Selvstudium: Onboard og aktivér en virtuel OT-sensor

I dette selvstudium beskrives de grundlæggende funktioner i konfiguration af en Microsoft Defender til IoT OT-sensor ved hjælp af et prøveabonnement på Microsoft Defender til IoT og din egen virtuelle maskine.

Hvis du vil have en komplet komplet udrulning, skal du sørge for at følge trinnene for at planlægge og forberede dit system og også kalibrere og finjustere dine indstillinger fuldt ud. Du kan få flere oplysninger under Installér Defender for IoT til OT-overvågning.

Bemærk!

Hvis du vil konfigurere sikkerhedsovervågning for virksomheds-IoT-systemer, skal du se Aktivér Enterprise IoT-sikkerhed i Defender for Endpoint.

I dette selvstudium lærer du, hvordan du:

  • Opret en VM til sensoren
  • Ombord på en virtuel sensor
  • Konfigurer en virtuel SPAN-port
  • Klargøring til cloudadministration
  • Download software til en virtuel sensor
  • Installér softwaren til den virtuelle sensor
  • Aktivér den virtuelle sensor

Forudsætninger

Før du starter, skal du sørge for, at du har følgende:

  • Fuldført Hurtig start: Kom i gang med Defender for IoT, så du har føjet et Azure abonnement til Defender for IoT.

  • Adgang til Azure Portal som sikkerheds Administration, bidragyder eller ejer. Du kan få flere oplysninger under Azure brugerroller til OT- og Enterprise IoT-overvågning med Defender for IoT.

  • Sørg for, at du har en netværkskontakt, der understøtter trafikovervågning via en SPAN-port. Du skal også have mindst én enhed at overvåge, som er tilsluttet kontaktens SPAN-port.

  • VMware, ESXi 5.5 eller nyere, installeret og driftsklar på din sensor.

  • Tilgængelige hardwareressourcer til din VM på følgende måde:

    Installationstype Corporate Enterprise SMB
    Maksimal båndbredde 2,5 GB pr. sekund 800 Mb pr. sekund 160 Mb pr. sekund
    Maksimalt antal beskyttede enheder 12,000 10,000 800

  • En forståelse af OT-overvågning med virtuelle apparater.

  • Oplysninger om følgende netværksparametre, der skal bruges til din sensorenhed:

    • En IP-adresse til administrationsnetværket
    • En sensorundernetmaske
    • Et apparats værtsnavn
    • En DNS-adresse
    • En standardgateway
    • Alle inputgrænseflader

Opret en VM til din sensor

I denne procedure beskrives det, hvordan du opretter en VM til din sensor med VMware ESXi.

Defender for IoT understøtter også andre processer, f.eks. brug af Hyper-V eller fysiske sensorer. Du kan få flere oplysninger under Defender for IoT-installation.

Sådan opretter du en VM til din sensor:

  1. Sørg for, at VMware kører på computeren.

  2. Log på ESXi, vælg det relevante datalager, og vælg Datastore Browser.

  3. Upload billedet, og vælg Luk.

  4. Gå til Virtual Machines, og vælg derefter Opret/registrer VM.

  5. Vælg Opret ny virtuel maskine, og vælg derefter Næste.

  6. Tilføj et sensornavn, og definer derefter følgende indstillinger:

    • Kompatibilitet: <seneste ESXi-version>

    • Gæste-OS-familie: Linux

    • Gæsteversion af OPERATIVSYSTEM: Debian

  7. Vælg Næste.

  8. Vælg det relevante datalager, og vælg Næste.

  9. Skift de virtuelle hardwareparametre i henhold til de påkrævede specifikationer for dine behov. Du kan få flere oplysninger i tabellen i afsnittet Forudsætninger ovenfor.

Din VM er nu forberedt til din Defender for IoT-softwareinstallation. Du fortsætter ved at installere softwaren senere i dette selvstudium, når du har onboardet din sensor i Azure Portal, konfigureret trafikspejling og klargjort maskinen til cloudadministration.

Onboarder den virtuelle sensor

Før du kan begynde at bruge din Defender for IoT-sensor, skal du onboarde din nye virtuelle sensor til dit Azure-abonnement.

