Краткое руководство. Установка микроагента Defender для Интернета вещей (предварительная версия)

В этой статье объясняется, как установить микроагент Defender для IoT и реализовать для него проверку подлинности.

Предварительные условия

Перед установкой модуля Defender для Интернета вещей создайте удостоверение модуля в Центре Интернета вещей. Дополнительные сведения о создании удостоверения модуля см. в статье Создание двойника модуля микроагента Defender для Интернета вещей (предварительная версия).

Установка пакета

Чтобы добавить соответствующий репозиторий пакетов Майкрософт, выполните указанные ниже действия.

  1. Скачайте конфигурацию репозитория, соответствующую операционной системе устройства.

    • Для Ubuntu 18.04

      curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
      
    • Для Ubuntu 20.04

          curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
      
    • Для Debian 9 (AMD64 и ARM64)

      curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
      
  2. Скопируйте конфигурацию репозитория в каталог sources.list.d.

    sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
    
  3. Установите открытый ключ Microsoft GPG.

    curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
    sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
    

Чтобы установить пакет микроагента Defender для IoT в Debian и дистрибутивы Linux на базе Ubuntu, используйте следующую команду:

sudo apt-get install defender-iot-micro-agent 

Способы проверки подлинности микроагента

Существует два способа проверки подлинности микроагента Defender для Интернета вещей:

  • Строка подключения для удостоверения модуля.

  • Сертификат.

Аутентификация с помощью строки подключения для удостоверения модуля

Обеспечьте соблюдение требований для этой статьи и обязательно создайте удостоверение модуля до выполнения этих шагов.

Получение строки подключения для удостоверения модуля

Чтобы получить строку подключения для удостоверения модуля из Центра Интернета вещей, выполните следующие действия:

  1. Перейдите в Центр Интернета вещей и выберите свой центр.

  2. В меню слева в разделе Обозреватели выберите Устройства Интернета вещей.

    Выбор устройств Интернета вещей в меню слева.

  3. Выберите устройство в списке идентификаторов устройств, чтобы просмотреть страницу Сведения об устройстве.

  4. Откройте вкладку  Идентификаторы модулей

  5. и выберите модуль DefenderIotMicroAgent  из списка удостоверений модулей, связанных с устройством.

    Выбор вкладки с удостоверениями модулей.

  6. На странице Сведения об удостоверении модуля скопируйте строку подключения (первичный ключ), нажав кнопку Копировать.

    Нажмите кнопку "Копировать", чтобы скопировать строку подключения (первичный ключ).

Настройка аутентификации с помощью строки подключения для удостоверения модуля

Чтобы настроить агент для аутентификации с помощью строки подключения для удостоверения модуля, выполните следующие действия:

  1. Добавьте файл с именем connection_string.txt, содержащий строку подключения в кодировке UTF-8, в путь каталога агента Defender для облака /var/defender_iot_micro_agent, введя следующую команду:

    sudo bash -c 'echo "<connection string>" > /var/defender_iot_micro_agent/connection_string.txt'
    

    Теперь файл connection_string.txt должен находиться по такому пути: /var/defender_iot_micro_agent/connection_string.txt.

  2. Перезапустите службу с помощью следующей команды:

    sudo systemctl restart defender-iot-micro-agent.service 
    

Проверка подлинности с помощью сертификата

Чтобы реализовать проверку подлинности с помощью сертификата, сделайте следующее:

  1. Получите сертификат, следуя этим инструкциям.

  2. Поместите открытую часть сертификата в кодировке PEM и закрытый ключ в файлы certificate_public.pem и certificate_private.pem в каталоге агента Defender для облака.

  3. Поместите соответствующую строку подключения в файл connection_string.txt. Строка подключения должна выглядеть следующим образом:

    HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true

    Эта строка используется для оповещения агента Defender для облака о том, что требуется предоставить сертификат для аутентификации.

  4. Перезапустите службу, используя следующую команду:

    sudo systemctl restart defender-iot-micro-agent.service
    

Проверка установки

Чтобы проверить установку, сделайте следующее:

  1. Проверьте, правильно ли работает микроагент, выполнив следующую команду:

    systemctl status defender-iot-micro-agent.service
    
  2. Убедитесь, что служба работает стабильно (состояние службы должно быть active) и что время доступности процесса является соответствующим.

    Проверка того, что служба является стабильной и активной.

Комплексное тестирование системы

Вы можете выполнить комплексное тестирование системы, создав файл триггера на устройстве. При базовом сканировании в агенте файл триггера будет определяться как нарушение базового уровня.

Создайте файл в файловой системе с помощью следующей команды:

sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt 

В центре появится рекомендация касательно сбоя базовой проверки с идентификатором CceId CIS-debian-9-DEFENDER_FOR_IOT_TEST_CHECKS-0.0:

Рекомендация касательно сбоя базовой проверки, возникшего в центре.

Рекомендация в центре должна появиться в течение часа.

Управление версиями микроагента

Чтобы установить определенную версию микроагента Defender для Интернета вещей, выполните следующую команду:

sudo apt-get install defender-iot-micro-agent=<version>

Дальнейшие действия