Руководство. Подключение и активация виртуального датчика OT

  • Статья

В этом руководстве описаны основы настройки датчика Microsoft Defender для Интернета вещей OT с помощью пробной подписки Microsoft Defender для Интернета вещей и собственной виртуальной машины.

Для полного комплексного развертывания обязательно следуйте инструкциям по планированию и подготовке системы, а также полной калибровке и точной настройке параметров. Дополнительные сведения см. в статье "Развертывание Defender для Интернета вещей для мониторинга OT".

Примечание.

Если вы хотите настроить мониторинг безопасности для корпоративных систем Интернета вещей, см. статью "Включить безопасность Enterprise IoT" в Defender для конечной точки.

В этом руководстве описано следующее:

  • Создание виртуальной машины для датчика
  • Подключение виртуального датчика
  • Настройка виртуального порта SPAN
  • Подготовка к управлению облаком
  • Скачивание программного обеспечения для виртуального датчика
  • установить программное обеспечение виртуального датчика;
  • Активация виртуального датчика

Необходимые компоненты

Чтобы начать, у вас должны быть следующие компоненты:

  • Полный текст документа Краткое руководство. Начало работы с Defender для Интернета вещей, чтобы ваша подписка Azure была добавлена в Defender для Интернета вещей.

  • Доступ к портал Azure в качестве Администратор безопасности, участника или владельца. Дополнительные сведения см. в статье о ролях пользователей Azure для мониторинга OT и Enterprise IoT с помощью Defender для Интернета вещей.

  • Убедитесь, что у вас есть сетевой коммутатор, поддерживающий мониторинг трафика через порт SPAN. Вам также потребуется по крайней мере одно устройство для мониторинга, подключенного к порту SPAN коммутатора.

  • VMware, ESXi 5.5 или более поздней версии, установленные и работающие на датчике.

  • Доступные следующие аппаратные ресурсы для виртуальной машины:

    Тип развертывания Корпоративные Функции корпоративного уровня SMB
    Максимальная пропускная способность 2,5 Гбит/c 800 Мбит/с 160 Мбит/с
    Максимально защищенные устройства 12 000 10,000 800

  • Понимание мониторинга OT с помощью виртуальных (модуль).

  • Сведения о следующих сетевых параметрах, используемых для устройства датчика:

    • IP-адрес сети управления
    • Маска подсети датчика
    • Имя узла устройства
    • Адрес DNS
    • Шлюз по умолчанию
    • Входные интерфейсы

Создание виртуальной машины для датчика

В этой процедуре описывается создание виртуальной машины для датчика с помощью VMware ESXi.

Defender для Интернета вещей также поддерживает другие процессы, такие как использование Hyper-V или физических датчиков. Дополнительные сведения см. в статье Установка Defender для Интернета вещей.

Чтобы создать виртуальную машину для датчика, выполните следующее.

  1. Убедитесь, что VMware работает на компьютере.

  2. Войдите в ESXi, выберите соответствующее хранилище данных и щелкните Обозреватель хранилища данных.

  3. Отправьте образ и нажмите Закрыть.

  4. Перейдите в раздел Виртуальные машины, а затем выберите Создать или зарегистрировать виртуальную машину.

  5. Выберите Создать новую виртуальную машину и щелкните Далее.

  6. Добавьте имя датчика и определите следующие параметры:

    • Совместимость: <последняя версия ESXi>

    • Семейство версий гостевой ОС: Linux

    • Версия гостевой ОС: Ubuntu Linux (64-разрядная)

  7. Выберите Далее.

  8. Выберите соответствующее хранилище данных и нажмите кнопку Далее.

  9. Измените параметры виртуального оборудования в соответствии с необходимыми спецификациями. Дополнительные сведения см. в таблице в разделе "Предварительные требования" выше.

Теперь виртуальная машина готова к установке программного обеспечения Defender для Интернета вещей. Вы продолжите установку программного обеспечения далее в этом руководстве после подключения датчика в портал Azure, настройки трафика зеркало и подготовки компьютера для управления облаком.

