Обнаружение устройств Enterprise IoT с помощью сетевого датчика Enterprise IoT (общедоступная предварительная версия)

Статья
11/08/2023

Внимание

Регистрация нового сетевого датчика Enterprise IoT, как описано в этой статье, больше не доступна. Для клиентов с лицензией ACR или устаревшей лицензией Defender для Интернета вещей поддерживает существующие сетевые датчики Enterprise IoT.

В этой статье описывается, как зарегистрировать сетевой датчик Enterprise IoT в Microsoft Defender для Интернета вещей.

Клиенты XDR в Microsoft Defender с сетевым датчиком Enterprise IoT могут видеть все обнаруженные устройства в инвентаризации устройств в Microsoft Defender XDR или Defender для Интернета вещей. Вы также получите дополнительную ценность безопасности из дополнительных оповещений, уязвимостей и рекомендаций в XDR в Microsoft Defender для недавно обнаруженных устройств.

Если вы являетесь клиентом Defender для Интернета вещей, работающим исключительно в портал Azure, сетевой датчик Enterprise IoT обеспечивает дополнительную видимость устройств Enterprise IoT для устройств Enterprise IoT, таких как устройства Voice over Internet Protocol (VoIP), принтеры и камеры, которые могут не охватываться сетевыми датчиками OT.

Оповещения и рекомендации Defender для Интернета вещей для устройств, обнаруженных датчиком Enterprise IoT, доступны только в портал Azure.

Дополнительные сведения см. в разделе "Защита устройств Интернета вещей в организации".

Внимание

В настоящее время датчик корпоративной сети Интернета вещей находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Необходимые компоненты

В этом разделе описаны предварительные требования, необходимые для развертывания сетевого датчика Enterprise IoT.

Требования Azure

Чтобы просмотреть данные Defender для Интернета вещей в XDR в Microsoft Defender, включая устройства, оповещения, рекомендации и уязвимости, необходимо включить безопасность Enterprise IoT в Microsoft Defender XDR.

Если вы хотите просматривать данные только в портал Azure, вам не нужен XDR в Microsoft Defender. Вы также можете включить безопасность Enterprise IoT в Microsoft Defender XDR после регистрации сетевого датчика, чтобы обеспечить дополнительную видимость и безопасность устройств в вашей организации.
Убедитесь, что вы можете получить доступ к портал Azure как администратор безопасности, участник или пользователь владельца. Если у вас еще нет учетной записи Azure, можно создать ее прямо сейчас.

Требования к сети

Определите устройства и подсети, которые вы хотите отслеживать, чтобы понять, где разместить датчик Enterprise IoT в сети. Может потребоваться развернуть несколько датчиков Enterprise IoT.
Настройте зеркало трафика в сети, чтобы трафик, который вы хотите отслеживать, зеркало датчику Корпоративного Интернета вещей. Поддерживаемые методы зеркало трафика совпадают с методами мониторинга OT. Дополнительные сведения см. в разделе "Выбор метода зеркало трафика" для мониторинга трафика.

Требования к физической или виртуальной машине

Выделите физические (модуль) или виртуальную машину для использования в качестве сетевого датчика. Убедитесь, что компьютер имеет следующие спецификации:

Уровень	Требования
Минимум	Для поддержки до 1 Гбит/с данных: – 4 процессора с тактовой частотой не менее 2,4 ГГц; – 16 ГБ ОЗУ DDR4 или больше; – жесткий диск 250 ГБ.
Рекомендуется	Для поддержки до 15 Гбит/с данных: – 8 процессоров с тактовой частотой не менее 2,4 ГГц; – 32 ГБ ОЗУ DDR4 или больше; – жесткий диск 500 ГБ.

Компьютер также должен иметь следующие функции:

Операционная система Ubuntu 18.04 Server . Если вы еще не установили Ubuntu, скачайте файлы установки во внешнее хранилище, например DVD-диск или диск на ключе, а затем установите его на (модуль) или виртуальной машине. Дополнительные сведения см. в руководстве по записи образов Ubuntu.
Сетевые адаптеры, по крайней мере один для порта мониторинга коммутатора (SPAN) и один для порта управления для доступа к пользовательскому интерфейсу датчика

Ваш датчик Корпоративного Интернета вещей должен иметь доступ к облаку Azure с помощью прямого подключения. Прямые подключения настраиваются для датчиков Enterprise IoT с помощью той же процедуры, что и для датчиков OT. Дополнительные сведения см. в разделе "Подготовка датчиков для управления облаком".

Подготовка физического устройства или виртуальной машины

В этой процедуре описывается подготовка физического устройства или виртуальной машины к установке программного обеспечения сетевого датчика корпоративного Интернета вещей.

Чтобы подготовить устройство, выполните следующие действия.

Подключите сетевой интерфейс (NIC) с физического устройства или виртуальной машины к коммутатору следующим образом:
- Физическое устройство — подключите сетевой адаптер мониторинга напрямую к порту SPAN с помощью медного или оптоволоконного кабеля.
- Виртуальная машина — подключите виртуальную сетевую карту к виртуальному коммутатору и настройте параметры безопасности виртуального коммутатора так, чтобы они поддерживали неизбирательный режим. Дополнительные сведения можно найти, например, в разделе Настройка интерфейса мониторинга SPAN для виртуального устройства.
Войдите на физическое устройство или виртуальную машину и выполните следующую команду, чтобы проверить входящий трафик на порт мониторинга:
```
ifconfig
```
Система отображает список всех отслеживаемых интерфейсов.

Определите интерфейсы, которые требуется отслеживать. Обычно это интерфейсы для которых не отображается IP-адрес. Интерфейсы с входящим трафиком показывают увеличение количества пакетов RX.
Для каждого интерфейса, который требуется отслеживать, выполните следующую команду, чтобы включить простой режим в сетевом адаптере:
```
ifconfig <monitoring port> up promisc
```
Где <monitoring port> — это интерфейс, который требуется отслеживать. Повторите этот шаг для каждого интерфейса, который необходимо отслеживать.

Проверьте сетевое подключение, открыв следующие порты в брандмауэре:

Протокол	Транспорт	Вход и выход	Порт	Назначение
HTTPS	TCP	Вход и выход	443	Облачное подключение
DNS	TCP/UDP	Вход и выход	53	Разрешение адресов

Убедитесь, что физические (модуль) или виртуальная машина могут получить доступ к облаку с помощью HTTPS через порт 443 к следующим конечным точкам Майкрософт:
- Концентратор событий: *.servicebus.windows.net
- Хранилище: *.blob.core.windows.net
- Центр загрузки: download.microsoft.com
- Центр Интернета вещей: *.azure-devices.net
Совет

Вы также можете скачать и добавить диапазоны общедоступных IP-адресов Azure, чтобы брандмауэр позволил конечным точкам Azure, указанным выше, вместе с их регионом.

Диапазоны общедоступных IP-адресов Azure обновляются еженедельно. Новые диапазоны, появившиеся в файле, не будут использоваться в Azure по крайней мере одну неделю. Чтобы использовать этот вариант, скачивайте новый JSON-файл каждую неделю и вносите у себя соответствующие изменения, чтобы правильно определять службы, выполняемые в Azure.

Регистрация датчика Enterprise IoT в Defender для Интернета вещей

В этом разделе описывается регистрация датчика Enterprise IoT в Defender для Интернета вещей. После регистрации датчика вы продолжите установку программного обеспечения мониторинга Enterprise IoT на компьютере датчика.

Чтобы зарегистрировать датчик в портал Azure, выполните следующие действия.

Перейдите в Defender для сайтов Интернета вещей>и датчики, а затем выберите "Подключение датчика>EIoT".
На странице Настройка безопасности корпоративного Интернета вещей введите следующие сведения и нажмите кнопку Зарегистрировать.
- В поле Sensor name (Имя датчика) введите понятное имя для своего датчика.
- В раскрывающемся меню Subscription (Подписка) выберите подписку, в которую нужно добавить датчик.
На экране Sensor registration successful (Регистрация датчика успешно выполнена) отображаются следующие шаги и команда, которые необходимо выполнить для установки датчика.

