Установка программного обеспечения Defender для Интернета вещей

В этой статье описывается, как установить программное обеспечение для датчиков OT и локальных консолей управления. Процедуры, описанные в этой статье, могут быть полезны, если вы переустанавливаете программное обеспечение на предварительно настроенном устройстве или если вы решили установить программное обеспечение на свои собственные устройства.

Конфигурация для предустановки

Каждый тип устройства поставляется с собственным набором инструкций, которые необходимо выполнить перед установкой программного обеспечения Defender для Интернета вещей.

Прежде чем устанавливать программное обеспечение Defender для Интернета вещей, убедитесь, что вы выполнили процедуры, указанные в разделе Справочник по >устройству мониторинга OT нашей документации.

Дополнительные сведения см. в разделе:

Загрузка файлов программного обеспечения с портала Azure

Убедитесь, что вы скачали соответствующий файл программного обеспечения для датчика или локальной консоли управления.

Последние версии программного обеспечения датчика OT и локальной консоли управления доступны на портале Azure на странице ">Начало работы с Defender для Интернета вещей". Выберите вкладку Датчик, Локальная консоль управления или Обновления и найдите нужное программное обеспечение.

Подключите ISO-файл с помощью одного из следующих вариантов.

  • Физический носитель — запишите ISO-файл на DVD-диск или USB-диск и загрузите его с носителя.

  • Виртуальное подключение — используйте iLO для устройств HPE или iDRAC для устройств Dell, чтобы загрузить ISO-файл.

Установите программное обеспечение датчика OT

В этой процедуре описывается установка программного обеспечения датчика OT на физическом или виртуальном устройстве.

Примечание

В конце этого процесса вы увидите имена пользователей и пароли для своего устройства. Не забудьте скопировать их, так как эти пароли не будут показаны снова.

Чтобы установить ПО датчика, сделайте следующее:

  1. Выберите язык установки.

    Screenshot of the sensor's language select screen.

  2. Выберите архитектуру датчика.

    Screenshot of the sensor's architecture select screen.

  3. Датчик перезагрузится, и появится экран Настройка пакета. Стрелки вверх и вниз используются для навигации, а пробел — для выбора варианта. Нажмите клавишу ВВОД, чтобы перейти к следующему экрану.

  4. Выберите интерфейс монитора и нажмите клавишу ВВОД.

    Screenshot of the select monitor interface screen.

  5. Если один из портов мониторинга предназначен для ERSPAN, выберите его и нажмите клавишу ВВОД.

    Screenshot of the select erspan monitor screen.

  6. Выберите интерфейс, который будет использоваться в качестве интерфейса управления, и нажмите клавишу ВВОД.

    Screenshot of the management interface select screen.

  7. Введите IP-адрес датчика и нажмите клавишу ВВОД.

    Screenshot of the sensor IP address screen.

  8. Введите путь к подключенной папке журналов (рекомендуется путь по умолчанию) и нажмите клавишу ВВОД.

    Screenshot of the mounted backup path screen.

  9. Введите IP-адрес маски подсети и нажмите клавишу ВВОД.

  10. Введите IP-адрес шлюза по умолчанию и нажмите клавишу ВВОД.

  11. Введите IP-адрес DNS-сервера и нажмите клавишу ВВОД.

  12. Введите имя узла датчика и нажмите клавишу ВВОД.

    Screenshot of the screen where you enter a hostname for your sensor.

    Будет выполнен процесс установки.

  13. По завершении процесса установки сохраните идентификатор устройства и пароли. Скопируйте эти учетные данные в безопасное место, так как они понадобятся при первом доступе к платформе.

    Screenshot of the final screen of the installation with usernames, and passwords.

Установка программного обеспечения локальной консоли управления

В этой процедуре описывается, как установить программное обеспечение локальной консоли управления на физическом или виртуальном устройстве.

Процесс установки занимает примерно 20 минут. После установки система несколько раз перезапускается.

