Öğretici: IoT için Defender mikro aracısını yükleme
Bu öğretici, IoT için Defender mikro aracısını yüklemeyi ve kimlik doğrulamayı öğrenmenize yardımcı olur.
Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:
- Mikro aracıyı indirme ve yükleme
- Mikro aracının kimliğini doğrulama
- Yüklemeyi doğrulama
- Sistemi test edin
- Belirli bir mikro aracı sürümünü yükleme
Önkoşullar
Etkin aboneliği olan bir Azure hesabı. Ücretsiz bir hesap oluşturun.
Aşağıdaki işletim sistemlerinden birini çalıştırdığınızı doğrulayın.
Azure IoT Hub IoT için Microsoft Defender etkinleştirmiş olmanız gerekir.
IoT çözümünüzde bir kaynak grubu eklemiş olmanız gerekir.
IoT için Defender mikro aracısı modül ikizi oluşturmuş olmanız gerekir.
Mikro aracıyı indirme ve yükleme
Kurulumunuza bağlı olarak, uygun Microsoft paketinin yüklenmesi gerekir.
Uygun Microsoft paket deposunu eklemek için:
Cihazınızın işletim sistemiyle eşleşen depo yapılandırmasını indirin.
Ubuntu 18.04 için:
curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
Ubuntu 20.04 için:
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
Debian 9 için (hem AMD64 hem de ARM64):
curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
Depo yapılandırmasını dizine kopyalamak için
sources.list.d
aşağıdaki komutu kullanın:sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
Aşağıdaki komutla Microsoft GPG ortak anahtarını yükleyin:
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
Aşağıdaki komutu kullanarak apt'yi güncelleştirdiğinizden emin olun:
sudo apt-get update
Debian veya Ubuntu tabanlı Linux dağıtımlarına IoT için Defender mikro aracı paketini yüklemek için aşağıdaki komutu kullanın:
sudo apt-get install defender-iot-micro-agent
Ara sunucu aracılığıyla bağlanma
Bu yordamda, IoT için Defender mikro aracısını ara sunucu aracılığıyla IoT Hub nasıl bağlayabileceğiniz açıklanır.
Ara sunucu aracılığıyla bağlantıları yapılandırmak için:
Mikro aracı makinenizde aşağıdaki içeriğe sahip bir
/etc/defender_iot_micro_agent/conf.json
dosya oluşturun:{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
Kullanıcı ve parola alanları isteğe bağlıdır. Bunlara ihtiyacınız yoksa, bunun yerine aşağıdaki söz dizimini kullanın:
{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
/var/lib/defender_iot_micro_agent/cache.json konumunda önbelleğe alınmış tüm dosyaları silin.
Mikro aracıyı yeniden başlatın. Çalıştır:
sudo systemctl restart defender-iot-micro-agent.service
AMQP protokolü desteği ekleme
Bu yordam, AMQP protokolünü desteklemek için gereken ek adımları açıklar.
AMQP protokolü desteği eklemek için:
Mikro aracı makinenizde dosyayı açın
/etc/defender_iot_micro_agent/conf.json
ve aşağıdaki içeriği ekleyin:{ "IothubModule_TransportProtocol": "AMQP_Protocol" }
/var/lib/defender_iot_micro_agent/cache.json konumunda önbelleğe alınmış tüm dosyaları silin.
Mikro aracıyı yeniden başlatın. Çalıştır:
sudo systemctl restart defender-iot-micro-agent.service
Web yuvası protokolü üzerinden AMQP eklemek için:
Mikro aracı makinenizde dosyayı açın
/etc/defender_iot_micro_agent/conf.json
ve aşağıdaki içeriği ekleyin:{ "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol" }
/var/lib/defender_iot_micro_agent/cache.json konumunda önbelleğe alınmış tüm dosyaları silin.
Mikro aracıyı yeniden başlatın. Çalıştır:
sudo systemctl restart defender-iot-micro-agent.service
Aracı bu protokolü kullanır ve bağlantı noktası 443'te IoT Hub ile iletişim kurar. Http Proxy yapılandırması bu protokol için desteklenir; proxy'nin de yapılandırılması durumunda ara sunucuyla iletişim bağlantı noktası ara sunucu yapılandırmasında tanımlandığı gibi olur.
