Opetusohjelma: Virtuaalisen OT-tunnistimen käyttöönotto ja aktivointi

Tässä opetusohjelmassa kuvataan Microsoft Defender määrittämisen perusteet IoT OT -anturille käyttämällä Microsoft Defender kokeilutilausta IoT:lle ja omalle näennäiskoneellesi.

Jos haluat käyttää koko käyttöönoton päästä päähän, varmista, että suunnittelet ja valmistelet järjestelmän, ja kalibroi ja hienosäädä asetuksiasi täysin. Lisätietoja on artikkelissa IoT:n Defenderin käyttöönotto OT-valvontaa varten.

Tässä opetusohjelmassa opit

Ennakkovaatimukset

Ennen kuin aloitat, varmista, että sinulla on seuraavat:

• Suoritettu pikaopas: Aloita Defender for IoT:n käyttö, jotta sinulla on Azure-tilaus lisättynä Defender for IoT:hen.

• Azure-portaali käyttöoikeus suojaus Hallinta, osallistujana tai omistajana. Lisätietoja on kohdassa Azure käyttäjäroolit OT- ja Enterprise IoT -valvonnalle Defender for IoT:n kanssa.

• Varmista, että sinulla on verkkokytkin, joka tukee liikenteen valvontaa SPAN-portin kautta. Valvontaan tarvitaan myös vähintään yksi laite, joka on kytketty kytkimen SPAN-porttiin.

• VMware, ESXi 5.5 tai uudempi, asennettu ja toimintakykyinen tunnistimeen.

• Näennäiskoneen käytettävissä olevat laitteistoresurssit ovat seuraavat:

  Käyttöönottotyyppi	Yritysten	Enterprise	SMB
  Kaistanleveyden enimmäismäärä	2,5 Gt sekunnissa	800 Mt sekunnissa	160 Mt sekunnissa
  Suojattujen laitteiden enimmäismäärä	12,000	10,000	800

• Ymmärrys näennäislaitteiden OT-valvonnasta.

• Anturilaitteessa käytettävien seuraavien verkkoparametrien tiedot:

  • Hallintaverkon IP-osoite
  • Anturin aliverkon peite
  • Laitteen isäntänimi
  • DNS-osoite
  • Oletusyhdyskäytävä
  • Kaikki syöteliittymät

Näennäiskoneen luominen tunnistimella

Tässä ohjeessa kuvataan, miten voit luoda näennäiskoneen tunnistimella VMware ESXi:n avulla.

Defender for IoT tukee myös muita prosesseja, kuten Hyper-V- tai fyysisten tunnistimien käyttöä. Lisätietoja on kohdassa IoT-asennuksen Defender.

Näennäiskoneen luominen tunnistimella:

1. Varmista, että VMware on käynnissä tietokoneessasi.

2. Kirjaudu sisään ESXiin, valitse haluamasi tietovarasto ja valitse Tietovarastoselain.

3. Lataa kuva ja valitse Sulje.

4. Siirry Näennäiskoneet ja valitse sitten Luo/rekisteröi näennäiskone.

5. Valitse Luo uusi näennäiskone ja valitse sitten Seuraava.

6. Lisää tunnistimen nimi ja määritä sitten seuraavat asetukset:

   • Yhteensopivuus: <uusin ESXi-versio>

   • Vieraskäyttöjärjestelmäperhe: Linux

   • Vieraskäyttöjärjestelmäversio: Debian

7. Valitse Seuraava.

8. Valitse asianmukainen tietovarasto ja valitse Seuraava.

9. Muuta näennäislaitteiston parametreja tarpeitasi koskevien tarvittavien määritysten mukaisesti. Lisätietoja on edellytykset-osion taulukossa .

Näennäiskone on nyt valmisteltu Defender for IoT -ohjelmistoasennuksia varten. Jatkat asentamalla ohjelmiston myöhemmin tässä opetusohjelmassa sen jälkeen, kun olet asentanut tunnistimen Azure-portaali, määrittänyt liikenteen peilauksen ja valmistellut koneen pilvihallintaa varten.

Virtuaalitunnistimen käyttöönotto

Ennen kuin voit aloittaa Defender for IoT -tunnistimen käytön, sinun on otettava uusi virtuaalinen tunnistin Azure tilaukseen.

