Share via

Kurz: Onboarding a aktivace virtuálního senzoru OT

  • Článek

Tento kurz popisuje základy nastavení senzoru OT v programu Microsoft Defender for IoT pomocí zkušebního předplatného Programu Microsoft Defender pro IoT a vlastního virtuálního počítače.

V případě kompletního kompletního nasazení nezapomeňte postupovat podle kroků pro plánování a přípravu systému a také úplné kalibrace a vyladění nastavení. Další informace najdete v tématu Nasazení defenderu pro IoT pro monitorování OT.

Poznámka:

Pokud chcete nastavit monitorování zabezpečení pro podnikové systémy IoT, přečtěte si téma Povolení zabezpečení Enterprise IoT v programu Defender for Endpoint.

V tomto kurzu se naučíte:

  • Vytvoření virtuálního počítače pro senzor
  • Připojení virtuálního senzoru
  • Konfigurace virtuálního portu SPAN
  • Zřízení pro správu cloudu
  • Stažení softwaru pro virtuální senzor
  • Instalace softwaru pro virtuální senzory
  • Aktivace virtuálního senzoru

Požadavky

Než začnete, ujistěte se, že máte následující:

  • Dokončený rychlý start: Začínáme s Defenderem pro IoT , abyste měli přidané předplatné Azure do Defenderu pro IoT.

  • Přístup k webu Azure Portal jako Správa zabezpečení, přispěvateli nebo vlastníkovi Další informace najdete v tématu Role uživatelů Azure pro monitorování OT a Enterprise IoT pomocí Defenderu pro IoT.

  • Ujistěte se, že máte síťový přepínač, který podporuje monitorování provozu přes port SPAN. Budete také potřebovat aspoň jedno zařízení pro monitorování připojené k portu SPAN přepínače.

  • VMware, ESXi 5.5 nebo novější, nainstalovaný a funkční na vašem senzoru.

  • Dostupné hardwarové prostředky pro váš virtuální počítač:

    Typ nasazení Firemní Enterprise SMB
    Maximální šířka pásma 2,5 Gb/s 800 Mb/s 160 Mb/s
    Maximální počet chráněných zařízení 12 000 10,000 800

  • Znalost monitorování OT s využitím virtuálních zařízení

  • Podrobnosti o následujících síťových parametrech, které se mají použít pro zařízení snímačů:

    • IP adresa sítě pro správu
    • Maska podsítě snímače
    • Název hostitele zařízení
    • Adresa DNS
    • Výchozí brána
    • Všechna vstupní rozhraní

Vytvoření virtuálního počítače pro senzor

Tento postup popisuje, jak vytvořit virtuální počítač pro senzor pomocí VMware ESXi.

Defender pro IoT také podporuje další procesy, jako je použití technologie Hyper-V nebo fyzických senzorů. Další informace najdete v tématu Instalace Defenderu pro IoT.

Vytvoření virtuálního počítače pro senzor:

  1. Ujistěte se, že na vašem počítači běží VMware.

  2. Přihlaste se k ESXi, zvolte příslušné úložiště dat a vyberte Prohlížeč úložiště dat.

  3. Nahrajte obrázek a vyberte Zavřít.

  4. Přejděte na Virtuální počítače a pak vyberte Vytvořit nebo zaregistrovat virtuální počítač.

  5. Vyberte Vytvořit nový virtuální počítač a pak vyberte Další.

  6. Přidejte název senzoru a pak definujte následující možnosti:

    • Kompatibilita: <nejnovější verze ESXi>

    • Řada hostovaného operačního systému: Linux

    • Verze hostovaného operačního systému: Ubuntu Linux (64bitová verze)

  7. Vyberte Další.

  8. Zvolte příslušné úložiště dat a vyberte Další.

  9. Změňte parametry virtuálního hardwaru podle požadovaných specifikací pro vaše potřeby. Další informace najdete v tabulce v části Požadavky výše.

Váš virtuální počítač je teď připravený na instalaci softwaru Defender for IoT. Budete pokračovat instalací softwaru později v tomto kurzu, jakmile na webu Azure Portal nasadíte senzor, nakonfigurujete zrcadlení provozu a zřídíte počítač pro správu cloudu.