Mikro aracının kimliğini doğrulama
IoT için Defender mikro aracısının kimliğini doğrulamak için kullanılabilecek iki seçenek vardır:
Modül kimliği bağlantı dizesini kullanarak kimlik doğrulaması
DefenderIoTMicroAgent modülü kimlik ayrıntılarından modül kimliği bağlantı dizesini kopyalamanız gerekir.
Modül kimliğinin bağlantı dizesini kopyalamak için:
IoT Hub>
Your hub
>Device yönetim>Cihazları'na gidin.Cihaz Kimliği listesinden bir cihaz seçin.
Modül Kimlikleri sekmesini seçin.
Cihazla ilişkili modül kimlikleri listesinden DefenderIotMicroAgent modülünü seçin.
Kopyala düğmesini seçerek Bağlantı dizesini (birincil anahtar) kopyalayın .
Aşağıdaki komutu girerek IoT için Defender aracı dizin
/etc/defender_iot_micro_agent
yolunda utf-8 ile kodlanmış kopyalanan bağlantı dizesini içeren adlıconnection_string.txt
bir dosya oluşturun:sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
connection_string.txt
artık aşağıdaki yol konumunda/etc/defender_iot_micro_agent/connection_string.txt
bulunur.Not
Bağlantı dizesi, modülün kendisine doğrudan erişim sağlayan bir anahtar içerir, bu nedenle yalnızca kök kullanıcılar tarafından kullanılması ve okunması gereken hassas bilgileri içerir.
Şu komutu kullanarak hizmeti yeniden başlatın:
sudo systemctl restart defender-iot-micro-agent.service
Sertifika kullanarak kimlik doğrulaması
Sertifika kullanarak kimlik doğrulaması yapmak için:
Bu yönergeleri izleyerek bir sertifika temin edin.
Sertifikanın PEM ile kodlanmış ortak bölümünü ve özel anahtarı içinde
/etc/defender_iot_micro_agent
, vecertificate_private.pem
adlıcertificate_public.pem
dosyalara yerleştirin.Dosyaya uygun bağlantı dizesini
connection_string.txt
yerleştirin. Bağlantı dizesi şöyle görünmelidir:HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true
Bu dize, IoT için Defender aracısını kimlik doğrulaması için bir sertifika sağlanmasını beklemesi konusunda uyarır.
Aşağıdaki komutu kullanarak hizmeti yeniden başlatın:
sudo systemctl restart defender-iot-micro-agent.service
Yüklemeyi doğrulama
Yüklemenizi doğrulamak için:
Mikro aracının düzgün çalıştığından emin olmak için aşağıdaki komutu kullanın:
systemctl status defender-iot-micro-agent.service
hizmetin kararlı olduğundan ve işlemin çalışma süresinin uygun olduğundan emin
active
olun.
Sistemi test edin
Cihazda bir tetikleyici dosyası oluşturarak sistemi test edebilirsiniz. Tetikleyici dosyası, aracıdaki temel taramanın dosyayı temel ihlal olarak algılamasına neden olur.
Aşağıdaki komutu kullanarak dosya sisteminde bir dosya oluşturun:
sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
Log Analytics çalışma alanınızın IoT hub'ınıza bağlı olduğundan emin olun. Daha fazla bilgi için bkz. Log Analytics çalışma alanı oluşturma.
komutunu kullanarak aracıyı yeniden başlatın:
sudo systemctl restart defender-iot-micro-agent.service
Önerinin merkezde görünmesi için bir saate kadar izin verin.
'IoT_CISBenchmarks_DIoTTest' adlı bir temel öneri oluşturulur. Bu öneriyi Log Analytics'ten aşağıdaki gibi sorgulayabilirsiniz:
SecurityRecommendation
| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"
| where DeviceId contains "<device-id>"
| top 1 by TimeGenerated desc
Örnek:
Belirli bir mikro aracı sürümünü yükleme
Belirli bir komutu kullanarak mikro aracının belirli bir sürümünü yükleyebilirsiniz.
IoT için Defender mikro aracısının belirli bir sürümünü yüklemek için:
Bir terminal açın.
Şu komutu çalıştırın:
sudo apt-get install defender-iot-micro-agent=<version>
Kaynakları temizleme
Temizecek kaynak yok.