Individuare i dispositivi Enterprise IoT con un sensore di rete Enterprise IoT (anteprima pubblica)
Importante
La registrazione di un nuovo sensore di rete IoT Enterprise come descritto in questo articolo non è più disponibile. Per i clienti con la licenza Azure Consumption Revenue (ACR) o legacy, Defender per IoT gestisce i sensori di rete IoT Enterprise esistenti.
Questo articolo descrive come registrare un sensore di rete IoT Enterprise in Microsoft Defender per IoT.
I clienti di Microsoft Defender XDR con un sensore di rete IoT Enterprise possono visualizzare tutti i dispositivi individuati nell'Inventario dispositivi in Microsoft Defender XDR o Defender per IoT. Si otterrà anche un valore aggiuntivo per la sicurezza da altri avvisi, vulnerabilità e raccomandazioni in Microsoft Defender XDR per i dispositivi appena individuati.
Se si è un cliente Defender per IoT che lavora esclusivamente nel portale di Azure, un sensore di rete IoT Enterprise offre una visibilità aggiuntiva dei dispositivi IoT Enterprise, ad esempio dispositivi Voice over Internet Protocol (VoIP), stampanti e fotocamere, che potrebbero non essere coperti dai sensori di rete OT.
Gli avvisi e le raccomandazioni di Defender per IoT per i dispositivi individuati dal sensore IoT Enterprise sono disponibili solo nel portale di Azure.
Per altre informazioni, vedere Protezione dei dispositivi IoT nell'azienda.
Importante
Il sensore Enterprise IoT Network è attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Prerequisiti
Questa sezione descrive i prerequisiti necessari prima di distribuire un sensore di rete IoT Enterprise.
Requisiti di Azure
Per visualizzare i dati di Defender per IoT in Microsoft Defender XDR, inclusi dispositivi, avvisi, raccomandazioni e vulnerabilità, è necessario che la Sicurezza IoT Enterprise sia attivata in Microsoft Defender XDR.
Se si vogliono visualizzare solo i dati nel portale di Azure, non è necessario Microsoft Defender XDR. È anche possibile attivare la sicurezza IoT Enterprise in Microsoft Defender XDR dopo aver registrato il sensore di rete per offrire visibilità e sicurezza aggiuntive per il dispositivo all'organizzazione.
Assicurarsi di poter accedere al portale di Azure come Amministratore della sicurezza, Collaboratore o utente Proprietario. Se non si ha già un account Azure, è possibile creare l'account gratuito di Azure oggi stesso.
Requisiti di rete
Identificare i dispositivi e le subnet da monitorare in modo da capire dove posizionare un sensore IoT Enterprise nella rete. È possibile distribuire più sensori IoT Enterprise.
Configurare il mirroring del traffico nella rete in modo che il traffico che si vuole monitorare sia sottoposto a mirroring al sensore IoT Enterprise. I metodi di mirroring del traffico supportati sono uguali a per il monitoraggio OT. Per altre informazioni, vedere Scegliere un metodo di mirroring del traffico per il monitoraggio del traffico.
Requisiti delle macchine virtuali o fisiche
Allocare un'appliance fisica o una macchina virtuale (VM) da usare come sensore di rete. Assicurarsi che il computer disponga delle specifiche seguenti:
| Livello | Requisiti |
|---|---|
| Minimo | Per supportare fino a 1 Gbps di dati: - 4 CPU, ognuna con 2,4 GHz o più - 16 GB di RAM di DDR4 o superiore - 250 GB HDD |
| Consigliato | Per supportare fino a 15 Gbps di dati: - 8 CPU, ognuna con 2,4 GHz o più - 32 GB di RAM di DDR4 o superiore - 500 GB HDD |
Anche il computer deve avere:
Sistema operativo Ubuntu 18.04 Server. Se Ubuntu non è ancora installato, scaricare i file di installazione in una risorsa di archiviazione esterna, ad esempio un DVD o una chiave su disco, quindi installarlo nell'appliance o nella macchina virtuale. Per altre informazioni, vedere la Guida alla masterizzazione di immagini Ubuntu.
