Udostępnij za pośrednictwem

Konfigurowanie i aktywowanie czujnika OT

  • Artykuł

Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT i opisano sposób konfigurowania początkowych ustawień konfiguracji i aktywowania czujnika OT.

Diagram przedstawiający pasek postępu z wyróżnioną funkcją Wdróż czujniki.

W przeglądarce lub za pośrednictwem interfejsu wiersza polecenia można wykonać kilka początkowych kroków konfiguracji.

  • Użyj przeglądarki, jeśli możesz podłączyć kable fizyczne z przełącznika do czujnika, aby prawidłowo zidentyfikować interfejsy. Pamiętaj, aby ponownie skonfigurować kartę sieciową, aby dopasować ustawienia domyślne czujnika.
  • Użyj interfejsu wiersza polecenia, jeśli znasz szczegóły sieci bez konieczności podłączania kabli fizycznych. Użyj interfejsu wiersza polecenia, jeśli możesz nawiązać połączenie tylko z czujnikiem za pośrednictwem urządzenia iLo /iDrac

Skonfigurowanie konfiguracji za pośrednictwem interfejsu wiersza polecenia nadal wymaga wykonania kilku ostatnich kroków w przeglądarce.

Wymagania wstępne

Aby wykonać procedury opisane w tym artykule, potrzebne są następujące elementy:

  • Czujnik OT dołączony do usługi Defender for IoT w witrynie Azure Portal.

  • Oprogramowanie czujnika OT zainstalowane na urządzeniu. Upewnij się, że oprogramowanie zostało zainstalowane samodzielnie lub zakupiono wstępnie skonfigurowane urządzenie.

  • Plik aktywacji czujnika, który został pobrany po dołączeniu czujnika. Potrzebny jest unikatowy plik aktywacji dla każdego wdrożonego czujnika OT.

    Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

    Uwaga

    Pliki aktywacji wygasają 14 dni po utworzeniu. Jeśli dołączono czujnik, ale nie przekazano pliku aktywacji przed jego wygaśnięciem, pobierz nowy plik aktywacji.

  • Certyfikat SSL/TLS. Zalecamy używanie certyfikatu z podpisem urzędu certyfikacji, a nie certyfikatu z podpisem własnym. Aby uzyskać więcej informacji, zobacz Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

  • Dostęp do fizycznego lub wirtualnego urządzenia, na którym instalujesz czujnik. Aby uzyskać więcej informacji, zobacz Jakie urządzenia są potrzebne?

Ten krok jest wykonywany przez zespoły wdrożeniowe.

Konfigurowanie konfiguracji za pośrednictwem przeglądarki

Konfigurowanie konfiguracji czujnika za pośrednictwem przeglądarki obejmuje następujące kroki:

  • Logowanie się do konsoli czujnika i zmienianie hasła użytkownika administratora
  • Definiowanie szczegółów sieci dla czujnika
  • Definiowanie interfejsów, które chcesz monitorować
  • Aktywowanie czujnika
  • Konfigurowanie ustawień certyfikatu SSL/TLS

Zaloguj się do konsoli czujnika i zmień hasło domyślne

W tej procedurze opisano sposób logowania się do konsoli czujnika OT po raz pierwszy. Zostanie wyświetlony monit o zmianę domyślnego hasła użytkownika administratora .

Aby zalogować się do czujnika:

  1. W przeglądarce przejdź do 192.168.0.101 adresu IP, który jest domyślnym adresem IP podanym dla czujnika na końcu instalacji.

    Zostanie wyświetlona początkowa strona logowania. Na przykład:

    Zrzut ekranu przedstawiający początkową stronę logowania z czujnika.

  2. Wprowadź następujące poświadczenia i wybierz pozycję Zaloguj się:

    • Nazwa użytkownika: admin
    • Hasło: admin

    Zostanie wyświetlone pytanie o zdefiniowanie nowego hasła dla użytkownika administracyjnego.

  3. W polu Nowe hasło wprowadź nowe hasło. Hasło musi zawierać małe i wielkie litery, cyfry i symbole.

    W polu Potwierdź nowe hasło ponownie wprowadź nowe hasło, a następnie wybierz pozycję Rozpocznij.

    Aby uzyskać więcej informacji, zobacz Domyślne uprzywilejowane użytkowników.

Usługa Defender dla IoT | Strona Przegląd zostanie otwarta na karcie Interfejs zarządzania.

