你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:企业 IoT 监视入门

本教程介绍如何开始使用 Microsoft Defender for IoT 部署企业 IoT 监视。

Defender for IoT 支持环境中的所有 IoT 设备,从公司打印机、摄像头到专用、专有及独有设备等。

在本教程中,你将学习:

  • 与 Microsoft Defender for Endpoint 集成
  • 使用 Defender for IoT 进行企业 IoT 网络监视的先决条件
  • 如何准备物理设备或 VM 作为网络传感器
  • 如何加入企业 IoT 传感器并安装软件
  • 如何在 Azure 门户中查看检测到的企业 IoT 设备
  • 如何在 Defender for Endpoint 中查看设备、警报、漏洞和建议

Microsoft Defender for Endpoint 集成

Defender for IoT 与 Microsoft Defender for Endpoint 集成,以扩展安全分析功能,从而跨企业 IoT 设备提供全面覆盖。 Defender for Endpoint 分析功能包括针对企业设备的警报、漏洞和建议。

Microsoft 365 P2 客户可以通过 Microsoft Defender for Endpoint 门户加入企业 IoT 计划。 加入企业 IoT 计划后,可以在 Defender for Endpoint 中查看发现的 IoT 设备以及相关的警报、漏洞和建议。

Microsoft 365 P2 客户还可以安装企业 IoT 网络传感器(目前提供公共预览版),以便更详细地了解 Defender for Endpoint 之前未涵盖的企业网络的其他 IoT 段。 部署网络传感器不是加入企业 IoT 的先决条件。

有关详细信息,请参阅在 Defender for Endpoint 中加入 Microsoft Defender for IoT

重要

企业 IoT 网络传感器目前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

开始学习本教程之前,请确保具备以下先决条件。

Azure 订阅先决条件

  • 确保已从 Microsoft Defender for Endpoint 向 Azure 订阅添加了适用于企业 IoT 网络的 Defender for IoT 计划。 有关详细信息,请参阅加入 Microsoft Defender for IoT

  • 确保可以作为“安全管理员”、订阅“参与者”或订阅“所有者”用户访问 Azure 门户。 有关详细信息,请参阅所需的权限

物理设备或 VM 要求

可以使用物理设备或虚拟机作为网络传感器。 在任一情况下,请确保计算机具有以下规范:

要求
最低 若要支持最高 1 Gbps,需要:

- 4 个 CPU,每个都具备 2.4 GHz 或更高
- 16 GB DDR4 或更高级别的 RAM
- 250 GB HDD
推荐 若要最高支持 15 Gbps,需要:

- 8 个 CPU,每个都具备 2.4 GHz 或更高
- 32 GB DDR4 或更高级别的 RAM
- 500 GB HDD

还要确保物理设备或 VM 具有:

  • Ubuntu 18.04 服务器操作系统。 如果尚未安装 Ubuntu,请将安装文件下载到外部存储(如 DVD 或闪盘),并将其安装在设备或 VM 上。 有关详细信息,请参阅 Ubuntu 图像刻录指南

  • 网络适配器,至少一个用于交换机监视 (SPAN) 端口,一个用于管理端口以访问传感器的用户界面

准备物理设备或 VM

此过程说明如何准备物理设备或 VM 以安装企业 IoT 网络传感器软件。

准备设备:

  1. 将网络接口 (NIC) 从物理设备或 VM 连接到交换机,如下所示:

    • 物理设备 - 通过铜缆或光缆将监视 NIC 直接连接到 SPAN 端口。

    • VM - 将 vNIC 连接到 vSwitch,并将 vSwitch 安全设置配置为接受混杂模式。 有关详细信息,请参阅(例如)为虚拟设备配置 SPAN 监视接口

  2. 登录到物理设备或 VM,并运行以下命令来验证监视端口的传入流量:

    ifconfig
    

    系统显示所有受监视接口的列表。

    标识要监视的接口,这些接口通常是未列出 IP 地址的接口。 与传入流量的接口将显示越来越多的 RX 数据包。

  3. 对于要监视的每个接口,请运行以下命令以在网络适配器中启用混杂模式:

    ifconfig <monitoring port> up promisc
    

    其中,<monitoring port> 为要监视的接口。 针对要监视的每个接口重复此步骤。

  4. 通过在防火墙中打开以下端口来确保网络连接:

    协议 Transport 输入/输出 端口 目的
    HTTPS TCP 输入/输出 443 云连接
    DNS TCP/UDP 输入/输出 53 地址解析
  5. 确保你的物理设备或 VM 可以在端口 443 上使用 HTTP 访问云,并可访问以下 Microsoft 域:

    • 事件中心:*.servicebus.windows.net
    • 存储:*.blob.core.windows.net
    • 下载中心:download.microsoft.com
    • IoT 中心:*.azure-devices.net

