Individuare i dispositivi IoT aziendali con un sensore di rete IoT aziendale (anteprima pubblica)

  • Articolo

Questo articolo descrive come registrare un sensore di rete IoT aziendale in Microsoft Defender per IoT.

I clienti di Microsoft Defender XDR con un sensore di rete IoT aziendale possono visualizzare tutti i dispositivi individuati nell'inventario dispositivi in Microsoft Defender XDR o Defender per IoT. Si otterrà anche un valore aggiuntivo per la sicurezza da altri avvisi, vulnerabilità e raccomandazioni in Microsoft Defender XDR per i dispositivi appena individuati.

Se sei un cliente defender per IoT che lavora esclusivamente nella portale di Azure, un sensore di rete IoT aziendale offre visibilità aggiuntiva dei dispositivi IoT aziendali, ad esempio dispositivi VoIP (Voice over Internet Protocol), stampanti e fotocamere, che potrebbero non essere coperti dai sensori di rete OT.

Gli avvisi e le raccomandazioni di Defender per IoT per i dispositivi individuati dal sensore Enterprise IoT sono disponibili solo nel portale di Azure.

Per altre informazioni, vedere Protezione dei dispositivi IoT nell'azienda.

Importante

Il sensore Enterprise IoT Network è attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Prerequisiti

Questa sezione descrive i prerequisiti necessari prima di distribuire un sensore di rete IoT aziendale.

Requisiti di Azure

  • Per visualizzare i dati di Defender per IoT in Microsoft Defender XDR, inclusi dispositivi, avvisi, raccomandazioni e vulnerabilità, è necessario che la sicurezza IoT aziendale sia attivata in Microsoft Defender XDR.

    Se si vogliono visualizzare solo i dati nel portale di Azure, non è necessario Microsoft Defender XDR. È anche possibile attivare la sicurezza IoT aziendale in Microsoft Defender XDR dopo aver registrato il sensore di rete per rendere visibilità e sicurezza aggiuntive per il dispositivo all'organizzazione.

  • Assicurarsi di poter accedere al portale di Azure come amministratore della sicurezza, collaboratore o utente proprietario. Se non si ha già un account Azure, è possibile creare l'account Azure gratuito.

Requisiti di rete

  • Identificare i dispositivi e le subnet da monitorare in modo da capire dove posizionare un sensore IoT aziendale nella rete. È possibile distribuire più sensori IoT aziendali.

  • Configurare il mirroring del traffico nella rete in modo che il traffico che si vuole monitorare sia sottoposto a mirroring al sensore IoT aziendale. I metodi di mirroring del traffico supportati sono uguali a per il monitoraggio OT. Per altre informazioni, vedere Scegliere un metodo di mirroring del traffico per il monitoraggio del traffico.

Requisiti delle macchine virtuali o fisiche

Allocare un'appliance fisica o una macchina virtuale (VM) da usare come sensore di rete. Assicurarsi che il computer disponga delle specifiche seguenti:

Livello Requisiti
Minimo Per supportare fino a 1 Gbps di dati:

- 4 CPU, ognuna con 2,4 GHz o più
- 16 GB di RAM di DDR4 o superiore
- HDD da 250 GB
Consigliato Per supportare fino a 15 Gbps di dati:

- 8 CPU, ognuna con 2,4 GHz o più
- 32 GB di RAM di DDR4 o superiore
- HDD da 500 GB

Anche il computer deve avere:

  • Sistema operativo Ubuntu 18.04 Server . Se Ubuntu non è ancora installato, scaricare i file di installazione in una risorsa di archiviazione esterna, ad esempio un DVD o una chiave su disco, quindi installarlo nell'appliance o nella macchina virtuale. Per altre informazioni, vedere la Guida alla combustione di immagini Ubuntu.

  • Schede di rete, almeno una per la porta SPAN (Switch Monitoring) e una per la porta di gestione per accedere all'interfaccia utente del sensore

Il sensore IoT aziendale deve avere accesso al cloud di Azure usando una connessione diretta. Le connessioni dirette sono configurate per i sensori IoT aziendali usando la stessa procedura dei sensori OT. Per altre informazioni, vedere Effettuare il provisioning dei sensori per la gestione cloud.