Подключение виртуального датчика

Прежде чем приступить к использованию датчика Defender для Интернета вещей, необходимо подключить новый виртуальный датчик к подписке Azure.

Чтобы подключить виртуальный датчик, сделайте следующее:

  1. На портале Azure перейдите на страницу "Defender для IoT" > "Начало работы".

  2. В левом нижнем углу выберите "Настройка безопасности OT/ICS".

    Кроме того, на странице "Сайты и датчики Defender для Интернета вещей" выберите onboard OT датчика>OT.

    По умолчанию на странице Set up OT/ICS Security (Настройка безопасности OT/ICS) разделы Step 1: Did you set up a sensor? (Шаг 1. Настроен ли датчик?) и Step 2: Configure SPAN port or TAP (​Шаг 2. Настройка порта SPAN или TAP) мастера свернуты.

    Вы установите программное обеспечение и настроите зеркало трафика позже в процессе развертывания, но должны иметь готовые (модуль) и метод зеркало обработки трафика.

  3. В "Шаге 3. Зарегистрируйте этот датчик в Microsoft Defender для Интернета вещей", определите следующие значения:

    Имя поля Description
    Имя ресурса Выберите сайт, к которому нужно подключить датчики, или выберите "Создать сайт ", чтобы создать новый сайт.

    Если вы создаете новый сайт, выполните следующие действия.
    1. В поле "Создать сайт" введите имя сайта и нажмите кнопку проверка mark.
    2. В меню "Размер сайта" выберите размер сайта. Размеры, перечисленные в этом меню, — это размеры, которые вы лицензируете на основе лицензий, приобретенных в Центр администрирования Microsoft 365.
    Отображаемое имя Введите понятное имя для вашего сайта, отображаемого в Defender для Интернета вещей.
    Теги Введите ключ тега и значения, чтобы определить и найти сайт и датчик в портал Azure.
    Зона Выберите зону, которую вы хотите использовать для датчика OT, или выберите "Создать зону", чтобы создать новую.

    Дополнительные сведения см. в разделе "Планирование сайтов и зон OT".

  4. После завершения работы со всеми остальными полями нажмите кнопку "Зарегистрировать ", чтобы добавить датчик в Defender для Интернета вещей. Появится сообщение об успешном выполнении, и файл активации будет скачан автоматически. Файл активации уникален для датчика и содержит инструкции по режиму управления датчика.

    Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

  5. Сохраните скачанный файл активации в расположении, которое будет доступно пользователю впервые входить в консоль, чтобы активировать датчик.

    Вы также можете скачать файл вручную, выбрав соответствующую ссылку в поле "Активировать датчик ". Этот файл будет использоваться для активации датчика, как описано ниже.

  6. В поле правил "Добавить исходящий трафик" выберите ссылку "Скачать сведения о конечной точке", чтобы скачать список конечных точек JSON, которые необходимо настроить в качестве безопасных конечных точек с датчика.

    Сохраните скачанный файл локально. Используйте конечные точки, перечисленные в скачанном файле далее в этом руководстве , чтобы убедиться, что новый датчик сможет успешно подключиться к Azure.

    Совет

    Вы также можете получить доступ к списку необходимых конечных точек на странице "Сайты и датчики ". Дополнительные сведения см. в разделе Параметры управления датчиками на портале Azure.

  7. В нижнем левом углу страницы нажмите кнопку "Готово". Теперь новый датчик отображается на странице "Сайты и датчики" Defender для Интернета вещей.

    Пока вы не активируете датчик, состояние датчика отображается как ожидающая активация.

Дополнительные сведения см. в разделе "Управление датчиками с помощью Defender для Интернета вещей в портале Azure".

настроить порт SPAN;

Виртуальные коммутаторы не имеют возможностей зеркального отображения. Однако для работы с этим руководством можно использовать неизбирательный режим в среде виртуального коммутатора, чтобы просмотреть весь сетевой трафик, проходящий через виртуальный коммутатор.

В этой процедуре описывается настройка порта SPAN с помощью обходного решения с VMware ESXi.

Примечание.

Неизбирательный режим — это режим работы и метод мониторинга безопасности для интерфейсов виртуальной машины на том же уровне группы портов, что и виртуальный коммутатор для просмотра сетевого трафика коммутатора. По умолчанию неизбирательный режим отключен, но его можно определить на уровне виртуального коммутатора или группы портов.

Чтобы настроить интерфейс мониторинга с неоднозначным режимом на коммутаторе ESXi v-Switch:

  1. Откройте страницу свойств vSwitch и выберите " Добавить стандартный виртуальный коммутатор".

  2. Введите сеть SPAN в качестве метки сети.

  3. В поле MTU введите 4096.

  4. Выберите Безопасность и убедитесь в том, что для политики неизбирательного режима установлено значение Принять режим.

  5. Нажмите кнопку "Добавить ", чтобы закрыть свойства vSwitch.

  6. Выделите созданный vSwitch и нажмите кнопку "Добавить ссылку вверх".

  7. Выберите физический сетевой адаптер, который будет использоваться для трафика SPAN, измените MTU на 4096, а затем нажмите кнопку "Сохранить".

  8. Откройте страницу свойств группы портов и выберите "Добавить группу портов".

  9. Введите группу портов SPAN в качестве имени, введите 4095 в качестве идентификатора виртуальной локальной сети и выберите команду SPAN Network в раскрывающемся списке vSwitch, а затем нажмите кнопку "Добавить".

  10. Откройте свойства виртуальной машины датчика OT.

  11. Для сетевого адаптера 2 выберите сеть SPAN.

  12. Нажмите ОК.

  13. Подключитесь к датчику и проверьте, работает ли зеркальное отображение.

Проверка зеркало трафика

После настройки трафика зеркало выполните попытку получить образец записанного трафика (PCAP-файл) из коммутатора или порта зеркало.

Пример PCAP-файла поможет вам:

  • Проверка конфигурации коммутатора
  • Убедитесь, что трафик, проходящий через коммутатор, относится к мониторингу
  • Определение пропускной способности и предполагаемое количество устройств, обнаруженных коммутатором

  1. Используйте приложение анализатора сетевого протокола, например Wireshark, для записи примера PCAP-файла в течение нескольких минут. Например, подключите ноутбук к порту, где вы настроили мониторинг трафика.

  2. Проверьте, имеются ли в записи трафика одноадресные пакеты. Одноадресный трафик — это трафик, отправляемый из адреса в другой.

    Если большая часть трафика — это сообщения ARP, то конфигурация зеркало трафика не является правильной.

  3. Убедитесь, что протоколы OT присутствуют в проанализированном трафике.

    Например:

    Screenshot of Wireshark validation.

Подготовка к управлению облаком

В этом разделе описывается настройка конечных точек для определения в правилах брандмауэра, обеспечивая подключение датчиков OT к Azure.

Дополнительные сведения см. в статье "Методы подключения датчиков к Azure".

Чтобы настроить сведения о конечной точке, выполните следующие действия.

Откройте файл, скачанный ранее, чтобы просмотреть список необходимых конечных точек. Настройте правила брандмауэра, чтобы датчик смог получить доступ к каждой из необходимых конечных точек через порт 443.

Совет

Вы также можете скачать список необходимых конечных точек на странице "Сайты и датчики" в портал Azure. Перейдите к сайтам и датчикам>Дополнительные действия>, чтобы скачать сведения о конечной точке. Дополнительные сведения см. в разделе Параметры управления датчиками на портале Azure.

Дополнительные сведения см. в разделе "Подготовка датчиков для управления облаком".

Скачивание программного обеспечения для виртуального датчика

В этом разделе описывается, как скачать и установить программное обеспечение датчика на собственном компьютере.

Чтобы скачать программное обеспечение для виртуального датчика:

  1. В портал Azure перейдите на страницу начала работы Defender для Интернета вещей > и перейдите на вкладку "Датчик".

  2. В окне "Приобретение устройства и установка программного обеспечения " убедитесь, что выбран параметр по умолчанию для последней и рекомендуемой версии программного обеспечения, а затем нажмите кнопку "Скачать".

