البرنامج التعليمي: تثبيت Defender لعامل IoT الصغير

سيساعدك هذا البرنامج التعليمي على تعلم كيفية تثبيت عامل Defender for IoT الصغير والمصادقة عليه.

في هذا البرنامج التعليمي، ستتعرف على كيفية القيام بما يلي:

• قم بتنزيل وتثبيت برنامج العامل الصغير
• توثيق العامل الصغير
• التحقق من صحة التثبيت
• اختبر النظام
• قم بتثبيت إصدار عامل محدد

المتطلبات الأساسية

• حساب Azure باشتراك نشط. إنشاء حساب مجاناً.

• مركز IoT.

• تحقق من أنك تقوم بتشغيل أحد أنظمة التشغيل التالية.

• يجب أن تكون قد قمت بتمكين Microsoft Defender for IoT على Azure IoT Hub.

• يجب أن تكون قد أضفت مجموعة موارد إلى حل إنترنت الأشياء الخاص بك.

• يجب أن تكون قد أنشأت وحدة Defender for IoT micro agent المزدوجة.

قم بتنزيل وتثبيت برنامج العامل الصغير

اعتماداً على الإعداد الخاص بك، يجب تثبيت حزمة Microsoft المناسبة.

⁧⁩لإضافة مستودع حزمة Microsoft المناسب:⁧⁩:

1. قم بتنزيل تكوين المستودع الذي يتطابق مع نظام تشغيل جهازك.

   • بالنسبة إلى Ubuntu 18.04:

     curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
     

   • بالنسبة إلى Ubuntu 20.04:

         curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
     

   • بالنسبة إلى Debian 9 (كل من AMD64 وARM64):

     curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
     

2. استخدم الأمر التالي لنسخ تكوين المستودع إلى الدليل sources.list.d:

   sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
   

3. قم بتثبيت المفتاح العام لـ Microsoft GPG بالأمر التالي:

   curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
   sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
   

4. تأكد من تحديث apt باستخدام الأمر التالي:

   sudo apt-get update
   

5. استخدم الأمر التالي لتثبيت حزمة عامل Defender for IoT الصغير على توزيعات Debian أو توزيعات Linux التي تستند إلى Ubuntu:

   sudo apt-get install defender-iot-micro-agent 
   

الاتصال عبر وكيل

يصف هذا الإجراء كيفية توصيل Defender لعامل IoT الصغير بمركز IoT عبر وكيل.

لتكوين الاتصالات عبر وكيل:

1. على جهاز العامل الصغير، قم بإنشاء /etc/defender_iot_micro_agent/conf.json ملف بالمحتوى التالي:

   {
       "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>",
       "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
   }
   

   حقول المستخدم وكلمة المرور اختيارية. إذا لم تكن بحاجة إليها، فاستخدم بناء الجملة التالي بدلاً من ذلك:

   {
       "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>",
       "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
   }
   
   

2. احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.

3. أعد تشغيل العامل الصغير. قم بتشغيل:

   sudo systemctl restart defender-iot-micro-agent.service
   

إضافة دعم بروتوكول AMQP

يصف هذا الإجراء الخطوات الإضافية المطلوبة لدعم بروتوكول AMQP.

لإضافة دعم بروتوكول AMQP:

1. على جهاز العامل الصغير، افتح /etc/defender_iot_micro_agent/conf.json الملف وأضف المحتوى التالي:

   {
   "IothubModule_TransportProtocol": "AMQP_Protocol"
   }
   

2. احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.

3. أعد تشغيل العامل الصغير. قم بتشغيل:

   sudo systemctl restart defender-iot-micro-agent.service
   

لإضافة AMQP عبر دعم بروتوكول مأخذ توصيل الويب:

1. على جهاز العامل الصغير، افتح /etc/defender_iot_micro_agent/conf.json الملف وأضف المحتوى التالي:

   {
   "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol"
   }
   

2. احذف أي ملف مخزن في /var/lib/defender_iot_micro_agent/cache.json.

3. أعد تشغيل العامل الصغير. قم بتشغيل:

   sudo systemctl restart defender-iot-micro-agent.service
   

سيستخدم العامل هذا البروتوكول، ويتواصل مع IoT Hub على المنفذ 443. يتم دعم تكوين وكيل Http لهذا البروتوكول، في حالة تكوين الوكيل أيضا، سيتم تحديد منفذ الاتصال بالوكيل كما هو محدد في تكوين الوكيل.

توثيق العامل الصغير

هناك خياران يمكن استخدامهما لمصادقة عامل Defender for IoT الصغير:

• المصادقة باستخدام سلسلة اتصال هوية الوحدة النمطية.

• المصادقة باستخدام شهادة.

المصادقة باستخدام سلسلة اتصال هوية وحدة نمطية

ستحتاج إلى نسخ سلسلة اتصال هوية الوحدة من تفاصيل هوية وحدة DefenderIoTMicroAgent.

لنسخ سلسلة اتصال هوية الوحدة:

1. انتقل إلىأجهزةإدارة> أجهزة IoT Hub>Your hub>.

   

2. حدد جهازاً من قائمة معرف الجهاز.

3. حدد علامة التبويب Module Identities.

4. حدد الوحدة النمطية DefenderIotMicroAgent من قائمة هويات الوحدة النمطية المرتبطة بالجهاز.

   

5. انسخ سلسلة الاتصال (المفتاح الأساسي) عن طريق تحديد الزر copy.

   

6. قم بإنشاء ملف باسم connection_string.txt يحتوي على سلسلة الاتصال المنسوخة المشفرة في utf-8 في مسار دليل عامل إنترنت الأشياء /etc/defender_iot_micro_agent عن طريق إدخال الأمر التالي:

   sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
   

   سيتم وضع connection_string.txt الآن في موقع المسار التالي /etc/defender_iot_micro_agent/connection_string.txt.

   ملاحظة

   تتضمن سلسلة الاتصال مفتاحا يتيح الوصول المباشر إلى الوحدة نفسها، وبالتالي تتضمن معلومات حساسة يجب استخدامها فقط وقابلة للقراءة من قبل مستخدمي الجذر.

7. إعادة تشغيل الخدمة باستخدام هذا الأمر:

   sudo systemctl restart defender-iot-micro-agent.service 
   

المصادقة باستخدام شهادة

للمصادقة باستخدام شهادة:

1. قم بشراء شهادة باتباع ⁧⁩هذه التعليمات⁧⁩.

2. ضع الجزء العام المشفر بواسطة PEM من الشهادة والمفتاح الخاص في /etc/defender_iot_micro_agentعلى الملفات المسماة certificate_public.pemو certificate_private.pem.

3. ضع سلسلة الاتصال المناسبة في الملف ⁧connection_string.txt⁩. يجب أن تبدو سلسلة الاتصال كما يلي:

   HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true

   تنبه هذه السلسلة عامل Defender for IoT إلى توقع تقديم شهادة للمصادقة.

4. إعادة تشغيل الخدمة باستخدام الأمر التالي:

   sudo systemctl restart defender-iot-micro-agent.service
   

التحقق من صحة التثبيت

للتحقق من صحة التثبيت:

1. استخدم الأمر التالي للتأكد من أن العامل الصغير يعمل بشكل صحيح:

   systemctl status defender-iot-micro-agent.service
   

2. تأكد من استقرار الخدمة عن طريق التأكد من أنها active، وأن وقت تشغيل العملية مناسب.

   

اختبر النظام

يمكنك اختبار النظام عن طريق إنشاء ملف المشغل على الجهاز. يؤدي ملف المشغل لفحص الأساس في العامل للكشف عن الملف باعتباره انتهاكًا للأساس.

1. إنشاء ملف على نظام الملفات مع الأمر التالي:

   sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
   

2. تأكد من أن مساحة عمل Log Analytics متصلة بمركز IoT الخاص بك. لمزيد من المعلومات، راجع إنشاء مساحة عمل تحليلات السجل.

3. أعد تشغيل العامل باستخدام الأمر:

   sudo systemctl restart defender-iot-micro-agent.service
   

السماح حتى ساعة واحدة لتظهر التوصية في المركز.

تم إنشاء توصية أساسية تسمى "IoT_CISBenchmarks_DIoTTest". يمكنك الاستعلام عن هذه التوصية من Log Analytics على النحو التالي:

SecurityRecommendation

| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"

| where DeviceId contains "<device-id>"

| top 1 by TimeGenerated desc

على سبيل المثال:

قم بتثبيت إصدار عامل محدد

يمكنك تثبيت إصدار محدد من العامل الصغير باستخدام أمر محدد.

لتثبيت إصدار محدد من عامل Defender for IoT الصغير:

1. افتح terminal.

2. تشغيل الأمر التالي:

   sudo apt-get install defender-iot-micro-agent=<version>
   

تنظيف الموارد

لا توجد موارد تحتاج إلى إزالة.

الخطوات التالية

تكوين Microsoft Defender لإنترنت الأشياء لحل قائم على وكيل IoT