Schede di rete, almeno una per la porta SPAN (Switch Monitoring) e una per la porta di gestione per accedere all'interfaccia utente del sensore
Il sensore IoT Enterprise deve avere accesso al cloud di Azure usando una connessione diretta. Le connessioni dirette sono configurate per i sensori IoT Enterprise usando la stessa procedura dei sensori OT. Per altre informazioni, vedere Effettuare il provisioning dei sensori per la gestione cloud.
Preparare un'appliance fisica o una macchina virtuale
Questa procedura descrive come preparare l'appliance fisica o la macchina virtuale per installare il software del sensore di rete IoT Enterprise.
Per preparare l'appliance:
Connettere un'interfaccia di rete (NIC) dall'appliance fisica o dalla macchina virtuale a un commutatore come indicato di seguito:
Appliance fisica: connettere una scheda di interfaccia di rete di monitoraggio a una porta SPAN direttamente da un cavo in rame o fibra.
VM: collegare una scheda di interfaccia di rete virtuale a un vSwitch e configurare le impostazioni di sicurezza vSwitch per accettare la modalità Promiscua. Per altre informazioni, vedere ad esempio Configurare un'interfaccia di monitoraggio SPAN per un'appliance virtuale.
Accedere all'appliance fisica o alla macchina virtuale ed eseguire il comando seguente per convalidare il traffico in ingresso alla porta di monitoraggio:
ifconfigIl sistema visualizza un elenco di tutte le interfacce monitorate.
Identificare le interfacce da monitorare, che in genere sono le interfacce senza indirizzi IP elencati. Le interfacce con il traffico in ingresso mostrano un numero crescente di pacchetti RX.
Per ogni interfaccia da monitorare, eseguire il comando seguente per abilitare la modalità Promiscua nella scheda di rete:
ifconfig <monitoring port> up promiscDove
<monitoring port>è un'interfaccia che si vuole monitorare. Ripetere questo passaggio per ogni interfaccia da monitorare.Verificare la connettività di rete aprendo le porte seguenti nel firewall:
Protocollo Trasporto In/Out Porta Scopo HTTPS TCP In/Out 443 Connessione cloud DNS TCP/UDP In/Out 53 Risoluzione degli indirizzi Assicurarsi che l'appliance fisica o la macchina virtuale possano accedere al cloud usando HTTPS sulla porta 443 agli endpoint Microsoft seguenti:
- EventHub:
*.servicebus.windows.net - Archiviazione:
*.blob.core.windows.net - Area download:
download.microsoft.com - Hub IoT:
*.azure-devices.net
Suggerimento
È anche possibile scaricare e aggiungere gli intervalli IP pubblici di Azure in modo che il firewall consenta gli endpoint di Azure specificati in precedenza, insieme alla relativa area.
Gli intervalli IP pubblici di Azure vengono aggiornati settimanalmente. I nuovi intervalli riportati nel file non verranno usati in Azure per almeno una settimana. Per usare questa opzione scaricare il nuovo file json ogni settimana e apportare le modifiche necessarie nel sito per identificare correttamente i servizi in esecuzione in Azure.
- EventHub:
Registrare un sensore IoT Enterprise in Defender per IoT
Questa sezione descrive come registrare un sensore IoT Enterprise in Defender per IoT. Al termine della registrazione del sensore, continuare con l'installazione del software di monitoraggio IoT Enterprise nel computer del sensore.
Per registrare un sensore nel portale di Azure:
Andare a Defender per IoT>Siti e sensori, quindi selezionare Esegui onboarding del sensore>EIoT.
Nella pagina Configura sicurezza IoT Enterprise immettere i dettagli seguenti e quindi selezionare Registra:
- Nel campo Nome sensore immettere un nome significativo per il sensore.
- Nel menu a discesa Sottoscrizione selezionare la sottoscrizione in cui si vuole aggiungere il sensore.
Una schermata di Registrazione del sensore eseguita con successo mostra i passaggi successivi e il comando che sarà necessario avviare l'installazione del sensore.
Ad esempio:
Copiare il comando in un percorso sicuro, in cui è possibile copiarlo nell'appliance fisica o nella macchina virtuale per installare il software del sensore.
Installare il software del sensore IoT Enterprise
Questa procedura descrive come installare il software di monitoraggio IoT Enterprise nel computer del sensore, un'appliance fisica o una macchina virtuale.
Nota
Anche se questa procedura descrive come installare il software del sensore in una macchina virtuale usando ESXi, i sensori IoT aziendali sono supportati anche usando Hyper-V.
Per installare il software dei sensori:
Nel computer del sensore accedere all'interfaccia della riga di comando del sensore usando un terminale, ad esempio PuTTY o MobaXterm.
Eseguire il comando copiato dal passaggio di registrazione del sensore. Ad esempio:
Il processo verifica se la versione di Docker necessaria è già installata. In caso contrario, l'installazione del sensore installa anche la versione più recente di Docker.
Al termine del processo di comando, viene visualizzata la procedura guidata Ubuntu Configura microsoft-eiot-sensor. In questa procedura guidata usare le frecce Su o Giù per spostarsi e la barra spaziatrice per selezionare un'opzione. Premere INVIO per passare alla schermata successiva.
Nella procedura guidata Configura microsoft-eiot-sensor, nella schermata Qual è il nome dell'interfaccia monitorata? selezionare una o più interfacce da monitorare con il sensore e quindi selezionare OK.
Ad esempio:
Nella schermata Configurare server proxy? selezionare se configurare un server proxy per il sensore. Ad esempio:
Se si configura un server proxy, selezionare Sì e definire l'host del server proxy, la porta, il nome utente e la password, selezionando OK dopo ogni opzione.
Il completamento dell'installazione richiede alcuni minuti.
Nel portale di Azure verificare che nella pagina Siti e sensori sia ora elencato il nuovo sensore.
Ad esempio:
Nella pagina Siti e sensori i sensori IoT Enterprise vengono tutti aggiunti automaticamente allo stesso sito, denominato Rete Enterprise. Per altre informazioni, vedere Gestire i sensori con Defender per IoT nel portale di Azure.
Suggerimento
Se non vengono visualizzati i dati IoT Enterprise in Defender per IoT come previsto, assicurarsi di visualizzare il portale di Azure con le sottoscrizioni corrette selezionate. Per altre informazioni, vedere Gestire le impostazioni del portale di Azure.
Se i dati non vengono ancora visualizzati come previsto, convalidare la configurazione del sensore dall'interfaccia della riga di comando.
Visualizzare i dispositivi IoT Enterprise appena rilevati
Dopo aver convalidato la configurazione, la pagina Inventario dispositivi Defender per IoT inizierà a popolare con i nuovi dispositivi rilevati dal sensore dopo 15 minuti.
Se si è un cliente di Defender per endpoint con un Piano IoT Enterprise legacy, è possibile visualizzare tutti i dispositivi rilevati nelle pagine Inventario dispositivi, sia in Defender per IoT che in Microsoft Defender XDR. I dispositivi rilevati includono entrambi i dispositivi rilevati da Defender per endpoint e dispositivi rilevati dal sensore Enterprise IoT.
Per altre informazioni, vedere Gestire l'inventario dei dispositivi dal portale di Azure e Individuazione dei dispositivi XDR di Microsoft Defender.
Eliminare un sensore di rete IoT Enterprise
Eliminare un sensore se non è più in uso con Defender per IoT.
Nella pagina Siti e sensori del portale di Azure individuare il sensore nella griglia.
Nella riga del sensore selezionare il menu delle opzioni ...>Elimina sensore.
Per altre informazioni, vedere Gestire i sensori con Defender per IoT nel portale di Azure.
Suggerimento
È anche possibile rimuovere manualmente il sensore dall'interfaccia della riga di comando. Per altre informazioni, vedere Passaggi aggiuntivi ed esempi per la distribuzione di Enterprise IoT.
Se si vuole annullare la sicurezza IoT aziendale con Microsoft Defender XDR, eseguire questa operazione dal portale di Microsoft Defender. Per altre informazioni, vedere Disattivare la sicurezza IoT Enterprise.