Självstudie: Registrera och aktivera en virtuell OT-sensor

  • Artikel

I den här självstudien beskrivs grunderna för att konfigurera en Microsoft Defender for IoT OT-sensor med hjälp av en utvärderingsprenumeration av Microsoft Defender för IoT och din egen virtuella dator.

För en fullständig distribution från slutpunkt till slutpunkt måste du följa stegen för att planera och förbereda systemet och även kalibrera och finjustera inställningarna fullständigt. Mer information finns i Distribuera Defender för IoT för OT-övervakning.

Kommentar

Om du vill konfigurera säkerhetsövervakning för företags-IoT-system kan du läsa Aktivera Enterprise IoT-säkerhet i Defender för Endpoint.

I den här självstudien lär du dig att:

  • Skapa en virtuell dator för sensorn
  • Registrera en virtuell sensor
  • Konfigurera en virtuell SPAN-port
  • Etablera för molnhantering
  • Ladda ned programvara för en virtuell sensor
  • Installera den virtuella sensorprogramvaran
  • Aktivera den virtuella sensorn

Förutsättningar

Kontrollera att du har följande innan du börjar:

  • Slutförd snabbstart: Kom igång med Defender för IoT så att du har lagt till en Azure-prenumeration i Defender för IoT.

  • Åtkomst till Azure-portalen som säkerhetsadministratör, deltagare eller ägare. Mer information finns i Azure-användarroller för OT- och Enterprise IoT-övervakning med Defender för IoT.

  • Kontrollera att du har en nätverksväxel som stöder trafikövervakning via en SPAN-port. Du behöver också minst en enhet att övervaka, ansluten till växelns SPAN-port.

  • VMware, ESXi 5.5 eller senare, installerat och i drift på sensorn.

  • Tillgängliga maskinvaruresurser för den virtuella datorn enligt följande:

    Distributionstyp Företags Stora företag SMB
    Maximal bandbredd 2,5 Gb/s 800 Mb/s 160 Mb/s
    Maximalt antal skyddade enheter 12 000 10,000 800

  • En förståelse för OT-övervakning med virtuella installationer.

  • Information om följande nätverksparametrar som ska användas för sensorinstallationen:

    • En IP-adress för hanteringsnätverket
    • En mask för sensorundernät
    • Värdnamn för en installation
    • En DNS-adress
    • En standardgateway
    • Alla indatagränssnitt

Skapa en virtuell dator för sensorn

Den här proceduren beskriver hur du skapar en virtuell dator för din sensor med VMware ESXi.

Defender för IoT stöder även andra processer, till exempel användning av Hyper-V eller fysiska sensorer. Mer information finns i Defender för IoT-installation.

Så här skapar du en virtuell dator för sensorn:

  1. Kontrollera att VMware körs på datorn.

  2. Logga in på ESXi, välj relevant datalager och välj Datastore Browser.

  3. Ladda upp bilden och välj Stäng.

  4. Gå till Virtuella datorer och välj sedan Skapa/registrera virtuell dator.

  5. Välj Skapa ny virtuell dator och välj sedan Nästa.

  6. Lägg till ett sensornamn och definiera sedan följande alternativ:

    • Kompatibilitet: <senaste ESXi-versionen>

    • Gästoperativsystemfamilj: Linux

    • Gästoperativsystemversion: Ubuntu Linux (64-bitars)

  7. Välj Nästa.

  8. Välj relevant datalager och välj Nästa.

  9. Ändra de virtuella maskinvaruparametrarna enligt de specifikationer som krävs för dina behov. Mer information finns i tabellen i avsnittet Förutsättningar ovan.

Den virtuella datorn är nu förberedd för installationen av Defender for IoT-programvaran. Du fortsätter genom att installera programvaran senare i den här självstudien, när du har registrerat sensorn i Azure-portalen, konfigurerat trafikspegling och etablerat datorn för molnhantering.

Registrera den virtuella sensorn

Innan du kan börja använda Defender for IoT-sensorn måste du registrera din nya virtuella sensor i din Azure-prenumeration.

Så här registrerar du den virtuella sensorn:

  1. I Azure-portalen går du till sidan Komma igång med Defender for IoT>.

  2. Längst ned till vänster väljer du Konfigurera OT/ICS-säkerhet.

    På sidan Defender för IoT-platser och sensorer väljer du alternativt Registrera OT-sensorn>OT.

    Som standard går du till sidan Konfigurera OT/ICS-säkerhet , steg 1: Har du konfigurerat en sensor? och steg 2: Konfigurera SPAN-port eller TAP i guiden är komprimerade.

    Du installerar programvara och konfigurerar trafikspegling senare i distributionsprocessen, men bör ha dina installationer redo och trafikspeglingsmetod planerad.

  3. I Steg 3: Registrera den här sensorn med Microsoft Defender för IoT definierar du följande värden:

    Fältnamn beskrivning
    Resursnamn Välj den plats som du vill koppla dina sensorer till eller välj Skapa webbplats för att skapa en ny webbplats.

    Om du skapar en ny webbplats:
    1. I fältet Ny webbplats anger du webbplatsens namn och väljer bockmarkeringsknappen.
    2. Välj webbplatsens storlek på menyn Webbplatsstorlek . De storlekar som anges i den här menyn är de storlekar som du är licensierad för, baserat på de licenser som du hade köpt i Administrationscenter för Microsoft 365.
    Visningsnamn Ange ett beskrivande namn för webbplatsen som ska visas i Defender för IoT.
    Taggar Ange taggnyckel och värden som hjälper dig att identifiera och hitta din webbplats och sensor i Azure-portalen.
    Zon Välj den zon som du vill använda för ot-sensorn eller välj Skapa zon för att skapa en ny.

    Mer information finns i Planera OT-webbplatser och zoner.

  4. När du är klar med alla andra fält väljer du Registrera för att lägga till sensorn i Defender för IoT. Ett meddelande visas och aktiveringsfilen laddas ned automatiskt. Aktiveringsfilen är unik för sensorn och innehåller instruktioner om sensorns hanteringsläge.

    Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.

  5. Spara den nedladdade aktiveringsfilen på en plats som är tillgänglig för användaren som loggar in i konsolen för första gången så att de kan aktivera sensorn.

    Du kan också ladda ned filen manuellt genom att välja relevant länk i rutan Aktivera sensorn . Du använder den här filen för att aktivera sensorn enligt beskrivningen nedan.

  6. I rutan Lägg till regler för utgående tillåtna väljer du länken Ladda ned slutpunktsinformation för att ladda ned en JSON-lista över de slutpunkter som du måste konfigurera som säkra slutpunkter från sensorn.

    Spara den nedladdade filen lokalt. Använd slutpunkterna i den nedladdade filen senare i den här självstudien för att säkerställa att den nya sensorn kan ansluta till Azure.

    Dricks

    Du kan också komma åt listan över nödvändiga slutpunkter från sidan Webbplatser och sensorer . Mer information finns i Alternativ för sensorhantering från Azure-portalen.

  7. Längst ned till vänster på sidan väljer du Slutför. Nu kan du se din nya sensor på sidan Defender för IoT-webbplatser och sensorer .

    Tills du aktiverar sensorn visas sensorns status som Väntar på aktivering.

Mer information finns i Hantera sensorer med Defender för IoT i Azure-portalen.

Konfigurera en SPAN-port

Virtuella växlar har inte speglingsfunktioner. För den här självstudiekursens skull kan du dock använda promiskuöst läge i en virtuell växelmiljö för att visa all nätverkstrafik som går via den virtuella växeln.

Den här proceduren beskriver hur du konfigurerar en SPAN-port med hjälp av en lösning med VMware ESXi.

Kommentar

Promiskuöst läge är ett driftsläge och en säkerhetsövervakningsteknik för en virtuell dators gränssnitt på samma portgruppsnivå som den virtuella växeln för att visa växelns nätverkstrafik. Promiskuöst läge är inaktiverat som standard men kan definieras på den virtuella växeln eller på portgruppsnivå.

Så här konfigurerar du ett övervakningsgränssnitt med promiskuöst läge på en ESXi v-Switch:

  1. Öppna sidan vSwitch-egenskaper och välj Lägg till virtuell standardväxel.

  2. Ange SPAN Network som nätverksetikett.

  3. I fältet MTU anger du 4096.

  4. Välj Säkerhet och kontrollera att principen För promiskuöst läge är inställd på Acceptera läge.

  5. Välj Lägg till för att stänga vSwitch-egenskaperna.

  6. Markera den vSwitch som du har skapat och välj Lägg till överordnad länk.

  7. Välj det fysiska nätverkskort som du ska använda för SPAN-trafiken, ändra MTU till 4096 och välj sedan Spara.

  8. Öppna sidan Egenskaper för portgrupp och välj Lägg till portgrupp.

  9. Ange SPAN-portgruppen som namn, ange 4095 som VLAN-ID och välj SPAN-nätverk i listrutan vSwitch och välj sedan Lägg till.

  10. Öppna egenskaperna för den virtuella datorn OT Sensor.

  11. För Nätverkskort 2 väljer du SPAN-nätverket.

  12. Välj OK.

  13. Anslut till sensorn och kontrollera att speglingen fungerar.

Verifiera trafikspegling

När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.

En PCAP-exempelfil hjälper dig:

  • Verifiera växelkonfigurationen
  • Bekräfta att trafiken som går via växeln är relevant för övervakning
  • Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln

  1. Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.

  2. Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.

    Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.

  3. Kontrollera att dina OT-protokoll finns i den analyserade trafiken.

    Till exempel:

    Screenshot of Wireshark validation.

Etablera för molnhantering

I det här avsnittet beskrivs hur du konfigurerar slutpunkter som ska definieras i brandväggsregler, vilket säkerställer att dina OT-sensorer kan ansluta till Azure.

Mer information finns i Metoder för att ansluta sensorer till Azure.

Så här konfigurerar du slutpunktsinformation:

Öppna filen som du laddade ned tidigare för att visa listan över nödvändiga slutpunkter. Konfigurera brandväggsreglerna så att sensorn kan komma åt var och en av de nödvändiga slutpunkterna via port 443.

Dricks

Du kan också ladda ned listan över nödvändiga slutpunkter från sidan Webbplatser och sensorer i Azure-portalen. Gå till Webbplatser och sensorer>Fler åtgärder>Ladda ned slutpunktsinformation. Mer information finns i Alternativ för sensorhantering från Azure-portalen.

Mer information finns i Etablera sensorer för molnhantering.

Ladda ned programvara för din virtuella sensor

I det här avsnittet beskrivs hur du laddar ned och installerar sensorprogramvaran på din egen dator.

Så här laddar du ned programvara för dina virtuella sensorer:

  1. I Azure-portalen går du till sidan Komma igång med Defender for IoT > och väljer fliken Sensor.

  2. I rutan Köp en installation och installera programvara kontrollerar du att standardalternativet har valts för den senaste och rekommenderade programvaruversionen och väljer sedan Ladda ned.

  3. Spara den nedladdade programvaran på en plats som är tillgänglig från den virtuella datorn.

Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.

Installera sensorprogramvara

Den här proceduren beskriver hur du installerar sensorprogramvaran på den virtuella datorn.

Kommentar

Mot slutet av den här processen visas användarnamn och lösenord för din enhet. Se till att kopiera ned dessa eftersom dessa lösenord inte visas igen.

Så här installerar du programvaran på den virtuella sensorn:

  1. Om du stängde den virtuella datorn loggar du in på ESXi igen och öppnar inställningarna för den virtuella datorn.

  2. För CD/DVD-enhet 1 väljer du Datastore ISO-fil och väljer den Defender for IoT-programvara som du laddade ned tidigare.

  3. Välj Nästa>Slutför.

  4. Starta den virtuella datorn och öppna en konsol.

  5. När installationen startas uppmanas du att starta installationsprocessen. Välj objektet Installera iot-sensor för<version number> att fortsätta eller låt det starta automatiskt efter 30 sekunder. Till exempel:

    Screenshot of the initial installation screen.

    Kommentar

    Om du använder en äldre BIOS-version uppmanas du att välja ett språk och installationsalternativen visas längst upp till vänster i stället för i mitten. När du uppmanas till det väljer du English och sedan alternativet Installera iot-sensor-<version number> för att fortsätta.

    Installationen börjar, vilket ger dig uppdaterade statusmeddelanden allt eftersom. Hela installationsprocessen tar upp till 20–30 minuter och kan variera beroende på vilken typ av media du använder.

    När installationen är klar visas följande uppsättning standardinformation om nätverk.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Använd standard-IP-adressen som angetts för att komma åt sensorn för inledande installation och aktivering.

Validering efter installationen

Den här proceduren beskriver hur du verifierar installationen med hjälp av sensorns egna systemhälsokontroller och är tillgänglig för standardadministratörsanvändaren.

Så här verifierar du installationen:

  1. Logga in på OT-sensorn som admin användare.

  2. Välj System Inställningar> Sensorhantering>Systemhälsokontroll.

  3. Välj följande kommandon:

    • Installation för att kontrollera att systemet körs. Kontrollera att varje radobjekt visar Körs och att den sista raden anger att systemet är igång.
    • Version för att kontrollera att du har rätt version installerad.
    • ifconfig för att kontrollera att alla indatagränssnitt som konfigurerats under installationen körs.

Fler valideringstester efter installationen, till exempel gateway-, DNS- eller brandväggskontroller, finns i Verifiera en installation av OT-sensorprogramvara.

Definiera den inledande konfigurationen

Följande procedur beskriver hur du konfigurerar sensorns inledande konfigurationsinställningar, inklusive:

  • Logga in på sensorkonsolen och ändra administratörsanvändarlösenordet
  • Definiera nätverksinformation för sensorn
  • Definiera de gränssnitt som du vill övervaka
  • Aktivera sensorn
  • Konfigurera SSL/TLS-certifikatinställningar

Logga in på sensorkonsolen och ändra standardlösenordet

Den här proceduren beskriver hur du loggar in på OT-sensorkonsolen för första gången. Du uppmanas att ändra standardlösenordet för administratörsanvändaren.

Logga in på sensorn:

  1. I en webbläsare går du till 192.168.0.101 IP-adressen, som är standard-IP-adressen för sensorn i slutet av installationen.

    Den första inloggningssidan visas. Till exempel:

    Screenshot of the initial sensor sign-in page.

  2. Ange följande autentiseringsuppgifter och välj Logga in:

    • Användarnamn: support
    • Lösenord: support

    Du uppmanas att definiera ett nytt lösenord för administratörsanvändaren.

  3. I fältet Nytt lösenord anger du ditt nya lösenord. Lösenordet måste innehålla alfabetiska gemener och versaler, siffror och symboler.

    I fältet Bekräfta nytt lösenord anger du ditt nya lösenord igen och väljer sedan Kom igång.

    Mer information finns i Privilegierade standardanvändare.

Defender för IoT | Översiktssidan öppnas på fliken Hanteringsgränssnitt .

Definiera information om sensornätverk

På fliken Hanteringsgränssnitt använder du följande fält för att definiera nätverksinformation för den nya sensorn:

Name beskrivning
Hanteringsgränssnitt Välj det gränssnitt som du vill använda som hanteringsgränssnitt och anslut till Azure-portalen.

Om du vill identifiera ett fysiskt gränssnitt på datorn väljer du ett gränssnitt och väljer sedan Blink physical interface LED (Blink physical interface LED). Porten som matchar det valda gränssnittet tänds så att du kan ansluta kabeln korrekt.
IP-adress Ange den IP-adress som du vill använda för sensorn. Det här är den IP-adress som ditt team använder för att ansluta till sensorn via webbläsaren eller CLI.
Nätmask Ange den adress som du vill använda som sensorns nätmask.
Standardgateway Ange den adress som du vill använda som sensorns standardgateway.
DNS Ange sensorns DNS-server-IP-adress.
Värdnamn Ange det värdnamn som du vill tilldela sensorn. Kontrollera att du använder samma värdnamn som definierats på DNS-servern.

För den här självstudien lämnar du hoppa över proxykonfigurationerna i området Aktivera proxy för molnanslutning (valfritt).

När du är klar väljer du Nästa: Gränssnittskonfigurationer för att fortsätta.

Definiera de gränssnitt som du vill övervaka

Fliken Gränssnittsanslutningar visar alla gränssnitt som identifieras av sensorn som standard. Använd den här fliken om du vill aktivera eller inaktivera övervakning per gränssnitt eller definiera specifika inställningar för varje gränssnitt.

Dricks

Vi rekommenderar att du optimerar prestanda på sensorn genom att konfigurera inställningarna för att endast övervaka de gränssnitt som används aktivt.

På fliken Gränssnittskonfigurationer gör du följande för att konfigurera inställningar för dina övervakade gränssnitt:

  1. Välj växlingsknappen Aktivera/inaktivera för alla gränssnitt som du vill att sensorn ska övervaka. Du måste välja minst ett gränssnitt för att fortsätta.

    Om du inte är säker på vilket gränssnitt du ska använda väljer du knappen Blink physical interface LED (Blink physical interface LED ) för att få den valda porten att blinka på datorn. Välj något av de gränssnitt som du har anslutit till växeln.

  2. För den här självstudien hoppar du över alla avancerade inställningar och väljer Nästa: Starta om > för att fortsätta.

  3. När du uppmanas till det väljer du Starta om för att starta om sensordatorn. När sensorn startar igen omdirigeras du automatiskt till den IP-adress som du definierade tidigare som din sensor-IP-adress.

    Välj Avbryt för att vänta på omstarten.

Aktivera ot-sensorn

Den här proceduren beskriver hur du aktiverar din nya OT-sensor.

Så här aktiverar du sensorn:

  1. På fliken Aktivering väljer du Ladda upp för att ladda upp sensorns aktiveringsfil som du hade laddat ned från Azure-portalen.

  2. Välj alternativet villkor och välj sedan Nästa: Certifikat.

Definiera SSL/TLS-certifikatinställningar

Använd fliken Certifikat för att distribuera ett SSL/TLS-certifikat på din OT-sensor. Vi rekommenderar att du använder ett CA-signerat certifikat för alla produktionsmiljöer, men för den här självstudiekursens skull väljer du att använda ett självsignerat certifikat.

Så här definierar du SSL/TLS-certifikatinställningar:

  1. På fliken Certifikat väljer du Använd lokalt genererat självsignerat certifikat (rekommenderas inte) och väljer sedan alternativet Bekräfta.

    Mer information finns i SSL/TLS-certifikatkrav för lokala resurser och Skapa SSL/TLS-certifikat för OT-enheter.

  2. Välj Slutför för att slutföra den första installationen och öppna sensorkonsolen.

Nästa steg

Fullständig distributionssökväg för OT-övervakning