Virtuaalitunnistimen käyttöönotto:

1. Siirry Azure-portaali IoT>:n puolustajan aloitussivulle.

2. Valitse vasemmasta alakulmasta Määritä OT/ICS-suojaus.

   Vaihtoehtoisesti voit valita IoT-sivustojen ja tunnistimien defenderin sivulta Onboard OT -anturi>OT.

   Oletusarvoisesti Määritä OT/ICS-suojaus -sivulla vaihe 1: Määritettiinkö tunnistin? ja Vaihe 2: Määritä SPAN-portti tai Ohjatun toiminnon napautus kutistetaan.

   Asennat ohjelmiston ja määrität liikenteen peilauksen myöhemmin käyttöönottoprosessissa, mutta laitteesi on oltava valmiina ja liikenteen peilausmenetelmä suunnitteilla.

3. Vaiheessa 3: Rekisteröi tämä tunnistin Microsoft Defender IoT:lle ja määritä seuraavat arvot:

   Kentän nimi	Kuvaus
   Resurssin nimi	Valitse sivusto, johon haluat liittää tunnistimet, tai luo uusi sivusto valitsemalla Luo sivusto . Jos olet luomassa uutta sivustoa: 1. Kirjoita Uusi sivusto - kenttään sivustosi nimi ja valitse valintamerkkipainike. 2. Valitse sivuston koko -valikosta sivustosi koko. Tässä valikossa luetellut koot ovat kokoja, joihin sinulla on käyttöoikeus Microsoft 365 -hallintakeskus ostamasi käyttöoikeuksien perusteella.
   Näyttönimi	Anna sivustollesi kuvaava nimi, joka näytetään IoT:n Defenderissä.
   Tunnisteet	Anna tunnisteavain ja arvot, joiden avulla voit tunnistaa ja paikantaa sivuston ja tunnistimen Azure-portaali.
   Alue	Valitse vyöhyke, jota haluat käyttää OT-tunnistimessa, tai luo uusi valitsemalla Luo vyöhyke .

   Lisätietoja on artikkelissa Suunnittele OT-sivustot ja -vyöhykkeet.

4. Kun olet lopettanut kaikkien muiden kenttien kanssa, lisää tunnistin Defender for IoT:hen valitsemalla Rekisteröi . Näkyviin tulee onnistumisilmoitus ja aktivointitiedosto ladataan automaattisesti. Aktivointitiedosto on yksilöllinen anturillesi ja sisältää ohjeita anturisi hallintatilasta.

   Kaikki Azure-portaali ladatut tiedostot on allekirjoitettu luottamuksen pääkansiossa niin, että laitteesi käyttävät vain allekirjoitettuja resursseja.

5. Tallenna ladattu aktivointitiedosto sijaintiin, johon konsoliin kirjautuva käyttäjä voi kirjautua ensimmäistä kertaa, jotta tunnistin voidaan aktivoida.

   Voit myös ladata tiedoston manuaalisesti valitsemalla asianmukaisen linkin Aktivoi tunnistin -ruudusta. Käytät tätä tiedostoa tunnistimen aktivoimiseen alla kuvatulla tavalla.

6. Valitse Lisää lähtevän liikenteen sallimissäännöt -ruudusta Lataa päätepisteen tiedot -linkki ladataksesi JSON-luettelon päätepisteistä, jotka sinun on määritettävä turvallisiksi päätepisteiksi tunnistimestasi.

   Tallenna ladattu tiedosto paikallisesti. Käytä myöhemmin tässä opetusohjelmassa ladatussa tiedostossa lueteltuja päätepisteitä varmistaaksesi, että uusi tunnistin voi muodostaa yhteyden Azure.

   Vihje

   Voit myös käyttää pakollisten päätepisteiden luetteloa Sivustot ja anturit -sivulta. Lisätietoja on Azure-portaali kohdassa Tunnistimen hallintavaihtoehdot.

7. Valitse sivun vasemmasta alakulmasta Valmis. Näet nyt uuden tunnistimen luettelossa Defender for IoT Sites and sensors -sivulla.

   Ennen kuin aktivoit tunnistimen, tunnistimen tila näyttää odottavan aktivoinnin.

Lisätietoja on Azure-portaali kohdassa Antureiden hallinta Defender for IoT:n avulla.

SPAN-portin määrittäminen

Virtuaalikytkimistä ei ole peilaustoimintoja. Tämän opetusohjelman vuoksi voit kuitenkin käyttää siveettävää tilaa virtuaalikytkinympäristössä, jotta voit tarkastella kaikkea näennäisvalitsinta käyttävää verkkoliikennettä.

Tässä ohjeessa kuvataan, miten SPAN-portti määritetään käyttämällä kiertotapaa VMware ESXin kanssa.

Valvontaliittymän määrittäminen ESXi v-Switchin sisennystilassa:

1. Avaa vSwitch-ominaisuudet -sivu ja valitse Lisää tavallinen virtuaalikytkin.

2. Kirjoita VERKON selitteeksi SPAN Network .

3. Syötä MTU-kenttään 4096.

4. Valitse Suojaus ja varmista, että tilakäytännön arvoksi on määritetty Hyväksy-tila .

5. Sulje vSwitch-ominaisuudet valitsemalla Lisää .

6. Korosta luomasi vSwitch ja valitse Lisää linkki.

7. Valitse fyysinen henkilötieto, jota käytät SPAN-liikenteessä, vaihda MTU arvoon 4096 ja valitse sitten Tallenna.

8. Avaa Porttiryhmän ominaisuudet -sivu ja valitse Lisää porttiryhmä.

9. Kirjoita nimeksi SPAN-porttiryhmä , kirjoita VLAN-tunnukseksi 4095 , valitse SPAN Network avattavasta vSwitch-valikosta ja valitse sitten Lisää.

10. Avaa OT Sensor VM -ominaisuudet.

11. Valitse Verkkosovitin 2 -kohdassa SPAN-verkko .

12. Valitse OK.

13. Yhdistä tunnistimeen ja varmista, että peilaus toimii.

Vahvista liikenteen peilaus

Kun olet määrittänyt liikenteen peilauksen, yritä vastaanottaa malli tallennetun liikenteen (PCAP-tiedosto) SPAN- tai peiliportin valitsimesta.

PCAP-mallitiedosto auttaa sinua:

• Kytkimen määrityksen vahvistaminen
• Varmista, että valitsimen läpi kulkee liikenne liittyy valvontaan
• Määritä kaistanleveys ja kytkimen havaitsemien laitteiden arvioitu määrä

1. Käytä verkkoprotokollan analysointisovellusta, kuten Wiresharkia, PCAP-mallitiedoston tallentamiseen muutamaksi minuutiksi. Voit esimerkiksi yhdistää kannettavan tietokoneen porttiin, jossa olet määrittänyt liikenteen valvonnan.

2. Tarkista, että yksittäislähetyspaketit ovat tallennusliikenteessä. Yksittäislähetysliikenne on liikenne, joka lähetetään osoitteesta toiseen.

   Jos suurin osa liikenteestä on ARP-viestejä, liikenteen peilauksen määritykset eivät ole oikein.

3. Varmista, että OT-protokollasi ovat analysoidussa liikenteessä.

   Esimerkki:

   

Pilvihallinnan valmistelu

Tässä osiossa kuvataan, miten määritetään päätepisteet määrittämään palomuurisäännöissä ja varmistamaan, että OT-tunnistimet voivat muodostaa yhteyden Azure.

Lisätietoja on artikkelissa Antureiden yhdistämismenetelmät Azure.

Voit määrittää päätepisteen tiedot seuraavasti:

Tarkastele tarvittavien päätepisteiden luetteloa avaamalla aiemmin lataamasi tiedosto. Määritä palomuurisäännöt niin, että tunnistin voi käyttää kutakin vaadittua päätepistettä portin 443 kautta.

Lisätietoja on artikkelissa Pilvihallinnan antureiden valmistelu.

Näennäistunnistimen ohjelmiston lataaminen

Tässä osiossa kerrotaan, miten voit ladata ja asentaa tunnistinohjelmiston omaan koneeseesi.

Näennäistunnistimien ohjelmiston lataaminen:

1. Siirry Azure-portaali IoT>:n puolustajan aloitussivulle ja valitse Tunnistin-välilehti.

2. Varmista Osta laite ja asenna ohjelmisto -ruudussa, että oletusasetus on valittuna uusimmalle ja suositellulle ohjelmistoversiolle, ja valitse sitten Lataa.