    提示

    你也可以下载 Azure 公共 IP 范围,这样防火墙将允许上述指定的 Azure 域及其区域。

    Azure 公共 IP 范围每周更新一次。 Azure 至少在一周后才会使用文件中显示的新范围。 要使用此选项,请每周下载新的 json 文件,并在网站上执行必要的更改以正确地标识 Azure 中运行的服务。

注册企业 IoT 传感器

此过程说明如何将企业 IoT 传感器注册到 Defender for IoT,然后在用作网络传感器的物理设备或 VM 上安装传感器软件。

备注

此过程说明如何使用 ESXi 在 VM 上安装传感器软件。 还支持使用 Hyper-V 的企业 IoT 传感器。

先决条件:确保满足所有先决条件并已完成准备物理设备或 VM

注册企业 IoT 传感器:

  1. 在 Azure 门户中,转到“Defender for IoT”>“入门”>“设置企业 IoT 安全性”。

    企业 IoT 安全性的“入门”页的屏幕截图。

  2. 在“设置企业 IoT 安全性”页上,输入以下详细信息,然后选择“注册”:

    • 在“传感器名称”字段中,为传感器输入一个有意义的名称。
    • 从“订阅”下拉菜单中,选择要在其中添加传感器的订阅。

    “传感器注册成功”屏幕将显示后续步骤以及开始安装传感器所需的命令。

    例如:

    成功注册企业 IoT 传感器的屏幕截图。

  3. 将命令复制到可以将其复制到物理设备或 VM 的安全位置,以安装传感器

安装传感器软件

运行在注册企业 IoT 传感器时收到且保存的命令。

安装过程检查是否已安装所需的 Docker 版本。 如果未安装,传感器安装也会安装最新的 Docker 版本。

安装传感器

  1. 在物理设备或 VM 上,使用终端(如 PuTTY 或 MobaXterm)登录到传感器的 CLI。

  2. 运行从 Azure 门户保存的命令。 例如:

    运行命令以安装企业 IoT 传感器监视软件的屏幕截图。

    命令过程检查是否已安装所需的 Docker 版本。 如果未安装,传感器安装也会安装最新的 Docker 版本。

    命令过程完成后,将显示 Ubuntu“配置 microsoft-eiot-sensor”向导。 在此向导中,使用向上或向下箭头进行导航,并使用空格键选择一个选项。 按 ENTER 可进入下一屏幕。

  3. 在“配置 microsoft-eiot-sensor”向导中的“受监视接口的名称是什么?”屏幕上,选择要使用传感器监视的一个或多个接口,然后选择“确定”。

    例如:

    “配置 microsoft-eiot-sensor”屏幕的屏幕截图。

  4. 在“设置代理服务器”屏幕中,选择是否为传感器设置代理服务器。 例如:

    “设置代理服务器”屏幕的屏幕截图。

    如果要设置代理服务器,请选择“是”,然后定义代理服务器主机、端口、用户名和密码,并在每个选项后选择“确定”。

    安装需要数分钟才能完成。

  5. 在Azure 门户中,检查“站点和传感器”页现在是否列出了新传感器。

    例如:

    “站点和传感器”页中列出的新企业 IoT 传感器的屏幕截图。

在“站点和传感器”页中,企业 IoT 传感器全都会自动添加到同一站点,即名为“企业网络”的站点。 有关详细信息,请参阅在 Azure 门户中使用 Defender for IoT 管理传感器

提示

如果在 Defender for IoT 中没有看到预期的企业 IoT 数据,请确保你正在查看 Azure 门户并选择了正确的订阅。 有关详细信息,请参阅管理 Azure 门户设置

如果仍无法按预期查看数据,请从 CLI 验证传感器设置

在 Azure 中查看检测到的企业 IoT 设备

验证设置后,“设备清单”页会在 15 分钟后开始使用所有设备进行填充。

在 Azure 门户的 Defender for IoT“设备清单”页中查看设备和网络信息。

有关详细信息,请参阅使用组织的设备清单管理 IoT 设备

删除企业 IoT 网络传感器(可选)

如果某个传感器不再与 Defender for IoT 一起使用,请移除该传感器。

  1. 从 Azure 门户的“站点和传感器”页中,在网格中找到传感器。
  2. 在传感器的行中,选择右侧的“...”选项菜单 >“删除传感器”。

或者,从 CLI 手动删除传感器。 有关详细信息,请参阅适用于企业 IoT 部署的额外步骤和示例

重要

如果你只想取消企业 IoT 网络计划,请从 Defender for Endpoint 执行此操作。

如果你想同时取消 OT 和企业 IoT 网络计划,可以使用 Azure 门户中 Defender for IoT 的“定价”页。

有关详细信息,请参阅 Azure 门户中的传感器管理选项

后续步骤

根据组织的需求,继续查看 Azure 门户和 Defender for Endpoint 中的设备数据。

在 Defender for Endpoint 中,还可以查看与网络流量相关的警报数据、建议和漏洞。

有关 Defender for Endpoint 文档中的详细信息,请参阅: