你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:载入和激活虚拟 OT 传感器

本教程介绍了使用适用于 IoT 的 Microsoft Defender 试用版订阅和你自己的虚拟机设置 IoT OT 传感器Microsoft Defender的基本知识。

对于完整的端到端部署,请确保遵循步骤来规划和准备系统,同时完全校准和微调设置。 有关详细信息,请参阅 部署用于 OT 监视的 Defender for IoT

注意

如果要为企业 IoT 系统设置安全监视,请参阅 在 Defender for Endpoint 中启用企业 IoT 安全性

在本教程中,你将了解如何:

  • 为传感器创建 VM
  • 载入虚拟传感器
  • 配置虚拟 SPAN 端口
  • 预配云管理
  • 下载虚拟传感器的软件
  • 安装虚拟传感器软件
  • 激活虚拟传感器

先决条件

在开始之前,请确保具有以下各项:

  • 已完成的快速入门:Defender for IoT 入门,以便将Azure订阅添加到 Defender for IoT。

  • 以安全管理员、参与者所有者身份访问Azure 门户。 有关详细信息,请参阅使用 Defender for IoT Azure OT 和企业 IoT 监视的用户角色

  • 确保具有支持通过 SPAN 端口进行流量监视的网络交换机。 还需要至少一个设备进行监视,并连接到交换机的 SPAN 端口。

  • 在传感器上安装并运行 VMware、ESXi 5.5 或更高版本。

  • VM 的可用硬件资源,如下所示:

    部署类型 公司 企业版 SMB
    最大带宽 2.5 Gb/秒 800 Mb/秒 160 Mb/秒
    最大受保护设备数 12,000 10,000 800

  • 了解 使用虚拟设备进行 OT 监视

  • 用于传感器设备的以下网络参数的详细信息:

    • 管理网络 IP 地址
    • 传感器子网掩码
    • 设备主机名
    • DNS 地址
    • 默认网关
    • 任何输入接口

为传感器创建 VM

此过程介绍如何使用 VMware ESXi 为传感器创建 VM。

Defender for IoT 还支持其他进程,例如使用 Hyper-V 或物理传感器。 有关详细信息,请参阅 Defender for IoT 安装

若要为传感器创建 VM,请执行以下操作

  1. 确保 VMware 在计算机上运行。

  2. 登录到 ESXi,选择相关的 数据存储,然后选择 “数据存储浏览器”。

  3. 上传 图像并选择“ 关闭”。

  4. 转到虚拟机,然后选择“创建/注册 VM”。

  5. 选择“ 创建新虚拟机”,然后选择“ 下一步”。

  6. 添加传感器名称,然后定义以下选项:

    • 兼容性: <最新 ESXi 版本>

    • 来宾 OS 系列:Linux

    • 来宾 OS 版本: Debian

  7. 选择 下一步

  8. 选择相关的数据存储,然后选择“ 下一步”。

  9. 根据所需的规格更改虚拟硬件参数。 有关详细信息,请参阅上述先决条件部分中 的表

现在,VM 已准备好安装 Defender for IoT 软件。 在将传感器载入到Azure 门户、配置流量镜像并预配计算机用于云管理之后,请继续在本教程的后面部分安装软件。

载入虚拟传感器

在开始使用 Defender for IoT 传感器之前,需要将新的虚拟传感器载入Azure订阅。

若要加入虚拟传感器,请执行以下操作:

  1. 在Azure 门户中,转到 Defender for IoT > 入门页。

  2. 在左下角,选择 “设置 OT/ICS 安全性”。

    或者,在 Defender for IoT 站点和传感器 页中,选择“ 载入 OT 传感器>OT”。

    默认情况下,在 “设置 OT/ICS 安全性 ”页上,将折叠 向导的步骤 1:是否设置了传感器?步骤 2:配置 SPAN 端口或 TAP

    稍后会在部署过程中安装软件并配置流量镜像,但应准备好设备并规划流量镜像方法。

  3. “步骤 3:向 ioT Microsoft Defender注册此传感器”中,定义以下值:

    字段名 说明
    资源名称 选择要将传感器附加到的站点,或选择“ 创建站点 ”以创建新站点。

    如果要创建新网站:
    1. 在 “新建网站 ”字段中,输入网站的名称,然后选择复选标记按钮。
    2.从 “网站大小 ”菜单中,选择网站大小。 此菜单中列出的大小是你获得许可的大小,具体取决于你在Microsoft 365 管理中心中购买的许可证。
    显示名称 为要跨 Defender for IoT 显示的站点输入有意义的名称。
    Tags 输入标记键和值,以帮助你在Azure 门户中识别和定位站点和传感器。
    Zone 选择要用于 OT 传感器的区域,或选择“ 创建区域 ”以创建新区域。

    有关详细信息,请参阅 规划 OT 站点和区域

  4. 使用完所有其他字段后,选择“ 注册 ”,将传感器添加到 Defender for IoT。 将显示一条成功消息,并自动下载激活文件。 激活文件对于传感器是唯一的,包含有关传感器管理模式的说明。

    从Azure 门户下载的所有文件都由信任根进行签名,以便计算机仅使用已签名的资产。

  5. 将下载的激活文件保存在首次登录控制台的用户可访问的位置,以便他们可以激活传感器。

    还可以通过在“ 激活传感器 ”框中选择相关链接来手动下载文件。 你将使用此文件激活传感器,如下所述。

  6. “添加出站允许规则 ”框中,选择“ 下载终结点详细信息 ”链接,下载必须从传感器配置为安全终结点的终结点的 JSON 列表。

    在本地保存下载的文件。 使用本教程稍后下载的文件中列出的终结点,确保新传感器可以成功连接到Azure。

    提示

    还可以从 “站点和传感器 ”页访问所需终结点的列表。 有关详细信息,请参阅Azure 门户中的传感器管理选项

  7. 在页面左下角,选择“ 完成”。 现在可以在 Defender for IoT 站点和 传感器页上看到新传感器列出。

    在激活传感器之前,传感器的状态会显示为 “挂起激活”。

有关详细信息,请参阅Azure 门户中使用 Defender for IoT 管理传感器

配置 SPAN 端口

虚拟交换机没有镜像功能。 但是,为了学习本教程,可以在虚拟交换机环境中使用 混杂模式 来查看通过虚拟交换机的所有网络流量。

此过程介绍如何使用 VMware ESXi 的解决方法配置 SPAN 端口。

注意

混杂模式是一种操作模式和安全监视技术,适用于与虚拟交换机位于同一端口组级别的 VM 接口,用于查看交换机的网络流量。 混杂模式默认处于禁用状态,但可以在虚拟交换机或端口组级别定义。

若要在 ESXi v-Switch 上使用杂交模式配置监视接口,请执行以下操作

  1. 打开 vSwitch 属性页,然后选择 “添加标准虚拟交换机”。

  2. 输入 SPAN Network 作为网络标签。

  3. 在 MTU 字段中,输入 4096

  4. 选择“ 安全性”,并验证 “混杂模式 ”策略是否设置为 “接受 模式”。

  5. 选择“ 添加 ”以关闭 vSwitch 属性。

  6. 突出显示已创建的 vSwitch,然后选择“ 添加上行链接”。

  7. 选择用于 SPAN 流量的物理 NIC,将 MTU 更改为 4096,然后选择“ 保存”。

  8. 打开 “端口组 属性”页,然后选择“ 添加端口组”。

  9. 输入 SPAN 端口组 作为名称,输入 4095 作为 VLAN ID,然后在 vSwitch 下拉列表中选择 “SPAN 网络 ”,然后选择“ 添加”。

  10. 打开 OT 传感器 VM 属性。

  11. 对于 “网络适配器 2”,选择 SPAN 网络。

  12. 选择“确定”

  13. 连接到传感器,并验证镜像是否正常工作。

验证流量镜像

配置流量镜像后,尝试从交换机 SPAN 或 镜像 端口接收 (PCAP 文件) 记录的流量示例。

示例 PCAP 文件将帮助你:

  • 验证交换机配置
  • 确认通过交换机的流量与监视相关
  • 确定交换机检测到的带宽和估计设备数

  1. 使用网络协议分析器应用程序(如 Wireshark)将示例 PCAP 文件记录几分钟。 例如,将笔记本电脑连接到配置了流量监视的端口。

  2. 检查记录流量中是否存在 单播数据包 。 单播流量是从地址发送到另一个地址的流量。

    如果大多数流量是 ARP 消息,则流量镜像配置不正确。

  3. 验证已分析的流量中是否存在 OT 协议。

    例如:

    Wireshark 验证的屏幕截图。

预配云管理

本部分介绍如何配置要在防火墙规则中定义的终结点,确保 OT 传感器可以连接到Azure。

有关详细信息,请参阅将传感器连接到Azure的方法

配置终结点详细信息

打开之前下载的文件以查看所需终结点的列表。 配置防火墙规则,以便传感器可以通过端口 443 访问每个所需的终结点。

提示

还可以从Azure 门户的“站点和传感器”页下载所需终结点的列表。 转到 “站点和传感器>”“更多操作>”“下载终结点详细信息”。 有关详细信息,请参阅Azure 门户中的传感器管理选项

有关详细信息,请参阅 预配用于云管理的传感器

下载虚拟传感器的软件

本部分介绍如何在自己的计算机上下载和安装传感器软件。

若要下载虚拟传感器的软件,请执行以下操作

  1. 在Azure 门户中,转到 Defender for IoT > 入门页,然后选择“传感器”选项卡。

  2. “购买设备并安装软件 ”框中,确保为最新和建议的软件版本选择了默认选项,然后选择“ 下载”。

  3. 将下载的软件保存在可从 VM 访问的位置。

从Azure 门户下载的所有文件都由信任根进行签名,以便计算机仅使用已签名的资产。

安装传感器软件

此过程介绍如何在 VM 上安装传感器软件。

注意

在此过程结束时,你将看到设备的用户名和密码。 请确保复制这些密码,因为不会再次显示这些密码。

若要在虚拟传感器上安装软件,请执行以下操作

  1. 如果关闭了 VM,请再次登录到 ESXi 并打开 VM 设置。

  2. 对于 CD/DVD 驱动器 1,请选择 “数据存储 ISO 文件 ”,然后选择 之前下载的 Defender for IoT 软件。

  3. 选择下一步>完成

  4. 打开 VM 并打开控制台。

  5. 安装启动时,系统会提示你启动安装过程。 选择 “安装 iot-sensor-<version number> ”项以继续或使其在 30 秒后自动启动。 例如:

    初始安装屏幕的屏幕截图。

    注意

    如果你使用的是旧版 BIOS,系统会提示你选择一种语言,安装选项显示在左上角而不是中间。 出现提示时,选择 English安装 iot-sensor-<version number> ”选项以继续。

    安装随即开始,提供更新后的状态消息。 整个安装过程最多需要 20-30 分钟,并且可能会因所使用的媒体类型而异。

    安装完成后,将显示以下一组默认网络详细信息。

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

使用提供的默认 IP 地址访问传感器进行 初始设置和激活

安装后验证

此过程介绍如何使用传感器自己的系统运行状况检查来验证安装,并且可供默认 管理员 用户使用。

若要验证安装,请

  1. 以用户身份 admin 登录到 OT 传感器。

  2. 选择 “系统设置”“>传感器管理系统>运行状况检查”。

  3. 选择以下命令:

    • 检查系统正在运行的设备。 验证每个行项是否显示 “正在运行” ,以及最后一行是否表示 “系统已启动”。
    • 用于 验证是否已安装正确版本的版本的版本。
    • ifconfig 用于验证安装期间配置的所有输入接口是否正在运行。

有关更多安装后验证测试(例如网关、DNS 或防火墙检查),请参阅 验证 OT 传感器软件安装

定义初始设置

以下过程介绍如何配置传感器的初始设置设置,包括:

  • 登录到传感器控制台并更改 管理员 用户密码
  • 定义传感器的网络详细信息
  • 定义要监视的接口
  • 激活传感器
  • 配置 SSL/TLS 证书设置

登录到传感器控制台并更改默认密码

此过程介绍如何首次登录到 OT 传感器控制台。 系统会提示你更改 管理员 用户的默认密码。

若要登录到传感器,请执行以下操作

  1. 在浏览器中,转到 192.168.0.101 IP 地址,这是安装结束时为传感器提供的默认 IP 地址。

    此时会显示初始登录页。 例如:

    初始传感器登录页的屏幕截图。

  2. 输入以下凭据,然后选择“ 登录”

    • 用户名support
    • 密码support

    系统会要求你为 管理员 用户定义新密码。

  3. “新建密码 ”字段中,输入新密码。 密码必须包含小写和大写字母字符、数字和符号。

    “确认新密码 ”字段中,再次输入新密码,然后选择“ 入门”。

    有关详细信息,请参阅 默认特权用户

Defender for IoT |“概述”页随即打开“管理界面”选项卡。

定义传感器网络详细信息

在“ 管理界面 ”选项卡中,使用以下字段为新传感器定义网络详细信息:

名称 说明
管理界面 选择要用作管理接口的接口,并连接到Azure 门户。

若要识别计算机上的物理接口,请选择一个接口,然后选择“ 闪烁物理接口 LED”。 与所选接口匹配的端口亮起,以便可以正确连接电缆。
IP 地址 输入要用于传感器的 IP 地址。 这是团队用于通过浏览器或 CLI 连接到传感器的 IP 地址。
子网掩码 输入要用作传感器子网掩码的地址。
默认网关 输入要用作传感器默认网关的地址。
DNS 输入传感器的 DNS 服务器 IP 地址。
主机名 输入要分配给传感器的主机名。 请确保使用的主机名与 DNS 服务器中定义的主机名相同。

为了学习本教程,请保留“ 为云连接启用代理 (可选) ”区域中跳过代理配置。

完成后,选择“ 下一步:接口配置 ”以继续。

定义要监视的接口

默认情况下,“ 接口连接 ”选项卡显示传感器检测到的所有接口。 使用此选项卡可以打开或关闭每个接口的监视,或为每个接口定义特定设置。

提示

建议通过将设置配置为仅监视正在使用的接口来优化传感器的性能。

在“ 接口配置 ”选项卡中,执行以下操作,为受监视的接口配置设置:

  1. 为希望传感器监视的任何接口选择 “启用/禁用 ”开关。 必须至少选择一个接口才能继续。

    如果不确定要使用哪个接口,请选择“ 闪烁物理接口 LED ”按钮,使所选端口在计算机上闪烁。 选择已连接到交换机的任何接口。

  2. 为了学习本教程,请跳过任何高级设置,然后选择“ 下一步:重新启动” > 以继续。

  3. 出现提示时,选择“ 开始重新启动 ”以重新启动传感器计算机。 传感器再次启动后,会自动重定向到 之前定义为传感器 IP 地址的 IP 地址

    选择“ 取消 ”以等待重新启动。

激活 OT 传感器

此过程介绍如何激活新的 OT 传感器。

若要激活传感器,请执行以下操作

  1. 在“激活”选项卡中,选择“上传”以上传从Azure 门户下载的传感器激活文件。

  2. 选择条款和条件选项,然后选择“ 下一步:证书”。

定义 SSL/TLS 证书设置

使用“ 证书 ”选项卡在 OT 传感器上部署 SSL/TLS 证书。 虽然我们建议对所有生产环境使用 CA 签名的证书 ,但为了学习本教程,请选择使用自签名证书。

定义 SSL/TLS 证书设置

  1. 在“ 证书 ”选项卡中,选择“ 使用本地生成的自签名证书 (不建议) ,然后选择” 确认 “选项。

    有关详细信息,请参阅 本地资源的 SSL/TLS 证书要求为 OT 设备创建 SSL/TLS 证书

  2. 选择“ 完成” 以完成初始设置并打开传感器控制台。

后续步骤

OT 监视的完整部署路径

  • Last updated on