3. Tallenna ladattu ohjelmisto sijaintiin, jota voi käyttää näennäiskoneeltasi.

Kaikki Azure-portaali ladatut tiedostot on allekirjoitettu luottamuksen pääkansiossa niin, että laitteesi käyttävät vain allekirjoitettuja resursseja.

Asenna tunnistinohjelmisto

Tässä ohjeessa kuvataan, miten tunnistinohjelmisto asennetaan näennäiskoneeseen.

Ohjelmiston asentaminen näennäistunnistimeen:

1. Jos suljet näennäiskoneen, kirjaudu uudelleen ESXi:hen ja avaa näennäiskoneen asetukset.

2. Valitse CD/DVD-asema 1:lle Datastore ISO -tiedosto ja valitse Defender for IoT -ohjelmisto, jonka latasit aiemmin.

3. Valitse Seuraava>Valmis.

4. Kytke näennäiskone päälle ja avaa konsoli.

5. Kun asennus käynnistyy, sinua pyydetään käynnistämään asennusprosessi. Jatka valitsemalla Asenna iot-sensor-kohde<version number> tai anna sen käynnistyä automaattisesti 30 sekunnin kuluttua. Esimerkki:

   

   Huomautus

   Jos käytät vanhaa BIOS-versiota, sinua pyydetään valitsemaan kieli, ja asennusasetukset esitetään vasemmassa yläkulmassa keskellä olevan sijaan. Jatka valitsemalla English pyydettäessä iot-sensori-asetus<version number> ja valitsemalla sitten Asenna iot-tunnistin.

   Asennus alkaa ja antaa sinulle päivitetyt tilasanomat sitä mukaa kuin se menee. Koko asennusprosessi kestää jopa 20–30 minuuttia, ja se voi vaihdella käyttämäsi mediatyypin mukaan.

   Kun asennus on valmis, näet seuraavat oletusverkkotiedot.

   IP: 172.23.41.83,
   SUBNET: 255.255.255.0,
   GATEWAY: 172.23.41.1,
   UID: 91F14D56-C1E4-966F-726F-006A527C61D
   

Käytä anturisi käyttöön annettua oletus-IP-osoitetta ensimmäistä asennusta ja aktivointia varten.

Asennuksen jälkeinen vahvistus

Tässä ohjeessa kuvataan, miten voit vahvistaa asennuksen käyttämällä tunnistimen omia järjestelmän kuntotarkistuksia, ja se on järjestelmänvalvojan oletuskäyttäjän käytettävissä.

Asennuksen vahvistaminen:

1. Kirjaudu sisään OT-tunnistimeen käyttäjänä admin .

2. Valitse Järjestelmäasetukset>Tunnistimen hallinta>Järjestelmän kuntotarkistus.

3. Valitse seuraavat komennot:

   • Laite , jolla tarkistetaan, että järjestelmä on käynnissä. Varmista, että jokaisessa rivikohteessa näkyy Käynnissä ja että viimeisellä rivillä ilmoitetaan , että järjestelmä on toiminnassa.
   • Versio , joka varmistaa, että sinulla on asennettuna oikea versio.
   • ifconfig sen varmistamiseksi, että kaikki asennuksen aikana määritetyt syöteliittymät ovat käynnissä.

Lisätietoja asennuksen jälkeisistä vahvistustesteistä, kuten yhdyskäytävästä, DNS:stä tai palomuuritarkistuksista, on artikkelissa OTA-tunnistimen ohjelmiston asennuksen vahvistaminen.

Määritä ensimmäinen asennus

Seuraavassa kuvataan, miten voit määrittää tunnistimen alkuperäiset asennusasetukset, mukaan lukien:

• Kirjautuminen anturikonsoliin ja järjestelmänvalvojan käyttäjän salasanan muuttaminen
• Tunnistimen verkkotietojen määrittäminen
• Valvottavan käyttöliittymän määrittäminen
• Tunnistimen aktivointi
• SSL-/TLS-varmenneasetusten määrittäminen

Kirjaudu anturikonsoliin ja vaihda oletussalasana

Tässä ohjeartikkelissa kuvataan, miten voit kirjautua OT-tunnistinkonsoliin ensimmäistä kertaa. Sinua pyydetään vaihtamaan järjestelmänvalvojakäyttäjän oletussalasana.

