你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:加入并激活虚拟 OT 传感器

  • 项目

本教程介绍使用 Microsoft Defender for IoT 的试用版订阅和自己的虚拟机设置 Microsoft Defender for IoT OT 传感器的基础知识。

对于完整的端到端部署,请确保遵循相关步骤来规划和准备系统,同时完全校准和微调设置。 有关详细信息,请参阅部署用于 OT 监视的 Defender for IoT

注意

如果想要为企业 IoT 系统设置安全监视,请参阅在 Defender for Endpoint 中启用企业 IoT 安全性

在本教程中,你将了解如何执行以下操作:

  • 为传感器创建 VM
  • 加入虚拟传感器
  • 配置虚拟 SPAN 端口
  • 预配云管理
  • 下载虚拟传感器的软件
  • 安装虚拟传感器软件
  • 激活虚拟传感器

先决条件

在开始之前,请确保做好以下准备:

  • 已完成快速入门:Defender for IoT 入门以便将 Azure 订阅添加到 Defender for IoT。

  • 安全管理员参与者所有者身份访问 Azure 门户。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 和企业 IoT 监视的 Azure 用户角色

  • 确保具有支持通过 SPAN 端口监视流量的网络交换机。 还需要至少一个连接到交换机的 SPAN 端口的设备进行监视。

  • VMware、ESXi 5.5 或更高版本,已安装且在传感器上正常运行。

  • 可用于 VM 的硬件资源如下:

    部署类型 企业 Enterprise SMB
    最大带宽 2.5 Gb/秒 800 Mb/秒 160 Mb/秒
    最大受保护设备数 12,000 10,000 800

  • 了解使用虚拟设备进行 OT 监视

  • 用于传感器设备的以下网络参数的详细信息:

    • 一个管理网络 IP 地址
    • 一个传感器子网掩码
    • 一个设备主机名
    • 一个 DNS 地址
    • 一个默认网关
    • 任何输入接口

为传感器创建 VM

此过程说明如何使用 VMware ESXi 为传感器创建 VM。

Defender for IoT 还支持其他过程,例如使用 Hyper-V 或物理传感器。 有关详细信息,请参阅 Defender for IoT 安装

若要为传感器创建 VM,请执行以下操作:

  1. 请确保 VMware 正在计算机上运行。

  2. 登录到 ESXi,选择相关的数据存储,然后选择“数据存储浏览器”。

  3. 上传映像,然后选择“关闭”。

  4. 转到“虚拟机”,然后选择“创建/注册 VM”。

  5. 选择“新建虚拟机”,然后选择“下一步”。

  6. 添加传感器名称,然后定义以下选项:

    • 兼容性: <最新 ESXi 版本>

    • 来宾 OS 系列:Linux

    • 来宾 OS 版本:Ubuntu Linux (64 位)

  7. 选择“下一步”。

  8. 选择相关的数据存储,然后选择“下一步”。

  9. 根据所需的规格更改虚拟硬件参数。 有关详细信息,请参阅前面“先决条件”部分中的表格

VM 现已准备好安装 Defender for IoT 软件。 在将传感器加入 Azure 门户、配置流量镜像并预配计算机以进行云管理之后,你将在本教程后面部分继续安装该软件。

加入虚拟传感器

开始使用 Defender for IoT 传感器之前,需要将新的虚拟传感器加入 Azure 订阅。

加入虚拟传感器

  1. 在 Azure 门户中,转到“Defender for IoT”>“开始”页。

  2. 在左下方,选择“设置 OT/ICS 安全性”。

    或者,从 Defender for IoT 的“站点和传感器”页中,选择“载入 OT 传感器”>“OT”。

    默认情况下,在“设置 OT/ICS 安全性”页上,向导的“步骤 1: 是否设置了传感器?”和“步骤 2: 配置 SPAN 端口或 TAP”处于折叠状态。

    稍后将在部署过程中安装软件并配置流量镜像,但应准备好设备并规划流量镜像方法。

  3. 在“步骤 3: 将此传感器注册到 Microsoft Defender for IoT”中定义以下值:

    字段名称 说明
    资源名称 选择要将传感器附加到站点,或者选择“创建站点”来创建新站点。

    若要创建新网站,请执行以下操作:
    1. 在“新建站点”字段中,输入站点名称,然后选择复选标记按钮。
    2. 在“站点大小”菜单中,选择你的站点的大小。 此菜单中列出的大小是根据你在 Microsoft 365 管理中心中购买的许可证获得许可的大小。
    显示名称 为要跨 Defender for IoT 显示的站点输入有意义的名称。
    标记 输入标记键和值,帮助你在 Azure 门户中识别和查找你的站点和传感器。
    区域 选择要用于 OT 传感器的区域,或选择“创建区域”以创建新区域。

    有关详细信息,请参阅规划 OT 站点和区域

  4. 完成所有其他字段后,选择“注册”以将传感器添加到 Defender for IoT。 随后会显示成功消息并自动下载激活文件。 该激活文件是你的传感器特有的,其中包含有关传感器管理模式的说明。

    从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。

  5. 将下载的激活文件保存在用户首次登录到控制台时可访问的位置,以便激活传感器。

    还可以通过在“激活传感器”框中选择相关链接手动下载文件。 你将使用此文件激活传感器,如下所述

  6. 在“添加出站允许规则”框中,选择“下载终结点详细信息”链接以下载必须配置为传感器安全终结点的终结点 JSON 列表。

    将下载的文件保存在本地。 在本教程后面部分使用下载的文件中列出的终结点,确保新传感器可以成功连接到 Azure。

    提示

    还可以从“站点和传感器”页访问所需终结点的列表。 有关详细信息,请参阅 Azure 门户中的传感器管理选项

  7. 在页面左下方选择“完成”。 现在,可以看到新传感器已列在 Defender for IoT“站点和传感器”页上。

    在激活传感器之前,传感器的状态将显示为“待激活”。

有关详细信息,请参阅在 Azure 门户中使用 Defender for IoT 管理传感器

配置 SPAN 端口

虚拟交换机没有镜像功能。 但是,对于本教程,可以在虚拟交换机环境中使用混杂模式来查看流经虚拟交换机的所有网络流量。

此过程说明如何使用 VMware ESXi 的变通方法配置 SPAN 端口。

注意

混杂模式是一种操作模式和安全监视技术,适用于与虚拟交换机处于同一端口组级别的 VM 接口,使用该模式可以查看交换机的网络流量。 混杂模式默认已禁用,但可以在虚拟交换机或端口组级别定义。

要在 ESXi v-Switch 上配置使用混杂模式的监视接口,请执行以下操作:

  1. 打开 vSwitch 属性页,然后选择“添加标准虚拟交换机”。

  2. 输入“SPAN 网络”作为网络标签。

  3. 在“MTU”字段中,输入 4096

  4. 选择“安全性”,验证是否已将“混杂模式”策略设置为“接受”模式。

  5. 选择“添加”以关闭 vSwitch 属性。

  6. 突出显示刚刚创建的 vSwitch,然后选择“添加上行链路”。

  7. 选择要用于 SPAN 流量的物理 NIC,将 MTU 更改为 4096,然后选择“保存”。

  8. 打开“端口组”属性页,然后选择“添加端口组”。

  9. 输入 SPAN 端口组 作为名称,输入 4095 作为 VLAN ID,并在 vSwitch 下拉列表中选择“SPAN 网络 ”,然后选择“添加”。

  10. 打开“OT 传感器 VM”属性。

  11. 对于“网络适配器 2”,请选择“SPAN”网络。

  12. 选择“确定”。

  13. 连接到传感器,验证镜像功能是否正常。

验证流量镜像

配置流量镜像后,可尝试从交换机 SPAN 或镜像端口接收记录的流量示例(PCAP 文件)。

示例 PCAP 文件将有助于:

  • 验证交换机配置
  • 确认通过交换机的流量与监视相关
  • 标识交换机检测到的带宽和预估设备数

  1. 使用网络协议分析器应用程序(如 Wireshark)记录 PCAP 样本文件几分钟时间。 例如,将笔记本电脑连接到配置了流量监视的端口。

  2. 检查记录流量中是否存在单播数据包。 单播流量是从地址发送到另一个地址的流量。

    如果大多数流量是 ARP 消息,则流量镜像配置不正确。

  3. 验证已分析的流量中是否存在 OT 协议。

    例如:

    Screenshot of Wireshark validation.

预配云管理

本部分介绍如何配置要在防火墙规则中定义的终结点,以确保 OT 传感器能够连接到 Azure。

有关详细信息,请参阅 将传感器连接到 Azure 的方法

要配置终结点详细信息,请执行以下操作:

打开之前下载的文件以查看所需终结点列表。 配置防火墙规则,以便传感器能够通过端口 443 访问每个所需终结点。

提示

也可从 Azure 门户中的“站点和传感器”页下载所需终结点列表。 转到“站点和传感器”>“更多操作”>“下载终结点详细信息”。 有关详细信息,请参阅 Azure 门户中的传感器管理选项

有关详细信息,请参阅预配传感器以进行云管理

下载虚拟传感器的软件

本部分介绍如何在自己的计算机上下载和安装传感器软件。

若要下载虚拟传感器的软件,请执行以下操作:

  1. 在 Azure 门户中,转到“Defender for IoT”>“开始”页,然后选择“传感器”选项卡。

  2. 在“购买设备并安装软件”框中,确保为最新和建议的软件版本选择默认选项,然后选择“下载”。

  3. 将下载的软件保存在可从 VM 访问的位置。

从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。

安装传感器软件

此过程说明如何在 VM 上安装传感器软件。

注意

在此过程结束时,将显示设备的用户名和密码。 请确保复制这些信息,因为这些密码将不会再次显示。

在虚拟传感器上安装软件

  1. 如果已关闭 VM,请重新登录 ESXi 并打开 VM 设置。

  2. 对于“CD/DVD 驱动器 1”,请选择“数据存储 ISO 文件”,然后选择前面下载的 Defender for IoT 软件。

  3. 选择“下一步”>“完成”。

  4. 打开 VM,然后打开控制台。

  5. 当安装启动时,系统会提示你启动安装过程。 选择“安装 iot-sensor-<version number>”项以继续,或者使其在 30 秒后自动启动。 例如:

    Screenshot of the initial installation screen.

    注意

    如果你使用的是旧版 BIOS,系统会提示你选择一种语言,然后安装选项会显示在左上角而不是中间。 出现提示时,选择 English,然后选择“安装 iot-sensor-<version number>”选项以继续。

    安装会随即开始,并在过程中提供更新的状态消息。 整个安装过程最多需要 20-30 分钟,可能会因所使用的介质类型而异。

    安装完成后,会显示以下一组默认网络详细信息。

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

使用提供的默认 IP 地址访问传感器,进行初始设置和激活

安装后验证

此过程说明如何使用传感器自身的系统运行状况检查来验证安装,适用于默认的“管理员”用户。

若要验证安装,请执行以下操作

  1. admin 用户身份登录到传感器。

  2. 选择“系统设置”>“传感器管理”>“系统运行状况检查”。

  3. 选择以下命令:

    • Appliance,用于检查系统是否正在运行。 验证每个行项是否显示为“正在运行”,且最后一行指出“系统已启动”。
    • Version,用于以验证是否安装了正确的版本。
    • ifconfig,用于验证安装期间配置的所有输入接口是否正在运行。

有关更多安装后验证测试(例如网关、DNS 或防火墙检查),请参阅验证 OT 传感器软件安装

定义初始设置

以下过程介绍如何配置传感器的初始安装设置,其中包括:

  • 登录到传感器控制台,并更改“管理员”用户密码
  • 定义传感器的网络详细信息
  • 定义要监视的接口
  • 激活传感器
  • 配置 SSL/TLS 证书设置

登录到传感器控制台并更改默认密码

此过程介绍如何首次登录到 OT 传感器控制台。 系统会提示你更改“管理员”用户的默认密码。

若要登录到传感器,请执行以下操作

  1. 在浏览器中,转到 192.168.0.101 IP 地址,这是安装结束时为传感器提供的默认 IP 地址。

    此时会显示初始登录页面。 例如:

    Screenshot of the initial sensor sign-in page.

