Руководство. Подключение и активация виртуального датчика OT

В этом руководстве описывается настройка сети для мониторинга безопасности системы OT с помощью виртуального подключенного к облаку датчика на виртуальной машине с помощью пробной подписки Microsoft Defender для Интернета вещей.

В этом руководстве описано следующее:

  • Скачивание программного обеспечения для виртуального датчика
  • Создание виртуальной машины для датчика
  • установить программное обеспечение виртуального датчика;
  • настроить порт SPAN;
  • Проверка подключения к облаку
  • Подключение и активация виртуального датчика.

Предварительные требования

Чтобы начать, у вас должны быть следующие компоненты:

  • Выполнено "Быстрое начало: начать работу с Defender для Интернета вещей", чтобы ваша подписка Azure была добавлена в Defender для Интернета вещей.

  • Доступ к портал Azure в качестве Администратор безопасности, участника или владельца. Дополнительные сведения см. в статье Роли пользователей Azure для OT и Мониторинг Корпоративного Интернета вещей с помощью Defender для Интернета вещей.

  • Убедитесь, что у вас есть сетевой коммутатор, поддерживающий мониторинг трафика через порт SPAN. Вам также потребуется по крайней мере одно устройство для мониторинга, подключенное к порту SPAN коммутатора.

  • VMware, ESXi 5.5 или более поздней версии, установленные и работающие на датчике.

  • Доступные следующие аппаратные ресурсы для виртуальной машины:

    Тип развертывания Корпоративный Предприятие SMB
    Максимальная пропускная способность 2,5 Гбит/c 800 Мбит/с 160 Мбит/с
    Максимальное количество защищенных устройств 12 000 10 000 800
  • Сведения о следующих сетевых параметрах, используемых для устройства датчика:

    • IP-адрес сети управления
    • Маска подсети датчика
    • Имя узла устройства
    • Адрес DNS
    • Шлюз по умолчанию
    • Входные интерфейсы

Скачивание программного обеспечения для виртуального датчика

Решение Defender для Интернета вещей для безопасности OT включает локальные сетевые датчики, которые подключаются к Defender для Интернета вещей и отправляют данные устройства для анализа.

Вы можете приобрести предварительно настроенные устройства или принести собственное устройство и установить программное обеспечение самостоятельно. В этом руководстве используется собственный компьютер и VMware, а также описывается, как скачать и установить программное обеспечение датчика самостоятельно.

Чтобы скачать программное обеспечение для виртуального датчика:

  1. Для Defender для Интернета вещей на портале Azure На странице "Начало работы" выберите вкладку Датчик.

  2. В окне "Приобретение устройства и установка программного обеспечения " убедитесь, что выбран параметр по умолчанию для последней и рекомендуемой версии программного обеспечения, а затем нажмите кнопку "Скачать".

  3. Сохраните скачанное программное обеспечение в расположении, которое будет доступно с виртуальной машины.

Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

Создание виртуальной машины для датчика

В этой процедуре описывается создание виртуальной машины для датчика с помощью VMware ESXi.

Defender для Интернета вещей также поддерживает другие процессы, такие как использование Hyper-V или физических датчиков. Дополнительные сведения см. в статье Установка Defender для Интернета вещей.

Чтобы создать виртуальную машину для датчика, выполните следующее.

  1. Убедитесь, что у вас есть загруженное и доступное программное обеспечение датчика, и что VMware работает на компьютере.

  2. Войдите в ESXi, выберите соответствующее хранилище данных и щелкните Обозреватель хранилища данных.

  3. Отправьте образ и нажмите Закрыть.

  4. Перейдите в раздел Виртуальные машины, а затем выберите Создать или зарегистрировать виртуальную машину.

  5. Выберите Создать новую виртуальную машину и щелкните Далее.

  6. Добавьте имя датчика и определите следующие параметры:

    • Совместимость: <последняя версия ESXi>

    • Семейство версий гостевой ОС: Linux

    • Версия гостевой ОС: Ubuntu Linux (64-разрядная)

  7. Выберите Далее.

  8. Выберите соответствующее хранилище данных и нажмите кнопку Далее.

  9. Измените параметры виртуального оборудования в соответствии с необходимыми спецификациями. Дополнительные сведения см. в таблице в разделе "Предварительные требования" выше.

  10. Для CD/DVD-диска 1 выберите ISO-файл хранилища данных и выберите программное обеспечение Defender для Интернета вещей, скаченное ранее.

  11. Выберите Далее>Готово.

  12. Включите виртуальную машину и откройте консоль.

Установите программное обеспечение датчика.

