Enterprise IoT-apparaten detecteren met een Enterprise IoT-netwerksensor (openbare preview)
Belangrijk
Het registreren van een nieuwe Enterprise IoT-netwerksensor, zoals beschreven in dit artikel, is niet meer beschikbaar. Voor klanten met de ACR-licentie (Azure Consumption Revenue) of verouderde licentie onderhoudt Defender for IoT bestaande Enterprise IoT-netwerksensoren.
In dit artikel wordt beschreven hoe u een Enterprise IoT-netwerksensor registreert in Microsoft Defender voor IoT.
Microsoft Defender XDR-klanten met een Enterprise IoT-netwerksensor kunnen alle gedetecteerde apparaten in de apparaatinventaris zien in Microsoft Defender XDR of Defender for IoT. U krijgt ook extra beveiligingswaarde van meer waarschuwingen, beveiligingsproblemen en aanbevelingen in Microsoft Defender XDR voor de zojuist gedetecteerde apparaten.
Als u een Defender for IoT-klant bent die alleen werkt in Azure Portal, biedt een Enterprise IoT-netwerksensor extra zichtbaarheid van apparaten voor Enterprise IoT-apparaten, zoals VoIP-apparaten (Voice over Internet Protocol), printers en camera's, die mogelijk niet worden gedekt door uw OT-netwerksensoren.
Defender for IoT-waarschuwingen en -aanbevelingen voor apparaten die door de Enterprise IoT-sensor zijn gedetecteerd, zijn alleen beschikbaar in Azure Portal.
Zie IoT-apparaten beveiligen in de onderneming voor meer informatie.
Belangrijk
De Enterprise IoT-netwerksensor is momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Vereisten
In deze sectie worden de vereiste vereisten beschreven voordat u een Enterprise IoT-netwerksensor implementeert.
Azure-vereisten
Als u Defender for IoT-gegevens wilt weergeven in Microsoft Defender XDR, inclusief apparaten, waarschuwingen, aanbevelingen en beveiligingsproblemen, moet Enterprise IoT-beveiliging zijn ingeschakeld in Microsoft Defender XDR.
Als u alleen gegevens wilt weergeven in Azure Portal, hebt u Microsoft Defender XDR niet nodig. U kunt Enterprise IoT-beveiliging ook inschakelen in Microsoft Defender XDR nadat u uw netwerksensor hebt geregistreerd om extra zichtbaarheid en beveiligingswaarde voor apparaten toe te voegen aan uw organisatie.
Zorg ervoor dat u de Azure-portal kunt openen als beveiligingsbeheerder, inzender of eigenaargebruiker. Als u nog geen Azure-account hebt, kunt u vandaag nog uw gratis Azure-account maken.
Vereisten voor netwerkfirewall
Identificeer de apparaten en subnetten die u wilt bewaken, zodat u weet waar u een Enterprise IoT-sensor in uw netwerk wilt plaatsen. Mogelijk wilt u meerdere Enterprise IoT-sensoren implementeren.
Configureer verkeerspiegeling in uw netwerk, zodat het verkeer dat u wilt bewaken, wordt gespiegeld naar uw Enterprise IoT-sensor. Ondersteunde methoden voor verkeerspiegeling zijn hetzelfde als voor OT-bewaking. Zie Een methode voor verkeersspiegeling kiezen voor verkeersbewaking voor meer informatie.
Vereisten voor fysieke of virtuele machines
Wijs een fysiek apparaat of een virtuele machine (VM) toe om te gebruiken als uw netwerksensor. Zorg ervoor dat uw computer de volgende specificaties heeft:
Laag | Vereisten |
---|---|
Minimum | Ter ondersteuning van maximaal 1 Gbps aan gegevens: - 4 CPU's, elk met 2,4 GHz of meer - 16 GB RAM van DDR4 of beter - 250 GB HDD |
Aanbevolen | Ter ondersteuning van maximaal 15 Gbps aan gegevens: - 8 CPU's, elk met 2,4 GHz of meer - 32 GB RAM van DDR4 of beter - 500 GB HDD |
Uw computer moet ook het volgende hebben:
Het besturingssysteem Ubuntu 18.04 Server . Als u Ubuntu nog niet hebt geïnstalleerd, downloadt u de installatiebestanden naar een externe opslag, zoals een dvd of schijf-op-sleutel, en installeert u deze vervolgens op uw apparaat of VM. Zie de Handleiding voor het branden van Ubuntu-installatiekopieën voor meer informatie.
