Zelfstudie: Een virtuele OT-sensor onboarden en activeren

In deze zelfstudie wordt beschreven hoe u uw netwerk instelt voor ot-systeembeveiligingsbewaking, met behulp van een virtuele, cloudsensor, op een virtuele machine (VM), met behulp van een proefabonnement van Microsoft Defender voor IoT.

In deze zelfstudie leert u het volgende:

  • Software voor een virtuele sensor downloaden
  • Een virtuele machine voor de sensor maken
  • De virtuele sensorsoftware installeren
  • Een SPAN-poort configureren
  • Uw cloudverbinding controleren
  • De virtuele sensor onboarden en activeren

Vereisten

Zorg ervoor dat u over het volgende beschikt voordat u begint:

  • Voltooide quickstart: Aan de slag met Defender for IoT , zodat u een Azure-abonnement hebt toegevoegd aan Defender for IoT.

  • Toegang tot de Azure Portal als een beveiligings-Beheer, inzender of eigenaar. Zie Azure-gebruikersrollen voor OT- en Enterprise IoT-bewaking met Defender for IoT voor meer informatie.

  • Zorg ervoor dat u een netwerkswitch hebt die ondersteuning biedt voor verkeersbewaking via een SPAN-poort. U moet ook ten minste één apparaat bewaken dat is aangesloten op de SPAN-poort van de switch.

  • VMware, ESXi 5.5 of hoger, geïnstalleerd en operationeel op uw sensor.

  • Beschikbare hardwareresources voor uw VM zijn als volgt:

    Implementatietype Bedrijf Enterprise SMB
    Maximale bandbreedte 2,5 Gb per seconde 800 Mb/sec. 160 Mb/sec.
    Maximum aantal beveiligde apparaten 12,000 10.000 800
  • Details voor de volgende netwerkparameters die moeten worden gebruikt voor uw sensorapparaat:

    • Een BEHEERnetwerk-IP-adres
    • Een sensorsubnetmasker
    • Een hostnaam van een apparaat
    • Een DNS-adres
    • Een standaardgateway
    • Alle invoerinterfaces

Software voor uw virtuele sensor downloaden

De oplossing van Defender for IoT voor OT-beveiliging omvat on-premises netwerksensoren, die verbinding maken met Defender for IoT en apparaatgegevens verzenden voor analyse.

U kunt vooraf geconfigureerde apparaten aanschaffen of uw eigen apparaat meenemen en de software zelf installeren. In deze zelfstudie wordt gebruikgemaakt van uw eigen computer en VMware en wordt beschreven hoe u de sensorsoftware zelf downloadt en installeert.

Software voor uw virtuele sensoren downloaden:

  1. Ga naar Defender for IoT in de Azure Portal. Selecteer op de pagina Aan de slag het tabblad Sensor .

  2. Controleer in het vak Een apparaat aanschaffen en software installeren of de standaardoptie is geselecteerd voor de meest recente en aanbevolen softwareversie en selecteer vervolgens Downloaden.

  3. Sla de gedownloade software op een locatie op die toegankelijk is vanaf uw VM.

Alle bestanden die worden gedownload van de Azure Portal worden ondertekend door de hoofdmap van vertrouwen, zodat uw machines alleen ondertekende assets gebruiken.

Een virtuele machine voor uw sensor maken

In deze procedure wordt beschreven hoe u een virtuele machine voor uw sensor maakt met VMware ESXi.

Defender for IoT ondersteunt ook andere processen, zoals het gebruik van Hyper-V of fysieke sensoren. Zie Defender for IoT-installatie voor meer informatie.

Een virtuele machine voor uw sensor maken:

  1. Zorg ervoor dat de sensorsoftware is gedownload en toegankelijk is en dat VMware op uw computer wordt uitgevoerd.

  2. Meld u aan bij de ESXi, kies het relevante gegevensarchief en selecteer Datastore Browser.

  3. Upload de afbeelding en selecteer Sluiten.

  4. Ga naar Virtual Machines en selecteer vm maken/registreren.

  5. Selecteer Nieuwe virtuele machine maken en selecteer vervolgens Volgende.

  6. Voeg een sensornaam toe en definieer de volgende opties:

    • Compatibiliteit: <nieuwste ESXi-versie>

    • Gastbesturingssysteemgroep: Linux

    • Versie van gastbesturingssysteem: Ubuntu Linux (64-bits)

  7. Selecteer Next.

  8. Kies het relevante gegevensarchief en selecteer Volgende.

  9. Wijzig de parameters voor virtuele hardware volgens de vereiste specificaties voor uw behoeften. Zie de tabel in de sectie Vereisten hierboven voor meer informatie.

  10. Voor cd/dvd-station 1 selecteert u ISO-bestand voor gegevensopslag en selecteert u de Defender for IoT-software die u eerder hebt gedownload.

  11. Selecteer Volgende>voltooien.

  12. Schakel de virtuele machine in en open een console.

Sensorsoftware installeren

In deze procedure wordt beschreven hoe u de sensorsoftware op uw VM installeert.

De software installeren op de virtuele sensor:

  1. Open de VM-console.

  2. De VM wordt gestart vanuit de ISO-installatiekopieën en het scherm voor taalselectie wordt weergegeven. Selecteer Engels.

  3. Selecteer de vereiste specificaties voor uw behoeften, zoals gedefinieerd in de tabel in de sectie Vereisten hierboven.

  4. Definieer het apparaatprofiel en de netwerkeigenschappen als volgt:

    Parameter Configuration
    Hardwareprofiel Afhankelijk van uw systeemspecificaties.
    Beheerinterface ens192
    Netwerkparameters (geleverd door de klant) IP-adres van beheernetwerk:
    Subnetmasker:
    hostnaam van apparaat:
    DNS:
    Standaardgateway:
    invoerinterfaces:

    U hoeft de bruginterface niet te configureren, wat alleen relevant is voor speciale gebruiksvoorbeelden.

  5. Voer J in om de instellingen te accepteren.

  6. De volgende referenties worden automatisch gegenereerd en weergegeven. Kopieer de gebruikersnamen en wachtwoorden naar een veilige plaats, omdat ze vereist zijn om u aan te melden en uw sensor te beheren. De gebruikersnamen en wachtwoorden worden niet meer weergegeven.

    • ondersteuning: de gebruiker met beheerdersrechten voor gebruikersbeheer.

    • cyberx: het equivalent van root voor toegang tot het apparaat.

    Zie Standaard bevoegde on-premises gebruikers voor meer informatie.

  7. Wanneer het apparaat opnieuw wordt opgestart, hebt u toegang tot de sensor via het IP-adres dat eerder is geconfigureerd: https://<ip_address>.

Validatie na installatie

In deze procedure wordt beschreven hoe u uw installatie kunt valideren met behulp van de eigen systeemstatuscontroles van de sensor. Deze procedure is beschikbaar voor zowel de gebruikers van de ondersteunings- als de cyberx-sensor .

Uw installatie valideren:

  1. Meld u aan bij de sensor.

  2. Selecteer Systeeminstellingen>Sensorbeheer>Systeemstatuscontrole.

  3. Selecteer de volgende opdrachten:

    • Apparaat om te controleren of het systeem actief is. Controleer of voor elk regelitem Wordt uitgevoerd wordt weergegeven en of de laatste regel aangeeft dat het systeem actief is.
    • Versie om te controleren of u de juiste versie hebt geïnstalleerd.
    • ifconfig om te controleren of alle invoerinterfaces die tijdens de installatie zijn geconfigureerd, worden uitgevoerd.

Een SPAN-poort configureren

Virtuele switches hebben geen spiegelingsmogelijkheden. In deze zelfstudie kunt u echter de promiscueuze modus gebruiken in een virtuele switchomgeving om al het netwerkverkeer te bekijken dat via de virtuele switch gaat.

In deze procedure wordt beschreven hoe u een SPAN-poort configureert met behulp van een tijdelijke oplossing met VMware ESXi.

Notitie

Promiscuous-modus is een bedrijfsmodus en een beveiligingsbewakingstechniek voor de interfaces van een VM in hetzelfde poortgroepniveau als de virtuele switch om het netwerkverkeer van de switch weer te geven. De promiscueuze modus is standaard uitgeschakeld, maar kan worden gedefinieerd op het niveau van de virtuele switch of poortgroep.

Een SPAN-poort configureren met ESXi:

  1. Open vSwitch-eigenschappen.

  2. Selecteer Toevoegen.

  3. Selecteer Volgende virtuele machine>.

  4. Voeg een netwerklabel SPAN-netwerk in, selecteer VLAN-id>Alle en selecteer vervolgens Volgende.

  5. Selecteer Finish.

  6. Selecteer SPAN-netwerk> *Bewerken.

  7. Selecteer Beveiliging en controleer of het beleid Promiscuous Mode is ingesteld op de modus Accepteren .

  8. Selecteer OK en selecteer vervolgens Sluiten om de eigenschappen van vSwitch te sluiten.

  9. Open de eigenschappen van de XSense-VM .

  10. Selecteer bij Netwerkadapter 2 het SPAN-netwerk .

  11. Selecteer OK.

  12. Maak verbinding met de sensor en controleer of spiegeling werkt.

De virtuele sensor onboarden en activeren

Voordat u uw Defender for IoT-sensor kunt gaan gebruiken, moet u uw nieuwe virtuele sensor onboarden in uw Azure-abonnement en het activeringsbestand van de virtuele sensor downloaden om de sensor te activeren.

De virtuele sensor onboarden

De virtuele sensor onboarden:

  1. Ga in de Azure Portal naar de pagina Aan de slag met Defender for IoT>.

  2. Selecteer linksonder OT/ICS-beveiliging instellen.

    Schermopname van de pagina Aan de slag voor OT-netwerksensoren.

    Op de pagina OT/ICS-beveiliging instellen kunt u stap 1: Hebt u een sensor ingesteld? en stap 2: SPAN-poort configureren of TAP-stappen samengevouwen laten, omdat u deze taken eerder in deze zelfstudie hebt voltooid.

  3. In Stap 3: deze sensor registreren bij Microsoft Defender voor IoT definieert u de volgende waarden:

    Naam Beschrijving
    Sensornaam Voer een naam in voor de sensor.

    U wordt aangeraden het IP-adres van de sensor op te nemen als onderdeel van de naam of een gemakkelijk herkenbare naam te gebruiken. Als u de sensor op deze manier een naam geeft, wordt het traceren eenvoudiger.
    Abonnement Selecteer het Azure-abonnement waaraan u uw sensoren wilt toevoegen.
    Verbonden met de cloud Selecteer om uw sensor te verbinden met Azure.
    Automatische updates voor bedreigingsinformatie Alleen weergegeven wanneer de optie Verbonden met de cloud is ingeschakeld. Selecteer om Microsoft threat intelligence-pakketten automatisch te laten bijwerken op uw sensor. Zie Onderzoek en pakketten voor bedreigingsinformatie voor meer informatie.
    Sensorversie Alleen weergegeven wanneer de optie Verbonden met de cloud is ingeschakeld. Selecteer de softwareversie die op uw sensor is geïnstalleerd.
    Site Definieer de site waaraan u de sensor wilt koppelen of selecteer Site maken om een nieuwe site te maken. Definieer een weergavenaam voor uw site en optionele tags om de site later te identificeren.
    Zone Definieer de zone waarin u de sensor wilt implementeren of selecteer Zone maken om een nieuwe te maken.
  4. Selecteer Registreren om uw sensor toe te voegen aan Defender for IoT. Er wordt een bericht weergegeven dat is geslaagd en het activeringsbestand wordt automatisch gedownload. Het activeringsbestand is uniek voor uw sensor en bevat instructies over de beheermodus van uw sensor.

