Konfigurera och aktivera ot-sensorn

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT och beskriver hur du konfigurerar inledande inställningar och aktiverar ot-sensorn.

Diagram över ett förloppsfält med Distribuera dina sensorer markerat.

Flera inledande installationssteg kan utföras i webbläsaren eller via CLI.

  • Använd webbläsaren om du kan ansluta fysiska kablar från växeln till sensorn för att identifiera dina gränssnitt korrekt. Se till att konfigurera om nätverkskortet så att det matchar standardinställningarna på sensorn.
  • Använd CLI om du känner till nätverksinformationen utan att behöva ansluta fysiska kablar. Använd CLI om du bara kan ansluta till sensorn via iLo/iDrac

Om du konfigurerar konfigurationen via CLI måste du fortfarande slutföra de sista stegen i webbläsaren.

Förutsättningar

Om du vill utföra procedurerna i den här artikeln behöver du:

  • En OT-sensor som registrerats i Defender för IoT i Azure-portalen.

  • OT-sensorprogramvara installerad på din installation. Kontrollera att du antingen har installerat programvaran själv eller köpt en förkonfigurerad installation.

  • Sensorns aktiveringsfil, som laddades ned efter registrering av sensorn. Du behöver en unik aktiveringsfil för varje OT-sensor som du distribuerar.

    Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.

    Kommentar

    Aktiveringsfiler upphör att gälla 14 dagar efter skapandet. Om du registrerade sensorn men inte laddade upp aktiveringsfilen innan den upphörde att gälla laddar du ned en ny aktiveringsfil.

  • Ett SSL/TLS-certifikat. Vi rekommenderar att du använder ett CA-signerat certifikat och inte ett självsignerat certifikat. Mer information finns i Skapa SSL/TLS-certifikat för OT-enheter.

  • Åtkomst till den fysiska eller virtuella installationen där du installerar sensorn. Mer information finns i Vilka enheter behöver jag?

Det här steget utförs av dina distributionsteam.

Konfigurera konfiguration via webbläsaren

Konfigurationen av sensorkonfigurationen via webbläsaren innehåller följande steg:

  • Logga in på sensorkonsolen och ändra administratörsanvändarlösenordet
  • Definiera nätverksinformation för sensorn
  • Definiera de gränssnitt som du vill övervaka
  • Aktivera sensorn
  • Konfigurera SSL/TLS-certifikatinställningar

Logga in på sensorkonsolen och ändra standardlösenordet

Den här proceduren beskriver hur du loggar in på OT-sensorkonsolen för första gången. Du uppmanas att ändra standardlösenordet för administratörsanvändaren.

Logga in på sensorn:

  1. I en webbläsare går du till 192.168.0.101 IP-adressen, som är standard-IP-adressen för sensorn i slutet av installationen.

    Den första inloggningssidan visas. Till exempel:

    Skärmbild av den första inloggningssidan för sensorn.

  2. Ange följande autentiseringsuppgifter och välj Logga in:

    • Användarnamn: admin
    • Lösenord: admin

    Du uppmanas att definiera ett nytt lösenord för administratörsanvändaren.

  3. I fältet Nytt lösenord anger du ditt nya lösenord. Lösenordet måste innehålla alfabetiska gemener och versaler, siffror och symboler.

    I fältet Bekräfta nytt lösenord anger du ditt nya lösenord igen och väljer sedan Kom igång.

    Mer information finns i Privilegierade standardanvändare.

Defender för IoT | Översiktssidan öppnas på fliken Hanteringsgränssnitt .

Definiera information om sensornätverk

På fliken Hanteringsgränssnitt använder du följande fält för att definiera nätverksinformation för den nya sensorn:

Name beskrivning
Hanteringsgränssnitt Välj det gränssnitt som du vill använda som hanteringsgränssnitt för att ansluta till antingen Azure-portalen eller en lokal hanteringskonsol.

Om du vill identifiera ett fysiskt gränssnitt på datorn väljer du ett gränssnitt och väljer sedan Blink physical interface LED (Blink physical interface LED). Porten som matchar det valda gränssnittet tänds så att du kan ansluta kabeln korrekt.
IP-adress Ange den IP-adress som du vill använda för sensorn. Det här är den IP-adress som ditt team använder för att ansluta till sensorn via webbläsaren eller CLI.
Nätmask Ange den adress som du vill använda som sensorns nätmask.
Standardgateway Ange den adress som du vill använda som sensorns standardgateway.
DNS Ange sensorns DNS-server-IP-adress.
Värdnamn Ange det värdnamn som du vill tilldela sensorn. Kontrollera att du använder samma värdnamn som definierats på DNS-servern.
Aktivera proxy för molnanslutning (valfritt) Välj för att definiera en proxyserver för sensorn.

Om du använder ett SSL/TSL-certifikat för att komma åt proxyservern väljer du Klientcertifikat och laddar upp certifikatet.