Netwerkadapters, ten minste één voor de SPAN-poort (Switch Monitoring) en één voor uw beheerpoort voor toegang tot de gebruikersinterface van de sensor
Uw Enterprise IoT-sensor moet toegang hebben tot de Azure-cloud met behulp van een directe verbinding. Directe verbindingen worden geconfigureerd voor Enterprise IoT-sensoren met behulp van dezelfde procedure als voor OT-sensoren. Zie Sensoren inrichten voor cloudbeheer voor meer informatie.
Een fysiek apparaat of vm voorbereiden
In deze procedure wordt beschreven hoe u uw fysieke apparaat of VM voorbereidt om de Enterprise IoT-netwerksensorsoftware te installeren.
Uw apparaat voorbereiden:
Verbind als volgt een netwerkinterface (NIC) van uw fysieke apparaat of VM met een switch:
Fysiek apparaat - Sluit een bewakings-NIC rechtstreeks aan op een SPAN-poort via een koper- of glasvezelkabel.
VM - Een vNIC verbinden met een vSwitch en uw vSwitch-beveiligingsinstellingen configureren om de Promiscuous-modus te accepteren. Zie bijvoorbeeld Een SPAN-bewakingsinterface voor een virtueel apparaat configureren voor meer informatie.
Meld u aan bij uw fysieke apparaat of VM en voer de volgende opdracht uit om binnenkomend verkeer naar de bewakingspoort te valideren:
ifconfig
Het systeem geeft een lijst weer van alle bewaakte interfaces.
Identificeer de interfaces die u wilt bewaken. Dit zijn meestal de interfaces zonder IP-adres. Interfaces met binnenkomend verkeer tonen een toenemend aantal RX-pakketten.
Voer voor elke interface die u wilt bewaken de volgende opdracht uit om de Promiscuous-modus in te schakelen in de netwerkadapter:
ifconfig <monitoring port> up promisc
Waar
<monitoring port>
is een interface die u wilt bewaken. Herhaal deze stap voor elke interface die u wilt bewaken.Zorg ervoor dat de netwerkverbinding wordt uitgevoerd door de volgende poorten in uw firewall te openen:
Protocol Transport In/Out Poort Doel HTTPS TCP In/Out 443 Cloudverbinding DNS TCP/UDP In/Out 53 Oplossing van adres Zorg ervoor dat uw fysieke apparaat of VM toegang heeft tot de cloud via HTTPS op poort 443 naar de volgende Microsoft-eindpunten:
- EventHub:
*.servicebus.windows.net
- Opslag:
*.blob.core.windows.net
- Downloadcentrum:
download.microsoft.com
- IoT Hub:
*.azure-devices.net
Tip
U kunt ook de openbare IP-adresbereiken van Azure downloaden en toevoegen, zodat uw firewall de Azure-eindpunten toestaat die hierboven zijn opgegeven, samen met hun regio.
De openbare IP-bereiken van Azure worden wekelijks bijgewerkt. Nieuwe bereiken in het bestand worden gedurende minstens één week nog niet gebruikt in Azure. Als u deze optie wilt gebruiken, downloadt u het nieuwe JSON-bestand elke week en voert u de benodigde wijzigingen op uw site uit om services die worden uitgevoerd in Azure correct te identificeren.
- EventHub:
Een Enterprise IoT-sensor registreren in Defender for IoT
In deze sectie wordt beschreven hoe u een Enterprise IoT-sensor registreert in Defender for IoT. Wanneer u klaar bent met het registreren van uw sensor, gaat u verder met het installeren van de Enterprise IoT-bewakingssoftware op uw sensorcomputer.
Ga als volgende te werk om een sensor te registreren in Azure Portal:
Ga naar Defender for IoT>Sites en sensoren en selecteer Vervolgens Onboard sensor>EIoT.
Voer op de pagina Enterprise IoT Security instellen de volgende gegevens in en selecteer Registreren:
- Voer in het veld Sensornaam een betekenisvolle naam in voor uw sensor.
- Selecteer in de vervolgkeuzelijst Abonnement het abonnement waaraan u uw sensor wilt toevoegen.
In het scherm Sensorregistratie worden de volgende stappen weergegeven en de opdracht die u nodig hebt om de sensorinstallatie te starten.
Voorbeeld:
Kopieer de opdracht naar een veilige locatie, waar u deze naar uw fysieke apparaat of VM kunt kopiëren om sensorsoftware te installeren.
