Konfigurieren und Aktivieren Ihres OT-Sensors

Dieser Artikel enthält eine Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender für IoT beschrieben wird. Außerdem wird beschrieben, wie Sie die Einstellungen für die anfängliche Einrichtung konfigurieren und Ihren OT-Sensor aktivieren.

Diagramm einer Statusanzeige mit hervorgehobener Option

Mehrere erste Einrichtungsschritte können im Browser oder über die CLI ausgeführt werden.

  • Verwenden Sie den Browser, wenn Sie physische Kabel von Ihrem Switch an den Sensor anschließen können, um Ihre Schnittstellen richtig zu identifizieren. Stellen Sie sicher, dass Sie Ihren Netzwerkadapter so neu konfigurieren, dass er den Standardeinstellungen auf dem Sensor entspricht.
  • Verwenden Sie die CLI, wenn Sie Ihre Netzwerkdetails kennen, ohne physische Kabel anschließen zu müssen. Verwenden Sie die CLI, wenn Sie nur über iLo/iDrac eine Verbindung mit dem Sensor herstellen können.

Wenn Sie Ihr Setup über die CLI konfigurieren, müssen Sie weiterhin die letzten Schritte im Browser ausführen.

Voraussetzungen

Zum Ausführen der Verfahren in diesem Artikel benötigen Sie Folgendes:

  • Ein OT-Sensor, der im Azure-Portal in Defender für IoT integriert ist.

  • Auf Ihrem Anwendung installierte OT-Sensorsoftware. Stellen Sie sicher, dass Sie die Software entweder selbst installiert oder ein vorkonfiguriertes Anwendung erworben haben.

  • Die Aktivierungsdatei des Sensors, die nach dem Onboarding Ihres Sensors heruntergeladen wurde. Sie benötigen eine eindeutige Aktivierungsdatei für jeden OT-Sensor, den Sie bereitstellen.

    Alle Aus dem Azure-Portal heruntergeladenen Dateien werden vom Vertrauensstamm signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.

    Hinweis

    Aktivierungsdateien laufen 14 Tage nach der Erstellung ab. Wenn Sie das Onboarding ihres Sensors ausgeführt haben, die Aktivierungsdatei aber nicht hochgeladen haben, bevor sie abgelaufen ist, laden Sie eine neue Aktivierungsdatei herunter.

  • Ein SSL/TLS-Zertifikat. Es wird empfohlen, ein von der Zertifizierungsstelle signiertes Zertifikat und kein selbstsigniertes Zertifikat zu verwenden. Weitere Informationen finden Sie unter Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.

  • Zugriff auf die physische oder virtuelle Anwendung, in der Sie Ihren Sensor installieren. Weitere Informationen finden Sie unter Welche Appliances benötige ich?

Dieser Schritt wird von Ihren Bereitstellungsteams ausgeführt.

Konfigurieren des Setups über den Browser

Das Konfigurieren des Sensorsetups über den Browser umfasst die folgenden Schritte:

  • Anmelden bei der Sensorkonsole und Ändern des Administratorbenutzerkennworts
  • Definieren von Netzwerkdetails für Ihren Sensor
  • Definieren der Zu überwachenden Schnittstellen
  • Aktivieren des Sensors
  • Konfigurieren von SSL/TLS-Zertifikateinstellungen

Melden Sie sich bei der Sensorkonsole an, und ändern Sie das Standardkennwort.

In diesem Verfahren wird beschrieben, wie Sie sich zum ersten Mal bei der OT-Sensorkonsole anmelden. Sie werden aufgefordert, das Standardkennwort für den Administratorbenutzer zu ändern.

So melden Sie sich bei Ihrem Sensor an:

  1. Rufen Sie in einem Browser die 192.168.0.101 IP-Adresse auf, die die Standard-IP-Adresse ist, die am Ende der Installation für Ihren Sensor angegeben wird.

    Die erste Anmeldeseite wird angezeigt. Zum Beispiel:

    Screenshot der anfänglichen Sensoranmeldungsseite.

  2. Geben Sie die folgenden Anmeldeinformationen ein, und wählen Sie Anmelden aus:

    • Benutzername: admin
    • Kennwort: admin

    Sie werden aufgefordert, ein neues Kennwort für den Administratorbenutzer zu definieren.