När du är klar väljer du Nästa: Gränssnittskonfigurationer för att fortsätta.

Definiera de gränssnitt som du vill övervaka

Fliken Gränssnittskonfigurationer visar alla gränssnitt som identifieras av sensorn som standard. Använd den här fliken om du vill aktivera eller inaktivera övervakning per gränssnitt eller definiera specifika inställningar för varje gränssnitt.

Dricks

Vi rekommenderar att du optimerar prestanda på sensorn genom att konfigurera inställningarna för att endast övervaka de gränssnitt som används aktivt.

På fliken Gränssnittskonfigurationer gör du följande för att konfigurera inställningar för dina övervakade gränssnitt:

  1. Välj växlingsknappen Aktivera/inaktivera för alla gränssnitt som du vill att sensorn ska övervaka. Du måste välja minst ett gränssnitt för att fortsätta.

    Om du inte är säker på vilket gränssnitt du ska använda väljer du knappen Blink physical interface LED (Blink physical interface LED ) för att få den valda porten att blinka på datorn. Välj något av de gränssnitt som du har anslutit till växeln.

  2. (Valfritt) För varje gränssnitt som du väljer att övervaka väljer du knappen Avancerade inställningar för att ändra någon av följande inställningar:

    Name beskrivning
    Läge Välj något av följande:
    - SPAN-trafik (ingen inkapsling) för att använda standardspegling av SPAN-portar.
    - ERSPAN om du använder ERSPAN-spegling.

    Mer information finns i Välj en trafikspeglingsmetod för OT-sensorer.
    Beskrivning Ange en valfri beskrivning för gränssnittet. Du kommer att se detta senare på sensorns sida För systeminställningar > Gränssnittskonfigurationer , och dessa beskrivningar kan vara användbara för att förstå syftet med varje gränssnitt.
    Automatisk förhandling Endast relevant för fysiska datorer. Använd det här alternativet för att avgöra vilken typ av kommunikationsmetoder som används, eller om kommunikationsmetoderna definieras automatiskt mellan komponenterna.

    Viktigt: Vi rekommenderar att du ändrar den här inställningen endast på råd från ditt nätverksteam.

    Välj Spara för att spara dina ändringar.

  3. Välj Nästa: Starta om > för att fortsätta och starta sedan om för att starta om sensordatorn. När sensorn startar igen omdirigeras du automatiskt till den IP-adress som du definierade tidigare som din sensor-IP-adress.

    Välj Avbryt för att vänta på omstarten.

Aktivera ot-sensorn

Den här proceduren beskriver hur du aktiverar din nya OT-sensor.

Om du har konfigurerat de första inställningarna via CLI hittills startar du den webbläsarbaserade konfigurationen i det här steget. När sensorn har startats om omdirigeras du till samma Defender för IoT | Översiktssida på fliken Aktivering .

Så här aktiverar du sensorn:

  1. På fliken Aktivering väljer du Ladda upp för att ladda upp sensorns aktiveringsfil som du laddade ned från Azure-portalen.
  2. Välj alternativet villkor och välj sedan Aktivera.
  3. Välj Nästa: Certifikat.

Definiera SSL/TLS-certifikatinställningar

Använd fliken Certifikat för att distribuera ett SSL/TLS-certifikat på din OT-sensor. Vi rekommenderar att du använder ett CA-signerat certifikat för alla produktionsmiljöer.

Så här definierar du SSL/TLS-certifikatinställningar:

  1. På fliken Certifikat väljer du Importera betrott CA-certifikat (rekommenderas) för att distribuera ett CA-signerat certifikat.

    Ange certifikatets namn och lösenfras och välj sedan Ladda upp för att ladda upp din privata nyckelfil, certifikatfil och en valfri certifikatkedjefil.

    Du kan behöva uppdatera sidan när du har laddat upp dina filer. Mer information finns i Felsöka fel vid uppladdning av certifikat.

    Dricks

    Om du arbetar med en testmiljö kan du också använda det självsignerade certifikatet som genereras lokalt under installationen. Om du väljer att använda ett självsignerat certifikat måste du välja alternativet Bekräfta om rekommendationerna.

    Mer information finns i Hantera SSL/TLS-certifikat.

  2. I området Validering av lokalt hanteringskonsolcertifikat väljer du Obligatorisk för att verifiera certifikatet för en lokal hanteringskonsol mot en lista över återkallade certifikat (CRL) som konfigurerats i certifikatet.

    Mer information finns i SSL/TLS-certifikatkrav för lokala resurser och Skapa SSL/TLS-certifikat för OT-enheter.

  3. Välj Slutför för att slutföra den första installationen och öppna sensorkonsolen.

Konfigurera konfiguration via CLI

Använd den här proceduren för att konfigurera följande inledande konfigurationsinställningar via CLI:

  • Logga in på sensorkonsolen och ange ett nytt administratörsanvändarlösenord
  • Definiera nätverksinformation för sensorn
  • Definiera de gränssnitt som du vill övervaka

Fortsätt med att aktivera och konfigurera SSL/TLS-certifikatinställningar i webbläsaren.

