan detail jaringan sensor

Di tab Antarmuka manajemen, gunakan bidang berikut untuk menentukan detail jaringan untuk sensor baru Anda:

Nama Deskripsi
Antarmuka manajemen Pilih antarmuka yang ingin Anda gunakan sebagai antarmuka manajemen dan sambungkan ke portal Azure.

Untuk mengidentifikasi antarmuka fisik pada komputer Anda, pilih antarmuka lalu pilih LED antarmuka fisik Blink. Port yang cocok dengan antarmuka yang dipilih menyala sehingga Anda dapat menyambungkan kabel dengan benar.
Alamat IP Masukkan alamat IP yang ingin Anda gunakan untuk sensor Anda. Ini adalah alamat IP yang akan digunakan tim Anda untuk terhubung ke sensor melalui browser atau CLI.
Subnet Mask Masukkan alamat yang ingin Anda gunakan sebagai subnet mask sensor.
Default Gateway Masukkan alamat yang ingin Anda gunakan sebagai gateway default sensor.
DNS Masukkan alamat IP server DNS sensor.
Hostname Masukkan nama host yang ingin Anda tetapkan ke sensor. Pastikan Anda menggunakan nama host yang sama seperti yang ditentukan di server DNS.

Demi tutorial ini, biarkan lompati konfigurasi proksi di area Aktifkan proksi untuk konektivitas cloud (Opsional).

Setelah selesai, pilih Berikutnya: Konfigurasi antarmuka untuk melanjutkan.

Tentukan antarmuka yang ingin Anda pantau

Tab Koneksi antarmuka menunjukkan semua antarmuka yang terdeteksi oleh sensor secara default. Gunakan tab ini untuk mengaktifkan atau menonaktifkan pemantauan per antarmuka, atau tentukan pengaturan tertentu untuk setiap antarmuka.

Tip

Kami menyarankan agar Anda mengoptimalkan performa pada sensor dengan mengonfigurasi pengaturan untuk memantau hanya antarmuka yang aktif digunakan.

Di tab Konfigurasi antarmuka , lakukan hal berikut untuk mengonfigurasi pengaturan untuk antarmuka yang dipantau:

  1. Pilih tombol Aktifkan/Nonaktifkan untuk antarmuka apa pun yang Anda inginkan untuk dipantau sensor. Anda harus memilih setidaknya satu antarmuka untuk melanjutkan.

    Jika Anda tidak yakin tentang antarmuka mana yang akan digunakan, pilih tombol LED antarmuka fisik Blink untuk memiliki blink port yang dipilih di komputer Anda. Pilih salah satu antarmuka yang telah Anda sambungkan ke sakelar Anda.

  2. Demi tutorial ini, lewati pengaturan tingkat lanjut apa pun dan pilih Berikutnya: Reboot > untuk melanjutkan.

  3. Saat diminta, pilih Mulai boot ulang untuk me-reboot komputer sensor Anda. Setelah sensor dimulai lagi, Anda secara otomatis diarahkan ke alamat IP yang telah Anda tentukan sebelumnya sebagai alamat IP sensor Anda.

    Pilih Batal untuk menunggu boot ulang.

Mengaktifkan sensor OT Anda

Prosedur ini menjelaskan cara mengaktifkan sensor OT baru Anda.

Untuk mengaktifkan sensor Anda:

  1. Di tab Aktivasi, pilih Unggah untuk mengunggah file aktivasi sensor yang akan Anda unduh dari portal Azure.

  2. Pilih opsi syarat dan ketentuan lalu pilih Berikutnya: Sertifikat.

Menentukan pengaturan sertifikat SSL/TLS

Gunakan tab Sertifikat untuk menyebarkan sertifikat SSL/TLS pada sensor OT Anda. Meskipun kami menyarankan agar Anda menggunakan sertifikat yang ditandatangani CA untuk semua lingkungan produksi, demi tutorial ini, pilih untuk menggunakan sertifikat yang ditandatangani sendiri.

Untuk menentukan pengaturan sertifikat SSL/TLS:

  1. Di tab Sertifikat, pilih Gunakan Sertifikat yang ditandatangani sendiri yang dibuat secara lokal (Tidak disarankan), lalu pilih opsi Konfirmasi.

    Untuk informasi selengkapnya, lihat Persyaratan sertifikat SSL/TLS untuk sumber daya lokal dan Membuat sertifikat SSL/TLS untuk appliance OT.

  2. Pilih Selesai untuk menyelesaikan penyiapan awal dan buka konsol sensor Anda.

Langkah berikutnya

Jalur penyebaran penuh untuk pemantauan OT