Připojení virtuálního senzoru

Než začnete používat senzor Defenderu pro IoT, musíte do svého předplatného Azure připojit nový virtuální senzor.

Připojení virtuálního senzoru:

  1. Na webu Azure Portal přejděte na stránku Začínáme s defenderem for IoT>.

  2. V levém dolním rohu vyberte Nastavit zabezpečení OT/ICS.

    Případně na stránce Weby a senzory Defenderu pro IoT vyberte OT senzor>onboardingu.

    Ve výchozím nastavení se na stránce Nastavení zabezpečení OT/ICS krok 1: Nastavili jste senzor? a Krok 2: Konfigurace portu SPAN nebo KLEPNUTÍ průvodce jsou sbalené.

    Později v procesu nasazení nainstalujete software a nakonfigurujete zrcadlení provozu, ale měli byste mít zařízení připravená a metodu zrcadlení provozu naplánována.

  3. V kroku 3: Zaregistrujte tento senzor v programu Microsoft Defender pro IoT a definujte následující hodnoty:

    Název pole Popis
    Název prostředku Vyberte web, ke které chcete připojit senzory, nebo vyberte Vytvořit web a vytvořte nový web.

    Pokud vytváříte nový web:
    1. Do pole Nový web zadejte název webu a vyberte tlačítko zaškrtnutí.
    2. V nabídce Velikost webu vyberte velikost webu. Velikosti uvedené v této nabídce jsou velikosti, pro které máte licenci, na základě licencí, které jste zakoupili v Centrum pro správu Microsoftu 365.
    Zobrazované jméno Zadejte smysluplný název webu, který se má zobrazit v programu Defender for IoT.
    Značky Zadejte klíč a hodnoty značek, které vám pomůžou identifikovat a najít web a senzor na webu Azure Portal.
    Zóny Vyberte zónu, kterou chcete použít pro senzor OT, nebo vyberte Vytvořit zónu a vytvořte novou.

    Další informace najdete v tématu Plánování lokalit a zón OT.

  4. Až budete hotovi se všemi ostatními poli, vyberte Zaregistrovat a přidejte senzor do Defenderu pro IoT. Zobrazí se zpráva o úspěchu a váš aktivační soubor se automaticky stáhne. Aktivační soubor je jedinečný pro váš senzor a obsahuje pokyny k režimu správy senzoru.

    Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

  5. Uložte stažený aktivační soubor do umístění, které bude přístupné pro uživatele, který se poprvé přihlásí ke konzole, aby mohl aktivovat senzor.

    Soubor si také můžete stáhnout ručně tak, že v poli Aktivovat senzor vyberete příslušný odkaz. Tento soubor použijete k aktivaci senzoru, jak je popsáno níže.

  6. V poli Přidat pravidla odchozího povolení vyberte odkaz Stáhnout podrobnosti o koncovém bodu a stáhněte si seznam JSON koncových bodů, které musíte nakonfigurovat jako zabezpečené koncové body ze senzoru.

    Stažený soubor uložte místně. Pomocí koncových bodů uvedených ve staženého souboru dále v tomto kurzu se ujistěte, že se váš nový senzor může úspěšně připojit k Azure.

    Tip

    Seznam požadovaných koncových bodů najdete také na stránce Weby a senzory . Další informace najdete v tématu Možnosti správy senzorů na webu Azure Portal.

  7. V levém dolním rohu stránky vyberte Dokončit. Nový senzor teď můžete vidět na stránce Weby a senzory Defenderu pro IoT.

    Dokud senzor neaktivujete, stav senzoru se zobrazí jako čekající aktivace.

Další informace najdete v tématu Správa senzorů pomocí Defenderu pro IoT na webu Azure Portal.

Konfigurace portu SPAN

Virtuální přepínače nemají možnosti zrcadlení. Pro účely tohoto kurzu však můžete použít promiskuitní režim v prostředí virtuálního přepínače k zobrazení veškerého síťového provozu, který prochází virtuálním přepínačem.

Tento postup popisuje, jak nakonfigurovat port SPAN pomocí alternativního řešení pro VMware ESXi.

Poznámka:

Režim promiscuous je provozní režim a technika monitorování zabezpečení pro rozhraní virtuálního počítače ve stejné úrovni skupiny portů jako virtuální přepínač pro zobrazení síťového provozu přepínače. Režim promiscuous je ve výchozím nastavení zakázaný, ale lze ho definovat na úrovni virtuálního přepínače nebo skupiny portů.

Konfigurace monitorovacího rozhraní s režimem Promiscuous na přepínači ESXi v:>

  1. Otevřete stránku vlastností vSwitch a vyberte Přidat standardní virtuální přepínač.

  2. Jako popisek sítě zadejte SPAN Network .

  3. Do pole MTU zadejte hodnotu 4096.

  4. Vyberte Zabezpečení a ověřte, že je zásada režimu Promiscuous nastavená na režim Přijmout .

  5. Výběrem možnosti Přidat zavřete vlastnosti vSwitch.

  6. Zvýrazněte virtuální přepínač, který jste vytvořili, a vyberte Přidat odesílání.

  7. Vyberte fyzickou síťovou kartu, kterou použijete pro provoz SPAN, změňte MTU na 4096 a pak vyberte Uložit.

  8. Otevřete stránku vlastností skupiny portů a vyberte Přidat skupinu portů.

  9. Jako název zadejte skupinu portů SPAN, jako ID sítě VLAN zadejte 4095 a v rozevíracím seznamu vSwitch vyberte síť SPAN a pak vyberte Přidat.

  10. Otevřete vlastnosti virtuálního počítače se senzorem OT.

  11. V případě síťového adaptéru 2 vyberte síť SPAN.

  12. Vyberte OK.

  13. Připojení senzoru a ověřte, že zrcadlení funguje.

Ověření zrcadlení provozu

Po konfiguraci zrcadlení provozu se pokuste z přepínače SPAN nebo zrcadlového portu přijmout vzorek zaznamenaného provozu (soubor PCAP).

Ukázkový soubor PCAP vám pomůže:

  • Ověření konfigurace přepínače
  • Ověřte, že provoz procházející vaším přepínačem je relevantní pro monitorování.
  • Určení šířky pásma a odhadovaného počtu zařízení zjištěných přepínačem

  1. K zaznamenání ukázkového souboru PCAP několik minut použijte aplikaci analyzátoru síťového protokolu, například Wireshark. Připojte například přenosný počítač k portu, na kterém jste nakonfigurovali monitorování provozu.

  2. Zkontrolujte, jestli jsou pakety jednosměrového vysílání přítomné v záznamovém provozu. Přenosy jednosměrového vysílání se odesílají z adresy do jiné.

    Pokud je většina přenosů zpráv protokolu ARP, konfigurace zrcadlení provozu není správná.

  3. Ověřte, že v analyzovaném provozu existují protokoly OT.

    Příklad:

    Screenshot of Wireshark validation.

Zřízení pro správu cloudu

Tato část popisuje, jak nakonfigurovat koncové body pro definování v pravidlech brány firewall a zajistit, aby se senzory OT mohly připojit k Azure.

Další informace najdete v tématu Metody připojení senzorů k Azure.

Konfigurace podrobností o koncovém bodu:

Otevřete soubor, který jste si stáhli dříve, a zobrazte seznam požadovaných koncových bodů. Nakonfigurujte pravidla brány firewall tak, aby senzor mohl přistupovat ke každému požadovanému koncovému bodu přes port 443.

Tip

Seznam požadovaných koncových bodů si můžete stáhnout také ze stránky Weby a senzory na webu Azure Portal. Přejděte na Weby a senzory>Další akce>Stáhnout podrobnosti o koncovém bodu. Další informace najdete v tématu Možnosti správy senzorů na webu Azure Portal.

Další informace najdete v tématu Zřizování senzorů pro správu cloudu.

Stažení softwaru pro virtuální senzor

Tato část popisuje, jak stáhnout a nainstalovat software senzoru na vlastní počítač.

Stažení softwaru pro virtuální senzory:

  1. Na webu Azure Portal přejděte na stránku Začínáme v programu Defender for IoT > a vyberte kartu Senzor.

  2. V poli Koupit zařízení a nainstalovat software se ujistěte, že je pro nejnovější a doporučenou verzi softwaru vybraná výchozí možnost, a pak vyberte Stáhnout.

  3. Uložte stažený software do umístění, které je přístupné z vašeho virtuálního počítače.

Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

Instalace softwaru senzoru

Tento postup popisuje, jak nainstalovat software senzoru na virtuální počítač.

Poznámka:

Na konci tohoto procesu se zobrazí uživatelská jména a hesla pro vaše zařízení. Nezapomeňte je zkopírovat, protože tato hesla se znovu nezobrazí.

Instalace softwaru na virtuální senzor:

  1. Pokud jste virtuální počítač zavřeli, znovu se přihlaste k ESXi a otevřete nastavení virtuálního počítače.

  2. Pro jednotku CD/DVD 1 vyberte soubor ISO úložiště dat a vyberte software Defender for IoT, který jste si stáhli dříve.

  3. Vyberte Next (Další)>Finish (Dokončit).

  4. Zapněte virtuální počítač a otevřete konzolu.

  5. Po spuštění instalace se zobrazí výzva k spuštění procesu instalace. Vyberte položku Install iot-sensor- (Nainstalovat iot-sensor)<version number> a pokračujte nebo ji nechte spustit automaticky po 30 sekundách. Příklad:

    Screenshot of the initial installation screen.

    Poznámka:

    Pokud používáte starší verzi systému BIOS, zobrazí se výzva k výběru jazyka a možnosti instalace se zobrazí vlevo nahoře místo v centru. Po zobrazení výzvy pokračujte English výběrem možnosti Install iot-sensor- (Nainstalovat iot-sensor).<version number>

    Instalace začíná tím, že vám poskytne aktualizované stavové zprávy. Celý proces instalace trvá až 20 až 30 minut a může se lišit v závislosti na typu používaného média.

    Po dokončení instalace se zobrazí následující sada výchozích podrobností sítě.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Pro počáteční nastavení a aktivaci použijte výchozí IP adresu, která je k dispozici pro přístup ke snímači.

Ověření po instalaci

Tento postup popisuje, jak ověřit instalaci pomocí vlastních kontrol stavu senzoru a je k dispozici výchozímu uživateli správce .

Ověření instalace:

  1. Přihlaste se k senzoru OT jako admin uživatel.

  2. Vyberte Kontrola stavu systému Nastavení> Sensor pro správu.>

  3. Vyberte následující příkazy:

    • Zařízení , které zkontroluje, jestli je systém spuštěný. Ověřte, že se u každé řádkové položky zobrazuje Spuštěno a že poslední řádek uvádí, že je systém v provozu.
    • Verze pro ověření, že máte nainstalovanou správnou verzi.
    • ifconfig k ověření, zda jsou všechna vstupní rozhraní nakonfigurovaná během instalace spuštěna.

Další ověřovací testy po instalaci, jako jsou brány, DNS nebo kontroly brány firewall, najdete v tématu Ověření instalace softwaru senzoru OT.

Definování počátečního nastavení

Následující postup popisuje, jak nakonfigurovat nastavení počátečního nastavení senzoru, včetně:

  • Přihlášení ke konzole senzoru a změna uživatelského hesla správce
  • Definování podrobností o síti pro senzor
  • Definování rozhraní, která chcete monitorovat
  • Aktivace senzoru
  • Konfigurace nastavení certifikátu SSL/TLS

Přihlaste se ke konzole senzoru a změňte výchozí heslo.

Tento postup popisuje, jak se poprvé přihlásit ke konzole senzoru OT. Zobrazí se výzva ke změně výchozího hesla pro uživatele správce .

Přihlášení ke snímači:

  1. V prohlížeči přejděte na 192.168.0.101 IP adresu, což je výchozí IP adresa zadaná pro váš senzor na konci instalace.

    Zobrazí se úvodní přihlašovací stránka. Příklad:

    Screenshot of the initial sensor sign-in page.

  2. Zadejte následující přihlašovací údaje a vyberte Přihlásit:

    • Uživatelské jméno: support
    • Heslo: support

    Zobrazí se výzva k definování nového hesla pro uživatele s rolí správce .

  3. Do pole Nové heslo zadejte nové heslo. Heslo musí obsahovat malá a velká písmena, číslice a symboly.

    Do pole Potvrdit nové heslo znovu zadejte nové heslo a pak vyberte Začínáme.

    Další informace najdete v tématu Výchozí privilegovaní uživatelé.

