Share via

Zelfstudie: Een virtuele OT-sensor onboarden en activeren

  • Artikel

In deze zelfstudie worden de basisbeginselen beschreven van het instellen van een Microsoft Defender for IoT OT-sensor met behulp van een proefabonnement op Microsoft Defender for IoT en uw eigen virtuele machine.

Voor een volledige, end-to-end implementatie moet u de stappen volgen om uw systeem te plannen en voorbereiden, en ook uw instellingen volledig kalibreren en verfijnen. Zie Defender for IoT implementeren voor OT-bewaking voor meer informatie.

Notitie

Zie Enterprise IoT-beveiliging inschakelen in Defender voor Eindpunt als u beveiligingsbewaking wilt instellen voor Bedrijfs-IoT-systemen.

In deze zelfstudie leert u het volgende:

  • Een VIRTUELE machine voor de sensor maken
  • Een virtuele sensor onboarden
  • Een virtuele SPAN-poort configureren
  • Inrichten voor cloudbeheer
  • Software voor een virtuele sensor downloaden
  • De virtuele sensorsoftware installeren
  • De virtuele sensor activeren

Vereisten

Voordat u begint, moet u ervoor zorgen dat u over het volgende beschikt:

  • Voltooide quickstart: Aan de slag met Defender for IoT , zodat u een Azure-abonnement hebt toegevoegd aan Defender for IoT.

  • Toegang tot Azure Portal als beveiligingsbeheerder, inzender of eigenaar. Zie Azure-gebruikersrollen voor OT- en Enterprise IoT-bewaking met Defender for IoT voor meer informatie.

  • Zorg ervoor dat u een netwerkswitch hebt die ondersteuning biedt voor verkeersbewaking via een SPAN-poort. U hebt ook ten minste één apparaat nodig om te bewaken, verbonden met de SPAN-poort van de switch.

  • VMware, ESXi 5.5 of hoger, geïnstalleerd en operationeel op uw sensor.

  • Beschikbare hardwarebronnen voor uw VIRTUELE machine als volgt:

    Implementatietype Bedrijfs Enterprise MKB
    Maximale bandbreedte 2,5 Gb per seconde 800 Mb per seconde 160 Mb per seconde
    Maximaal beveiligde apparaten 12,000 10,000 800

  • Inzicht in OT-bewaking met virtuele apparaten.

  • Details voor de volgende netwerkparameters die moeten worden gebruikt voor uw sensorapparaat:

    • Een IP-adres voor een beheernetwerk
    • Een sensorsubnetmasker
    • Een hostnaam van een apparaat
    • Een DNS-adres
    • Een standaardgateway
    • Invoerinterfaces

Een VIRTUELE machine voor uw sensor maken

In deze procedure wordt beschreven hoe u een VIRTUELE machine voor uw sensor maakt met VMware ESXi.

Defender for IoT ondersteunt ook andere processen, zoals het gebruik van Hyper-V of fysieke sensoren. Zie Defender for IoT-installatie voor meer informatie.

Ga als volgende te werk om een VIRTUELE machine voor uw sensor te maken:

  1. Zorg ervoor dat VMware wordt uitgevoerd op uw computer.

  2. Meld u aan bij de ESXi, kies het relevante gegevensarchief en selecteer Datastore Browser.

  3. Upload de afbeelding en selecteer Sluiten.

  4. Ga naar Virtuele machines en selecteer vervolgens Vm maken/registreren.

  5. Selecteer Nieuwe virtuele machine maken en selecteer vervolgens Volgende.

  6. Voeg een sensornaam toe en definieer vervolgens de volgende opties:

    • Compatibiliteit: <nieuwste ESXi-versie>

    • Familie van gastbesturingssystemen: Linux

    • Versie van gastbesturingssystemen: Debian

  7. Selecteer Volgende.

  8. Kies het relevante gegevensarchief en selecteer Volgende.

  9. Wijzig de parameters voor virtuele hardware volgens de vereiste specificaties voor uw behoeften. Zie de tabel in de sectie Vereisten hierboven voor meer informatie.

Uw VIRTUELE machine is nu voorbereid op de installatie van de Defender for IoT-software. U gaat verder met het installeren van de software verderop in deze zelfstudie, nadat u uw sensor hebt toegevoegd in Azure Portal, verkeerspiegeling hebt geconfigureerd en de machine hebt ingericht voor cloudbeheer.