Definiowanie szczegółów sieci czujników

Na karcie Interfejs zarządzania użyj następujących pól, aby zdefiniować szczegóły sieci dla nowego czujnika:

Nazwa/nazwisko opis
Interfejs zarządzania Wybierz interfejs, którego chcesz użyć jako interfejsu zarządzania, aby nawiązać połączenie z witryną Azure Portal lub lokalną konsolą zarządzania.

Aby zidentyfikować interfejs fizyczny na maszynie, wybierz interfejs, a następnie wybierz pozycję Dioda LED interfejsu fizycznego Blink. Port pasujący do wybranego interfejsu świeci się tak, aby można było poprawnie podłączyć kabel.
IP Address Wprowadź adres IP, którego chcesz użyć dla czujnika. Jest to adres IP używany przez zespół do nawiązywania połączenia z czujnikiem za pośrednictwem przeglądarki lub interfejsu wiersza polecenia.
Maska podsieci Wprowadź adres, którego chcesz użyć jako maski podsieci czujnika.
Brama domyślna Wprowadź adres, którego chcesz użyć jako bramy domyślnej czujnika.
DNS Wprowadź adres IP serwera DNS czujnika.
Nazwa hosta Wprowadź nazwę hosta, którą chcesz przypisać do czujnika. Upewnij się, że używasz tej samej nazwy hosta, która jest zdefiniowana na serwerze DNS.
Włączanie serwera proxy dla łączności w chmurze (opcjonalnie) Wybierz, aby zdefiniować serwer proxy dla czujnika.

Jeśli używasz certyfikatu SSL/TSL do uzyskiwania dostępu do serwera proxy, wybierz pozycję Certyfikat klienta i przekaż certyfikat.

Po zakończeniu wybierz pozycję Dalej: konfiguracje interfejsu , aby kontynuować.

Definiowanie interfejsów, które chcesz monitorować

Na karcie Konfiguracje interfejsu są domyślnie wyświetlane wszystkie interfejsy wykryte przez czujnik. Użyj tej karty, aby włączyć lub wyłączyć monitorowanie dla każdego interfejsu lub zdefiniować określone ustawienia dla każdego interfejsu.

Napiwek

Zalecamy zoptymalizowanie wydajności czujnika przez skonfigurowanie ustawień w celu monitorowania tylko interfejsów, które są aktywnie używane.

Na karcie Konfiguracje interfejsu wykonaj następujące czynności, aby skonfigurować ustawienia dla monitorowanych interfejsów:

  1. Wybierz przełącznik Włącz/Wyłącz dla wszystkich interfejsów, które mają być monitorowane przez czujnik. Aby kontynuować, musisz wybrać co najmniej jeden interfejs.

    Jeśli nie masz pewności, którego interfejsu użyć, wybierz przycisk LED interfejsu fizycznego Blink, aby wybrać miganie portu na maszynie. Wybierz dowolny interfejs, który został połączony z przełącznikiem.

  2. (Opcjonalnie) Dla każdego interfejsu wybranego do monitorowania wybierz przycisk Ustawienia zaawansowane, aby zmodyfikować dowolne z następujących ustawień:

    Nazwa/nazwisko opis
    Tryb Wybierz jedną z następujących pozycji:
    - Ruch SPAN (bez hermetyzacji) do korzystania z domyślnego dublowania portów SPAN.
    - ERSPAN , jeśli używasz dublowania ERSPAN.

    Aby uzyskać więcej informacji, zobacz Wybieranie metody dublowania ruchu dla czujników OT.
    Opis Wprowadź opcjonalny opis interfejsu. Zobaczysz to później na stronie Konfiguracji interfejsu ustawień systemowych > czujnika, a te opisy mogą być pomocne w zrozumieniu przeznaczenia każdego interfejsu.
    Automatyczne negocjowanie Dotyczy tylko maszyn fizycznych. Użyj tej opcji, aby określić, jakiego rodzaju metody komunikacji są używane, lub jeśli metody komunikacji są automatycznie definiowane między składnikami.

    Ważne: zalecamy zmianę tego ustawienia tylko na porady zespołu ds. sieci.

    Wybierz Zapisz, aby zapisać zmiany.

  3. Wybierz pozycję Dalej: Uruchom ponownie>, aby kontynuować, a następnie uruchom ponownie, aby ponownie uruchomić maszynę czujnika. Po ponownym uruchomieniu czujnika nastąpi automatyczne przekierowanie do zdefiniowanego wcześniej adresu IP jako adresu IP czujnika.

    Wybierz pozycję Anuluj , aby poczekać na ponowny rozruch.

Aktywowanie czujnika OT

W tej procedurze opisano sposób aktywowania nowego czujnika OT.

Jeśli do tej pory skonfigurowano ustawienia początkowe za pośrednictwem interfejsu wiersza polecenia , uruchomisz konfigurację opartą na przeglądarce w tym kroku. Po ponownym uruchomieniu czujnika nastąpi przekierowanie do tej samej usługi Defender dla IoT | Strona Przegląd na karcie Aktywacja.

Aby aktywować czujnik:

  1. Na karcie Aktywacja wybierz pozycję Przekaż , aby przekazać plik aktywacji czujnika pobrany z witryny Azure Portal.
  2. Wybierz opcję Warunki i postanowienia, a następnie wybierz pozycję Aktywuj.
  3. Wybierz pozycję Dalej: Certyfikaty.

Definiowanie ustawień certyfikatu SSL/TLS

Użyj karty Certyfikaty, aby wdrożyć certyfikat SSL/TLS na czujniku OT. Zalecamy użycie certyfikatu podpisanego przez urząd certyfikacji dla wszystkich środowisk produkcyjnych.

Aby zdefiniować ustawienia certyfikatu SSL/TLS:

  1. Na karcie Certyfikaty wybierz pozycję Importuj zaufany certyfikat urzędu certyfikacji (zalecane), aby wdrożyć certyfikat z podpisem urzędu certyfikacji.

    Wprowadź nazwę certyfikatu i hasło, a następnie wybierz pozycję Przekaż , aby przekazać plik klucza prywatnego, plik certyfikatu i opcjonalny plik łańcucha certyfikatów.

    Może być konieczne odświeżenie strony po przekazaniu plików. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z błędami przekazywania certyfikatów.

    Napiwek

    Jeśli pracujesz w środowisku testowym, możesz również użyć certyfikatu z podpisem własnym, który jest generowany lokalnie podczas instalacji. Jeśli wybierzesz opcję używania certyfikatu z podpisem własnym, upewnij się, że wybrano opcję Potwierdź zalecenia.

    Aby uzyskać więcej informacji, zobacz Zarządzanie certyfikatami SSL/TLS.

  2. W obszarze Walidacja lokalnego certyfikatu konsoli zarządzania wybierz pozycję Obowiązkowe, aby zweryfikować certyfikat lokalnej konsoli zarządzania względem listy odwołania certyfikatów (CRL), zgodnie z konfiguracją w certyfikacie.

    Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych i Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

  3. Wybierz pozycję Zakończ , aby ukończyć początkową konfigurację i otworzyć konsolę czujnika.

Konfigurowanie konfiguracji za pomocą interfejsu wiersza polecenia

Użyj tej procedury, aby skonfigurować następujące początkowe ustawienia konfiguracji za pośrednictwem interfejsu wiersza polecenia:

  • Logowanie się do konsoli czujnika i ustawianie nowego hasła użytkownika administratora
  • Definiowanie szczegółów sieci dla czujnika
  • Definiowanie interfejsów, które chcesz monitorować

Kontynuuj aktywowanie i konfigurowanie ustawień certyfikatu SSL/TLS w przeglądarce.

Aby skonfigurować początkowe ustawienia konfiguracji za pomocą interfejsu wiersza polecenia:

  1. Na ekranie instalacji po wyświetlaniu domyślnych szczegółów sieci naciśnij klawisz ENTER , aby kontynuować.

  2. Po wyświetleniu monitu D4Iot login zaloguj się przy użyciu następujących poświadczeń domyślnych:

    • Nazwa użytkownika: admin
    • Hasło: admin

    Po wprowadzeniu hasła znaki hasła nie są wyświetlane na ekranie. Upewnij się, że wprowadzasz je ostrożnie.

  3. Po wyświetleniu monitu wprowadź nowe hasło dla użytkownika administracyjnego. Hasło musi zawierać małe i wielkie litery, cyfry i symbole.

    Po wyświetleniu monitu o potwierdzenie hasła ponownie wprowadź nowe hasło. Aby uzyskać więcej informacji, zobacz Domyślne uprzywilejowane użytkowników.

    <czy dzieje się to natychmiast? niejasne —>Package configuration zostanie otwarty kreator konfiguracji systemu Linux. W tym kreatorze użyj strzałek w górę lub w dół, aby przejść, a pasek SPACJI wybierz opcję. Naciśnij klawisz ENTER , aby przejść do następnego ekranu.

  4. Na ekranie kreatora Select monitor interfaces wybierz dowolny interfejs, który chcesz monitorować za pomocą tego czujnika.