Kirjautuminen anturiin:

1. Siirry selaimessa 192.168.0.101 IP-osoitteeseen, joka on tunnistimen oletus-IP-osoite asennuksen lopussa.

   Ensimmäinen kirjautumissivu tulee näkyviin. Esimerkki:

   

2. Anna seuraavat tunnistetiedot ja valitse Kirjaudu sisään:

   • Käyttäjänimi: support
   • Salasana: support

   Sinua pyydetään määrittämään uusi salasana järjestelmänvalvojakäyttäjälle .

3. Kirjoita Uusi salasana -kenttään uusi salasanasi. Salasanassa on oltava sekä pieniä että isoilla kirjaimilla kirjoitettuja merkkejä, numeroita ja symboleita.

   Kirjoita Vahvista uusi salasana -kenttään uusi salasana uudelleen ja valitse sitten Aloita.

   Lisätietoja on kohdassa Etuoikeutetut oletuskäyttäjät.

IoT:n puolustaja | Yleiskatsaus-sivu avautuu Hallintaliittymä-välilehdelle.

Määritä tunnistimen verkkotiedot

Määritä Hallintaliittymä-välilehdessä seuraavat kentät uuden tunnistimen verkkotietojen määrittämiseksi:

Jätä tässä opetusohjelmassa ohita välityspalvelimen määritykset Ota välityspalvelin käyttöön pilviyhteydelle (valinnainen) -alueella.

Kun olet valmis, jatka valitsemalla Seuraava: Käyttöliittymämääritykset .

Määritä valvottavat käyttöliittymät

Käyttöliittymäyhteydet-välilehdessä näkyvät kaikki tunnistimen oletusarvoisesti havaitsemat käyttöliittymät. Tämän välilehden avulla voit ottaa käyttöön tai poistaa käytöstä käyttöliittymäkohtaisen valvonnan tai määrittää kullekin liittymälle tietyt asetukset.

Määritä valvotun käyttöliittymän asetukset Käyttöliittymän määritykset -välilehdessä seuraavasti:

1. Valitse Ota käyttöön tai poista käytöstä -valitsin liittymille, joita haluat tunnistimen valvovan. Jatka valitsemalla vähintään yksi liittymä.

   Jos et ole varma käytettävästä käyttöliittymästä, valitse Räpäytä fyysisen liittymän LED-merkkiä,niin valittu portti vilkkuu koneellasi. Valitse mikä tahansa liittymiä, jotka olet yhdistänyt valitsimeesi.

2. Tämän opetusohjelman vuoksi ohita kaikki lisäasetukset ja valitse Seuraava: Käynnistä uudelleen > jatkaaksesi.

3. Käynnistä tunnistinkone uudelleen valitsemalla Käynnistä uudelleenkäynnistys . Kun tunnistin käynnistyy uudelleen, sinut ohjataan automaattisesti IP-osoitteeseen, jonka olet aiemmin määrittänyt tunnistimen IP-osoitteeksi.

   Odota uudelleenkäynnistystä valitsemalla Peruuta .

Aktivoi ot-tunnistin

Tässä ohjeessa kuvataan, miten uusi OT-tunnistin aktivoidaan.

Tunnistimen aktivointi:

1. Valitse Aktivointi-välilehdeltäLataa ladataksesi tunnistimen aktivointitiedoston, jonka olit ladannut Azure-portaali.

2. Valitse Käyttöehdot-vaihtoehto ja valitse sitten Seuraava: Varmenteet.

Määritä SSL/TLS-varmenneasetukset

Varmenteet-välilehdessä voit ottaa SSL-/TLS-varmenteen käyttöön OT-anturissa. Vaikka suosittelemme, että käytät varmenteiden myöntäjän allekirjoittamaa varmennetta kaikissa tuotantoympäristöissä, valitse tämän opetusohjelman vuoksi käyttää itse allekirjoitettua varmennetta.

SSL/TLS-varmenneasetusten määrittäminen:

1. Valitse Varmenteet-välilehdessäKäytä paikallisesti luotua itse allekirjoitettua varmennetta (ei suositella) ja valitse sitten Vahvista-vaihtoehto .

   Lisätietoja on kohdassa SSL/TLS-varmennevaatimukset paikallisille resursseille ja SSL/TLS-varmenteiden luominen OT-laitteille.

2. Viimeistele ensimmäinen asennus valitsemalla Valmis ja avaa tunnistinkonsoli.

Seuraavat vaiheet