Defender for IoT | Otevře se stránka Přehled na kartě Rozhraní pro správu.

Definování podrobností o sítích snímačů

Na kartě Rozhraní pro správu definujte podrobnosti o síti pro nový senzor pomocí následujících polí:

Název Popis
Rozhraní pro správu Vyberte rozhraní, které chcete použít jako rozhraní pro správu, a připojte se k webu Azure Portal.

Pokud chcete identifikovat fyzické rozhraní na vašem počítači, vyberte rozhraní a pak vyberte Blink fyzické rozhraní LED. Port, který odpovídá vybranému rozhraní, se rozsvítí, abyste mohli kabel správně připojit.
IP Address Zadejte IP adresu, kterou chcete použít pro senzor. Toto je IP adresa, kterou váš tým použije k připojení k senzoru přes prohlížeč nebo rozhraní příkazového řádku.
Maska podsítě Zadejte adresu, kterou chcete použít jako masku podsítě senzoru.
Výchozí brána Zadejte adresu, kterou chcete použít jako výchozí bránu senzoru.
DNS Zadejte IP adresu serveru DNS senzoru.
Název hostitele Zadejte název hostitele, který chcete přiřadit k senzoru. Ujistěte se, že používáte stejný název hostitele, jako je definovaný na serveru DNS.

Pro účely tohoto kurzu ponechte přeskočení konfigurací proxy serveru v oblasti Povolit proxy pro připojení ke cloudu (volitelné).

Až budete hotovi, vyberte Další: Konfigurace rozhraní a pokračujte.

Definování rozhraní, která chcete monitorovat

Na kartě Připojení rozhraní se ve výchozím nastavení zobrazují všechna rozhraní zjištěná senzorem. Na této kartě můžete zapnout nebo vypnout monitorování na rozhraní nebo definovat konkrétní nastavení pro každé rozhraní.

Tip

Doporučujeme optimalizovat výkon senzoru tak, že nakonfigurujete nastavení tak, aby monitorovala pouze rozhraní, která se aktivně používají.

Na kartě Konfigurace rozhraní nakonfigurujte nastavení pro monitorovaná rozhraní následujícím způsobem:

  1. U všech rozhraní, která mají senzor monitorovat, vyberte přepínač Povolit/Zakázat. Abyste mohli pokračovat, musíte vybrat alespoň jedno rozhraní.

    Pokud si nejste jistí, které rozhraní použít, vyberte tlačítko Blink fyzického rozhraní LED , aby vybraný port bliknul na vašem počítači. Vyberte všechna rozhraní, která jste připojili k přepínači.

  2. Pro účely tohoto kurzu přeskočte všechna upřesňující nastavení a vyberte Další: Pokračujte restartováním > .

  3. Po zobrazení výzvy vyberte Spustit restartování a restartujte počítač se senzorem. Po opětovném spuštění senzoru se automaticky přesměrujete na IP adresu, kterou jste definovali dříve jako IP adresu senzoru.

    Výběrem možnosti Storno počkejte na restartování.

Aktivace senzoru OT

Tento postup popisuje, jak aktivovat nový senzor OT.

Aktivace senzoru:

  1. Na kartě Aktivace vyberte Nahrát a nahrajte aktivační soubor senzoru, který jste stáhli z webu Azure Portal.

  2. Vyberte možnost Podmínky a ujednání a pak vyberte Další: Certifikáty.

Definování nastavení certifikátu SSL/TLS

Pomocí karty Certifikáty nasaďte na senzor OT certifikát SSL/TLS. I když doporučujeme používat certifikát podepsaný certifikační autoritou pro všechna produkční prostředí, v zájmu tohoto kurzu vyberte použití certifikátu podepsaného svým držitelem.

Definování nastavení certifikátu SSL/TLS:

  1. Na kartě Certifikáty vyberte Použít místně vygenerovaný certifikát podepsaný svým držitelem (nedoporučuje se) a pak vyberte možnost Potvrdit .

    Další informace najdete v tématu Požadavky na certifikáty SSL/TLS pro místní prostředky a vytvoření certifikátů SSL/TLS pro zařízení OT.

  2. Výběrem možnosti Dokončit dokončete počáteční nastavení a otevřete konzolu senzoru.

Další kroky

Úplná cesta nasazení pro monitorování OT