De virtuele sensor onboarden

Voordat u uw Defender for IoT-sensor kunt gaan gebruiken, moet u uw nieuwe virtuele sensor onboarden in uw Azure-abonnement.

De virtuele sensor onboarden:

  1. Ga in Azure Portal naar de pagina Aan de slag met Defender for IoT>.

  2. Selecteer linksonder OT/ICS-beveiliging instellen.

    U kunt ook op de pagina Defender for IoT-sites en -sensoren de optie OT-sensor onboarden> selecteren.

    Standaard worden op de pagina OT/ICS-beveiliging instellen stap 1: Hebt u een sensor ingesteld? en stap 2: SPAN-poort of TAP van de wizard configureren, samengevouwen.

    U installeert software en configureert verkeerspiegeling later in het implementatieproces, maar moet ervoor zorgen dat uw apparaten gereed zijn en dat de verkeersspiegelingsmethode is gepland.

  3. In stap 3: Registreer deze sensor bij Microsoft Defender for IoT en definieer de volgende waarden:

    Veldnaam Beschrijving
    Resourcenaam Selecteer de site waaraan u uw sensoren wilt koppelen of selecteer Site maken om een nieuwe site te maken.

    Als u een nieuwe site maakt:
    1. Voer in het veld Nieuwe site de naam van uw site in en selecteer het vinkje.
    2. Selecteer in het menu Sitegrootte de grootte van uw site. De grootten in dit menu zijn de grootten waarvoor u een licentie hebt, op basis van de licenties die u in de Microsoft 365-beheercentrum hebt gekocht.
    Weergavenaam Voer een betekenisvolle naam in voor uw site die moet worden weergegeven in Defender for IoT.
    Tags Voer tagsleutel en -waarden in om uw site en sensor te identificeren en te vinden in Azure Portal.
    Zone Selecteer de zone die u wilt gebruiken voor uw OT-sensor of selecteer Zone maken om een nieuwe te maken.

    Zie OT-sites en -zones plannen voor meer informatie.

  4. Wanneer u klaar bent met alle andere velden, selecteert u Registreren om uw sensor toe te voegen aan Defender for IoT. Er wordt een bericht weergegeven en uw activeringsbestand wordt automatisch gedownload. Het activeringsbestand is uniek voor uw sensor en bevat instructies over de beheermodus van uw sensor.

    Alle bestanden die vanuit Azure Portal worden gedownload, worden ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.

  5. Sla het gedownloade activeringsbestand op een locatie op die voor de eerste keer toegankelijk is voor de gebruiker die zich bij de console aanmeldt, zodat deze de sensor kan activeren.

    U kunt het bestand ook handmatig downloaden door de relevante koppeling te selecteren in het vak Uw sensor activeren. U gebruikt dit bestand om uw sensor te activeren, zoals hieronder wordt beschreven.

  6. Selecteer in het vak Regels voor uitgaand toestaan toevoegen de koppeling Eindpuntgegevens downloaden om een JSON-lijst met de eindpunten te downloaden die u moet configureren als beveiligde eindpunten van uw sensor.

    Sla het gedownloade bestand lokaal op. Gebruik de eindpunten in het gedownloade bestand verderop in deze zelfstudie om ervoor te zorgen dat uw nieuwe sensor verbinding kan maken met Azure.

    Tip

    U kunt ook toegang krijgen tot de lijst met vereiste eindpunten op de pagina Sites en sensoren . Zie Sensorbeheeropties in Azure Portal voor meer informatie.

  7. Selecteer Voltooien linksonder op de pagina. U kunt nu uw nieuwe sensor zien die wordt vermeld op de pagina Defender for IoT Sites en sensoren .

    Totdat u de sensor activeert, wordt de status van de sensor weergegeven als Activering in behandeling.

Zie Sensoren beheren met Defender for IoT in Azure Portal voor meer informatie.

Een SPAN-poort configureren

Virtuele switches hebben geen spiegelingsmogelijkheden. Voor deze zelfstudie kunt u echter de promiscueuze modus in een virtuele switchomgeving gebruiken om al het netwerkverkeer te bekijken dat via de virtuele switch gaat.

In deze procedure wordt beschreven hoe u een SPAN-poort configureert met behulp van een tijdelijke oplossing met VMware ESXi.

Notitie

De promiscuous-modus is een bedrijfsmodus en een beveiligingsbewakingstechniek voor de interfaces van een VIRTUELE machine op hetzelfde poortgroepniveau als de virtuele switch om het netwerkverkeer van de switch weer te geven. De promiscueuze modus is standaard uitgeschakeld, maar kan worden gedefinieerd op het niveau van de virtuele switch of poortgroep.

