教學課程：上線並啟用虛擬 OT 感應器

本教學課程說明使用適用於 IoT 的 Microsoft Defender 試用訂閱和您自己的虛擬機器，設定適用於 IoT 的 Microsoft Defender 感應器的基本概念。

如需完整的端對端部署，請務必遵循下列步驟來規劃和準備您的系統，以及完整校正和微調您的設定。 如需詳細資訊，請參閱部署適用於 IoT 的 Defender 以進行 OT 監視。

注意

如果您想要設定企業 IoT 系統的安全性監視，請參閱在適用於端點的 Defender 中啟用企業 IoT 安全性。

在本教學課程中，您會了解如何：

• 建立感應器的 VM
• 將虛擬感應器上線
• 設定虛擬 SPAN 連接埠
• 針對雲端管理進行佈建
• 下載虛擬感應器的軟體
• 安裝虛擬感應器軟體
• 啟動虛擬感應器

必要條件

開始之前，請確定您有下列項目：

• 已完成快速入門：開始使用適用於 IoT 的 Defender，以將 Azure 訂閱新增至適用於 IoT 的 Defender。

• 以安全性管理員、參與者或擁有者身分存取 Azure 入口網站的存取權。 如需詳細資訊，請參閱使用適用於 IoT 的 Defender 進行 OT 和企業 IoT 監視的 Azure 使用者角色。

• 請確定您有一個網路交換器，可透過 SPAN 連接埠支援流量監視。 您也需要至少一部裝置來監視，並連線至交換器的 SPAN 連接埠。

• 在感應器上已安裝 VMware、ESXi 5.5 或更新版本且可運作。

• VM 可用的硬體資源，如下所示：

  部署類型	公司	企業	SMB
  頻寬上限	2.5 GB/秒	800 MB/秒	160 MB/秒
  受保護的裝置上限	12,000	10,000	800

• 了解使用虛擬設備進行 OT 監視。

• 下列用於感應器設備的網路參數詳細資料：

  • 管理網路 IP 位址
  • 感應器子網路遮罩
  • 設備主機名稱
  • DNS 位址
  • 預設閘道
  • 任何輸入介面

為感應器建立 VM

此程序描述如何使用 VMware ESXi 為感應器建立 VM。

適用於 IoT 的 Defender 也支援其他程序，例如：使用 Hyper-V 或實體感應器。 如需詳細資訊，請參閱適用於 IoT 的 Defender 安裝。

為感應器建立 VM：

1. 請確定 VMware 正在您的電腦上執行。

2. 登入 ESXi、選擇相關的資料存放區，然後選取 [Datastore Browser] \(資料存放區瀏覽器\)。

3. [上傳] 映像，然後選取 [關閉]。

4. 移至虛擬機器，然後選取 [Create/Register VM] \(建立/註冊 VM\)。

5. 選取 [建立新虛擬機器]，然後選取 [下一步]。

6. 新增感應器名稱，然後定義下列選項：

   • 相容性：<最新的 ESXi 版本 >

   • 客體 OS 系列：Linux

   • 客體 OS 版本：Ubuntu Linux (64 位元)

7. 選取 [下一步]。

8. 選擇相關的資料存放區，然後選取 [下一步]。

9. 根據針對您需求的必要規格變更虛擬硬體參數。 如需詳細資訊，請參閱上述必要條件中的資料表一節。

您的 VM 現在已針對適用於 IoT 的 Defender 軟體安裝備妥。 您稍後會繼續在本教學課程中安裝軟體、在 Azure 入口網站中將感應器上線、設定流量鏡像，以及佈建機器以進行雲端管理。

將虛擬感應器上線

您必須先將新的虛擬感應器上線至 Azure 訂用帳戶，才能開始使用適用於 IoT 的 Defender 感應器。

若要將虛擬感應器上線：

1. 在 Azure 入口網站中，移至適用於 IoT 的 Defender > [使用者入門] 頁面。

2. 在左下方，選取 [Set up OT/ICS Security] \(設定 OT/ICS 安全性\)。

   或者，從適用於 IoT 的 Defender [網站和感應器] 頁面，選取 [將 OT 感應器上線]>[OT]。

   根據預設，在 [設定 OT/ICS 安全性] 頁面上，精靈的步驟 1：您是否已設定感應器？和步驟 2：設定 SPAN 連接埠或 TAP精靈的 已摺疊。

   您稍後將在部署程序中安裝軟體並設定流量鏡像，但應該已備妥設備，並規劃流量鏡像方法。

3. 在步驟 3：向適用於 IoT 的 Microsoft Defender 註冊此感應器中，定義下列值：

   欄位名稱	描述
   資源名稱	選取您要連結感應器的目標網站，或選取 [建立網站] 以建立新的網站。 如果您要建立新的網站： 1.在 [新增網站] 欄位中，輸入您的網站名稱，然後選取核取記號按鈕。 2.從 [網站大小] 功能表中，選取您的網站大小。 此功能表中所列的大小是根據您在 Microsoft 365 系統管理中心購買授權時所獲得授權的大小而定。
   顯示名稱	為要在適用於 IoT 的 Defender 中顯示的網站輸入有意義的名稱。
   Tags (標籤)	輸入標籤索引鍵和值，以協助您在 Azure 入口網站中識別及尋找您的網站和感應器。
   區域	選取您要用於 OT 感應器的區域，或選取 [建立區域] 以建立新的區域。

   如需詳細資訊，請參閱規劃 OT 網站和區域。

4. 當您完成所有其他欄位時，請選取 [註冊] 以將感應器新增至適用於 IoT 的 Defender。 成功訊息隨即顯示，並自動下載您的啟用檔案。 該啟用檔案對您的感應器而言是唯一的，且包含感應器管理模式的相關指示。

   從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署，讓您的機器只使用已簽署的資產。

5. 將下載的啟用檔案儲存於可供第一次登入主控台的使用者存取的位置，以便其可以啟動感應器。

   您也可以選取 [啟用感應器] 方塊中的相關連結，手動下載檔案。 您將使用此檔案來啟動感應器，如下所述。

6. 在 [新增輸出允許規則] 方塊中，選取 [下載端點詳細資料] 連結，以下載您必須從感應器設為安全端點的 JSON 清單。

   將下載的檔案儲存在本機。 使用本教學課程稍後下載的檔案中列出的端點，以確保您的新感應器可以成功連線至 Azure。

   提示

   您也可以從 [網站和感應器] 頁面存取所需的端點清單。 如需詳細資訊，請參閱 Azure 入口網站的感應器管理選項。

7. 在頁面左下方，選取 [完成]。 您現在可以看到列在適用於 IoT 之 Defender [網站與感應器] 頁面上的新感應器。

   在您啟用感應器之前，感應器的狀態會顯示為 [擱置啟用]。

如需詳細資訊，請參閱在 Azure 入口網站中管理具有適用於 IoT 之 Defender 的感應器。

設定 SPAN 連接埠

虛擬交換器沒有鏡像功能。 然而，為了進行本教學課程，您可以在虛擬交換器環境中使用「混合模式」來檢視通過虛擬交換器的所有網路流量。

此程序描述如何使用 VMware ESXi 的因應措施來設定 SPAN 連接埠。

注意

混合模式為作業模式及 VM 介面的安全性監視技術，其位於與虛擬交換器相同的連接埠群組層級，用於檢視交換器的網路流量。 根據預設，會停用混合模式，但可以在虛擬交換器或連接埠群組層級中定義。

若要在 ESXi v-Switch 上設定具有混合模式的監視介面：

1. 開啟 vSwitch 屬性頁面，然後選取 [新增標準虛擬交換器]。

2. 輸入 [SPAN 網路] 作為網路標籤。

3. 在 MTU 欄位中，輸入 4096。

4. 選取 [安全性]，並確認混合模式原則已設定為 [接受] 模式。

5. 選取 [新增] 以關閉 vSwitch 屬性。

6. 醒目提示您剛才建立的 vSwitch，然後選取 [新增上行]。

7. 選取您將用於 SPAN 流量的實體 NIC、將 MTU 變更為 4096，然後選取 [儲存]。

8. 開啟 [連接埠群組] 屬性頁面，然後選取 [新增連接埠群組]。

9. 輸入 SPAN 連接埠群組作為名稱，輸入 4095 作為 VLAN 識別碼，在 vSwitch 下拉式清單中選取 [SPAN 網络]，然後選取 [新增]。

10. 開啟 OT 感應器 VM 屬性。

11. 針對網路介面卡 2，選取 [SPAN] 網路。

12. 選取 [確定]。

13. 連線至感應器，並確認鏡像正常運作。

驗證流量鏡像

設定流量鏡像之後，嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。

範例 PCAP 檔案將會協助您：

• 驗證交換器設定
• 確認通過交換器的流量與監視相關
• 識別交換器偵測到的頻寬和估計裝置數目

1. 使用網路通訊協定分析器應用程式，例如 Wireshark，記錄範例 PCAP 檔案幾分鐘的時間。 例如，將膝上型電腦連線至您已設定流量監視的連接埠。

2. 檢查記錄流量中是否有單點傳播封包。 單點傳播流量是從位址傳送到另一個位址的流量。

   如果大部分的流量都是 ARP 訊息，表示流量鏡像設定不正確。

3. 確認您的 OT 通訊協定存在於分析的流量中。

   例如：

   

針對雲端管理進行佈建

本節描述如何設定端點以在防火牆規則中定義，以確保您的 OT 感應器可以連線至 Azure。

如需詳細資訊，請參閱將感應器連線至 Azure 的方法。

若要設定端點詳細資料：

開啟您稍早下載的檔案，以檢視必要端點的清單。 設定防火牆規則，讓感應器可以透過連接埠 443 存取每個必要的端點。

提示

您也可以從 Azure 入口網站上的 [網站和感應器] 頁面下載所需的端點清單。 移至 [網站和感應器]>[更多動作]>[下載端點詳細資料]。 如需詳細資訊，請參閱 Azure 入口網站的感應器管理選項。

如需詳細資訊，請參閱為雲端管理佈建感應器。

下載虛擬感應器的軟體

本節說明如何在您自己的電腦上下載並安裝感應器軟體。

下載虛擬感應器的軟體：

1. 在 Azure 入口網站中，移至 [適用於 IoT 的 Defender > 使用者入門] 頁面，然後選取 [感應器] 索引標籤。

2. 在 [Purchase an appliance and install software] \(購買設備並安裝軟體\) 方塊中，確認已針對最新與建議的軟體版本選取預設選項，然後選取 [下載]。

3. 將所下載軟體儲存於可從 VM 存取的位置。

從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署，讓您的機器只使用已簽署的資產。

安裝感應器軟體

此程序描述如何在 VM 上安裝感應器軟體。

注意

在此程序結束時，您會看到裝置的使用者名稱和密碼。 請務必將這些密碼複製下來，因為這些密碼不會再次顯示。

若要在虛擬感應器上安裝軟體：

1. 如果您關閉了 VM，請再次登入 ESXi，然後開啟您的 VM 設定。

2. 針對 CD/DVD 光碟機 1，選取 [Datastore ISO file] \(資料存放區 ISO 檔案\)，然後選取您稍早下載適用於 IoT 的 Defender 軟體。

3. 選取 [下一步]>[完成]。

4. 開啟 VM 的電源，然後開啟主控台。

5. 安裝開機時，系統會提示您啟動安裝流程。 選取 [安裝 iot-sensor-<version number>] 項目以繼續，或讓它在 30 秒後自動啟動。 例如：

   

   注意

   如果您使用舊版 BIOS 版本，系統會提示您選取語言，並在左上方顯示安裝選項，而不是在中央顯示。 出現提示時，選取 English，再選取 [Install iot-sensor-<version number>] 選項以繼續進行。

   安裝隨即開始，安裝期間會提供您更新的狀態訊息。 整個安裝流程最多需要 20-30 分鐘，而且可能會根據您使用的媒體類型而有所不同。

   當安裝完成，您會看到一組預設網路詳細資料，如下所示。

   IP: 172.23.41.83,
   SUBNET: 255.255.255.0,
   GATEWAY: 172.23.41.1,
   UID: 91F14D56-C1E4-966F-726F-006A527C61D
   

使用所提供的預設 IP 位址可以存取您的感應器，進行初始設定和啟用。

後續安裝驗證

此程序描述如何使用感應器本身的系統健康情況檢查來驗證您的安裝，並可供預設 admin 使用者使用。

驗證您的安裝：

1. 以 admin 使用者身分登入 OT 感應器。

2. 選取 [系統設定]>[Sensor management] \(感應器管理\)>[系統健康檢查]。

3. 選取下列命令：

   • Appliance 用於檢查系統是否正在執行。 確認每個明細項目都顯示正在執行，且最後一行指出系統已啟動。
   • Version 用於確認您已安裝正確的版本。
   • ifconfig 用於確認安裝期間設定的所有輸入介面都正在執行中。

