共用方式為

設定並啟用 OT 感測器

  • 發行項

本文是一系列文章中的一篇,說明 使用適用於IoT的 Microsoft Defender 進行OT監視的部署路徑 ,並說明如何設定初始設定並啟用OT感測器。

已醒目提示 [部署感測器] 進度列的圖表。

您可以在瀏覽器中或透過 CLI 執行數個初始設定步驟。

  • 如果您可以從交換器將實體纜線連接到感測器,以正確識別您的介面,請使用瀏覽器。 請務必重新設定網路適配器,以符合感測器上的預設設定。
  • 如果您知道您的網路詳細數據,而不需要連接實體纜線,請使用 CLI。 如果您只能透過 iLo / iDrac 連線到感測器,請使用 CLI

透過 CLI 設定您的設定仍然需要您完成瀏覽器中的最後幾個步驟。

必要條件

若要執行本文中的程式,您需要:

  • Azure 入口網站 中已上線至適用於IoT的Defender的OT感測器

  • 安裝在您設備上的 OT 感測器軟體。 請確定您已 自行安裝 軟體或 購買 預先設定的設備。

  • 感測器的啟用檔案,這是在上線感測器之後下載的。 您需要您部署之每個 OT 感測器的唯一啟用檔案。

    從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署,讓您的機器只使用已簽署的資產。

    注意

    啟用檔案會在建立後 14 天到期。 如果您將感應器上線,但未在啟用檔案過期之前上傳檔案,請下載新的啟用檔案

  • SSL/TLS 憑證。 建議使用 CA 簽署憑證,而不是自我簽署憑證。 如需詳細資訊,請參閱為 OT 設備建立 SSL/TLS 憑證

  • 安裝感應器所在的實體或虛擬設備存取權。 如需詳細資訊,請參閱我需要哪些設備?(英文)

此步驟由您的部署小組執行。

透過瀏覽器設定設定

透過瀏覽器設定感測器設定包含下列步驟:

  • 登入感應器主控台並變更 admin 使用者密碼
  • 定義感應器的網路詳細資料
  • 定義您想要監視的介面
  • 啟用感應器
  • 設定 SSL/TLS 憑證設定

登入感應器主控台並變更預設密碼

此程序描述如何第一次登入 OT 感應器控制台。 系統會提示您變更 admin 使用者的預設密碼。

若要登入您的感應器

  1. 在瀏覽器中,移至 192.168.0.101 IP位址,這是安裝結束時為感應器提供的預設 IP 位址。

    初始登入頁面隨即出現。 例如:

    初始感測器登入頁面的螢幕快照。

  2. 輸入下列認證,然後選取 [登入]

    • 使用者名稱admin
    • 密碼admin

    系統會要求您為 admin 使用者定義新的密碼。

  3. 在 [新增密碼] 欄位中,輸入您的新密碼。 您的密碼必須包含小寫和大寫字母字元、數字和符號。

    在 [確認新密碼] 欄位中,再次輸入您的新密碼,然後選取 [開始使用]

    如需詳細資訊,請參閱預設特殊權限使用者

[適用於 IoT 的 Defender | 概觀] 頁面隨即開啟至 [管理介面] 索引標籤。

定義感應器網路詳細資料

在 [管理介面] 索引標籤中,使用下列欄位來定義新感應器的網路詳細資料:

名稱 描述
管理介面 選取您想要作為管理介面的介面,以連線到 Azure 入口網站 或內部部署管理控制台。

若要識別電腦上的實體介面,請選取介面,然後選取 [閃爍實體介面 LED]。 符合所選介面的連接埠已亮起,以便您可以正確地連接纜線。
IP 位址 輸入您要用於感應器的 IP 位址。 這是小組用來透過瀏覽器或 CLI 連線到感測器的 IP 位址。
子網路遮罩 輸入您要用作感應器子網路遮罩的位址。
預設閘道 輸入您想要用作感應器預設閘道的位址。
DNS 輸入感應器的 DNS 伺服器 IP 位址。
主機名稱 輸入您要指派給感應器的主機名稱。 請確定您使用的主機名稱與 DNS 伺服器中所定義的主機名稱相同。
開啟雲端連線的 Proxy (選擇性 ) 選取以定義感測器的 Proxy 伺服器。