Een bewakingsinterface configureren met de Promiscuous-modus op een ESXi v-Switch:

  1. Open de eigenschappenpagina van vSwitch en selecteer Standaard virtuele switch toevoegen.

  2. Voer SPAN Network in als het netwerklabel.

  3. Voer in het veld MTU 4096 in.

  4. Selecteer Beveiliging en controleer of het promiscuous Mode-beleid is ingesteld op de modus Accepteren .

  5. Selecteer Toevoegen om de vSwitch-eigenschappen te sluiten.

  6. Markeer de vSwitch die u hebt gemaakt en selecteer Uplink toevoegen.

  7. Selecteer de fysieke NIC die u gaat gebruiken voor het SPAN-verkeer, wijzig de MTU in 4096 en selecteer Vervolgens Opslaan.

  8. Open de eigenschappenpagina Poortgroep en selecteer Poortgroep toevoegen.

  9. Voer spanpoortgroep in als de naam, voer 4095 in als de VLAN-id en selecteer SPAN-netwerk in de vSwitch-vSwitch-vervolgkeuzelijst en selecteer vervolgens Toevoegen.

  10. Open de eigenschappen van de OT Sensor-VM .

  11. Selecteer voor Netwerkadapter 2 het SPAN-netwerk .

  12. Selecteer OK.

  13. Maak verbinding met de sensor en controleer of spiegeling werkt.

Verkeerspiegeling valideren

Nadat u verkeerspiegeling hebt geconfigureerd, probeert u een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN- of mirrorpoort.

Een voorbeeld van een PCAP-bestand helpt u bij het volgende:

  • De switchconfiguratie valideren
  • Controleer of het verkeer dat via uw switch gaat relevant is voor bewaking
  • De bandbreedte en het geschatte aantal apparaten identificeren dat door de switch is gedetecteerd

  1. Gebruik een network protocol analyzer-toepassing, zoals Wireshark, om een paar minuten een PCAP-voorbeeldbestand op te nemen. Sluit bijvoorbeeld een laptop aan op een poort waar u verkeerscontrole hebt geconfigureerd.

  2. Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast-verkeer is verkeer dat van adres naar een ander wordt verzonden.

    Als het grootste deel van het verkeer ARP-berichten is, is uw configuratie voor verkeersspiegeling niet juist.

  3. Controleer of uw OT-protocollen aanwezig zijn in het geanalyseerde verkeer.

    Voorbeeld:

    Schermopname van Wireshark-validatie.

Inrichten voor cloudbeheer

In deze sectie wordt beschreven hoe u eindpunten configureert om te definiëren in firewallregels, zodat uw OT-sensoren verbinding kunnen maken met Azure.

Zie Methoden voor het verbinden van sensoren met Azure voor meer informatie.

Eindpuntdetails configureren:

Open het bestand dat u eerder hebt gedownload om de lijst met vereiste eindpunten weer te geven. Configureer uw firewallregels zodat uw sensor toegang heeft tot elk van de vereiste eindpunten, via poort 443.

Tip

U kunt ook de lijst met vereiste eindpunten downloaden via de pagina Sites en sensoren in Azure Portal. Ga naar Sites en sensoren>Meer acties>Eindpuntdetails downloaden. Zie Sensorbeheeropties in Azure Portal voor meer informatie.

Zie Sensoren inrichten voor cloudbeheer voor meer informatie.

Software voor uw virtuele sensor downloaden

In deze sectie wordt beschreven hoe u de sensorsoftware op uw eigen computer downloadt en installeert.

Software voor uw virtuele sensoren downloaden:

  1. Ga in Azure Portal naar de pagina Aan de slag met Defender for IoT > en selecteer het tabblad Sensor.

  2. Zorg ervoor dat in het vak Een apparaat aanschaffen en software installeren de standaardoptie is geselecteerd voor de meest recente en aanbevolen softwareversie en selecteer vervolgens Downloaden.

  3. Sla de gedownloade software op een locatie op die toegankelijk is vanaf uw VIRTUELE machine.

Alle bestanden die vanuit Azure Portal worden gedownload, worden ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.

Sensorsoftware installeren

In deze procedure wordt beschreven hoe u de sensorsoftware op uw VIRTUELE machine installeert.