Sådan onboarder du den virtuelle sensor:

  1. I Azure Portal skal du gå til siden Med introduktion til Defender for IoT>.

  2. Nederst til venstre skal du vælge Konfigurer OT/ICS Security.

    Alternativt kan du vælge Onboard OT-sensor>OT på siden Defender for IoT Sites and sensors.

    Som standard er trin 1: Har du konfigureret en sensor på siden Konfigurer OT/ICS Security? og Trin 2: Konfigurer SPAN-port eller TRYK på guiden er skjult.

    Du skal installere software og konfigurere trafikspejling senere i installationsprocessen, men dine apparater skal være klar, og der skal planlægges en metode til trafikspejling.

  3. I trin 3: Registrer denne sensor med Microsoft Defender for IoT, skal du definere følgende værdier:

    Feltnavn Beskrivelse
    Ressourcenavn Vælg det websted, du vil knytte sensorerne til, eller vælg Opret websted for at oprette et nyt websted.

    Hvis du opretter et nyt websted:
    1. Angiv webstedets navn i feltet Nyt websted , og vælg afkrydsningsknappen.
    2. Vælg webstedets størrelse i menuen Webstedsstørrelse . De størrelser, der er angivet i denne menu, er de størrelser, du har licens til, baseret på de licenser, du har købt i Microsoft 365 Administration.
    Vist navn  Angiv et sigende navn på det websted, der skal vises på tværs af Defender for IoT.
    Mærker Angiv mærkenøglen og -værdierne for at hjælpe dig med at identificere og finde dit websted og din sensor i Azure Portal.
    Zone Vælg den zone, du vil bruge til din OT-sensor, eller vælg Opret zone for at oprette en ny.

    Du kan finde flere oplysninger under Planlæg OT-websteder og -zoner.

  4. Når du er færdig med alle andre felter, skal du vælge Registrer for at føje din sensor til Defender for IoT. Der vises en meddelelse om, at aktiveringen lykkedes, og at aktiveringsfilen automatisk downloades. Aktiveringsfilen er unik for din sensor og indeholder instruktioner om din sensors administrationstilstand.

    Alle filer, der downloades fra Azure Portal, signeres af tillidsroden, så dine maskiner kun bruger signerede aktiver.

  5. Gem den downloadede aktiveringsfil på en placering, der er tilgængelig for den bruger, der logger på konsollen for første gang, så vedkommende kan aktivere sensoren.

    Du kan også downloade filen manuelt ved at vælge det relevante link i feltet Aktivér din sensor . Du skal bruge denne fil til at aktivere din sensor, som beskrevet nedenfor.

  6. I feltet Tilføj regler for udgående tillader skal du vælge linket Download slutpunktsoplysninger for at downloade en JSON-liste over de slutpunkter, du skal konfigurere som sikre slutpunkter fra din sensor.

    Gem den downloadede fil lokalt. Brug de slutpunkter, der er angivet i den downloadede fil senere i dette selvstudium, for at sikre, at din nye sensor kan oprette forbindelse til Azure.

    Tip

    Du kan også få adgang til listen over påkrævede slutpunkter fra siden Websteder og sensorer . Du kan få flere oplysninger under Indstillinger for sensorstyring fra Azure Portal.

  7. Vælg Udfør nederst til venstre på siden. Du kan nu se din nye sensor angivet på siden Defender for IoT Sites and sensorer .

    Indtil du aktiverer din sensor, vises sensorens status som Afventende aktivering.

Du kan få flere oplysninger under Administrer sensorer med Defender for IoT i Azure Portal.

Konfigurer en SPAN-port

Virtuelle parametre har ikke spejlingsfunktioner. Men af hensyn til dette selvstudium kan du bruge promiskuøs tilstand i et virtuelt switchmiljø til at få vist al netværkstrafik, der går gennem den virtuelle switch.

I denne procedure beskrives det, hvordan du konfigurerer en SPAN-port ved hjælp af en løsning med VMware ESXi.

Bemærk!

Promiscuous mode er en driftstilstand og en sikkerhedsovervågningsteknik for en VM's grænseflader på samme portgruppeniveau som den virtuelle switch for at få vist kontaktens netværkstrafik. Promiscuous-tilstand er deaktiveret som standard, men kan defineres på den virtuelle switch- eller portgruppeniveau.

Sådan konfigurerer du en overvågningsgrænseflade med promiskuøs tilstand på en ESXi v-switch:

  1. Åbn siden med egenskaber for vSwitch, og vælg Tilføj virtuel standardkontakt.

  2. Angiv SPAN Network som netværksmærkat.

  3. Angiv 4096 i feltet MTU.

  4. Vælg Sikkerhed, og bekræft, at politikken for promiskuøs tilstand er angivet til Acceptér tilstand.

  5. Vælg Tilføj for at lukke egenskaberne for vSwitch.

  6. Fremhæv den vSwitch, du har oprettet, og vælg Tilføj uplink.

  7. Vælg det fysiskenic, du vil bruge til SPAN-trafikken, ret MTU'en til 4096, og vælg derefter Gem.

  8. Åbn egenskabssiden Portgruppe , og vælg Tilføj portgruppe.

  9. Angiv SPAN Port Group som navnet, angiv 4095 som VLAN-id, og vælg SPAN Network på rullelisten vSwitch, og vælg derefter Tilføj.

  10. Åbn egenskaberne for VM'en for OT-sensoren .

  11. Vælg SPAN-netværket for Netværkskort 2.

  12. Vælg OK.

  13. Opret forbindelse til sensoren, og kontrollér, at spejling fungerer.

Valider trafikspejling

Når du har konfigureret trafikspejling, kan du forsøge at modtage et eksempel på registreret trafik (PCAP-fil) fra switchen SPAN eller spejlporten.

En pcAP-eksempelfil hjælper dig med at:

  • Valider konfigurationen af parameteren
  • Bekræft, at den trafik, der går gennem kontakten, er relevant for overvågning
  • Identificer båndbredden og det anslåede antal enheder, der registreres af kontakten

  1. Brug et program til netværksprotokolanalyse, f.eks . Wireshark, til at optage en PCAP-eksempelfil i et par minutter. Du kan f.eks. forbinde en bærbar computer til en port, hvor du har konfigureret trafikovervågning.

  2. Kontrollér, at Unicast-pakker er til stede i optagetrafikken. Unicast-trafik er trafik, der sendes fra adressen til en anden.

    Hvis det meste af trafikken er ARP-meddelelser, er konfigurationen af trafikspejling ikke korrekt.

  3. Kontrollér, at dine OT-protokoller er til stede i den analyserede trafik.

    Det kan f.eks. være:

    Skærmbillede af wireshark-validering.

Klargøring til cloudadministration

I dette afsnit beskrives det, hvordan du konfigurerer slutpunkter til at definere i firewallregler og sikrer, at dine OT-sensorer kan oprette forbindelse til Azure.

Du kan få flere oplysninger under Metoder til tilslutning af sensorer til Azure.

Sådan konfigurerer du oplysninger om slutpunkter:

Åbn den fil, du tidligere har downloadet, for at få vist listen over påkrævede slutpunkter. Konfigurer firewallreglerne, så din sensor kan få adgang til hvert af de påkrævede slutpunkter over port 443.

Tip

Du kan også downloade listen over påkrævede slutpunkter fra siden Websteder og sensorer i Azure Portal. Gå til Websteder og sensorer>Flere handlinger>Download oplysninger om slutpunkt. Du kan få flere oplysninger under Indstillinger for sensorstyring fra Azure Portal.

Du kan få flere oplysninger under Klargør sensorer til cloudadministration.

Download software til din virtuelle sensor

I dette afsnit beskrives det, hvordan du downloader og installerer sensorsoftwaren på din egen maskine.

Sådan downloader du software til dine virtuelle sensorer:

  1. I Azure Portal skal du gå til siden Defender for IoT > Getting started og vælge fanen Sensor.

  2. I feltet Køb en apparat og installér software skal du kontrollere, at standardindstillingen er valgt for den nyeste og anbefalede softwareversion, og derefter vælge Download.

  3. Gem den downloadede software på en placering, der er tilgængelig fra din VM.

Alle filer, der downloades fra Azure Portal, signeres af tillidsroden, så dine maskiner kun bruger signerede aktiver.

Installér sensorsoftware

I denne procedure beskrives det, hvordan du installerer sensorsoftwaren på din VM.

Bemærk!

Mod slutningen af denne proces vil du blive præsenteret for brugernavne og adgangskoder til din enhed. Sørg for at kopiere disse ned, da disse adgangskoder ikke vises igen.

Sådan installerer du softwaren på den virtuelle sensor:

  1. Hvis du har lukket din VM, skal du logge på ESXi igen og åbne dine VM-indstillinger.

  2. For cd/dvd-drev 1 skal du vælge Datastore ISO-fil og vælge Defender for IoT-software, du tidligere har downloadet.

  3. Vælg Næste>slutdato.

  4. Tænd den virtuelle maskine, og åbn en konsol.

  5. Når installationen starter, bliver du bedt om at starte installationsprocessen. Vælg elementet Installér iot-sensor –<version number> for at fortsætte eller lade det starte automatisk efter 30 sekunder. Det kan f.eks. være:

    Skærmbillede af den indledende installationsskærm.

    Bemærk!

    Hvis du bruger en ældre BIOS-version, bliver du bedt om at vælge et sprog, og installationsmulighederne vises øverst til venstre i stedet for i midten. Når du bliver bedt om det, skal du vælge English indstillingen Installér iot-sensor –<version number> for at fortsætte.

    Installationen starter, hvilket giver dig opdaterede statusmeddelelser, efterhånden som den går. Hele installationsprocessen tager op til 20-30 minutter og kan variere afhængigt af den type medie, du bruger.

    Når installationen er fuldført, får du vist følgende sæt standardnetværksoplysninger.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Brug standard-IP-adressen til at få adgang til din sensor til den indledende konfiguration og aktivering.

Validering efter installation

I denne procedure beskrives det, hvordan du validerer installationen ved hjælp af sensorens egne systemtilstandskontroller og er tilgængelig for standardadministratorbrugeren .

Sådan validerer du installationen:

  1. Log på OT-sensoren som admin brugeren.

  2. Vælg Systemindstillinger>Sensoradministration>Systemtilstandskontrol.

  3. Vælg følgende kommandoer:

    • Apparat til at kontrollere, at systemet kører. Kontrollér, at hvert linjeelement viser Running , og at det i den sidste linje angives, at systemet kører.
    • Version , der bekræfter, at du har den korrekte version installeret.
    • ifconfig for at bekræfte, at alle inputgrænseflader, der er konfigureret under installationen, kører.

Du kan få mere at vide om valideringstest efter installation, f.eks. gateway, DNS eller firewallkontroller, under Valider installationen af en OT-sensorsoftware.

Definer indledende konfiguration

I følgende procedure beskrives det, hvordan du konfigurerer din sensors indledende konfigurationsindstillinger, herunder:

  • Logger på sensorkonsollen og ændrer administratorbrugeradgangskoden
  • Definition af netværksoplysninger for din sensor
  • Definition af de grænseflader, du vil overvåge
  • Aktivering af din sensor
  • Konfiguration af ssl/TLS-certifikatindstillinger

Log på sensorkonsollen, og rediger standardadgangskoden

I denne procedure beskrives det, hvordan du logger på OT-sensorkonsollen første gang. Du bliver bedt om at ændre standardadgangskoden for administratorbrugeren .

Sådan logger du på din sensor:

  1. I en browser skal du gå til DEN 192.168.0.101 IP-adresse, som er den standard-IP-adresse, der er angivet for din sensor i slutningen af installationen.

    Den første logonside vises. Det kan f.eks. være:

    Skærmbillede af den første sensorlogonside.

  2. Angiv følgende legitimationsoplysninger, og vælg Logon:

    • Brugernavn: support
    • Adgangskode: support

    Du bliver bedt om at definere en ny adgangskode for administratorbrugeren .

  3. Angiv den nye adgangskode i feltet Ny adgangskode . Adgangskoden skal indeholde små og store bogstaver, tal og symboler.

    Angiv den nye adgangskode igen i feltet Bekræft ny adgangskode , og vælg derefter Kom i gang.

    Du kan få flere oplysninger under Standard priviligerete brugere.

Defender for IoT | Siden Oversigt åbnes under fanen Administration af grænseflade.