  3. Geben Sie im Feld Neues Kennwort Ihr neues Kennwort ein. Ihr Kennwort muss Alphabetzeichen, Zahlen und Symbole in Klein- und Großbuchstaben enthalten.

    Geben Sie im Feld Neues Kennwort bestätigen ihr neues Kennwort erneut ein, und wählen Sie dann Erste Schritte aus.

    Weitere Informationen finden Sie unter Privilegierte Standardbenutzer.

Defender für IoT | Auf der Seite Übersicht wird die Registerkarte Verwaltungsschnittstelle geöffnet.

Definieren von Sensornetzwerkdetails

Verwenden Sie auf der Registerkarte Verwaltungsschnittstelle die folgenden Felder, um Netzwerkdetails für Ihren neuen Sensor zu definieren:

Name Beschreibung
MDM-Benutzeroberfläche Wählen Sie die Schnittstelle aus, die Sie als Verwaltungsschnittstelle verwenden möchten, um eine Verbindung mit dem Azure-Portal herzustellen.

Um eine physische Schnittstelle auf Ihrem Computer zu identifizieren, wählen Sie eine Schnittstelle und dann Blink physische Schnittstellen-LED aus. Der Anschluss, der mit der ausgewählten Schnittstelle übereinstimmt, leuchtet auf, sodass Sie das Kabel ordnungsgemäß anschließen können.
IP-Adresse Geben Sie die IP-Adresse ein, die Sie für Ihren Sensor verwenden möchten. Dies ist die IP-Adresse, die Ihr Team verwendet, um über den Browser oder die CLI eine Verbindung mit dem Sensor herzustellen.
Subnetzmaske Geben Sie die Adresse ein, die Sie als Subnetzmaske des Sensors verwenden möchten.
Standardgateway Geben Sie die Adresse ein, die Sie als Standardgateway des Sensors verwenden möchten.
DNS Geben Sie die IP-Adresse des DNS-Servers des Sensors ein.
Hostname Geben Sie den Hostnamen ein, den Sie dem Sensor zuweisen möchten. Stellen Sie sicher, dass Sie denselben Hostnamen verwenden, der auf dem DNS-Server definiert ist.
Aktivieren des Proxys für Cloudkonnektivität (optional) Wählen Sie diese Option aus, um einen Proxyserver für Ihren Sensor zu definieren.

Wenn Sie ein SSL/TSL-Zertifikat für den Zugriff auf den Proxyserver verwenden, wählen Sie Clientzertifikat aus, und laden Sie Ihr Zertifikat hoch.

Wenn Sie fertig sind, wählen Sie Weiter: Schnittstellenkonfigurationen aus, um fortzufahren.

Definieren sie die Schnittstellen, die Sie überwachen möchten.

Auf der Registerkarte Schnittstellenkonfigurationen werden standardmäßig alle vom Sensor erkannten Schnittstellen angezeigt. Verwenden Sie diese Registerkarte, um die Überwachung pro Schnittstelle zu aktivieren oder zu deaktivieren oder bestimmte Einstellungen für jede Schnittstelle zu definieren.

Tipp

Es wird empfohlen, die Leistung ihres Sensors zu optimieren, indem Sie Ihre Einstellungen so konfigurieren, dass nur die Schnittstellen überwacht werden, die aktiv verwendet werden.

Gehen Sie auf der Registerkarte Schnittstellenkonfigurationen wie folgt vor, um Einstellungen für die überwachten Schnittstellen zu konfigurieren:

  1. Wählen Sie die Umschaltfläche Aktivieren/Deaktivieren für alle Schnittstellen aus, die der Sensor überwachen soll. Sie müssen mindestens eine Schnittstelle auswählen, um den Vorgang fortzusetzen.

    Wenn Sie nicht sicher sind, welche Schnittstelle Verwendet werden soll, wählen Sie die LED-Taste "Physische Schnittstelle blinken " aus, damit der ausgewählte Port auf Ihrem Computer blinkt. Wählen Sie eine der Schnittstellen aus, die Sie mit Ihrem Switch verbunden haben.

  2. (Optional) Wählen Sie für jede Zu überwachende Schnittstelle die Schaltfläche Erweiterte Einstellungen aus, um eine der folgenden Einstellungen zu ändern:

    Name Beschreibung
    Mode Wählen Sie eine der folgenden Optionen aus:
    - SPAN-Datenverkehr (keine Kapselung), um die Standardmäßige SPAN-Portspiegelung zu verwenden.
    - ERSPAN , wenn Sie die ERSPAN-Spiegelung verwenden.

    Weitere Informationen finden Sie unter Auswählen einer Methode für die Datenverkehrsspiegelung für OT-Sensoren.
    Beschreibung Geben Sie eine optionale Beschreibung für die Schnittstelle ein. Dies wird später auf der Seite Systemeinstellungen > Schnittstellenkonfigurationen des Sensors angezeigt, und diese Beschreibungen können hilfreich sein, um den Zweck der einzelnen Schnittstellen zu verstehen.
    Automatische Aushandlung Nur für physische Computer relevant. Verwenden Sie diese Option, um zu bestimmen, welche Art von Kommunikationsmethoden verwendet wird oder ob die Kommunikationsmethoden automatisch zwischen Komponenten definiert werden.

    Wichtig: Es wird empfohlen, diese Einstellung nur auf Empfehlung Ihres Netzwerkteams zu ändern.

    So fügen Sie Ihrer Schnittstelle ERSPAN-Tunneling hinzu:

    1. Wählen Sie in der Option Modus in der Dropdownliste Tunneling aus.

    2. Aktualisieren Sie zum Konfigurieren des Tunnels die folgenden OT-Sensordetails:

      • Beschreibung (optional).
      • Schnittstellen-IP.
      • Subnetz.

    Zum Beispiel:

    Screenshot: Konfigurieren von ERSPAN-Einstellungen in den OT-Sensoreinstellungen

  3. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

  4. Wählen Sie Weiter: Neustart > aus, um den Vorgang fortzusetzen, und dann Neustart starten , um Den Sensorcomputer neu zu starten. Nachdem der Sensor erneut gestartet wird, werden Sie automatisch zu der IP-Adresse weitergeleitet, die Sie zuvor als Ihre Sensor-IP-Adresse definiert haben.

    Wählen Sie Abbrechen aus, um auf den Neustart zu warten.

Aktivieren Des OT-Sensors

In diesem Verfahren wird beschrieben, wie Sie Ihren neuen OT-Sensor aktivieren.

Wenn Sie die anfänglichen Einstellungen bisher über die CLI konfiguriert haben, starten Sie die browserbasierte Konfiguration in diesem Schritt. Nach dem Neustart des Sensors werden Sie zum selben Defender für IoT | Seite "Übersicht " zur Registerkarte "Aktivierung ".

So aktivieren Sie Ihren Sensor:

  1. Wählen Sie auf der Registerkarte Aktivierung die Option Hochladen aus, um die Aktivierungsdatei des Sensors hochzuladen, die Sie aus dem Azure-Portal heruntergeladen haben.
  2. Wählen Sie die Option Geschäftsbedingungen und dann Aktivieren aus.
  3. Wählen Sie Weiter: Zertifikate aus.

Wenn während des Aktivierungsprozesses ein Verbindungsproblem zwischen dem cloudbasierten Sensor und dem Azure-Portal besteht, das dazu führt, dass die Aktivierung fehlschlägt, wird unter der Schaltfläche Aktivieren eine Meldung angezeigt. Um das Konnektivitätsproblem zu beheben, wählen Sie Weitere Informationen aus, und der Bereich Cloudkonnektivität wird geöffnet. Der Bereich listet die Ursachen für das Problem und Empfehlungen zum Beheben des Problems auf.

Auch ohne Lösung des Problems können Sie mit der nächsten Phase fortfahren, indem Sie Weiter: Zertifikate auswählen.

Das einzige Verbindungsproblem, das vor dem Wechsel zur nächsten Phase behoben werden muss, ist, wenn eine Zeitabweichung erkannt wird und der Sensor nicht mit der Cloud synchronisiert wird. In diesem Fall muss der Sensor ordnungsgemäß synchronisiert werden, wie in den Empfehlungen beschrieben, bevor mit der nächsten Stufe fortbewegt wird.

Definieren von SSL/TLS-Zertifikateinstellungen

Verwenden Sie die Registerkarte Zertifikate , um ein SSL/TLS-Zertifikat auf Ihrem OT-Sensor bereitzustellen. Es wird empfohlen, ein von der Zertifizierungsstelle signiertes Zertifikat für alle Produktionsumgebungen zu verwenden.

So definieren Sie SSL/TLS-Zertifikateinstellungen:

  1. Wählen Sie auf der Registerkarte Zertifikate die Option Vertrauenswürdiges Zertifizierungsstellenzertifikat importieren (empfohlen) aus, um ein von der Zertifizierungsstelle signiertes Zertifikat bereitzustellen.

    Geben Sie den Namen und die Passphrase des Zertifikats ein, und wählen Sie dann Hochladen aus, um Ihre Datei für den privaten Schlüssel, die Zertifikatdatei und eine optionale Zertifikatkettendatei hochzuladen.

    Möglicherweise müssen Sie die Seite aktualisieren, nachdem Sie Ihre Dateien hochgeladen haben. Weitere Informationen finden Sie unter Beheben von Zertifikatuploadfehlern.

    Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.

    Tipp

    Wenn Sie an einer Testumgebung arbeiten, können Sie auch das selbstsignierte Zertifikat verwenden, das während der Installation lokal generiert wird. Wenn Sie ein selbstsigniertes Zertifikat verwenden möchten, stellen Sie sicher, dass Sie die Option Bestätigen für die Empfehlungen auswählen.

    Weitere Informationen finden Sie unter Verwalten von SSL/TLS-Zertifikaten.

  2. Wählen Sie Fertig stellen aus, um die ersteinrichtung abzuschließen und ihre Sensorkonsole zu öffnen.

Konfigurieren des Setups über die CLI

Verwenden Sie dieses Verfahren, um die folgenden Einstellungen für die anfängliche Einrichtung über die CLI zu konfigurieren:

  • Anmelden bei der Sensorkonsole und Festlegen eines neuen Administratorbenutzerkennworts
  • Definieren von Netzwerkdetails für Ihren Sensor
  • Definieren der Zu überwachenden Schnittstellen

Fahren Sie mit dem Aktivieren und Konfigurieren der SSL/TLS-Zertifikateinstellungen im Browser fort.

Hinweis

Die Informationen in diesem Artikel gelten für die Sensorversion 24.1.5. Wenn Sie eine frühere Version ausführen, finden Sie weitere Informationen unter Konfigurieren der ERSPAN-Spiegelung.

So konfigurieren Sie die Einstellungen für die ersteinrichtung über die CLI:

  1. Drücken Sie auf dem Installationsbildschirm, nachdem die Standardnetzwerkdetails angezeigt wurden, die EINGABETASTE , um fortzufahren.

  2. Melden Sie sich an der D4Iot login Eingabeaufforderung mit den folgenden Standardanmeldeinformationen an:

    • Benutzername: admin
    • Kennwort: admin

    Wenn Sie Ihr Kennwort eingeben, werden die Kennwortzeichen nicht auf dem Bildschirm angezeigt. Stellen Sie sicher, dass Sie sie sorgfältig eingeben.

  3. Geben Sie an der Eingabeaufforderung ein neues Kennwort für den Administratorbenutzer ein. Ihr Kennwort muss Alphabetzeichen, Zahlen und Symbole in Klein- und Großbuchstaben enthalten.

    Wenn Sie aufgefordert werden, Ihr Kennwort zu bestätigen, geben Sie Ihr neues Kennwort erneut ein. Weitere Informationen finden Sie unter Privilegierte Standardbenutzer.

  4. Nach dem Ändern des Kennworts wird der Sensor Config Assistent automatisch gestartet. Fahren Sie mit Schritt 5 fort.

    Wenn Sie sich bei späteren Gelegenheiten anmelden, fahren Sie mit Schritt 4 fort.

  5. Um den Sensor Config Assistenten zu starten, geben Sie an der Eingabeaufforderung ein network reconfigure. Wenn Sie den cyberx-Benutzer verwenden, geben Sie ein ERSPAN=1 python3 -m cyberx.config.configure.

  6. Auf Sensor Config dem Bildschirm wird die aktuelle Einrichtung der Schnittstellen angezeigt. Stellen Sie sicher, dass eine Schnittstelle als Verwaltungsschnittstelle festgelegt ist. Verwenden Sie in diesem Assistenten die NACH-OBEN- oder NACH-UNTEN-TASTE, um zu navigieren, und verwenden Sie die LEERTASTE , um eine Option auszuwählen. Drücken Sie die EINGABETASTE , um zum nächsten Bildschirm zu gelangen.

    Wählen Sie die Schnittstelle aus, die Sie konfigurieren möchten, z. B.:

    Screenshot des Bildschirms

  7. Wählen Sie auf dem Select type Bildschirm den neuen Konfigurationstyp für diese Schnittstelle aus.

Wichtig

Stellen Sie sicher, dass Sie nur schnittstellen auswählen, die verbunden sind.

Wenn Sie Schnittstellen auswählen, die aktiviert, aber nicht verbunden sind, zeigt der Sensor die Integritätsbenachrichtigung Kein Datenverkehr überwacht im Azure-Portal an. Wenn Sie nach der Installation weitere Datenverkehrsquellen verbinden und diese mit Defender für IoT überwachen möchten, können Sie sie später über die CLI hinzufügen.

Eine Schnittstelle kann entweder als "Verwaltung", "Monitor", " Tunnel " oder " Nicht verwendet" festgelegt werden. Möglicherweise möchten Sie eine Schnittstelle als temporäre Einstellung nicht verwendet festlegen, um sie zurückzusetzen oder wenn bei der ursprünglichen Einrichtung ein Fehler gemacht wurde.

  1. So konfigurieren Sie eine Verwaltungsschnittstelle :

    1. Wählen Sie die Schnittstelle aus.

    2. Wählen Sie Verwaltung aus.

    3. Geben Sie die IP-Adresse des Sensors, die IP-Adresse des DNS-Servers und die Standard-Gateway-IP-Adresse ein.

      Screenshot des Bildschirms

    4. Wählen Sie Zurück aus.

  2. So konfigurieren Sie eine Monitor-Schnittstelle :

    1. Wählen Sie die Schnittstelle aus.
    2. Wählen Sie Überwachen aus. Der Bildschirm Sensorkonfiguration wird aktualisiert.

  3. So konfigurieren Sie eine ERSPAN Tunnel-Schnittstelle :

    1. Wählen Sie Schnittstellen-IP aus, und fügen Sie die IP- und Subnetzdetails hinzu.

    2. Wählen Sie Bestätigen aus.

    3. Wählen Sie Tunnel aus , und fügen Sie einen Namen, eine Quell-IP und eine ID zwischen 1 und 1023 hinzu.

      Screenshot des Bildschirms

    4. Wählen Sie Bestätigen aus.

  4. So konfigurieren Sie eine Schnittstelle als Nicht verwendet:

    1. Wählen Sie die Schnittstelle aus.
    2. Wählen Sie die vorhandene status aus.
    3. Wählen Sie Nicht verwendet aus. Der Bildschirm Sensorkonfiguration wird aktualisiert.

  5. Nachdem Sie alle Schnittstellen konfiguriert haben, wählen Sie Speichern aus.

Speicherort des Automatischen Sicherungsordners

Der Sensor erstellt automatisch einen Sicherungsordner. Um den Speicherort der eingebundenen Sicherungen zu ändern, müssen Sie:

  1. Melden Sie sich mit dem Administratorbenutzer beim Sensor an.
  2. Geben Sie den folgenden Code in die CLI-Schnittstelle ein, system backup path und fügen Sie dann den Pfadspeicherort hinzu, z. B /opt/sensor/backup. .
  3. Die Sicherung wird automatisch ausgeführt und kann bis zu einer Minute dauern.

Hinweis

Während der ersteinrichtung sind Optionen für ERSPAN-Überwachungsports nur in der browserbasierten Prozedur verfügbar.

Wenn Sie Ihre Netzwerkdetails über die CLI definieren und ERSPAN-Überwachungsports einrichten möchten, tun Sie dies anschließend über die Seite Einstellungen > Schnittstellenverbindungen des Sensors. Weitere Informationen finden Sie unter Aktualisieren der Überwachungsschnittstellen eines Sensors (Konfigurieren von ERSPAN).

Nächste Schritte

« Überprüfen der Installation einer OT-Sensorsoftware

Konfigurieren von Proxyeinstellungen auf einem OT-Sensor »

  • Last updated on