Например:
Скопируйте команду в безопасное расположение, где вы можете скопировать его в физические (модуль) или виртуальную машину, чтобы установить программное обеспечение датчика.

Установка программного обеспечения датчика Enterprise IoT

В этой процедуре описывается установка программного обеспечения мониторинга Enterprise IoT на компьютере датчика, физического (модуль) или виртуальной машины.

Примечание.

Хотя эта процедура описывает установку программного обеспечения датчиков на виртуальной машине с помощью ESXi, корпоративные датчики Интернета вещей также поддерживаются с помощью Hyper-V.

Чтобы установить программное обеспечение датчика, выполните следующее:

На компьютере датчика войдите в интерфейс командной строки датчика с помощью терминала, например PuTTY или MobaXterm.
Выполните команду, скопированную на шаге регистрации датчика. Например:

Процесс проверка, чтобы узнать, установлена ли требуемая версия Docker. При ее отсутствии установка датчика также устанавливает последнюю версию Docker.

По завершении процесса откроется мастер настройки microsoft-eiot-sensor Ubuntu. В этом мастере клавиши со СТРЕЛКАМИ ВВЕРХ и ВНИЗ используются для навигации, а ПРОБЕЛ — для выбора варианта. Нажмите клавишу ВВОД, чтобы перейти к следующему экрану.
В мастере настройки microsoft-eiot-sensor на экране Укажите имя отслеживаемого интерфейса выберите один или несколько интерфейсов для отслеживания с помощью датчика, а затем нажмите кнопку OK.

Например:
На экране Настройка прокси-сервера выберите, следует ли настроить прокси-сервер для датчика. Например:

Если вы настраиваете прокси-сервер, выберите Да, а затем определите узел прокси-сервера, порт, имя пользователя и пароль, нажимая кнопку ОК после каждого параметра.

Установка занимает несколько минут.
Убедитесь, что на странице Сайты и датчики на портале Azure теперь отображается новый датчик.

Например:

Все датчики корпоративного Интернета вещей на странице Сайты и датчики автоматически добавляются на один и тот же сайт с именем Корпоративная сеть. Дополнительные сведения см. в разделе "Управление датчиками с помощью Defender для Интернета вещей в портале Azure".

Совет

Если данные корпоративного Интернета вещей не отображаются в Defender для Интернета вещей должным образом, убедитесь, что вы просматриваете портал Azure с правильными выбранными подписками. Дополнительные сведения см. в статье Управление параметрами и предпочтениями портала Azure.

Если данные по-прежнему не отображаются должным образом, проверьте настройку датчика из инструмента командной строки.

Просмотр недавно обнаруженных устройств Enterprise IoT

После проверки настройки страница инвентаризации устройств Defender для Интернета вещей начнет заполняться новыми устройствами, обнаруженными датчиком через 15 минут.

Если вы являетесь клиентом Defender для конечной точки с устаревшим планом Enterprise IoT, вы можете просмотреть все обнаруженные устройства на страницах инвентаризации устройств в Defender для Интернета вещей и Microsoft Defender XDR. Обнаруженные устройства включают как устройства, обнаруженные Defender для конечной точки, так и устройства, обнаруженные датчиком Enterprise IoT.

Дополнительные сведения см. в разделе "Управление инвентаризацией устройств" из портал Azure и обнаружения устройств XDR в Microsoft Defender.

Удаление сетевого датчика Enterprise IoT

Удалите датчик, если он больше не используется с Defender для Интернета вещей.

На странице Сайты и датчики на портале Azure найдите датчик в сетке.
В строке датчика выберите меню> "Параметры ... " Удалить датчик.

Дополнительные сведения см. в разделе "Управление датчиками с помощью Defender для Интернета вещей в портале Azure".