Samouczek: instalowanie mikro agenta usługi Defender for IoT
Ten samouczek pomoże Ci dowiedzieć się, jak zainstalować i uwierzytelnić mikro agenta usługi Defender dla IoT.
Niniejszy samouczek zawiera informacje na temat wykonywania następujących czynności:
- Pobieranie i instalowanie mikro agenta
- Uwierzytelnianie mikro agenta
- Sprawdzanie poprawności instalacji
- Testowanie systemu
- Instalowanie określonej wersji mikro agenta
Wymagania wstępne
Konto platformy Azure z aktywną subskrypcją. Utwórz bezpłatne konto.
Centrum IoT.
Sprawdź, czy korzystasz z jednego z następujących systemów operacyjnych.
Musisz mieć włączoną Microsoft Defender dla IoT w Azure IoT Hub.
Musisz utworzyć bliźniaczą reprezentację modułu mikro agenta usługi Defender dla IoT.
Pobieranie i instalowanie mikro agenta
W zależności od konfiguracji należy zainstalować odpowiedni pakiet firmy Microsoft.
Aby dodać odpowiednie repozytorium pakietów firmy Microsoft:
Pobierz konfigurację repozytorium zgodną z systemem operacyjnym urządzenia.
Dla systemu Ubuntu 18.04:
curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.listDla systemu Ubuntu 20.04:
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.listDla Debiana 9 (zarówno AMD64, jak i ARM64):
curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
Użyj następującego polecenia, aby skopiować konfigurację
sources.list.drepozytorium do katalogu:sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/Zainstaluj klucz publiczny gpg firmy Microsoft za pomocą następującego polecenia:
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/Upewnij się, że polecenie apt zostało zaktualizowane przy użyciu następującego polecenia:
sudo apt-get updateUżyj następującego polecenia, aby zainstalować pakiet mikro agenta usługi Defender for IoT w dystrybucjach systemu Linux opartych na systemie Debian lub Ubuntu:
sudo apt-get install defender-iot-micro-agent
Nawiązywanie połączenia za pośrednictwem serwera proxy
W tej procedurze opisano sposób łączenia mikro agenta usługi Defender for IoT z IoT Hub za pośrednictwem serwera proxy.
Aby skonfigurować połączenia za pośrednictwem serwera proxy:
Na maszynie mikro agenta
/etc/defender_iot_micro_agent/conf.jsonutwórz plik z następującą zawartością:{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }Pola użytkownika i hasła są opcjonalne. Jeśli nie są one potrzebne, użyj następującej składni:
{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }Usuń wszystkie buforowane pliki w pliku /var/lib/defender_iot_micro_agent/cache.json.
Uruchom ponownie mikro agenta. Uruchom:
sudo systemctl restart defender-iot-micro-agent.service
Dodawanie obsługi protokołu AMQP
Ta procedura zawiera opis dodatkowych kroków wymaganych do obsługi protokołu AMQP.
Aby dodać obsługę protokołu AMQP:
Na maszynie mikro agenta
/etc/defender_iot_micro_agent/conf.jsonotwórz plik i dodaj następującą zawartość:{ "IothubModule_TransportProtocol": "AMQP_Protocol" }Usuń wszystkie buforowane pliki w pliku /var/lib/defender_iot_micro_agent/cache.json.
Uruchom ponownie mikro agenta. Uruchom:
sudo systemctl restart defender-iot-micro-agent.service
Aby dodać protokół AMQP za pośrednictwem protokołu web socket:
Na maszynie mikro agenta
/etc/defender_iot_micro_agent/conf.jsonotwórz plik i dodaj następującą zawartość:{ "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol" }Usuń wszystkie buforowane pliki w pliku /var/lib/defender_iot_micro_agent/cache.json.
Uruchom ponownie mikro agenta. Uruchom:
sudo systemctl restart defender-iot-micro-agent.service
Agent będzie używać tego protokołu i komunikować się z IoT Hub na porcie 443. Konfiguracja serwera proxy http jest obsługiwana dla tego protokołu, w przypadku, gdy serwer proxy jest również skonfigurowany, port komunikacji z serwerem proxy będzie zdefiniowany w konfiguracji serwera proxy.