    System wybiera pierwszy interfejs, który znajduje jako interfejs zarządzania, i zalecamy pozostawienie wyboru domyślnego. Jeśli zdecydujesz się użyć innego portu jako interfejsu zarządzania, zmiana zostanie zaimplementowana dopiero po ponownym uruchomieniu czujnika. W takich przypadkach upewnij się, że czujnik jest podłączony zgodnie z potrzebami.

    Na przykład:

    Zrzut ekranu przedstawiający ekran Wybieranie interfejsów monitora.

    Ważne

    Upewnij się, że wybrano tylko połączone interfejsy.

    Jeśli wybierzesz interfejsy, które są włączone, ale nie są połączone, czujnik wyświetli w witrynie Azure Portal powiadomienie o kondycji Bez monitorowanego ruchu. Jeśli po instalacji połączysz więcej źródeł ruchu i chcesz je monitorować za pomocą usługi Defender dla IoT, możesz dodać je później za pośrednictwem interfejsu wiersza polecenia.

  5. Na ekranie Select management interface wybierz interfejs, którego chcesz użyć do nawiązania połączenia z witryną Azure Portal lub lokalną konsolą zarządzania.

    Na przykład:

    Zrzut ekranu przedstawiający ekran Wybieranie interfejsu zarządzania.

  6. Na ekranie Enter sensor IP address wprowadź adres IP, którego chcesz użyć dla tego czujnika. Użyj tego adresu IP, aby nawiązać połączenie z czujnikiem za pośrednictwem interfejsu wiersza polecenia lub przeglądarki. Na przykład:

    Zrzut ekranu przedstawiający ekran Wprowadź adres IP czujnika.

  7. Na ekranie Enter path to the mounted backups folder wprowadź ścieżkę do zainstalowanych kopii zapasowych czujnika. Zalecamy użycie domyślnej ścieżki ./opt/sensor/persist/backups Na przykład:

    Zrzut ekranu przedstawiający konfigurację zainstalowanych folderów kopii zapasowych.

  8. Na ekranie Enter Subnet Mask wprowadź adres IP maski podsieci czujnika. Na przykład:

    Zrzut ekranu przedstawiający ekran Wprowadzanie maski podsieci.

  9. Na ekranie Enter Gateway wprowadź domyślny adres IP bramy czujnika. Na przykład:

    Zrzut ekranu przedstawiający ekran Enter Gateway (Wprowadzanie bramy).

  10. Na ekranie Enter DNS server wprowadź adres IP serwera DNS czujnika. Na przykład:

    Zrzut ekranu przedstawiający ekran Wprowadź serwer DNS.

  11. Na ekranie Enter hostname wprowadź nazwę, której chcesz użyć jako nazwy hosta czujnika. Upewnij się, że używasz tej samej nazwy hosta, która jest zdefiniowana na serwerze DNS. Na przykład:

    Zrzut ekranu przedstawiający ekran Enter hostname (Wprowadź nazwę hosta).

  12. Na ekranie Run this sensor as a proxy server (Preview) wybierz <Yes> tylko wtedy, gdy chcesz skonfigurować serwer proxy, a następnie wprowadź poświadczenia serwera proxy zgodnie z monitem. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień serwera proxy w czujniku OT.

    Domyślna konfiguracja jest bez serwera proxy.

  13. Proces konfiguracji rozpoczyna się, uruchamia się ponownie, a następnie monituje o ponowne zalogowanie. Na przykład:

    Zrzut ekranu przedstawiający końcowy monit logowania na końcu początkowej konfiguracji interfejsu wiersza polecenia.

W tym momencie otwórz przeglądarkę na adres IP zdefiniowany dla czujnika i kontynuuj konfigurację w przeglądarce. Aby uzyskać więcej informacji, zobacz Aktywowanie czujnika OT.

Uwaga

Podczas początkowej konfiguracji opcje portów monitorowania ERSPAN są dostępne tylko w procedurze opartej na przeglądarce.

Jeśli definiujesz szczegóły sieci za pośrednictwem interfejsu wiersza polecenia i chcesz skonfigurować porty monitorowania ERSPAN, zrób to później za pośrednictwem strony połączeń Ustawienia interfejsu czujnika. > Aby uzyskać więcej informacji, zobacz Aktualizowanie interfejsów monitorowania czujnika (configure ERSPAN).

Następne kroki

« Weryfikowanie instalacji oprogramowania czujnika OT

Konfigurowanie ustawień serwera proxy na czujniku OT »