Så här konfigurerar du inledande konfigurationsinställningar via CLI:

  1. När standardinformationen för nätverk visas på installationsskärmen trycker du på RETUR för att fortsätta.

  2. Logga in med följande standardautentiseringsuppgifter i prompten D4Iot login :

    • Användarnamn: admin
    • Lösenord: admin

    När du anger lösenordet visas inte lösenordstecken på skärmen. Se till att du anger dem noggrant.

  3. Ange ett nytt lösenord för administratörsanvändaren i prompten. Lösenordet måste innehålla alfabetiska gemener och versaler, siffror och symboler.

    När du uppmanas att bekräfta ditt lösenord anger du det nya lösenordet igen. Mer information finns i Privilegierade standardanvändare.

    <sker detta omedelbart? oklart – Linux-konfigurationsguiden>Package configuration öppnas. I den här guiden använder du upp- eller nedpilarna för att navigera och blankstegsfältet för att välja ett alternativ. Tryck på RETUR för att gå vidare till nästa skärm.

  4. På guidens Select monitor interfaces skärm väljer du något av de gränssnitt som du vill övervaka med den här sensorn.

    Systemet väljer det första gränssnittet som hittas som hanteringsgränssnitt, och vi rekommenderar att du lämnar standardvalet. Om du bestämmer dig för att använda en annan port som hanteringsgränssnitt implementeras ändringen först efter att sensorn har startats om. I sådana fall ska du se till att sensorn är ansluten efter behov.

    Till exempel:

    Skärmbild av skärmen Välj övervakningsgränssnitt.

    Viktigt!

    Kontrollera att du bara väljer gränssnitt som är anslutna.

    Om du väljer gränssnitt som är aktiverade men inte anslutna visar sensorn ett hälsomeddelande om ingen trafik övervakad i Azure-portalen. Om du ansluter fler trafikkällor efter installationen och vill övervaka dem med Defender för IoT kan du lägga till dem senare via CLI.

  5. Select management interface På skärmen väljer du det gränssnitt som du vill använda för att ansluta till Azure-portalen eller en lokal hanteringskonsol.

    Till exempel:

    Skärmbild av skärmen Välj hanteringsgränssnitt.

  6. Enter sensor IP address På skärmen anger du den IP-adress som du vill använda för den här sensorn. Använd den här IP-adressen för att ansluta till sensorn via CLI eller webbläsaren. Till exempel:

    Skärmbild av skärmen Ange sensorns IP-adress.

  7. Enter path to the mounted backups folder På skärmen anger du sökvägen till sensorns monterade säkerhetskopior. Vi rekommenderar att du använder standardsökvägen /opt/sensor/persist/backupsför . Till exempel:

    Skärmbild av mappkonfigurationen för monterade säkerhetskopior.

  8. Enter Subnet Mask På skärmen anger du IP-adressen för sensorns nätmask. Till exempel:

    Skärmbild av skärmen Ange nätmask.

  9. Enter Gateway På skärmen anger du sensorns standard-IP-adress för gatewayen. Till exempel:

    Skärmbild av skärmen Ange gateway.

  10. Enter DNS server På skärmen anger du sensorns DNS-server-IP-adress. Till exempel:

    Skärmbild av skärmen Ange DNS-server.

  11. Enter hostname På skärmen anger du ett namn som du vill använda som sensorvärdnamn. Kontrollera att du använder samma värdnamn som definierats på DNS-servern. Till exempel:

    Skärmbild av skärmen Ange värdnamn.

  12. Run this sensor as a proxy server (Preview) På skärmen väljer du <Yes> bara om du vill konfigurera en proxy och anger sedan proxyautentiseringsuppgifterna som du uppmanas att göra. Mer information finns i Konfigurera proxyinställningar på en OT-sensor.

    Standardkonfigurationen är utan proxy.

  13. Konfigurationsprocessen börjar köras, startas om och du uppmanas sedan att logga in igen. Till exempel:

    Skärmbild av den slutliga inloggningsprompten i slutet av den första CLI-konfigurationen.

Öppna nu en webbläsare till den IP-adress som du har definierat för sensorn och fortsätt konfigurationen i webbläsaren. Mer information finns i Aktivera ot-sensorn.

Kommentar

Under den inledande installationen är alternativ för ERSPAN-övervakningsportar endast tillgängliga i den webbläsarbaserade proceduren.

Om du definierar nätverksinformationen via CLI och vill konfigurera ERSPAN-övervakningsportar gör du det efteråt via sensorns sida Inställningar > Interface-anslutningar. Mer information finns i Uppdatera en sensors övervakningsgränssnitt (konfigurera ERSPAN).

Nästa steg

« Verifiera en installation av OT-sensorprogramvaran

Konfigurera proxyinställningar på en OT-sensor »