分享方式:

使用企業 IoT 網路感應器探索企業 IoT 裝置 (公開預覽版)

  • 文章

本文說明如何在適用於 IoT 的 Microsoft Defender 中註冊企業 IoT 網路感應器。

使用企業 IoT 網路感應器的 Microsoft Defender XDR 客戶可以在 Microsoft 365 Defender 或適用於 IoT 之 Defender 的裝置詳細目錄中看到所有探索到的裝置。 針對新探索到的裝置,您也會從 Microsoft Defender XDR 中取得更多警示、弱點和建議的額外安全性值。

如果您是只能在 Azure 入口網站中運作的適用於 IoT 的 Defender 客戶,則企業 IoT 網路感應器可為企業 IoT 裝置提供額外的裝置可見度,例如網路協定語音服務系統 (Voice over Internet Protocol, VoIP) 裝置、印表機和相機,這些裝置可能未涵蓋於您的 OT 網路感應器中。

適用於 IoT 的 Defender 警示,以及企業 IoT 感應器所探索到裝置的建議僅適用於 Azure 入口網站。

如需詳細資訊,請參閱保護企業中的 IoT 裝置

重要

企業 IoT 網路感應器目前為預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

必要條件

本節說明部署企業 IoT 網路感應器之前所需的必要條件。

Azure 需求

  • 若要在 Microsoft Defender XDR 中檢視適用於 IoT 的 Defender 資料,包括裝置、警示、建議和弱點,您必須在 Microsoft Defender XDR 中開啟 [企業 IoT 安全性]

    如果您只想檢視 Azure 入口網站中的資料,則不需要 Microsoft Defender XDR。 您也可以在註冊網路感應器之後,在 Microsoft Defender XDR 中開啟企業 IoT 安全性,為貴組織帶來額外的裝置可見度和安全性值

  • 請確定您能夠以安全性管理員參與者擁有者的使用者身分來存取 Azure 入口網站。 如果您還沒有 Azure 帳戶,可以立即建立一個免費 Azure 帳戶

網路需求

  • 識別您想要監視的裝置和子網路,讓您了解企業 IoT 感應器要放置在網路中的位置。 您可能需要部署多個企業 IoT 感應器。

  • 在您的網路中設定流量鏡像,讓您想要監視的流量鏡像到您的企業 IoT 感應器。 支援的流量鏡像方法與 OT 監視相同。 如需詳細資訊,請參閱選擇用於流量監視的流量鏡像方法

實體或虛擬機器需求

配置實體設備或虛擬機器 (VM) 作為網路感應器。 確定您的機器具有下列規格:

需求
最低 若要支援最多 1 Gbps 的資料:

- 4 個 CPU,每個 CPU 2.4 GHz 或以上
- 16 GB DDR4 的 RAM 或更佳
- 250 GB HDD
建議需求 若要支援最多 15 Gbps 的資料:

- 8 個 CPU,每個 CPU 2.4 GHz 或以上
- 32 GB DDR4 的 RAM 或更佳
- 500 GB HDD

您的電腦也必須具有:

  • Ubuntu 18.04 Server 作業系統。 如果您尚未安裝 Ubuntu,則請將安裝檔案下載至外部儲存體 (例如 DVD 或 disk-on-key),然後將其安裝至您的設備或 VM。 如需詳細資訊,請參閱 Ubuntu 映像燒錄指南

  • 網路介面卡,至少一個用於您的交換器監視 (SPAN) 連接埠,一個則用於管理連接埠來存取感應器的使用者介面

您的企業 IoT 感應器必須使用直接連線來存取 Azure 雲端。 使用與 OT 感應器相同的程序,為企業 IoT 感應器設定直接連線。 如需詳細資訊,請參閱為雲端管理佈建感應器

準備實體設備或 VM

此程序描述如何準備實體設備或 VM 以安裝企業 IoT 網路感應器軟體。

若要準備設備

  1. 將網路介面 (NIC) 從實體設備或 VM 連線至交換器,如下所示:

    • 實體設備 - 透過銅纜線或光纖纜線將監視 NIC 直接連線至 SPAN 連接埠。

    • VM - 將 vNIC 連線至 vSwitch,並設定 vSwitch 安全性設定以接受「混合模式」。 如需詳細資訊,請參閱設定虛擬設備的 SPAN 監視介面 (舉例來說)。

  2. 登入您的實體設備或 VM,然後執行下列命令來驗證監視連接埠的傳入流量:

    ifconfig

    系統會顯示所有受監視介面的清單。

    識別您想要監視的介面,而介面通常是未列出 IP 位址的介面。 具有傳入流量的介面會顯示增加的 RX 封包數目。

  3. 針對您想要監視的每個介面,執行下列命令以在網路介面卡中啟用「混合模式」

    ifconfig <monitoring port> up promisc

    其中 <monitoring port> 是您想要監視的介面。 針對您想要監視的每個介面,重複此步驟。

  4. 在防火牆中開啟下列連接埠,以確保網路連線能力:

    通訊協定 傳輸 輸入/輸出 連接埠 目的
    HTTPS TCP 輸入/輸出 443 雲端連線
    DNS TCP/UDP 輸入/輸出 53 位址解析

  5. 確定您的實體設備或 VM 可以在連接埠 443 上使用 HTTPS 連線至下列 Microsoft 端點以存取雲端:

    • EventHub*.servicebus.windows.net
    • 儲存體*.blob.core.windows.net
    • 下載中心download.microsoft.com
    • IoT 中樞*.azure-devices.net

    提示

    您也可以下載並新增 Azure 公用 IP 範圍,讓您的防火牆允許上方指定的 Azure 端點及其區域。

    Azure 公用 IP 範圍會每週更新。 至少須經過一週後,Azure 才會使用檔案中顯示的新範圍。 若要使用此選項,請每週下載新的 JSON 檔案,並在您的網站上執行必要的變更,以正確識別在 Azure 中執行的服務。

在適用於 IoT 的 Defender 中註冊企業 IoT 感應器

本節說明如何在適用於 IoT 的 Defender 中註冊企業 IoT 感應器。 當您完成註冊感應器時,您會繼續在感應器電腦上安裝企業 IoT 監視軟體。

若要在 Azure 入口網站中註冊感應器

  1. 移至 [適用於 IoT 的 Defender]>[網站和感應器],然後選取 [上線感應器]>[EIoT]

  2. 在 [設定企業 IoT 安全性] 頁面上,輸入下列詳細資料,然後選取 [註冊]

    • 在 [感應器名稱] 欄位中,為您的感應器輸入有意義的名稱。
    • 從 [訂用帳戶] 下拉式功能表中,選取您要用來新增感應器的訂用帳戶。

    [感應器註冊成功] 畫面會顯示後續步驟,以及啟動感應器安裝所需的命令。

    例如:

    Screenshot of the successful registration of an Enterprise IoT sensor.

  3. 將命令複製至安全的位置,您可以在其中將其複製到實體設備或 VM,以安裝感應器軟體

安裝企業 IoT 感應器軟體

此程序描述如何在感應器機器上安裝企業 IoT 監視軟體,無論是實體設備或 VM。

注意

雖然此程序說明如何使用 ESXi 在 VM 上安裝感應器軟體,但也會使用 Hyper-V 支援企業 IoT 感應器。

若要安裝感應器軟體

  1. 在感應器機器上,使用終端機登入感應器的 CLI,例如 PuTTY 或 MobaXterm。

  2. 執行您從感應器註冊步驟複製的命令。 例如:

    Screenshot of running the command to install the Enterprise IoT sensor monitoring software.

    此程序會確認是否已安裝必要的 Docker 版本。 如果未安裝,感應器安裝也會安裝最新的 Docker 版本。

    此命令程序完成時,會出現 Ubuntu [設定 microsoft-eiot-sensor] 精靈。 在精靈中,使用向上或向下箭頭進行導覽,並使用空格鍵來選取選項。 按 ENTER 鍵前進到下一個畫面。

  3. 在 [設定 microsoft-eiot-sensor] 精靈的 [受監視介面的名稱為何?] 畫面中,選取您想要使用感應器監視的一或多個介面,然後選取 [確定]

    例如:

    Screenshot of the Configuring microsoft-eiot-sensor screen.

  4. 在 [設定 Proxy 伺服器?] 畫面中,選取是否要為感應器設定 Proxy 伺服器。 例如:

    Screenshot of the Set up a proxy server screen.

    如果您要設定 Proxy 伺服器,則請選取 [是],並定義 Proxy 伺服器主機、連接埠、使用者名稱和密碼,然後在每個選項之後選取 [確定]

    此安裝需要幾分鐘的時間才能完成。

  5. 在 Azure 入口網站中,檢查 [網站和感應器] 頁面現在列出您的新感應器。

    例如:

    Screenshot of your new Enterprise IoT sensor listed in the Sites and sensors page.

在 [網站和感應器] 頁面中,企業 IoT 感應器全都會自動新增至相同的網站,名為「企業網路」。 如需詳細資訊,請參閱在 Azure 入口網站中管理具有適用於 IoT 之 Defender 的感應器

提示

如果您未如預期般在適用於 IoT 的 Defender 中看到企業 IoT 資料,請確定您正在檢視已選取正確訂用帳戶的 Azure 入口網站。 如需詳細資訊,請參閱管理 Azure 入口網站 設定

如果您仍然未如預期地檢視資料,則請從 CLI 驗證感應器設定

檢視新偵測到的企業 IoT 裝置

驗證設定之後,適用於 IoT 的 Defender [裝置詳細目錄] 頁面將會在 15 分鐘後開始填入感應器偵測到的新裝置。

如果您是適用於端點的 Defender 客戶並使用舊版企業 IoT 方案,則您能夠在適用於 IoT 的 Defender 和 Microsoft Defender XDR 的 [裝置詳細目錄] 頁面中檢視所有偵測到的裝置。 偵測到的裝置包括適用於端點的 Defender 偵測到的裝置,以及企業 IoT 感應器偵測到的裝置。

如需詳細資訊,請參閱從 Azure 入口網站管理您的裝置詳細目錄Microsoft Defender XDR 裝置探索

刪除企業 IoT 網路感應器

如果感應器不再與適用於 IoT 的 Defender 搭配使用,請刪除感應器。

  1. 從 Azure 入口網站的 [網站和感應器] 頁面上,在方格中找出您的感應器。

  2. 在感應器的資料列中,選取 [...] 選項功能表 > [刪除感應器]

如需詳細資訊,請參閱在 Azure 入口網站中管理具有適用於 IoT 之 Defender 的感應器

提示

您也可以從 CLI 手動移除您的感應器。 如需詳細資訊,請參閱企業 IoT 部署的額外步驟和範例

如果您要使用 Microsoft Defender XDR 取消企業 IoT 安全性,請從 Microsoft Defender 入口網站執行此動作。 如需詳細資訊,請參閱關閉企業 IoT 安全性

下一步