  2. 输入以下凭据,然后选择“登录”:

    • 用户名support
    • 密码support

    系统会要求你为“管理员”用户定义新密码。

  3. 在“新建密码”字段中,输入新密码。 密码必须包含小写和大写字母字符、数字、符号。

    在“确认新密码”字段中,再次输入新密码,然后选择“开始”。

    有关详细信息,请参阅默认特权用户

这会打开“Defender for IoT | 概述”页面,转到“管理界面”选项卡。

定义传感器网络详细信息

在“管理界面”选项卡中,使用以下字段为新传感器定义网络详细信息:

名称 说明
管理界面 选择要用作管理界面的界面,并连接到 Azure 门户。

若要识别计算机上的物理接口,请选择一个接口,然后选择“闪烁物理接口 LED”。 与所选接口匹配的端口将亮起,以便你可正确连接电缆。
IP 地址 输入要用于传感器的 IP 地址。 这是团队用于通过浏览器或 CLI 连接到传感器的 IP 地址。
子网掩码 输入要用作传感器子网掩码的地址。
默认网关 输入要用作传感器输入网关的地址。
DNS 输入传感器的 DNS 服务器 IP 地址。
主机名 输入要分配给传感器的主机名。 请确保使用的主机名与 DNS 服务器中定义的主机名相同。

在本教程中,请在“启用云连接代理(可选)”区域中跳过代理配置。

完成后,选择“下一步: 接口配置”以继续。

定义要监视的接口

默认情况下,“接口连接”选项卡显示传感器检测到的所有接口。 使用此选项卡可打开或关闭每个接口的监视,或为每个接口定义特定设置。

提示

建议通过将设置配置为仅监视正在使用的接口来优化传感器的性能。

在“接口配置”选项卡中,执行以下操作,为受监视的接口配置设置:

  1. 为希望传感器监视的任何接口选择“启用/禁用”切换开关。 若要继续,必须至少选择一个接口。

    如果不确定要使用哪个接口,请选择“闪烁物理接口 LED”按钮,使所选端口在计算机上闪烁。 选择已连接到交换机的任何接口。

  2. 在本教程中,请跳过所有高级设置,然后选择“下一步: 重启”以继续。>

  3. 出现提示时,选择“开始重启”来重启传感器机器。 传感器再次启动后,系统会自动将你重定向到之前定义为传感器 IP 地址的 IP 地址。

    选择“取消”以等待重启。

激活 OT 传感器

此过程介绍如何激活新的 OT 传感器。

若要激活传感器,请执行以下操作:

  1. 在“激活”选项卡中选择“上传”,上传你从 Azure 门户下载的传感器激活文件。

  2. 选择条款和条件选项,然后选择“下一步: 证书”。

定义 SSL/TLS 证书设置

使用“证书”选项卡,在 OT 传感器上部署 SSL/TLS 证书。 虽然我们建议对所有生产环境使用 CA 签名的证书,但在本教程中,请选择使用自签名证书。

若要定义 SSL/TLS 证书设置,请执行以下操作

  1. 在“证书”选项卡中,选择“使用本地生成的自签名证书(不推荐)”,然后选择“确认”选项。

    有关详细信息,请参阅本地资源的 SSL/TLS 证书要求以及为 OT 设备创建 SSL/TLS 证书

  2. 选择“完成”来完成初始设置,并打开传感器控制台。

后续步骤

OT 监视的完整部署路径