Uwierzytelnianie mikro agenta
Istnieją dwie opcje, których można użyć do uwierzytelniania mikro agenta usługi Defender dla IoT:
Uwierzytelnianie przy użyciu parametrów połączenia tożsamości modułu
Należy skopiować parametry połączenia tożsamości modułu ze szczegółów tożsamości modułu DefenderIoTMicroAgent.
Aby skopiować parametry połączenia tożsamości modułu:
Przejdź do IoT Hub>
Your hub>Urządzenia zarządzania urządzeniami>.
Wybierz urządzenie z listy Identyfikator urządzenia.
Wybierz kartę Tożsamości modułów .
Wybierz moduł DefenderIotMicroAgent z listy tożsamości modułów skojarzonych z urządzeniem.
Skopiuj parametry połączenia (klucz podstawowy), wybierając przycisk kopiowania .
Utwórz plik o nazwie
connection_string.txtzawierający skopiowane parametry połączenia zakodowane w formacie utf-8 w ścieżce katalogu/etc/defender_iot_micro_agentagenta usługi Defender for IoT, wprowadzając następujące polecenie:sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'Obiekt
connection_string.txtbędzie teraz znajdować się w następującej lokalizacji ścieżki/etc/defender_iot_micro_agent/connection_string.txt.Uwaga
Parametry połączenia zawierają klucz, który umożliwia bezpośredni dostęp do samego modułu, dlatego zawiera poufne informacje, które powinny być używane i czytelne tylko przez użytkowników głównych.
Uruchom ponownie usługę przy użyciu tego polecenia:
sudo systemctl restart defender-iot-micro-agent.service
Uwierzytelnianie przy użyciu certyfikatu
Aby uwierzytelnić się przy użyciu certyfikatu:
Należy uzyskać certyfikat, postępując zgodnie z tymi instrukcjami.
Umieść zakodowaną w standardzie PEM część publiczną certyfikatu oraz klucz prywatny w
/etc/defender_iot_micro_agentpliku na pliki o nazwiecertificate_public.pemicertificate_private.pem.Umieść odpowiednie parametry połączenia w
connection_string.txtpliku . Parametry połączenia powinny wyglądać następująco:HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=trueTen ciąg powiadamia agenta usługi Defender dla IoT o oczekiwaniu na użycie certyfikatu na potrzeby uwierzytelniania.
Uruchom ponownie usługę przy użyciu następującego polecenia:
sudo systemctl restart defender-iot-micro-agent.service
Sprawdzanie poprawności instalacji
Aby zweryfikować instalację:
Użyj następującego polecenia, aby upewnić się, że mikro agent działa prawidłowo:
systemctl status defender-iot-micro-agent.serviceUpewnij się, że usługa jest stabilna, upewniając się, że jest ona
activei że czas pracy procesu jest odpowiedni.
Testowanie systemu
System można przetestować, tworząc plik wyzwalacza na urządzeniu. Plik wyzwalacza spowoduje skanowanie punktu odniesienia w agencie w celu wykrycia pliku jako naruszenia punktu odniesienia.
Utwórz plik w systemie plików za pomocą następującego polecenia:
sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txtUpewnij się, że obszar roboczy usługi Log Analytics jest dołączony do centrum IoT Hub. Aby uzyskać więcej informacji, zobacz Tworzenie obszaru roboczego usługi Log Analytics.
Uruchom ponownie agenta przy użyciu polecenia :
sudo systemctl restart defender-iot-micro-agent.service
Zezwalaj na wyświetlenie zalecenia w centrum do godziny.
Zostanie utworzone zalecenie bazowe o nazwie "IoT_CISBenchmarks_DIoTTest". Możesz wykonać zapytanie dotyczące tego zalecenia w usłudze Log Analytics w następujący sposób:
SecurityRecommendation
| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"
| where DeviceId contains "<device-id>"
| top 1 by TimeGenerated desc
Na przykład:
Instalowanie określonej wersji mikro agenta
Określoną wersję mikro agenta można zainstalować przy użyciu określonego polecenia.
Aby zainstalować określoną wersję mikro agenta usługi Defender dla IoT:
Otwórz terminal.
Uruchom następujące polecenie:
sudo apt-get install defender-iot-micro-agent=<version>
Czyszczenie zasobów
Nie ma żadnych zasobów do oczyszczenia.