Preparare un'appliance fisica o una macchina virtuale

Questa procedura descrive come preparare l'appliance fisica o la macchina virtuale per installare il software del sensore di rete IoT aziendale.

Per preparare l'appliance:

  1. Connessione un'interfaccia di rete (NIC) dall'appliance fisica o dalla macchina virtuale a un commutatore come indicato di seguito:

    • Appliance fisica: Connessione una scheda di interfaccia di rete di monitoraggio a una porta SPAN direttamente da un cavo in rame o fibra.

    • VM: Connessione una scheda di interfaccia di rete virtuale a un vSwitch e configurare le impostazioni di sicurezza vSwitch per accettare la modalità Promiscuous. Per altre informazioni, vedere Configurare, ad esempio , un'interfaccia di monitoraggio SPAN per un'appliance virtuale.

  2. Accedere all'appliance fisica o alla macchina virtuale ed eseguire il comando seguente per convalidare il traffico in ingresso alla porta di monitoraggio:

    ifconfig

    Il sistema visualizza un elenco di tutte le interfacce monitorate.

    Identificare le interfacce da monitorare, che in genere sono le interfacce senza indirizzi IP elencati. Le interfacce con il traffico in ingresso mostrano un numero crescente di pacchetti RX.

  3. Per ogni interfaccia da monitorare, eseguire il comando seguente per abilitare la modalità Promiscuous nella scheda di rete:

    ifconfig <monitoring port> up promisc

    Dove <monitoring port> è un'interfaccia che si vuole monitorare. Ripetere questo passaggio per ogni interfaccia da monitorare.

  4. Verificare la connettività di rete aprendo le porte seguenti nel firewall:

    Protocollo Trasporto In/Out Porta Scopo
    HTTPS TCP In/Out 443 Connessione cloud
    DNS TCP/UDP In/Out 53 Risoluzione degli indirizzi

  5. Assicurarsi che l'appliance fisica o la macchina virtuale possano accedere al cloud usando HTTPS sulla porta 443 agli endpoint Microsoft seguenti:

    • EventHub: *.servicebus.windows.net
    • Archiviazione:*.blob.core.windows.net
    • Area download:download.microsoft.com
    • hub IoT:*.azure-devices.net

    Suggerimento

    È anche possibile scaricare e aggiungere gli intervalli IP pubblici di Azure in modo che il firewall consenta gli endpoint di Azure specificati in precedenza, insieme alla relativa area.

    Gli intervalli IP pubblici di Azure vengono aggiornati settimanalmente. I nuovi intervalli riportati nel file non verranno usati in Azure per almeno una settimana. Per usare questa opzione, scaricare il nuovo file JSON ogni settimana ed eseguire le modifiche necessarie nel sito per identificare correttamente i servizi in esecuzione in Azure.

Registrare un sensore IoT aziendale in Defender per IoT

Questa sezione descrive come registrare un sensore IoT aziendale in Defender per IoT. Al termine della registrazione del sensore, continuare con l'installazione del software di monitoraggio IoT aziendale nel computer del sensore.

Per registrare un sensore nel portale di Azure:

  1. Passare a Defender per i siti e i sensori IoT>e quindi selezionare Onboard sensor EIoT (Onboard sensor>EIoT).

  2. Nella pagina Configura sicurezza IoT aziendale immettere i dettagli seguenti e quindi selezionare Registra:

    • Nel campo Nome sensore immettere un nome significativo per il sensore.
    • Dal menu a discesa Sottoscrizione selezionare la sottoscrizione in cui si vuole aggiungere il sensore.

    Una schermata di registrazione del sensore completata mostra i passaggi successivi e il comando che sarà necessario avviare l'installazione del sensore.

    Ad esempio:

    Screenshot of the successful registration of an Enterprise IoT sensor.

  3. Copiare il comando in un percorso sicuro, in cui è possibile copiarlo nell'appliance fisica o nella macchina virtuale per installare il software del sensore.

Installare il software del sensore IoT aziendale

Questa procedura descrive come installare il software di monitoraggio IoT aziendale nel computer del sensore, un'appliance fisica o una macchina virtuale.