Notitie

Aan het einde van dit proces krijgt u de gebruikersnamen en wachtwoorden voor uw apparaat te zien. Zorg ervoor dat u deze omlaag kopieert omdat deze wachtwoorden niet opnieuw worden weergegeven.

De software installeren op de virtuele sensor:

  1. Als u de VIRTUELE machine hebt gesloten, meldt u zich opnieuw aan bij de ESXi en opent u de VM-instellingen.

  2. Selecteer voor CD/DVD-station 1 het ISO-bestand voor het gegevensarchief en selecteer de Defender for IoT-software die u eerder hebt gedownload.

  3. Selecteer Volgende>voltooien.

  4. Schakel de VIRTUELE machine in en open een console.

  5. Wanneer de installatie wordt opgestart, wordt u gevraagd het installatieproces te starten. Selecteer het item iot-sensor<version number> installeren om door te gaan of het na 30 seconden automatisch te laten starten. Voorbeeld:

    Schermopname van het eerste installatiescherm.

    Notitie

    Als u een verouderde BIOS-versie gebruikt, wordt u gevraagd een taal te selecteren en worden de installatieopties linksboven weergegeven in plaats van in het midden. Wanneer u hierom wordt gevraagd, selecteert English u de optie iot-sensor<version number> installeren om door te gaan.

    De installatie begint, zodat u bijgewerkte statusberichten krijgt terwijl deze wordt uitgevoerd. Het hele installatieproces duurt maximaal 20-30 minuten en kan variëren, afhankelijk van het type media dat u gebruikt.

    Wanneer de installatie is voltooid, ziet u de volgende set standaardnetwerkdetails.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Gebruik het standaard-IP-adres dat is opgegeven voor toegang tot uw sensor voor de eerste installatie en activering.

Validatie na installatie

In deze procedure wordt beschreven hoe u uw installatie valideert met behulp van de eigen systeemstatuscontroles van de sensor en beschikbaar is voor de standaardbeheerder.

Uw installatie valideren:

  1. Meld u als gebruiker aan bij de OT-sensor admin .

  2. Selecteer Systeeminstellingen>Sensorbeheer>systeemstatuscontrole.

  3. Selecteer de volgende opdrachten:

    • Apparaat om te controleren of het systeem wordt uitgevoerd. Controleer of voor elk regelitem Wordt uitgevoerd wordt weergegeven en of de laatste regel aangeeft dat het systeem actief is.
    • Versie om te controleren of u de juiste versie hebt geïnstalleerd.
    • ifconfig om te controleren of alle invoerinterfaces die tijdens de installatie zijn geconfigureerd, worden uitgevoerd.

Zie Een OT-sensorsoftware-installatie valideren voor meer validatietests na de installatie, zoals gateway- of DNS- of firewallcontroles.

Eerste installatie definiëren

In de volgende procedure wordt beschreven hoe u de initiële instellingen van uw sensor configureert, waaronder:

  • Aanmelden bij de sensorconsole en het beheerderswachtwoord wijzigen
  • Netwerkdetails voor uw sensor definiëren
  • De interfaces definiëren die u wilt bewaken
  • Uw sensor activeren
  • SSL/TLS-certificaatinstellingen configureren

Meld u aan bij de sensorconsole en wijzig het standaardwachtwoord

In deze procedure wordt beschreven hoe u zich voor het eerst aanmeldt bij de OT-sensorconsole. U wordt gevraagd het standaardwachtwoord voor de gebruiker met beheerdersrechten te wijzigen.

Aanmelden bij uw sensor:

  1. Ga in een browser naar het 192.168.0.101 IP-adres, het standaard-IP-adres dat aan het einde van de installatie voor uw sensor is opgegeven.

    De eerste aanmeldingspagina wordt weergegeven. Voorbeeld:

    Schermopname van de eerste aanmeldingspagina van de sensor.

  2. Voer de volgende referenties in en selecteer Aanmelden:

    • Gebruikersnaam: support
    • Wachtwoord: support

    U wordt gevraagd een nieuw wachtwoord voor de gebruiker met beheerdersrechten te definiëren.

  3. Voer in het veld Nieuw wachtwoord uw nieuwe wachtwoord in. Uw wachtwoord moet alfabetische tekens, cijfers en symbolen in kleine letters en hoofdletters bevatten.

    Voer in het veld Nieuw wachtwoord bevestigen uw nieuwe wachtwoord opnieuw in en selecteer Aan de slag.

    Zie Standaard bevoegde gebruikers voor meer informatie.