В процессе установки можно добавить дополнительный сетевой адаптер. если вы решили не устанавливать дополнительный сетевой адаптер во время установки, его можно добавить позже.

Чтобы установить ПО, сделайте следующее:

  1. Выберите предпочитаемый язык для процесса установки.

    Select your preferred language for the installation process.

  2. Выберите MANAGEMENT-RELEASE-<версия><тип развертывания>.

    Select your version.

  3. В мастере установки определите свойства сети.

    Screenshot that shows the appliance profile.

    Параметр Конфигурация
    configure management network interface (настройка сетевого интерфейса управления) Для Dell: eth0, eth1
    Для HP: enu1, enu2
    либо
    возможное значение
    configure management network IP address (настройка IP-адреса сети управления) Введите IP-адрес
    настройка маски подсети Введите IP-адрес
    настройка DNS Введите IP-адрес
    настройка IP-адреса шлюза по умолчанию Введите IP-адрес
  4. (Необязательно) Если вы хотите установить дополнительный сетевой адаптер, укажите следующий профиль устройства и свойства сети.

    Screenshot that shows the Secondary NIC install questions.

    Параметр Конфигурация
    configure sensor monitoring interface (Optional) (настройка интерфейса мониторинга датчика (необязательно)) eth1 или возможное значение
    configure an IP address for the sensor monitoring interface (настройка IP-адрес для интерфейса мониторинга датчика) Введите IP-адрес
    configure a subnet mask for the sensor monitoring interface (настройка маски подсети для интерфейса мониторинга датчика) Введите IP-адрес
  5. Примите параметры и, чтобы продолжить, введите Y.

  6. Примерно через 10 минут появляется два набора учетных данных. Один предназначен для пользователя CyberX, а другой — для пользователя поддержки.

    Copy these credentials as they won't be presented again.

    Сохраните имя пользователя и пароль. Эти учетные данные понадобятся для доступа к платформе при первом использовании.

  7. Нажмите клавишу Ввод, чтобы продолжить.

Сведения о том, как найти физический порт на устройстве, см. в разделе Поиск порта.

Добавление дополнительного сетевого адаптера (необязательно)

Вы можете повысить безопасность локальной консоли управления, добавив дополнительный сетевой адаптер, выделенный для подключенных датчиков в диапазоне IP-адресов. При добавлении дополнительного сетевого адаптера первый будет выделен для конечных пользователей, в то время как дополнительный будет использоваться для поддержки конфигурации шлюза для маршрутизируемых сетей.

The overall architecture of the secondary NIC.

Оба сетевых адаптера будут поддерживать пользовательский интерфейс. Если вы решили не развертывать дополнительную сетевую карту, все эти функции будут выполняться основным сетевым адаптером.

В этой процедуре описывается, как добавить дополнительный сетевой адаптер, если вы уже установили локальную консоль управления.

Чтобы добавить дополнительный сетевой адаптер, выполните приведенные далее действия.

  1. Используйте команду перенастройки сети:

    sudo cyberx-management-network-reconfigure
    
  2. Введите следующие ответы на вопросы:

    Screenshot of the required answers to configure your appliance.

    Параметры Ответ на ввод
    Management Network IP address (IP-адрес сети управления) N
    Маска подсети N
    DNS N
    Default gateway IP Address (IP-адрес шлюза по умолчанию) N
    Интерфейс мониторинга датчика
    Необязательный параметр. Применимо, если датчики находятся в разных сегментах сети.
    Y и выберите возможное значение
    IP-адрес для интерфейса мониторинга датчика Y и введите IP-адрес, доступный датчикам
    Маска подсети для интерфейса мониторинга датчика Y и введите IP-адрес, доступный датчикам
    Имя узла Введите имя узла
  3. Проверьте все выбранные варианты и введите Y, чтобы принять изменения. Система перезагрузится.

Поиск порта

Если у вас возникли проблемы с нахождением физического порта на устройстве, можно использовать следующую команду для поиска порта:

sudo ethtool -p <port value> <time-in-seconds>

Выполнение этой команды приведет к тому, что индикатор порта будет мигать в течение указанного периода времени. Например, при вводе sudo ethtool -p eno1 120 индикатор порта eno1 будет мигать в течение 2 минут, что позволит найти порт на задней панели устройства.

Проверка после установки

Для проверки установки физического устройства необходимо выполнить множество тестов. Ко всем типам устройств применяется один и тот же процесс проверки.

Выполните проверку с помощью графического пользовательского интерфейса или интерфейса командной строки. Проверка доступна для пользователей с правами Поддержка и CyberX.

Проверка после установки должна включать следующие тесты.

  • Тест работоспособности: убедитесь в том, что система запущена.

  • Версия: проверьте правильность версии.

  • ifconfig: убедитесь в том, что запущены все входные интерфейсы, настроенные в процессе установки.

Проверка работоспособности системы

Проверьте работоспособность системы с помощью датчика или локальной консоли управления. Пример:

Screenshot that shows the system health check.

Работоспособность

  • Устройство: запускает проверку работоспособности устройства. Ту же проверку можно выполнить с помощью команды интерфейса командной строки system-sanity.

  • Версия: отображает версию устройства.

  • Свойства сети: отображает параметры сети датчика.

Redis

  • Память: предоставляет общую картину использования памяти, например объем используемой памяти и объем доступной памяти.

  • Самый длинный ключ: отображает самые длинные ключи, которые могут стать причиной активного использования памяти.

Система

  • Основной журнал: содержит последние 500 записей основного журнала, что позволяет просматривать последние записи журнала, не экспортируя весь системный журнал.

  • Диспетчер задач: преобразует задачи, которые отображаются в таблице процессов, на следующие слои:

    • постоянный слой (Redis);

    • уровень кэша (SQL).

  • Статистика сети: отображает статистику сети.

  • TOP: показывает таблицу процессов. Это команда Linux, которая обеспечивает динамическое представление запущенной системы в реальном времени.

  • Проверка резервной памяти: предоставляет состояние резервной памяти путем проверки следующих сведений:

    • расположение папки резервной копии;

    • размер папки резервной копии;

    • ограничения папки резервной копии;

    • дата создания последней резервной копии;

    • объем свободного пространства для дополнительных файлов резервной копии.

  • ifconfig: отображает параметры для физических интерфейсов устройства.

  • CyberX nload: отображает сетевой трафик и пропускную способность с помощью шестисекундных тестов.

  • Ошибки из основного журнала: отображает ошибки из файла основного журнала.

Чтобы получить доступ к средству, сделайте следующее:

  1. Выполните вход в систему датчика с помощью учетных данных пользователя Поддержка.

  2. В окне Параметры системы выберите Статистика системы.

Проверка работоспособности системы с помощью интерфейса командной строки

Перед проверкой работоспособности системы убедитесь, что система запущена и работает.

Чтобы проверить работоспособность системы, сделайте следующее:

  1. Подключитесь к интерфейсу командной строки с помощью терминала Linux (например, PuTTY) и пользователя Поддержка.

  2. Введите system sanity.

  3. Убедитесь, что все службы выделены зеленым цветом (запущены).

    Screenshot that shows running services.

  4. Убедитесь в том, что в нижней части экрана отображается сообщение (Система РАБОТАЕТ [раб.]) .

Проверьте, правильная ли версия используется.

Чтобы проверить версию системы, сделайте следующее:

  1. Подключитесь к интерфейсу командной строки с помощью терминала Linux (например, PuTTY) и пользователя Поддержка.

  2. Введите system version.

  3. Проверьте, правильная ли версия отображается.

Убедитесь в том, что запущены все входные интерфейсы, настроенные в процессе установки.

Чтобы проверить состояние сети системы, сделайте следующие:

  1. Подключитесь к интерфейсу командной строки с помощью терминала Linux (например, PuTTY) и пользователя Поддержка.

  2. Введите network list (эквивалент команды Linux ifconfig).

  3. Проверьте, отображаются ли требуемые входные интерфейсы. Например, если установлены две сетевых карты Quad Copper NIC, список должен содержать 10 интерфейсов.

    Screenshot that shows the list of interfaces.

Проверьте, имеется ли у вас доступ к графическому пользовательскому веб-интерфейсу консоли.

Чтобы проверить, что средства управления имеют доступ к пользовательскому интерфейсу, сделайте следующее:

  1. Подключите ноутбук с кабелем Ethernet к порту управления (GB1).

  2. Определите адрес сетевой карты ноутбука так, чтобы он находился в том же диапазоне, что и адрес устройства.

    Screenshot that shows management access to the UI.

  3. Проверьте связь с IP-адресом устройства с ноутбука (по умолчанию: 10.100.10.1).

  4. Откройте на ноутбуке браузер Chrome и введите IP-адрес устройства.

  5. В окне Подключение не является частным выберите Дополнительно и продолжайте.

  6. Тест считается пройденным, если появляется экран входа Defender для Интернета вещей.

    Screenshot that shows access to management console.

Устранение неполадок

Невозможно установить подключение с помощью веб-интерфейса

  1. Убедитесь в том, что компьютер, к которому вы пытаетесь подключиться, находится в той же сети, что и устройство.

  2. Убедитесь в том, что сеть графического пользовательского интерфейса подключена к порту управления.

  3. Проверьте связь с IP-адресом устройства. Если провести проверку связи не удалось, выполните следующие действия.

    1. Подключите к устройству монитор и клавиатуру.

    2. Используйте для входа пользователя и пароль поддержки.

    3. Просмотрите текущий IP-адрес с помощью команды network list.

      Screenshot that shows the network list.

  4. Если параметры сети настроены неправильно, измените их с помощью следующей процедуры.

    1. Используйте команду network edit-settings.

    2. Чтобы изменить IP-адрес сети управления, выберите Y.

    3. Чтобы изменить маску подсети, выберите Y.

    4. Чтобы изменить DNS, выберите Y.

    5. Чтобы изменить IP-адрес шлюза по умолчанию, выберите Y.

    6. Для изменения входного интерфейса (только датчик) выберите N.

    7. Чтобы применить параметры, выберите Y.

  5. После перезагрузки установите подключение с помощью учетных данных пользователя поддержки и используйте команду network list, чтобы проверить, изменены ли параметры.

  6. Попробуйте еще раз проверить связь и подключиться из графического пользовательского интерфейса.

Устройство не отвечает

  1. Подключите к устройству монитор и клавиатуру или используйте PuTTY для удаленного подключения к интерфейсу командной строки.

  2. Для входа используйте учетные данные пользователя поддержки.

  3. Выполните команду system sanity и убедитесь в том, что все процессы запущены.

    Screenshot that shows the system sanity command.

Для устранения каких-либо других проблем обращайтесь в службу поддержки Майкрософт.

Доступ к датчикам c локальной консоли управления

Чтобы повысить уровень безопасности системы, можно предотвратить прямой доступ пользователей к датчику. Вместо этого используйте туннелирование прокси-сервера, чтобы разрешить пользователям доступ к датчику из локальной консоли управления с помощью одного правила брандмауэра. Этот метод сужает возможности получения несанкционированного доступа к сетевой среде за пределами датчика. Вход в систему датчика для пользователя не меняется.

Screenshot that shows access to the sensor.

чтобы включить туннелирование, сделайте следующее:

  1. Войдите в интерфейс командной строки локальной консоли управления с помощью учетных данных пользователя CyberX или поддержки.

  2. Введите sudo cyberx-management-tunnel-enable.

  3. Нажмите клавишу ВВОД.

  4. Введите --port 10000.

Дальнейшие действия

Дополнительные сведения см. в статье Настройка сети.