Enterprise IoT-sensorsoftware installeren
In deze procedure wordt beschreven hoe u Enterprise IoT-bewakingssoftware installeert op uw sensorcomputer, hetzij een fysiek apparaat of een VIRTUELE machine.
Notitie
Hoewel in deze procedure wordt beschreven hoe u sensorsoftware installeert op een VIRTUELE machine met behulp van ESXi, worden bedrijfs-IoT-sensoren ook ondersteund met Behulp van Hyper-V.
Sensorsoftware installeren:
Meld u op uw sensorcomputer aan bij de CLI van de sensor met behulp van een terminal, zoals PuTTY of MobaXterm.
Voer de opdracht uit die u hebt gekopieerd uit de sensorregistratiestap . Voorbeeld:
Tijdens het proces wordt gecontroleerd of de vereiste Docker-versie al is geïnstalleerd. Als dat niet het is, installeert de sensorinstallatie ook de nieuwste Docker-versie.
Wanneer het opdrachtproces is voltooid, wordt de wizard Ubuntu Configure microsoft-eiot-sensor weergegeven. Gebruik in deze wizard de pijl-omhoog of pijl-omlaag om te navigeren en de spatiebalk om een optie te selecteren. Druk op Enter om naar het volgende scherm te gaan.
Selecteer in de wizard Microsoft-eiot-sensor configureren in het scherm Wat is de naam van de bewaakte interface? een of meer interfaces die u wilt bewaken met uw sensor en selecteer VERVOLGENS OK.
Voorbeeld:
Selecteer in het scherm Proxyserver instellen of u een proxyserver wilt instellen voor uw sensor. Voorbeeld:
Als u een proxyserver instelt, selecteert u Ja en definieert u vervolgens de host, poort, gebruikersnaam en wachtwoord van de proxyserver en selecteert u OK na elke optie.
Het duurt enkele minuten voordat de installatie is voltooid.
Controleer in Azure Portal of op de pagina Sites en sensoren nu uw nieuwe sensor wordt vermeld.
Voorbeeld:
Op de pagina Sites en sensoren worden Enterprise IoT-sensoren automatisch toegevoegd aan dezelfde site, met de naam Enterprise-netwerk. Zie Sensoren beheren met Defender for IoT in Azure Portal voor meer informatie.
Tip
Als u uw Enterprise IoT-gegevens niet ziet in Defender for IoT zoals verwacht, controleert u of u Azure Portal bekijkt met de juiste abonnementen geselecteerd. Zie Azure Portal-instellingen beheren voor meer informatie.
Als u uw gegevens nog steeds niet zoals verwacht bekijkt, valideert u de configuratie van uw sensor vanuit de CLI.
Nieuw gedetecteerde Enterprise IoT-apparaten weergeven
Zodra u de installatie hebt gevalideerd, begint de inventarispagina van Defender for IoT-apparaten na 15 minuten te vullen met nieuwe apparaten die door uw sensor zijn gedetecteerd.
Als u een Defender for Endpoint-klant bent met een verouderd Enterprise IoT-abonnement, kunt u alle gedetecteerde apparaten bekijken op de pagina's voor apparaatinventaris , in zowel Defender voor IoT als Microsoft Defender XDR. Gedetecteerde apparaten bevatten zowel apparaten die zijn gedetecteerd door Defender voor Eindpunt als apparaten die zijn gedetecteerd door de Enterprise IoT-sensor.
Zie Uw apparaatinventaris beheren vanuit Azure Portal en Microsoft Defender XDR-apparaatdetectie voor meer informatie.
Een Enterprise IoT-netwerksensor verwijderen
Verwijder een sensor als deze niet meer wordt gebruikt met Defender for IoT.
Zoek op de pagina Sites en sensoren in Azure Portal uw sensor in het raster.
Selecteer in de rij voor uw sensor het menu ... options menu >Delete sensor.
Zie Sensoren beheren met Defender for IoT in Azure Portal voor meer informatie.
Tip
U kunt uw sensor ook handmatig verwijderen uit de CLI. Zie Extra stappen en voorbeelden voor Enterprise IoT-implementatie voor meer informatie.
Als u enterprise IoT-beveiliging wilt annuleren met Microsoft Defender XDR, doet u dit vanuit de Microsoft Defender-portal. Zie Bedrijfs-IoT-beveiliging uitschakelen voor meer informatie.