В этой процедуре описывается установка программного обеспечения датчика на виртуальной машине.

Чтобы установить программное обеспечение на виртуальном датчике, сделайте следующее:

  1. Откройте консоль виртуальной машины

  2. Виртуальная машина будет запущена с ISO-образа, и появится экран выбора языка. Выберите Английский.

  3. Выберите необходимые спецификации для ваших потребностей, как определено в таблице в разделе "Предварительные требования" выше.

  4. Определите профиль устройства и свойства сети следующим образом:

    Параметр Конфигурация
    Профиль оборудования В зависимости от спецификаций системы.
    Интерфейс управления ens192
    Параметры сети (указываются клиентом) IP-адрес сети управления:
    Маска подсети:
    Имя узла устройства:
    DNS:
    Шлюз по умолчанию:
    Входные интерфейсы:

    Вам не нужно настраивать интерфейс моста, который подходит только для особых вариантов использования.

  5. Введите Y, чтобы принять параметры.

  6. Следующие учетные данные для входа создаются и представляются автоматически. Скопируйте имена пользователей и пароли в надежное место, так как они необходимы для входа на устройство и управления им. Имена пользователей и пароли больше не будут представлены.

    • поддержка: пользователь с правами администратора для управления пользователями.

    • cyberx: эквивалент root для доступа к устройству.

    Дополнительные сведения см. в разделе Привилегированные локальные пользователи по умолчанию.

  7. При перезапуске устройства перейдите к датчику через ранее настроенный IP-адрес: https://<ip_address>.

Проверка после установки

Эта процедура описывает, как проверить установку с помощью собственных проверок работоспособности системы датчика и доступна как для пользователей датчика поддержки , так и для пользователей датчика cyberx .

Чтобы проверить установку:

  1. Войдите в датчик.

  2. Выберите "Параметры системы">"Управление датчиками">"Проверка работоспособности системы".

  3. Выберите следующие команды:

    • Устройство для проверки того, запущена ли система. Убедитесь, что в каждой строке отображается состояние "Выполняется" и в последней строке указано, что система запущена.
    • Версия, чтобы убедиться, что установлена правильная версия.
    • ifconfig, чтобы убедиться, что запущены все входные интерфейсы, настроенные в процессе установки.

настроить порт SPAN;

Виртуальные коммутаторы не имеют возможностей зеркального отображения. Однако для работы с этим руководством можно использовать неизбирательный режим в среде виртуального коммутатора, чтобы просмотреть весь сетевой трафик, проходящий через виртуальный коммутатор.

В этой процедуре описывается настройка порта SPAN с помощью обходного решения с VMware ESXi.

Примечание

Неизбирательный режим — это режим работы и метод мониторинга безопасности для интерфейсов виртуальной машины на том же уровне группы портов, что и виртуальный коммутатор для просмотра сетевого трафика коммутатора. По умолчанию неизбирательный режим отключен, но его можно определить на уровне виртуального коммутатора или группы портов.

Чтобы настроить порт SPAN с использованием ESXi, сделайте следующее:

  1. Откройте свойства виртуального коммутатора.

  2. Выберите Добавить.

  3. Выберите Виртуальная машина >Далее.

  4. Вставьте метку сети Сеть SPAN, выберите Идентификатор виртуальной ЛС >Все, а затем нажмите кнопку Далее.

  5. Нажмите кнопку Готово.

  6. Выберите Сеть SPAN >Редактировать.

  7. Выберите Безопасность и убедитесь в том, что для политики неизбирательного режима установлено значение Принять режим.

  8. Нажмите кнопку ОК, а затем кнопку Закрыть, чтобы закрыть свойства виртуального коммутатора.

  9. Откройте свойства виртуальной машины XSense.

  10. Для сетевого адаптера 2 выберите сеть SPAN.

  11. Щелкните ОК.

  12. Подключитесь к датчику и проверьте, работает ли зеркальное отображение.

Подключение и активация виртуального датчика.

Прежде чем приступить к использованию датчика Defender для Интернета вещей, необходимо подключить новый виртуальный датчик к подписке Azure и скачать файл активации виртуального датчика, чтобы активировать его.

Подключение виртуального датчика

Чтобы подключить виртуальный датчик, сделайте следующее:

  1. На портале Azure перейдите на страницу "Defender для IoT" > "Начало работы".

  2. В левом нижнем углу выберите "Настройка безопасности OT/ICS".

    Снимок экрана: страница

    На странице "Настройка безопасности OT/ICS" вы можете оставить свернутыми "Шаг 1. Вы настроили датчик?" и "Шаг 2. Настройка порта SPAN или TAP", так как вы уже выполняли эти задачи в этом учебнике.

  3. В "Шаге 3. Зарегистрируйте этот датчик в Microsoft Defender для Интернета вещей", определите следующие значения:

    Имя Описание
    Имя датчика Введите имя для датчика.

    Мы рекомендуем включить в это имя IP-адрес датчика или выбрать легко узнаваемое имя. Такой способ именования датчика упростит отслеживание.
    Подписка Выберите подписку Azure, в которую нужно добавить датчики.
    Подключение к облаку Выберите подключение датчика напрямую к Azure.
    Автоматические обновления аналитики угроз Отображается только в том случае, если переключатель "Подключение к облаку" включен. Выберите, чтобы пакеты аналитики угроз Microsoft автоматически обновлялись на вашем датчике. Дополнительную информацию см. в разделе "Исследования и пакеты аналитики угроз".
    Версия датчика Отображается только в том случае, если переключатель "Подключение к облаку" включен. Выберите версию программного обеспечения, установленную на датчике.
    Сайт Определите сайт, на котором нужно связать датчик, или выберите "Создать сайт", чтобы создать новый сайт. Определите отображаемое имя сайта и необязательные теги, которые помогут определить сайт позже.
    Зона Определите зону, в которой нужно связать датчик, или выберите "Создать сайт", чтобы создать новый сайт.
  4. Выберите "Зарегистрировать", чтобы добавить датчик в Defender для Интернета вещей. Появится сообщение об успешном выполнении, и файл активации будет скачан автоматически. Файл активации уникален для датчика и содержит инструкции по режиму управления датчика.

    Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

  5. Сохраните скачанный файл активации в расположении, которое будет доступно пользователю, впервые входящему в консоль.

    Вы также можете скачать файл вручную, щелкнув соответствующую ссылку в поле Активация датчика . Этот файл будет использоваться для активации датчика, как описано ниже.

  6. Убедитесь, что новый датчик сможет успешно подключиться к Azure. В поле Добавление правил разрешения исходящего трафика выберите ссылку Скачать сведения о конечной точке , чтобы скачать список конечных точек JSON, которые необходимо настроить в качестве безопасных конечных точек с датчика. Например:

    Снимок экрана: поле **Добавить правила разрешения исходящего трафика**.

    Чтобы убедиться, что датчик может подключаться к Azure, настройте перечисленные конечные точки как разрешенный исходящий трафик HTTPS через порт 443. Вам потребуется настроить эти правила разрешения для исходящего трафика один раз для всех датчиков OT, подключенных к одной подписке.

    Совет

    Вы также можете получить доступ к списку необходимых конечных точек на странице Сайты и датчики . Дополнительные сведения см. в разделе Параметры управления датчиками на портале Azure.

  7. В нижнем левом углу страницы нажмите кнопку "Готово". Теперь новый датчик отображается на странице "Сайты и датчики" Defender для Интернета вещей.

Дополнительные сведения см. в разделе "Управление датчиками с помощью Defender для Интернета вещей в портале Azure".

Активация датчика

В этой процедуре описывается, как использовать файл активации датчика, скачанный из Defender для Интернета вещей, в портал Azure для активации добавленного датчика.

Чтобы активировать датчик:

  1. Перейдите в консоль датчика из браузера, используя IP-адрес, определенный во время установки. Откроется диалоговое окно входа.

    Снимок экрана: страница входа датчика Defender для Интернета вещей.

  2. Введите учетные данные, определенные во время установки датчика.

  3. Выберите Вход/Далее. Откроется вкладка Параметры сети датчика.

    Снимок экрана: параметры сети датчика при входе в датчик.

  4. На вкладке "Параметры сети датчика" можно изменить конфигурацию сети датчика, определенную во время установки. Для работы с этим руководством оставьте значения по умолчанию и нажмите кнопку "Далее".

  5. На вкладке "Активация" выберите "Передать", а затем перейдите к файлу активации и выберите его.

  6. Подтвердите условия, а затем выберите "Активировать".

  7. На вкладке "Сертификаты SSL/TLS" можно импортировать доверенный сертификат центра сертификации, который является рекомендуемым процессом для рабочих сред. Однако в целях учебника можно выбрать "Использовать локально созданный самозаверяющий сертификат", а затем нажать "Готово".

Датчик активирован и подключен к Defender для Интернета вещей. На странице "Сайты и датчики" можно увидеть, что в столбце "Состояние датчика" видна зеленая галочка и отображается состояние "ОК".

Дальнейшие действия

После подключения датчика OT перейдите к любому из следующих шагов, чтобы начать анализ данных: