Samouczek: dołączanie i aktywowanie wirtualnego czujnika OT

W tym samouczku opisano podstawy konfigurowania czujnika usługi Microsoft Defender dla IoT OT przy użyciu subskrypcji próbnej usługi Microsoft Defender dla IoT i własnej maszyny wirtualnej.

Aby uzyskać pełne, kompleksowe wdrożenie, pamiętaj, aby wykonać kroki planowania i przygotowywania systemu, a także w pełni skalibrować i dostosowywać ustawienia. Aby uzyskać więcej informacji, zobacz Deploy Defender for IoT for IoT for OT monitoring (Wdrażanie usługi Defender dla IoT na potrzeby monitorowania ot).

Uwaga

Jeśli chcesz skonfigurować monitorowanie zabezpieczeń dla systemów IoT przedsiębiorstwa, zobacz Włączanie zabezpieczeń IoT przedsiębiorstwa w usłudze Defender for Endpoint.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzenie maszyny wirtualnej dla czujnika
• Dołączanie czujnika wirtualnego
• Konfigurowanie portu virtual SPAN
• Aprowizuj zarządzanie chmurą
• Pobieranie oprogramowania dla czujnika wirtualnego
• Instalowanie oprogramowania czujnika wirtualnego
• Aktywowanie czujnika wirtualnego

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące elementy:

• Ukończono Szybki start: wprowadzenie do usługi Defender dla IoT , dzięki czemu masz subskrypcję platformy Azure dodaną do usługi Defender dla IoT.

• Dostęp do witryny Azure Portal jako administrator zabezpieczeń, współautor lub właściciel. Aby uzyskać więcej informacji, zobacz Role użytkowników platformy Azure na potrzeby monitorowania ot i przedsiębiorstwa IoT za pomocą usługi Defender dla IoT.

• Upewnij się, że masz przełącznik sieciowy obsługujący monitorowanie ruchu za pośrednictwem portu SPAN. Konieczne będzie również monitorowanie co najmniej jednego urządzenia połączonego z portem SPAN przełącznika.

• Oprogramowanie VMware, ESXi 5.5 lub nowsze zainstalowane i działające na czujniku.

• Dostępne zasoby sprzętowe dla maszyny wirtualnej w następujący sposób:

  Typ wdrożenia	Korporacyjny	Przedsiębiorstwa	SMB
  Maksymalna przepustowość	2,5 Gb/s	800 Mb/s	160 Mb/s
  Maksymalna liczba chronionych urządzeń	12 000	10,000	800

• Znajomość monitorowania ot za pomocą urządzeń wirtualnych.

• Szczegółowe informacje dotyczące następujących parametrów sieci do użycia dla urządzenia czujnika:

  • Adres IP sieci zarządzania
  • Maska podsieci czujnika
  • Nazwa hosta urządzenia
  • Adres DNS
  • Brama domyślna
  • Wszystkie interfejsy wejściowe

Tworzenie maszyny wirtualnej dla czujnika

W tej procedurze opisano sposób tworzenia maszyny wirtualnej dla czujnika za pomocą programu VMware ESXi.

Usługa Defender dla IoT obsługuje również inne procesy, takie jak używanie funkcji Hyper-V lub czujników fizycznych. Aby uzyskać więcej informacji, zobacz Defender for IoT installation (Instalacja usługi Defender dla IoT).

Aby utworzyć maszynę wirtualną dla czujnika:

1. Upewnij się, że na maszynie działa program VMware.

2. Zaloguj się do aplikacji ESXi, wybierz odpowiedni magazyn danych i wybierz pozycję Przeglądarka magazynu danych.

3. Przekaż obraz i wybierz pozycję Zamknij.

4. Przejdź do pozycji Maszyny wirtualne, a następnie wybierz pozycję Utwórz/Zarejestruj maszynę wirtualną.

5. Wybierz pozycję Utwórz nową maszynę wirtualną, a następnie wybierz pozycję Dalej.

6. Dodaj nazwę czujnika, a następnie zdefiniuj następujące opcje:

   • Zgodność: <najnowsza wersja ESXi>

   • Rodzina systemów operacyjnych gościa: Linux

   • Wersja systemu operacyjnego gościa: Debian

7. Wybierz Dalej.

8. Wybierz odpowiedni magazyn danych i wybierz przycisk Dalej.

9. Zmień parametry sprzętu wirtualnego zgodnie z wymaganymi specyfikacjami dla Twoich potrzeb. Aby uzyskać więcej informacji, zobacz tabelę w powyższej sekcji Wymagania wstępne .

Maszyna wirtualna jest teraz przygotowana do instalacji oprogramowania usługi Defender dla IoT. Kontynuując instalowanie oprogramowania w dalszej części tego samouczka, po dołączeniu czujnika w witrynie Azure Portal, skonfigurowaniu dublowania ruchu i aprowizowaniu maszyny do zarządzania chmurą.

Dołączanie czujnika wirtualnego

Przed rozpoczęciem korzystania z czujnika usługi Defender dla IoT należy dołączyć nowy czujnik wirtualny do subskrypcji platformy Azure.

Aby dołączyć czujnik wirtualny:

1. W witrynie Azure Portal przejdź do strony Wprowadzenie do usługi Defender for IoT>.

2. W lewym dolnym rogu wybierz pozycję Skonfiguruj zabezpieczenia OT/ICS.

   Alternatywnie na stronie Witryny i czujniki usługi Defender for IoT wybierz pozycję Dołącz czujnik> OT.

   Domyślnie na stronie Konfigurowanie zabezpieczeń OT/ICS krok 1: Czy skonfigurowano czujnik? i Krok 2: Konfigurowanie portu SPAN lub NACIŚNIĘCIe kreatora zostało zwinięte.

   Zainstalujesz oprogramowanie i skonfigurujesz dublowanie ruchu w dalszej części procesu wdrażania, ale urządzenia powinny być gotowe i planowane metody dublowania ruchu.

3. W kroku 3. Zarejestruj ten czujnik w usłudze Microsoft Defender dla IoT, zdefiniuj następujące wartości:

   Nazwa pola	opis
   Nazwa zasobu	Wybierz lokację, do której chcesz dołączyć czujniki, lub wybierz pozycję Utwórz lokację , aby utworzyć nową lokację. Jeśli tworzysz nową witrynę: 1. W polu Nowa witryna wprowadź nazwę witryny i wybierz przycisk znacznika wyboru. 2. W menu Rozmiar witryny wybierz rozmiar witryny. Rozmiary wymienione w tym menu to rozmiary licencjonowane na podstawie licencji zakupionych w Centrum administracyjne platformy Microsoft 365.
   Nazwa wyświetlana	Wprowadź zrozumiałą nazwę witryny, która ma być wyświetlana w usłudze Defender dla IoT.
   Tagi	Wprowadź klucz i wartości tagu, aby ułatwić identyfikację i zlokalizowanie witryny oraz czujnika w witrynie Azure Portal.
   Strefa	Wybierz strefę, której chcesz użyć dla czujnika OT, lub wybierz pozycję Utwórz strefę , aby utworzyć nową strefę.

   Aby uzyskać więcej informacji, zobacz Planowanie witryn i stref OT.

4. Po zakończeniu pracy ze wszystkimi innymi polami wybierz pozycję Zarejestruj , aby dodać czujnik do usługi Defender dla IoT. Zostanie wyświetlony komunikat o powodzeniu i plik aktywacji zostanie automatycznie pobrany. Plik aktywacji jest unikatowy dla czujnika i zawiera instrukcje dotyczące trybu zarządzania czujnika.

   Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

5. Zapisz pobrany plik aktywacji w lokalizacji, która będzie dostępna dla użytkownika logującego się do konsoli po raz pierwszy, aby mógł aktywować czujnik.

   Możesz również pobrać plik ręcznie, wybierając odpowiedni link w polu Aktywuj czujnik . Użyjesz tego pliku do aktywowania czujnika, jak opisano poniżej.

6. W polu Dodawanie reguł zezwalania na ruch wychodzący wybierz link Pobierz szczegóły punktu końcowego, aby pobrać listę punktów końcowych JSON, które należy skonfigurować jako bezpieczne punkty końcowe z czujnika.

   Zapisz pobrany plik lokalnie. Użyj punktów końcowych wymienionych w pobranym pliku w dalszej części tego samouczka , aby upewnić się, że nowy czujnik może pomyślnie nawiązać połączenie z platformą Azure.

   Napiwek

   Dostęp do listy wymaganych punktów końcowych można również uzyskać na stronie Witryny i czujniki . Aby uzyskać więcej informacji, zobacz Opcje zarządzania czujnikami w witrynie Azure Portal.

7. W lewym dolnym rogu strony wybierz pozycję Zakończ. Nowy czujnik można teraz wyświetlić na stronie Witryny i czujniki usługi Defender for IoT.

   Do momentu aktywowania czujnika stan czujnika będzie wyświetlany jako Oczekująca aktywacja.

Aby uzyskać więcej informacji, zobacz Zarządzanie czujnikami za pomocą usługi Defender for IoT w witrynie Azure Portal.

Konfigurowanie portu SPAN

Przełączniki wirtualne nie mają możliwości dublowania. Jednak na potrzeby tego samouczka można użyć trybu promisku w środowisku przełącznika wirtualnego, aby wyświetlić cały ruch sieciowy przechodzący przez przełącznik wirtualny.

W tej procedurze opisano sposób konfigurowania portu SPAN przy użyciu obejścia w programie VMware ESXi.

Uwaga

Tryb promiskuous to tryb operacyjny i technika monitorowania zabezpieczeń interfejsów maszyny wirtualnej na tym samym poziomie grupy portów co przełącznik wirtualny w celu wyświetlenia ruchu sieciowego przełącznika. Tryb promiscuous jest domyślnie wyłączony, ale można go zdefiniować na poziomie przełącznika wirtualnego lub grupy portów.

Aby skonfigurować interfejs monitorowania z trybem promiscuous na przełączniku ESXi v-Switch:

1. Otwórz stronę właściwości przełącznika wirtualnego i wybierz pozycję Dodaj standardowy przełącznik wirtualny.

2. Wprowadź wartość SPAN Network jako etykietę sieciową.

3. W polu MTU wprowadź wartość 4096.

4. Wybierz pozycję Zabezpieczenia i sprawdź, czy zasady trybu promiskuous są ustawione na wartość Akceptuj tryb.

5. Wybierz pozycję Dodaj , aby zamknąć właściwości przełącznika wirtualnego.

6. Wyróżnij utworzony przełącznik vSwitch i wybierz pozycję Dodaj pasma.

7. Wybierz fizyczną kartę sieciową używaną dla ruchu SPAN, zmień wartość jednostki MTU na 4096, a następnie wybierz pozycję Zapisz.

8. Otwórz stronę Właściwości grupy portów i wybierz pozycję Dodaj grupę portów.

9. Wprowadź ciąg SPAN Port Group (Grupa portów SPAN) jako nazwę, wprowadź wartość 4095 jako identyfikator sieci VLAN, a następnie wybierz pozycję SPAN Network (Sieć SPAN) z listy rozwijanej vSwitch, a następnie wybierz pozycję Dodaj.

10. Otwórz właściwości maszyny wirtualnej czujnika OT.

11. W polu Karta sieciowa 2 wybierz sieć SPAN .

12. Wybierz przycisk OK.

13. Połącz się z czujnikiem i sprawdź, czy funkcja dublowania działa.

Weryfikowanie dublowania ruchu

Po skonfigurowaniu dublowania ruchu spróbuj odebrać próbkę zarejestrowanego ruchu (plik PCAP) z przełącznika SPAN lub portu dublowanego.

Przykładowy plik PCAP pomoże Ci:

• Weryfikowanie konfiguracji przełącznika
• Upewnij się, że ruch przechodzący przez przełącznik jest odpowiedni do monitorowania
• Identyfikowanie przepustowości i szacowanej liczby urządzeń wykrytych przez przełącznik

1. Użyj aplikacji analizatora protokołu sieciowego, takiej jak Wireshark, aby zarejestrować przykładowy plik PCAP przez kilka minut. Na przykład podłącz laptopa do portu, na którym skonfigurowano monitorowanie ruchu.

2. Sprawdź, czy pakiety emisji pojedynczej znajdują się w ruchu rejestrującym. Ruch emisji pojedynczej jest wysyłany z adresu do innego.

   Jeśli większość ruchu to komunikaty ARP, konfiguracja dublowania ruchu nie jest poprawna.

3. Sprawdź, czy protokoły OT znajdują się w analizowanym ruchu.

   Na przykład:

   

Aprowizuj zarządzanie chmurą

W tej sekcji opisano sposób konfigurowania punktów końcowych do definiowania w regułach zapory, dzięki czemu czujniki OT mogą łączyć się z platformą Azure.

Aby uzyskać więcej informacji, zobacz Metody łączenia czujników z platformą Azure.

Aby skonfigurować szczegóły punktu końcowego:

Otwórz pobrany wcześniej plik, aby wyświetlić listę wymaganych punktów końcowych. Skonfiguruj reguły zapory, aby czujnik mógł uzyskać dostęp do każdego z wymaganych punktów końcowych za pośrednictwem portu 443.

Napiwek

Listę wymaganych punktów końcowych można również pobrać ze strony Witryny i czujniki w witrynie Azure Portal. Przejdź do pozycji Witryny i czujniki>Więcej akcji>Pobierz szczegóły punktu końcowego. Aby uzyskać więcej informacji, zobacz Opcje zarządzania czujnikami w witrynie Azure Portal.

Aby uzyskać więcej informacji, zobacz Provision sensors for cloud management (Aprowizuj czujniki do zarządzania chmurą).

Pobieranie oprogramowania dla czujnika wirtualnego

W tej sekcji opisano sposób pobierania i instalowania oprogramowania czujnika na własnej maszynie.

Aby pobrać oprogramowanie dla czujników wirtualnych:

1. W witrynie Azure Portal przejdź do strony Wprowadzenie do usługi Defender for IoT > i wybierz kartę Czujnik.

2. W polu Zakup urządzenia i zainstaluj oprogramowanie upewnij się, że dla najnowszej i zalecanej wersji oprogramowania jest wybrana opcja domyślna, a następnie wybierz pozycję Pobierz.

3. Zapisz pobrane oprogramowanie w lokalizacji dostępnej z maszyny wirtualnej.

Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

Instalowanie oprogramowania czujnika

W tej procedurze opisano sposób instalowania oprogramowania czujnika na maszynie wirtualnej.

Uwaga

Na koniec tego procesu zostaną wyświetlone nazwy użytkowników i hasła dla urządzenia. Pamiętaj, aby skopiować te hasła, ponieważ te hasła nie zostaną ponownie wyświetlone.

Aby zainstalować oprogramowanie na czujniku wirtualnym:

1. Jeśli maszyna wirtualna została zamknięta, zaloguj się ponownie do programu ESXi i otwórz ustawienia maszyny wirtualnej.

2. W polu Dysk CD/DVD 1 wybierz pozycję Plik ISO magazynu danych i wybierz pobrane wcześniej oprogramowanie Defender for IoT.

3. Wybierz pozycje Next>Finish (Dalej, Zakończ).

4. Włącz maszynę wirtualną i otwórz konsolę.

5. Po uruchomieniu instalacji zostanie wyświetlony monit o uruchomienie procesu instalacji. Wybierz element Install iot-sensor- (Zainstaluj iot-sensor-<version number> ), aby kontynuować lub zezwolić na automatyczne uruchamianie po upływie 30 sekund. Na przykład:

   

   Uwaga

   Jeśli używasz starszej wersji systemu BIOS, zostanie wyświetlony monit o wybranie języka, a opcje instalacji są wyświetlane w lewym górnym rogu zamiast w środku. Po wyświetleniu monitu wybierz English opcję Zainstaluj iot-sensor-<version number> , aby kontynuować.

   Rozpoczyna się instalacja, zapewniając zaktualizowane komunikaty o stanie w miarę jego pisania. Cały proces instalacji trwa do 20–30 minut i może się różnić w zależności od typu używanego nośnika.

   Po zakończeniu instalacji zostanie wyświetlony następujący zestaw domyślnych szczegółów sieci.

   IP: 172.23.41.83,
   SUBNET: 255.255.255.0,
   GATEWAY: 172.23.41.1,
   UID: 91F14D56-C1E4-966F-726F-006A527C61D
   

Użyj domyślnego adresu IP podanego, aby uzyskać dostęp do czujnika w celu wstępnej konfiguracji i aktywacji.

Walidacja po instalacji

W tej procedurze opisano sposób weryfikacji instalacji przy użyciu własnych testów kondycji systemu czujnika i jest dostępny dla domyślnego użytkownika administratora .

Aby zweryfikować instalację:

1. Zaloguj się do czujnika OT jako admin użytkownik.

2. Wybierz pozycję System Settings>Sensor Management System Health Check (Kontrola kondycji systemu zarządzania czujnikami).>

3. Wybierz następujące polecenia:

   • Urządzenie , aby sprawdzić, czy system jest uruchomiony. Sprawdź, czy w każdym wierszu jest wyświetlana pozycja Uruchomiono i czy ostatni wiersz wskazuje, że system jest uruchomiony.
   • Wersja , aby sprawdzić, czy masz zainstalowaną poprawną wersję.
   • ifconfig , aby sprawdzić, czy wszystkie interfejsy wejściowe skonfigurowane podczas instalacji są uruchomione.

Aby uzyskać więcej testów weryfikacji po instalacji, takich jak sprawdzanie bramy, systemu DNS lub zapory, zobacz Weryfikowanie instalacji oprogramowania czujnika OT.

Definiowanie konfiguracji początkowej

Poniższa procedura opisuje sposób konfigurowania początkowych ustawień konfiguracji czujnika, w tym:

• Logowanie się do konsoli czujnika i zmienianie hasła użytkownika administratora
• Definiowanie szczegółów sieci dla czujnika
• Definiowanie interfejsów, które chcesz monitorować
• Aktywowanie czujnika
• Konfigurowanie ustawień certyfikatu SSL/TLS

Zaloguj się do konsoli czujnika i zmień hasło domyślne

W tej procedurze opisano sposób logowania się do konsoli czujnika OT po raz pierwszy. Zostanie wyświetlony monit o zmianę domyślnego hasła użytkownika administratora .

Aby zalogować się do czujnika:

1. W przeglądarce przejdź do 192.168.0.101 adresu IP, który jest domyślnym adresem IP podanym dla czujnika na końcu instalacji.

   Zostanie wyświetlona początkowa strona logowania. Na przykład:

   

2. Wprowadź następujące poświadczenia i wybierz pozycję Zaloguj się:

   • Nazwa użytkownika: support
   • Hasło: support

   Zostanie wyświetlone pytanie o zdefiniowanie nowego hasła dla użytkownika administracyjnego.

3. W polu Nowe hasło wprowadź nowe hasło. Hasło musi zawierać małe i wielkie litery, cyfry i symbole.

   W polu Potwierdź nowe hasło ponownie wprowadź nowe hasło, a następnie wybierz pozycję Rozpocznij.

   Aby uzyskać więcej informacji, zobacz Domyślne uprzywilejowane użytkowników.

Usługa Defender dla IoT | Strona Przegląd zostanie otwarta na karcie Interfejs zarządzania.

Definiowanie szczegółów sieci czujników

Na karcie Interfejs zarządzania użyj następujących pól, aby zdefiniować szczegóły sieci dla nowego czujnika:

Nazwa/nazwisko	opis
Interfejs zarządzania	Wybierz interfejs, którego chcesz użyć jako interfejsu zarządzania i połącz się z witryną Azure Portal. Aby zidentyfikować interfejs fizyczny na maszynie, wybierz interfejs, a następnie wybierz pozycję Dioda LED interfejsu fizycznego Blink. Port pasujący do wybranego interfejsu świeci się tak, aby można było poprawnie podłączyć.
IP Address	Wprowadź adres IP, którego chcesz użyć dla czujnika. Jest to adres IP używany przez zespół do nawiązywania połączenia z czujnikiem za pośrednictwem przeglądarki lub interfejsu wiersza polecenia.
Maska podsieci	Wprowadź adres, którego chcesz użyć jako maski podsieci czujnika.
Brama domyślna	Wprowadź adres, którego chcesz użyć jako bramy domyślnej czujnika.
DNS	Wprowadź adres IP serwera DNS czujnika.
Nazwa hosta	Wprowadź nazwę hosta, którą chcesz przypisać do czujnika. Upewnij się, że używasz tej samej nazwy hosta, która jest zdefiniowana na serwerze DNS.

Na potrzeby tego samouczka pozostaw pomiń konfiguracje serwera proxy w obszarze Włącz serwer proxy dla łączności w chmurze (opcjonalnie).

Po zakończeniu wybierz pozycję Dalej: konfiguracje interfejsu , aby kontynuować.

Definiowanie interfejsów, które chcesz monitorować

Karta Połączenia interfejsu zawiera wszystkie interfejsy wykryte przez czujnik domyślnie. Użyj tej karty, aby włączyć lub wyłączyć monitorowanie dla każdego interfejsu lub zdefiniować określone ustawienia dla każdego interfejsu.

Napiwek

Zalecamy zoptymalizowanie wydajności czujnika przez skonfigurowanie ustawień w celu monitorowania tylko interfejsów, które są aktywnie używane.

Na karcie Konfiguracje interfejsu wykonaj następujące czynności, aby skonfigurować ustawienia dla monitorowanych interfejsów:

1. Wybierz przełącznik Włącz/Wyłącz dla wszystkich interfejsów, które mają być monitorowane przez czujnik. Aby kontynuować, musisz wybrać co najmniej jeden interfejs.

   Jeśli nie masz pewności, którego interfejsu użyć, wybierz przycisk LED interfejsu fizycznego Blink, aby wybrać portu na maszynie. Wybierz dowolny interfejs, który został połączony z przełącznikiem.

2. Na potrzeby tego samouczka pomiń wszystkie ustawienia zaawansowane i wybierz pozycję Dalej: Uruchom ponownie > , aby kontynuować.

3. Po wyświetleniu monitu wybierz pozycję Uruchom ponowny rozruch , aby ponownie uruchomić maszynę czujnika. Po ponownym uruchomieniu czujnika nastąpi automatyczne przekierowanie do zdefiniowanego wcześniej adresu IP jako adresu IP czujnika.

   Wybierz pozycję Anuluj , aby poczekać na ponowny rozruch.

Aktywowanie czujnika OT

W tej procedurze opisano sposób aktywowania nowego czujnika OT.

Aby aktywować czujnik:

1. Na karcie Aktywacja wybierz pozycję Przekaż , aby przekazać plik aktywacji czujnika pobrany z witryny Azure Portal.

2. Wybierz opcję Warunki i postanowienia, a następnie wybierz pozycję Dalej: Certyfikaty.

Definiowanie ustawień certyfikatu SSL/TLS

Użyj karty Certyfikaty, aby wdrożyć certyfikat SSL/TLS na czujniku OT. Chociaż zalecamy używanie certyfikatu podpisanego przez urząd certyfikacji dla wszystkich środowisk produkcyjnych, na potrzeby tego samouczka wybierz opcję użycia certyfikatu z podpisem własnym.

Aby zdefiniować ustawienia certyfikatu SSL/TLS:

1. Na karcie Certyfikaty wybierz pozycję Użyj certyfikatu z podpisem lokalnym (niezalecane), a następnie wybierz opcję Potwierdź.

   Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych i Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

2. Wybierz pozycję Zakończ , aby ukończyć początkową konfigurację i otworzyć konsolę czujnika.

Następne kroki

Pełna ścieżka wdrożenia monitorowania ot