Nota

Anche se questa procedura descrive come installare il software del sensore in una macchina virtuale usando ESXi, i sensori IoT aziendali sono supportati anche usando Hyper-V.

Per installare il software del sensore:

  1. Nel computer del sensore accedere all'interfaccia della riga di comando del sensore usando un terminale, ad esempio PuTTY o MobaXterm.

  2. Eseguire il comando copiato dal passaggio di registrazione del sensore. Ad esempio:

    Screenshot of running the command to install the Enterprise IoT sensor monitoring software.

    Il processo verifica se la versione di Docker necessaria è già installata. In caso contrario, l'installazione del sensore installa anche la versione più recente di Docker.

    Al termine del processo di comando, viene visualizzata la procedura guidata Ubuntu Configure microsoft-eiot-sensor . In questa procedura guidata usare le frecce su o giù per spostarsi e la barra SPAZIATRICE per selezionare un'opzione. Premere INVIO per passare alla schermata successiva.

  3. Nella procedura guidata Configura microsoft-eiot-sensor, nella schermata Qual è il nome dell'interfaccia monitorata? selezionare una o più interfacce da monitorare con il sensore e quindi selezionare OK.

    Ad esempio:

    Screenshot of the Configuring microsoft-eiot-sensor screen.

  4. Nella schermata Configura server proxy? selezionare se configurare un server proxy per il sensore. Ad esempio:

    Screenshot of the Set up a proxy server screen.

    Se si configura un server proxy, selezionare e quindi definire l'host del server proxy, la porta, il nome utente e la password, selezionando OK dopo ogni opzione.

    Il completamento dell'installazione richiede alcuni minuti.

  5. Nella portale di Azure verificare che nella pagina Siti e sensori sia ora elencato il nuovo sensore.

    Ad esempio:

    Screenshot of your new Enterprise IoT sensor listed in the Sites and sensors page.

Nella pagina Siti e sensori i sensori Enterprise IoT vengono tutti aggiunti automaticamente allo stesso sito, denominato Rete Enterprise. Per altre informazioni, vedere Gestire i sensori con Defender per IoT nella portale di Azure.

Suggerimento

Se i dati di Enterprise IoT non vengono visualizzati in Defender per IoT come previsto, assicurarsi di visualizzare il portale di Azure con le sottoscrizioni corrette selezionate. Per altre informazioni, vedere Gestire le impostazioni portale di Azure.

Se i dati non vengono ancora visualizzati come previsto, convalidare la configurazione del sensore dall'interfaccia della riga di comando.

Visualizzare i dispositivi IoT aziendali appena rilevati

Dopo aver convalidato la configurazione, la pagina Inventario dispositivi Defender per IoT inizierà a popolare con i nuovi dispositivi rilevati dal sensore dopo 15 minuti.

Se si è un cliente di Defender per endpoint con un piano enterprise IoT legacy, è possibile visualizzare tutti i dispositivi rilevati nelle pagine Inventario dispositivi, sia in Defender per IoT che in Microsoft Defender XDR. I dispositivi rilevati includono entrambi i dispositivi rilevati da Defender per endpoint e dispositivi rilevati dal sensore Enterprise IoT.

Per altre informazioni, vedere Gestire l'inventario dei dispositivi dalle portale di Azure e dall'individuazione dei dispositivi XDR di Microsoft Defender.

Eliminare un sensore di rete IoT aziendale

Eliminare un sensore se non è più in uso con Defender per IoT.

  1. Nella pagina Siti e sensori nella portale di Azure individuare il sensore nella griglia.

  2. Nella riga del sensore selezionare il menu >Opzioni Elimina sensore.

Per altre informazioni, vedere Gestire i sensori con Defender per IoT nella portale di Azure.

Suggerimento

È anche possibile rimuovere manualmente il sensore dall'interfaccia della riga di comando. Per altre informazioni, vedere Passaggi aggiuntivi ed esempi per la distribuzione di Enterprise IoT.

Se si vuole annullare la sicurezza IoT aziendale con Microsoft Defender XDR, eseguire questa operazione dal portale di Microsoft Defender. Per altre informazioni, vedere Disattivare la sicurezza IoT aziendale.

Passaggi successivi