  3. Сохраните скачаемое программное обеспечение в расположении, доступном на виртуальной машине.

Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

Установите программное обеспечение датчика.

В этой процедуре описывается установка программного обеспечения датчика на виртуальной машине.

Примечание.

В конце этого процесса вы увидите имена пользователей и пароли для своего устройства. Не забудьте скопировать их, так как эти пароли не будут показаны снова.

Чтобы установить программное обеспечение на виртуальном датчике, сделайте следующее:

  1. Если вы закрыли виртуальную машину, снова войдите в ESXi и откройте параметры виртуальной машины.

  2. Для CD/DVD-диска 1 выберите ISO-файл хранилища данных и выберите программное обеспечение Defender для Интернета вещей, скаченное ранее.

  3. Выберите Далее>Готово.

  4. Включите виртуальную машину и откройте консоль.

  5. При загрузке установки появится запрос на запуск процесса установки. Выберите элемент Install iot-sensor,<version number> чтобы продолжить или разрешить ему автоматически запускаться через 30 секунд. Рассмотрим пример.

    Screenshot of the initial installation screen.

    Примечание.

    Если вы используете устаревшую версию BIOS, вам будет предложено выбрать язык, а параметры установки представлены в верхнем левом углу вместо центра. При появлении запроса выберите и нажмите English кнопку "Установить iot-sensor"<version number> , чтобы продолжить.

    Начинается установка, предоставляя обновленные сообщения о состоянии по мере ее выполнения. Весь процесс установки занимает до 20–30 минут и может отличаться в зависимости от типа используемого носителя.

    После завершения установки отображается следующий набор сведений о сети по умолчанию.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Используйте IP-адрес по умолчанию, предоставленный для доступа к датчику для начальной настройки и активации.

Проверка после установки

В этой процедуре описывается, как проверить установку с помощью собственных проверка работоспособности системы датчика и доступна пользователю администратора по умолчанию.

Чтобы проверить установку:

  1. Войдите в датчик OT от имени admin пользователя.

  2. Выберите "Параметры системы">"Управление датчиками">"Проверка работоспособности системы".

  3. Выберите следующие команды:

    • Устройство для проверки того, запущена ли система. Убедитесь, что в каждой строке отображается состояние "Выполняется" и в последней строке указано, что система запущена.
    • Версия, чтобы убедиться, что установлена правильная версия.
    • ifconfig, чтобы убедиться, что запущены все входные интерфейсы, настроенные в процессе установки.

Дополнительные тесты после установки проверки, такие как шлюз, DNS или проверка брандмауэра, см. в разделе "Проверка установки программного обеспечения датчика OT".

Определение начальной настройки

В следующей процедуре описывается настройка начальных параметров настройки датчика, в том числе:

  • Вход в консоль датчика и изменение пароля пользователя администратора
  • Определение сведений о сети для датчика
  • Определение интерфейсов, которые требуется отслеживать
  • Активация датчика
  • Настройка параметров сертификата SSL/TLS

Войдите в консоль датчика и измените пароль по умолчанию

В этой процедуре описывается, как впервые войти в консоль датчика OT. Вам будет предложено изменить пароль по умолчанию для пользователя администратора .

Чтобы войти в датчик, выполните следующее:

  1. В браузере перейдите по 192.168.0.101 IP-адресу, который является IP-адресом по умолчанию, предоставленным для датчика в конце установки.

    Откроется начальная страница входа. Например:

    Screenshot of the initial sensor sign-in page.

  2. Введите следующие учетные данные и выберите "Войти".

    • Username: (Имя пользователя) support.
    • Пароль: support

    Вам будет предложено определить новый пароль для пользователя администратора .

  3. В поле "Создать пароль" введите новый пароль. Пароль должен содержать строчные и прописные буквы, цифры и символы.

    В поле "Подтверждение нового пароля" снова введите новый пароль и нажмите кнопку "Начать".

    Дополнительные сведения см. в разделе "Привилегированные пользователи по умолчанию".

Defender для Интернета вещей | Откроется страница обзора на вкладке интерфейса управления.

Определение сведений о сети датчиков

На вкладке интерфейса управления используйте следующие поля, чтобы определить сведения о сети для нового датчика:

Имя Описание
Интерфейс управления Выберите интерфейс, который вы хотите использовать в качестве интерфейса управления, и подключитесь к портал Azure.

Чтобы определить физический интерфейс на компьютере, выберите интерфейс и выберите индикатор физического интерфейса Blink. Порт, соответствующий выбранному интерфейсу, загорается таким образом, чтобы можно было правильно подключить кабель.
IP Address Введите IP-адрес, который вы хотите использовать для датчика. Это IP-адрес, который будет использоваться для подключения к датчику через браузер или CLI.
Маска подсети Введите адрес, который вы хотите использовать в качестве маски подсети датчика.
Шлюз по умолчанию Введите адрес, который вы хотите использовать в качестве шлюза по умолчанию датчика.
DNS Введите IP-адрес DNS-сервера датчика.
Hostname Введите имя узла, которое нужно назначить датчику. Убедитесь, что вы используете то же имя узла, что и в DNS-сервере.

В этом руководстве оставьте пропуск конфигураций прокси-сервера в области "Включить прокси-сервер для подключения к облаку" (необязательно).

После завершения нажмите кнопку "Далее: конфигурации интерфейса" для продолжения.

Определение интерфейсов, которые требуется отслеживать

На вкладке "Подключения интерфейса" отображаются все интерфейсы, обнаруженные датчиком по умолчанию. Эта вкладка используется для включения или отключения мониторинга для каждого интерфейса или определения определенных параметров для каждого интерфейса.

Совет

Рекомендуется оптимизировать производительность датчика, настроив параметры для отслеживания только используемых интерфейсов.

На вкладке "Конфигурации интерфейса" выполните следующие действия, чтобы настроить параметры для отслеживаемых интерфейсов:

  1. Выберите переключатель включения и отключения для любых интерфейсов, которые требуется отслеживать датчиком. Чтобы продолжить, необходимо выбрать хотя бы один интерфейс.

    Если вы не уверены, какой интерфейс следует использовать, нажмите кнопку индикатора индикатора физического интерфейса Blink, чтобы на компьютере был выбран порт. Выберите любой из интерфейсов, подключенных к коммутатору.

  2. Для этого руководства пропустите все дополнительные параметры и нажмите кнопку "Далее: перезагрузить > " для продолжения.

  3. При появлении запроса нажмите кнопку "Начать перезагрузку", чтобы перезагрузить компьютер датчика. После повторного запуска датчика вы автоматически перенаправляетесь на IP-адрес, определенный ранее в качестве IP-адреса датчика.

    Нажмите кнопку "Отмена ", чтобы дождаться перезагрузки.

Активация датчика OT

В этой процедуре описывается активация нового датчика OT.

Чтобы активировать датчик:

  1. На вкладке "Активация" выберите "Отправить", чтобы отправить файл активации датчика, скачанный из портал Azure.

  2. Выберите параметр "Условия" и нажмите кнопку "Далее: Сертификаты".

Определение параметров сертификата SSL/TLS

Перейдите на вкладку "Сертификаты" для развертывания SSL/TLS-сертификата на датчике OT. Хотя мы рекомендуем использовать подписанный ЦС сертификат для всех рабочих сред, чтобы использовать самозаверяющий сертификат.

Чтобы определить параметры сертификата SSL/TLS, выполните следующие действия.

  1. На вкладке "Сертификаты" выберите "Использовать локальный самозаверяющий сертификат" (не рекомендуется) и нажмите кнопку "Подтвердить ".

    Дополнительные сведения см. в статье о требованиях к сертификату SSL/TLS для локальных ресурсов и создании сертификатов SSL/TLS для (модуль) OT.

  2. Нажмите кнопку "Готово ", чтобы завершить начальную настройку и открыть консоль датчика.

Следующие шаги

Полный путь развертывания для мониторинга OT