如果您使用 SSL/TSL 憑證來存取 Proxy 伺服器,請選取 [用戶端憑證 ] 並上傳您的憑證。

完成時,請選取 [下一步:介面設定] 以繼續。

定義您要監視的介面

[介面組態] 索引標籤會顯示感測器預設偵測到的所有介面。 使用此索引標籤來開啟或關閉每個介面的監視,或為每個介面定義特定設定。

提示

建議您將設定設定為僅監視使用中的介面,將感應器的效能最佳化。

在 [介面設定] 索引標籤中,執行下列動作以設定受監視介面的設定:

  1. 針對您要感應器監視的任何介面,選取 [啟用/停用] 切換。 您必須至少選取一個介面才能繼續。

    如果您不確定要使用哪一個介面,請選取 [閃爍實體介面 LED] 按鈕,讓選取的連接埠在電腦上閃爍。 選取您已連線至交換器的任何介面。

  2. (選擇性)針對您選取要監視的每個介面,選取 [ 進階設定 ] 按鈕以修改下列任何設定:

    名稱 描述
    模式 選取下列其中一個:
    - SPAN 流量 (無封裝) 以使用預設 SPAN 連接埠鏡像。
    如果您使用 ERSPAN 鏡像,則為 - ERSPAN

    如需詳細資訊,請參閱選擇用於 OT 感應器的流量鏡像方法
    說明 輸入介面的選擇性 [描述]。 您稍後會在感應器的 [系統設定]>[介面設定] 頁面中看到此內容,這些描述可能有助於了解每個介面的用途。
    自動交涉 僅與實體機器相關。 使用此選項可判斷使用哪些種類的通訊方法,或是否在元件之間自動定義通訊方法。

    重要:建議您僅在網路小組的建議之下才變更此設定。

    選取儲存以儲存變更。

  3. 選取 [下一步:重新啟動 > ] 以繼續,然後 啟動重新啟動 以重新啟動感測器計算機。 再次啟動感應器之後,系統會自動將您重新導向至您稍早定義為感應器 IP 位址的 IP位址。

    選取 [取消] 以等候重新啟動。

啟動 OT 感應器

此程序描述如何啟動新的 OT 感應器。

如果您已透過 CLI 設定初始設定,則您將在此步驟中啟動瀏覽器型設定。 感測器重新啟動之後,系統會將您重新導向至適用於IoT的相同Defender |[啟用] 索引標籤的 [概觀] 頁面。

若要啟動感應器

  1. 在 [啟用] 索引標籤中,選取 [上傳] 以上傳您從 Azure 入口網站 下載的感測器啟用檔案。
  2. 選取 [條款及條件] 選項,然後選取 [ 啟用]。
  3. 選取 [ 下一步:憑證]。

定義 SSL/TLS 憑證設定

使用 [憑證] 索引標籤,在您的 OT 感應器上部署 SSL/TLS 憑證。 建議您針對所有生產環境使用 CA 簽署的憑證

若要定義 SSL/TLS 憑證設定

  1. 在 [ 憑證] 索引標籤中,選取 [ 匯入受信任的 CA 憑證], 以部署 CA 簽署的憑證。

    輸入憑證的名稱和 複雜密碼,然後選取 [上傳 ] 以上傳私鑰檔案、憑證檔案和選擇性憑證鏈結檔案。

    上傳檔案之後,您可能需要重新整理頁面。 如需詳細資訊,請參閱針對憑證上傳錯誤進行疑難排解

    提示

    如果您正在處理測試環境,您也可以使用在安裝期間於本機產生的自我簽署憑證。 如果您選取使用自我簽署憑證,請務必選取有關建議的 [確認 ] 選項。

    如需詳細資訊,請參閱管理 SSL/TLS 憑證 (部分機器翻譯)。

  2. 在 [ 內部部署管理控制台憑證 驗證] 區域中,選取 [強制] ,針對憑證吊銷清單 (CRL) 驗證內部部署管理控制台的憑證

    如需詳細資訊,請參閱內部部署資源的 SSL/TLS 憑證需求為 OT 設備建立 SSL/TLS 憑證

  3. 選取 [完成] 以完成初始設定,然後開啟您的感應器主控台。

透過 CLI 設定設定

使用此程式透過 CLI 設定下列初始設定:

  • 登入感測器主控台並設定新的 系統管理員 用戶密碼
  • 定義感應器的網路詳細資料
  • 定義您想要監視的介面

繼續在 瀏覽器中啟用設定 SSL/TLS 憑證設定

若要透過 CLI 設定初始設定:

  1. 在安裝畫面中,顯示預設網路詳細數據之後,請按 ENTER 繼續。

  2. 在提示字元中 D4Iot login ,使用下列預設認證登入:

    • 使用者名稱admin
    • 密碼admin

    當您輸入密碼時,密碼字元不會顯示在畫面上。 請務必仔細輸入。

  3. 在提示字元中,輸入系統管理員使用者的新密碼。 您的密碼必須包含小寫和大寫字母字元、數字和符號。

    當系統提示您確認密碼時,請再次輸入您的新密碼。 如需詳細資訊,請參閱預設特殊權限使用者

    <這是否立即發生?不清楚-->Linux 組 Package configuration 態精靈隨即開啟。 在此精靈中,使用向上或向下箭號來巡覽,並使用 空格 鍵來選取選項。 按 ENTER 鍵以前進到下一個畫面。

  4. 在精靈的 Select monitor interfaces 畫面中,選取您想要使用此感測器監視的任何介面。

    系統會選取它找到的第一個介面做為管理介面,我們建議您保留預設選取範圍。 如果您決定使用不同的埠作為管理介面,則只有在感測器重新啟動之後才會實作變更。 在這種情況下,請確定感測器已視需要連線。

    例如:

    [選取監視介面] 畫面的螢幕快照。

    重要

    請確定您僅選取已連線的介面。

    如果您選取的介面已啟用但並未連線,則感應器會在 Azure 入口網站中顯示 [沒有受監視流量] 的健康情況通知。 如果您在安裝之後連線更多流量來源,並想要使用適用於IoT的Defender來監視它們,您可以稍後透過 CLI新增它們。

  5. 在畫面中Select management interface,選取您想要用來連線到 Azure 入口網站 或內部部署管理控制台的介面。

    例如:

    [選取管理介面] 畫面的螢幕快照。

  6. 在畫面中 Enter sensor IP address ,輸入您要用於此感測器的IP位址。 使用此IP位址透過CLI或瀏覽器連線到感測器。 例如:

    [輸入感測器 IP 位址] 畫面的螢幕快照。

  7. Enter path to the mounted backups folder 畫面中,輸入感應器掛接備份的路徑。 我們建議您使用 /opt/sensor/persist/backups 的預設路徑。 例如:

    已掛接備份資料夾設定的螢幕快照。

  8. Enter Subnet Mask 畫面中,輸入感應器子網路遮罩的 IP 位址。 例如:

    Enter Subnet Mask 畫面的螢幕快照。

  9. Enter Gateway 畫面中,輸入感應器的預設閘道 IP 位址。 例如:

    Enter Gateway 畫面的螢幕快照。

  10. Enter DNS server 畫面中,輸入感應器的 DNS 伺服器 IP 位址。 例如:

    [輸入 DNS 伺服器] 畫面的螢幕快照。

  11. 在畫面中 Enter hostname ,輸入您想要用來作為感測器主機名的名稱。 請確定您使用的主機名稱與 DNS 伺服器中所定義的主機名稱相同。 例如:

    Enter 主機名畫面的螢幕快照。

  12. Run this sensor as a proxy server (Preview) 畫面中,只有在您想要設定 Proxy 時,才選取 <Yes>,然後輸入 Proxy 認證,如提示所示。 如需詳細資訊,請參閱在 OT 感應器上設定 Proxy 設定

    預設組態沒有 Proxy。

  13. 設定程式會開始執行、重新啟動,然後提示您再次登入。 例如:

    初始 CLI 組態結束時最終登入提示的螢幕快照。

此時,請開啟瀏覽器至您為感測器定義的IP位址,並繼續在瀏覽器中進行設定。 如需詳細資訊,請參閱 啟用 OT 感測器

注意

在初始設定期間,ERSPAN 監視埠的選項只能在瀏覽器型程式中使用。

如果您要透過 CLI 定義網路詳細數據,並想要設定 ERSPAN 監視埠,請之後透過感測器的 [設定 > 介面連線] 頁面進行。 如需詳細資訊,請參閱更新感應器的監視介面 (設定 ERSPAN) (部分機器翻譯)。

下一步

« 驗證 OT 感測器軟體安裝

在 OT 感測器上設定 Proxy 設定 »