Definer oplysninger om sensornetværk

Under fanen Administration af grænseflade skal du bruge følgende felter til at definere netværksoplysninger for din nye sensor:

Navn Beskrivelse
Administrationsgrænseflade Vælg den grænseflade, du vil bruge som administrationsgrænseflade, og opret forbindelse til Azure Portal.

Hvis du vil identificere en fysisk grænseflade på din maskine, skal du vælge en grænseflade og derefter vælge Blink physical interface LED. Porten, der matcher den valgte grænseflade, lyser op, så du kan tilslutte kablet korrekt.
IP-adresse Angiv den IP-adresse, du vil bruge til din sensor. Dette er den IP-adresse, dit team vil bruge til at oprette forbindelse til sensoren via browseren eller kommandolinjegrænsefladen.
Undernetmaske Angiv den adresse, du vil bruge som sensorens undernetmaske.
Standardgateway Angiv den adresse, du vil bruge som sensorens standardgateway.
DNS Angiv sensorens DNS-server-IP-adresse.
Værtsnavn Angiv det værtsnavn, du vil tildele sensoren. Sørg for at bruge det samme værtsnavn, som er defineret på DNS-serveren.

Af hensyn til dette selvstudium skal du lade spring proxykonfigurationerne over i området Aktivér proxy for cloudforbindelse (valgfrit).

Når du er færdig, skal du vælge Næste: Grænsefladekonfigurationer for at fortsætte.

Definer de grænseflader, du vil overvåge

Fanen Grænsefladeforbindelser viser alle grænseflader, der som standard er registreret af sensoren. Brug denne fane til at slå overvågning til eller fra pr. grænseflade eller til at definere specifikke indstillinger for hver grænseflade.

Tip

Vi anbefaler, at du optimerer ydeevnen på din sensor ved at konfigurere dine indstillinger til kun at overvåge de grænseflader, der er aktivt i brug.

Under fanen Grænsefladekonfigurationer skal du gøre følgende for at konfigurere indstillinger for dine overvågede grænseflader:

  1. Vælg til/fra-knappen Aktivér/Deaktiver for alle grænseflader, som sensoren skal overvåge. Du skal vælge mindst én grænseflade for at fortsætte.

    Hvis du ikke er sikker på, hvilken grænseflade der skal bruges, skal du vælge knappen Blink fysisk grænseflade LED for at få det valgte port blink på din maskine. Vælg en af de grænseflader, du har oprettet forbindelse til kontakten.

  2. Af hensyn til dette selvstudium skal du springe alle avancerede indstillinger over og vælge Næste: Genstart > for at fortsætte.

  3. Når du bliver bedt om det, skal du vælge Start genstart for at genstarte din sensormaskine. Når sensoren starter igen, omdirigeres du automatisk til den IP-adresse, du tidligere havde defineret som din sensor-IP-adresse.

    Vælg Annuller for at vente på genstarten.

Aktivér din OT-sensor

I denne procedure beskrives det, hvordan du aktiverer din nye OT-sensor.

Sådan aktiverer du din sensor:

  1. Under fanen Aktivering skal du vælge Upload for at uploade sensorens aktiveringsfil, som du har downloadet fra Azure Portal.

  2. Vælg indstillingen vilkår og betingelser, og vælg derefter Næste: Certifikater.

Definer indstillinger for SSL/TLS-certifikat

Brug fanen Certifikater til at installere et SSL/TLS-certifikat på din OT-sensor. Selvom vi anbefaler, at du bruger et CA-signeret certifikat til alle produktionsmiljøer, skal du af hensyn til dette selvstudium vælge at bruge et selvsigneret certifikat.

Sådan definerer du ssl/TLS-certifikatindstillinger:

  1. Under fanen Certifikater skal du vælge Brug lokalt genereret selvsigneret certifikat (anbefales ikke) og derefter vælge indstillingen Bekræft .

    Du kan få flere oplysninger under Certifikatkrav til SSL/TLS for ressourcer i det lokale miljø og Opret SSL/TLS-certifikater til håndkøbsapparater.

  2. Vælg Udfør for at fuldføre den indledende konfiguration og åbne sensorkonsollen.

Næste trin

Fuldstændig installationssti til OT-overvågning

  • Last updated on