Defender for IoT | De overzichtspagina wordt geopend op het tabblad Beheerinterface .

Details van sensornetwerken definiëren

Gebruik op het tabblad Beheerinterface de volgende velden om netwerkdetails voor uw nieuwe sensor te definiëren:

Name Beschrijving
Beheerinterface Selecteer de interface die u wilt gebruiken als beheerinterface en maak verbinding met Azure Portal.

Als u een fysieke interface op uw computer wilt identificeren, selecteert u een interface en selecteert u vervolgens De led van de fysieke interface van Blink. De poort die overeenkomt met de geselecteerde interface wordt verlicht, zodat u de kabel correct kunt aansluiten.
IP-adres Voer het IP-adres in dat u wilt gebruiken voor uw sensor. Dit is het IP-adres dat uw team gebruikt om verbinding te maken met de sensor via de browser of CLI.
Subnetmasker Voer het adres in dat u wilt gebruiken als subnetmasker van de sensor.
Standaardgateway Voer het adres in dat u wilt gebruiken als de standaardgateway van de sensor.
DNS Voer het IP-adres van de DNS-server van de sensor in.
Hostnaam Voer de hostnaam in die u wilt toewijzen aan de sensor. Zorg ervoor dat u dezelfde hostnaam gebruikt als die is gedefinieerd in de DNS-server.

Voor deze zelfstudie laat u de proxyconfiguraties overslaan in het gebied Proxy inschakelen voor cloudconnectiviteit (optioneel).

Wanneer u klaar bent, selecteert u Volgende: Interfaceconfiguraties om door te gaan.

Definieer de interfaces die u wilt bewaken

Op het tabblad Interfaceverbindingen worden standaard alle interfaces weergegeven die door de sensor zijn gedetecteerd. Gebruik dit tabblad om bewaking per interface in of uit te schakelen of om specifieke instellingen voor elke interface te definiëren.

Tip

U wordt aangeraden de prestaties van uw sensor te optimaliseren door uw instellingen zo te configureren dat alleen de interfaces worden bewaakt die actief worden gebruikt.

Ga op het tabblad Interfaceconfiguraties als volgt te werk om instellingen voor uw bewaakte interfaces te configureren:

  1. Selecteer de wisselknop In-/uitschakelen voor alle interfaces die u wilt bewaken door de sensor. U moet ten minste één interface selecteren om door te gaan.

    Als u niet zeker weet welke interface u moet gebruiken, selecteert u de knop Van de fysieke interface-LED van Blink om de geselecteerde poort knipperen op uw computer. Selecteer een van de interfaces die u met uw switch hebt verbonden.

  2. Sla voor deze zelfstudie alle geavanceerde instellingen over en selecteer Volgende: Opnieuw opstarten > om door te gaan.

  3. Wanneer u hierom wordt gevraagd, selecteert u Opnieuw opstarten starten om de sensormachine opnieuw op te starten . Nadat de sensor opnieuw is gestart, wordt u automatisch omgeleid naar het IP-adres dat u eerder hebt gedefinieerd als het IP-adres van uw sensor.

    Selecteer Annuleren om te wachten op het opnieuw opstarten.

Uw OT-sensor activeren

In deze procedure wordt beschreven hoe u uw nieuwe OT-sensor activeert.

Uw sensor activeren:

  1. Selecteer Uploaden op het tabblad Activering om het activeringsbestand van de sensor te uploaden dat u hebt gedownload vanuit Azure Portal.

  2. Selecteer de optie voorwaarden en selecteer vervolgens Volgende: Certificaten.

SSL-/TLS-certificaatinstellingen definiëren

Gebruik het tabblad Certificaten om een SSL/TLS-certificaat op uw OT-sensor te implementeren. Hoewel u wordt aangeraden een door een CA ondertekend certificaat te gebruiken voor alle productieomgevingen, selecteert u voor deze zelfstudie een zelfondertekend certificaat.

Ssl/TLS-certificaatinstellingen definiëren:

  1. Selecteer op het tabblad Certificaten lokaal gegenereerd zelfondertekend certificaat gebruiken (niet aanbevolen) en selecteer vervolgens de optie Bevestigen.

    Zie ssl/TLS-certificaatvereisten voor on-premises resources en SSL/TLS-certificaten maken voor OT-apparaten voor meer informatie.

  2. Selecteer Voltooien om de eerste installatie te voltooien en open de sensorconsole.

Volgende stappen

Volledig implementatiepad voor OT-bewaking