如需更多安裝後驗證測試，例如閘道、DNS 或防火牆檢查，請參閱驗證 OT 感應器軟體安裝。

定義初始設定

下列程序描述如何設定感應器的初始設定，包括：

• 登入感應器主控台並變更 admin 使用者密碼
• 定義感應器的網路詳細資料
• 定義您想要監視的介面
• 啟用感應器
• 設定 SSL/TLS 憑證設定

登入感應器主控台並變更預設密碼

此程序描述如何第一次登入 OT 感應器控制台。 系統會提示您變更 admin 使用者的預設密碼。

若要登入您的感應器：

1. 在瀏覽器中，移至 192.168.0.101 IP位址，這是安裝結束時為感應器提供的預設 IP 位址。

   初始登入頁面隨即出現。 例如：

   

2. 輸入下列認證，然後選取 [登入]：

   • 使用者名稱：support
   • 密碼：support

   系統會要求您為 admin 使用者定義新的密碼。

3. 在 [新增密碼] 欄位中，輸入您的新密碼。 您的密碼必須包含小寫和大寫字母字元、數字和符號。

   在 [確認新密碼] 欄位中，再次輸入您的新密碼，然後選取 [開始使用]。

   如需詳細資訊，請參閱預設特殊權限使用者。

[適用於 IoT 的 Defender | 概觀] 頁面隨即開啟至 [管理介面] 索引標籤。

定義感應器網路詳細資料

在 [管理介面] 索引標籤中，使用下列欄位來定義新感應器的網路詳細資料：

名稱	描述
管理介面	選取您想要用作管理介面的介面，並連線至 Azure 入口網站。 若要識別電腦上的實體介面，請選取介面，然後選取 [閃爍實體介面 LED]。 符合所選介面的連接埠已亮起，以便您可以正確地連接纜線。
IP 位址	輸入您要用於感應器的 IP 位址。 這是小組用來透過瀏覽器或 CLI 連線至感應器的 IP 位址。
子網路遮罩	輸入您要用作感應器子網路遮罩的位址。
預設閘道	輸入您想要用作感應器預設閘道的位址。
DNS	輸入感應器的 DNS 伺服器 IP 位址。
主機名稱	輸入您要指派給感應器的主機名稱。 請確定您使用的主機名稱與 DNS 伺服器中所定義的主機名稱相同。

為了進行本教學課程，請保留跳過 [啟用雲端連線的 Proxy (選擇性)] 區域中的 Proxy 設定。

完成時，請選取 [下一步：介面設定] 以繼續。

定義您要監視的介面

[介面連線] 索引標籤會顯示感應器預設偵測到的所有介面。 使用此索引標籤來開啟或關閉每個介面的監視，或為每個介面定義特定設定。

提示

建議您將設定設定為僅監視使用中的介面，將感應器的效能最佳化。

在 [介面設定] 索引標籤中，執行下列動作以設定受監視介面的設定：

1. 針對您要感應器監視的任何介面，選取 [啟用/停用] 切換。 您必須至少選取一個介面才能繼續。

   如果您不確定要使用哪一個介面，請選取 [閃爍實體介面 LED] 按鈕，讓選取的連接埠在電腦上閃爍。 選取您已連線至交換器的任何介面。

2. 為了進行本教學課程，請略過任何進階設定，然後選取 [下一步：重新啟動 >] 以繼續。

3. 出現提示時，選取 [開始重新啟動] 以重新啟動感應器電腦。 再次啟動感應器之後，系統會自動將您重新導向至您稍早定義為感應器 IP 位址的 IP位址。

   選取 [取消] 以等候重新啟動。

啟動 OT 感應器

此程序描述如何啟動新的 OT 感應器。

若要啟動感應器：

1. 在 [啟用] 索引標籤中，選取 [上傳] 以上傳您從 Azure入口網站下載的感應器啟用檔案。

2. 選取條款及條件選項，然後選取 [下一步：憑證]。

定義 SSL/TLS 憑證設定

使用 [憑證] 索引標籤，在您的 OT 感應器上部署 SSL/TLS 憑證。 雖然我們建議您針對所有實際執行環境使用 CA 簽署憑證，但為了進行本教學課程，請選取以使用自我簽署憑證。

若要定義 SSL/TLS 憑證設定：

1. 在 [憑證] 索引標籤中，選取 [使用本機產生的自我簽署憑證 (不建議)]，然後選取 [確認] 選項。

   如需詳細資訊，請參閱內部部署資源的 SSL/TLS 憑證需求和為 OT 設備建立 SSL/TLS 憑證。

2. 選取 [完成] 以完成初始設定，然後開啟您的感應器主控台。

下一步

OT 監視的完整部署路徑