    Alle bestanden die zijn gedownload van de Azure Portal zijn ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.

  5. Sla het gedownloade activeringsbestand op een locatie op die toegankelijk is voor de gebruiker die zich voor het eerst aanmeldt bij de console.

    U kunt het bestand ook handmatig downloaden door de relevante koppeling te selecteren in het vak Uw sensor activeren . U gebruikt dit bestand om uw sensor te activeren, zoals hieronder wordt beschreven.

  6. Zorg ervoor dat de nieuwe sensor verbinding kan maken met Azure. Selecteer in het vak Regels voor uitgaand toestaan toevoegen de koppeling Eindpuntgegevens downloaden om een JSON-lijst te downloaden met de eindpunten die u moet configureren als beveiligde eindpunten van uw sensor. Bijvoorbeeld:

    Schermopname van het vak **Regels voor uitgaand toestaan toevoegen**.

    Om ervoor te zorgen dat uw sensor verbinding kan maken met Azure, configureert u de vermelde eindpunten als toegestaan uitgaand HTTPS-verkeer via poort 443. U moet deze regels voor uitgaand toestaan eenmaal configureren voor alle OT-sensoren die zijn toegevoegd aan hetzelfde abonnement

    Tip

    U kunt ook toegang krijgen tot de lijst met vereiste eindpunten op de pagina Sites en sensoren . Zie Opties voor sensorbeheer van de Azure Portal voor meer informatie.

  7. Selecteer linksonder op de pagina Voltooien. U kunt nu uw nieuwe sensor zien op de pagina Defender for IoT-sites en -sensoren .

Zie Sensoren beheren met Defender for IoT in de Azure Portal voor meer informatie.

Uw sensor activeren

In deze procedure wordt beschreven hoe u het activeringsbestand van de sensor dat is gedownload van Defender for IoT in de Azure Portal gebruikt om uw zojuist toegevoegde sensor te activeren.

Uw sensor activeren:

  1. Ga vanuit uw browser naar de sensorconsole met behulp van het IP-adres dat tijdens de installatie is gedefinieerd. Het aanmeldingsdialoogvenster wordt geopend.

    Schermopname van de aanmeldingspagina van een Defender for IoT-sensor.

  2. Voer de referenties in die zijn gedefinieerd tijdens de installatie van de sensor.

  3. Selecteer Aanmelden/volgende. Het tabblad Sensornetwerkinstellingen wordt geopend.

    Schermopname van de opties voor sensornetwerkinstellingen bij het aanmelden bij de sensor.

  4. Op het tabblad Instellingen van sensornetwerk kunt u de sensornetwerkconfiguratie wijzigen die tijdens de installatie is gedefinieerd. Voor deze zelfstudie laat u de standaardwaarden ongewijzigd en selecteert u Volgende.

  5. Selecteer op het tabblad Activeringde optie Uploaden en blader naar het activeringsbestand en selecteer het.

  6. Keur de voorwaarden goed en selecteer vervolgens Activeren.

  7. Op het tabblad SSL/TLS-certificaten kunt u een vertrouwd CA-certificaat importeren. Dit is het aanbevolen proces voor productieomgevingen. Voor de zelfstudie kunt u echter Lokaal gegenereerd zelfondertekend certificaat gebruiken selecteren en vervolgens Voltooien selecteren.

Uw sensor wordt geactiveerd en toegevoegd aan Defender for IoT. Op de pagina Sites en sensoren ziet u dat in de kolom Sensorstatus een groen vinkje wordt weergegeven en wordt de status weergegeven als OK.

Volgende stappen

Nadat uw OT-sensor is verbonden, gaat u verder met een van de volgende handelingen om uw gegevens te analyseren: