Esercitazione: Eseguire l'onboarding e attivare un sensore OT virtuale

Questa esercitazione descrive le nozioni di base sulla configurazione di un Microsoft Defender per il sensore OT IoT, usando una sottoscrizione di valutazione di Microsoft Defender per IoT e la propria macchina virtuale.

Per una distribuzione completa e end-to-end, assicurarsi di seguire i passaggi per pianificare e preparare il sistema e anche calibrare e ottimizzare completamente le impostazioni. Per altre informazioni, vedere Distribuire Defender per IoT per il monitoraggio OT.

In questa esercitazione si apprenderà come:

Prerequisiti

Prima di iniziare, assicurarsi di avere quanto segue:

• Guida introduttiva completata: Introduzione a Defender per IoT in modo da avere una sottoscrizione Azure aggiunta a Defender per IoT.

• Accesso al portale di Azure come Amministrazione di sicurezza, collaboratore o proprietario. Per altre informazioni, vedere Azure ruoli utente per il monitoraggio IoT di OT ed enterprise con Defender per IoT.

• Assicurarsi di disporre di un commutatore di rete che supporta il monitoraggio del traffico tramite una porta SPAN. Sarà necessario anche almeno un dispositivo da monitorare, connesso alla porta SPAN del commutatore.

• VMware, ESXi 5.5 o versione successiva, installato e operativo nel sensore.

• Le risorse hardware disponibili per la macchina virtuale sono le seguenti:

  Tipo di distribuzione	Aziendale	Enterprise	SMB
  Larghezza di banda massima	2,5 Gb/sec	800 Mb/sec	160 Mb/sec
  Numero massimo di dispositivi protetti	12,000	10,000	800

• Conoscenza del monitoraggio OT con appliance virtuali.

• Dettagli per i parametri di rete seguenti da usare per l'appliance sensore:

  • Un indirizzo IP di rete di gestione
  • Subnet mask del sensore
  • Nome host di un'appliance
  • Un indirizzo DNS
  • Un gateway predefinito
  • Qualsiasi interfaccia di input

Creare una macchina virtuale per il sensore

Questa procedura descrive come creare una macchina virtuale per il sensore con VMware ESXi.

Defender per IoT supporta anche altri processi, ad esempio l'uso di Hyper-V o sensori fisici. Per altre informazioni, vedere Installazione di Defender per IoT.

Per creare una macchina virtuale per il sensore:

1. Assicurarsi che VMware sia in esecuzione nel computer.

2. Accedere a ESXi, scegliere l'archivio dati pertinente e selezionare Datastore Browser.

3. Caricare l'immagine e selezionare Chiudi.

4. Passare a Macchine virtuali e quindi selezionare Crea/Registra macchina virtuale.

5. Selezionare Crea nuova macchina virtuale e quindi selezionare Avanti.

6. Aggiungere un nome di sensore e quindi definire le opzioni seguenti:

   • Compatibilità: <versione> più recente di ESXi

   • Famiglia del sistema operativo guest: Linux

   • Versione del sistema operativo guest: Debian

7. Seleziona Avanti.

8. Scegliere l'archivio dati pertinente e selezionare Avanti.

9. Modificare i parametri hardware virtuali in base alle specifiche richieste per le proprie esigenze. Per altre informazioni, vedere la tabella nella sezione Prerequisiti precedente.

La macchina virtuale è ora preparata per l'installazione del software Defender per IoT. Si continuerà installando il software più avanti in questa esercitazione, dopo aver eseguito l'onboarding del sensore nel portale di Azure, configurato il mirroring del traffico e aver effettuato il provisioning del computer per la gestione del cloud.

Eseguire l'onboarding del sensore virtuale

Prima di iniziare a usare il sensore Defender per IoT, è necessario eseguire l'onboarding del nuovo sensore virtuale nella sottoscrizione di Azure.

Per eseguire l'onboarding del sensore virtuale:

1. Nella portale di Azure passare alla pagina Introduttiva di Defender per IoT>.

2. In basso a sinistra selezionare Configura sicurezza OT/ICS.

   In alternativa, nella pagina Siti e sensori di Defender per IoT selezionare Onboard OT sensor OT (Onboard OT sensor>OT).

   Per impostazione predefinita, nella pagina Configura sicurezza OT/ICS passaggio 1: È stato configurato un sensore? e Passaggio 2: Configurare la porta SPAN o TAP della procedura guidata sono compressi.

   Si installerà il software e si configurerà il mirroring del traffico più avanti nel processo di distribuzione, ma le appliance devono essere pronte e il metodo di mirroring del traffico pianificato.

3. Nel passaggio 3: Registrare questo sensore con Microsoft Defender per IoT definire i valori seguenti:

   Nome del campo	Descrizione
   Nome risorsa	Selezionare il sito a cui si desidera collegare i sensori oppure selezionare Crea sito per creare un nuovo sito. Se si sta creando un nuovo sito: 1. Nel campo Nuovo sito immettere il nome del sito e selezionare il pulsante di segno di spunta. 2. Dal menu Dimensioni sito selezionare le dimensioni del sito. Le dimensioni elencate in questo menu sono le dimensioni per cui si ha la licenza, in base alle licenze acquistate nel interfaccia di amministrazione di Microsoft 365.
   Nome visualizzato	Immettere un nome significativo per il sito da visualizzare in Defender per IoT.
   Tag	Immettere la chiave tag e i valori per identificare e individuare il sito e il sensore nella portale di Azure.
   Zone	Selezionare la zona da usare per il sensore OT oppure selezionare Crea zona per crearne una nuova.

   Per altre informazioni, vedere Pianificare siti e zone OT.

4. Al termine di tutti gli altri campi, selezionare Registra per aggiungere il sensore a Defender per IoT. Viene visualizzato un messaggio di esito positivo e il file di attivazione viene scaricato automaticamente. Il file di attivazione è univoco per il sensore e contiene istruzioni sulla modalità di gestione del sensore.

   Tutti i file scaricati dal portale di Azure sono firmati dalla radice dell'attendibilità in modo che i computer usno solo gli asset firmati.

5. Salvare il file di attivazione scaricato in un percorso accessibile all'utente che accede alla console per la prima volta in modo che possa attivare il sensore.

   È anche possibile scaricare il file manualmente selezionando il collegamento pertinente nella casella Attiva il sensore . Questo file verrà usato per attivare il sensore, come descritto di seguito.

6. Nella casella Aggiungi regole consenti in uscita selezionare il collegamento Scarica dettagli endpoint per scaricare un elenco JSON degli endpoint che è necessario configurare come endpoint sicuri dal sensore.

   Salvare il file scaricato in locale. Usare gli endpoint elencati nel file scaricato più avanti in questa esercitazione per assicurarsi che il nuovo sensore possa connettersi correttamente a Azure.

   Consiglio

   È anche possibile accedere all'elenco degli endpoint necessari dalla pagina Siti e sensori . Per altre informazioni, vedere Opzioni di gestione dei sensori dal portale di Azure.

7. Nella parte inferiore sinistra della pagina selezionare Fine. È ora possibile visualizzare il nuovo sensore elencato nella pagina Siti e sensori di Defender per IoT.

   Finché non si attiva il sensore, lo stato del sensore viene visualizzato come Attivazione in sospeso.

Per altre informazioni, vedere Gestire i sensori con Defender per IoT nel portale di Azure.

Configurare una porta SPAN

I commutatori virtuali non hanno funzionalità di mirroring. Tuttavia, ai fini di questa esercitazione, è possibile usare la modalità promiscua in un ambiente commutatore virtuale per visualizzare tutto il traffico di rete che attraversa il commutatore virtuale.

Questa procedura descrive come configurare una porta SPAN usando una soluzione alternativa con VMware ESXi.

Per configurare un'interfaccia di monitoraggio con la modalità Promiscuous in un commutatore v ESXi:

1. Aprire la pagina delle proprietà vSwitch e selezionare Aggiungi commutatore virtuale standard.

2. Immettere SPAN Network come etichetta di rete.

3. Nel campo MTU immettere 4096.

4. Selezionare Sicurezza e verificare che il criterio Modalità promiscua sia impostato su Modalità di accettazione .

5. Selezionare Aggiungi per chiudere le proprietà vSwitch.

6. Evidenziare il vSwitch creato e selezionare Aggiungi uplink.

7. Selezionare la scheda di interfaccia di rete fisica che verrà usata per il traffico SPAN, modificare l'MTU in 4096 e quindi selezionare Salva.

8. Aprire la pagina delle proprietà del gruppo di porte e selezionare Aggiungi gruppo di porte.

9. Immettere SPAN Port Group come nome, immettere 4095 come ID VLAN e selezionare SPAN Network nell'elenco a discesa vSwitch e quindi selezionare Aggiungi.

10. Aprire le proprietà della macchina virtuale del sensore OT .

11. Per Scheda di rete 2 selezionare la rete SPAN .

12. Selezionare OK.

13. Connettersi al sensore e verificare che il mirroring funzioni.

Convalidare il mirroring del traffico

Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dalla porta SPAN o mirror del commutatore.

Un file PCAP di esempio consente di:

• Convalidare la configurazione del commutatore
• Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
• Identificare la larghezza di banda e il numero stimato di dispositivi rilevati dal commutatore

1. Usare un'applicazione analizzatore del protocollo di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.

2. Verificare che i pacchetti Unicast siano presenti nel traffico di registrazione. Il traffico unicast è il traffico inviato dall'indirizzo a un altro.

   Se la maggior parte del traffico è costituita da messaggi ARP, la configurazione del mirroring del traffico non è corretta.

3. Verificare che i protocolli OT siano presenti nel traffico analizzato.

   Ad esempio:

   

Effettuare il provisioning per la gestione cloud

Questa sezione descrive come configurare gli endpoint da definire nelle regole del firewall, assicurando che i sensori OT possano connettersi a Azure.

Per altre informazioni, vedere Metodi per la connessione di sensori a Azure.

Per configurare i dettagli dell'endpoint:

Aprire il file scaricato in precedenza per visualizzare l'elenco degli endpoint necessari. Configurare le regole del firewall in modo che il sensore possa accedere a ognuno degli endpoint necessari sulla porta 443.

Per altre informazioni, vedere Provisioning di sensori per la gestione cloud.

Scaricare il software per il sensore virtuale

Questa sezione descrive come scaricare e installare il software del sensore nel proprio computer.

Per scaricare il software per i sensori virtuali:

1. Nella portale di Azure passare alla pagina Introduttiva di Defender per IoT > e selezionare la scheda Sensore.

2. Nella casella Acquista un'appliance e installa software verificare che l'opzione predefinita sia selezionata per la versione software più recente e consigliata e quindi selezionare Scarica.

3. Salvare il software scaricato in una posizione accessibile dalla macchina virtuale.

Tutti i file scaricati dal portale di Azure sono firmati dalla radice dell'attendibilità in modo che i computer usno solo gli asset firmati.

Installare il software del sensore

Questa procedura descrive come installare il software del sensore nella macchina virtuale.

Per installare il software nel sensore virtuale:

1. Se la macchina virtuale è stata chiusa, accedere di nuovo a ESXi e aprire le impostazioni della macchina virtuale.

2. Per CD/DVD Drive 1 selezionare File ISO archivio dati e selezionare il software Defender per IoT scaricato in precedenza.

3. Selezionare Avanti>Fine.

4. Accendere la macchina virtuale e aprire una console.

5. All'avvio dell'installazione viene richiesto di avviare il processo di installazione. Selezionare l'elemento Installa iot-sensor-<version number> per continuare o lasciarlo iniziare automaticamente dopo 30 secondi. Ad esempio:

   

   Nota

   Se si usa una versione legacy del BIOS, viene richiesto di selezionare una lingua e le opzioni di installazione vengono visualizzate in alto a sinistra anziché al centro. Quando richiesto, selezionare English e quindi l'opzione Installa iot-sensor-<version number> per continuare.

   L'installazione inizia, fornendo messaggi di stato aggiornati durante il processo. L'intero processo di installazione richiede fino a 20-30 minuti e può variare a seconda del tipo di supporto in uso.

   Al termine dell'installazione, viene visualizzato il set di dettagli di rete predefinito seguente.

   IP: 172.23.41.83,
   SUBNET: 255.255.255.0,
   GATEWAY: 172.23.41.1,
   UID: 91F14D56-C1E4-966F-726F-006A527C61D
   

Usare l'indirizzo IP predefinito fornito per accedere al sensore per la configurazione e l'attivazione iniziali.

Convalida post-installazione

Questa procedura descrive come convalidare l'installazione usando i controlli di integrità del sistema del sensore ed è disponibile per l'utente amministratore predefinito.

Per convalidare l'installazione:

1. Accedere al sensore OT come admin utente.

2. Selezionare System Settings> Sensor managementSystem Health Check (Controllo integrità del sistema digestione> dei sensori).

3. Selezionare i comandi seguenti:

   • Appliance per verificare che il sistema sia in esecuzione. Verificare che ogni voce mostri In esecuzione e che l'ultima riga indichi che il sistema è attivo.
   • Versione per verificare che sia installata la versione corretta.
   • ifconfig per verificare che tutte le interfacce di input configurate durante l'installazione siano in esecuzione.

Per altri test di convalida post-installazione, ad esempio i controlli gateway, DNS o firewall, vedere Convalidare un'installazione software del sensore OT.

Definire la configurazione iniziale

La procedura seguente descrive come configurare le impostazioni di configurazione iniziale del sensore, tra cui:

• Accedere alla console del sensore e modificare la password dell'utente amministratore
• Definizione dei dettagli di rete per il sensore
• Definizione delle interfacce da monitorare
• Attivazione del sensore
• Configurazione delle impostazioni del certificato SSL/TLS

Accedere alla console del sensore e modificare la password predefinita

Questa procedura descrive come accedere per la prima volta alla console del sensore OT. Viene richiesto di modificare la password predefinita per l'utente amministratore .

Per accedere al sensore:

1. In un browser passare all'indirizzo 192.168.0.101 IP, ovvero l'indirizzo IP predefinito fornito per il sensore alla fine dell'installazione.

   Viene visualizzata la pagina di accesso iniziale. Ad esempio:

   

2. Immettere le credenziali seguenti e selezionare Account di accesso:

   • Nome utente: support
   • Password: support

   Viene richiesto di definire una nuova password per l'utente amministratore .

3. Nel campo Nuova password immettere la nuova password. La password deve contenere caratteri alfabetici minuscoli e maiuscoli, numeri e simboli.

   Nel campo Conferma nuova password immettere di nuovo la nuova password e quindi selezionare Introduzione.

   Per altre informazioni, vedere Utenti con privilegi predefiniti.

Defender per IoT | Viene visualizzata la pagina Panoramica nella scheda Interfaccia di gestione.

Definire i dettagli di rete dei sensori

Nella scheda Interfaccia di gestione usare i campi seguenti per definire i dettagli di rete per il nuovo sensore:

Ai fini di questa esercitazione, lasciare ignorare le configurazioni proxy nell'area Abilita proxy per la connettività cloud (facoltativo).

Al termine, selezionare Avanti: Configurazioni dell'interfaccia per continuare.

Definire le interfacce da monitorare

La scheda Connessioni interfaccia mostra tutte le interfacce rilevate dal sensore per impostazione predefinita. Usare questa scheda per attivare o disattivare il monitoraggio per ogni interfaccia o definire impostazioni specifiche per ogni interfaccia.

Nella scheda Configurazioni interfaccia eseguire le operazioni seguenti per configurare le impostazioni per le interfacce monitorate:

1. Selezionare l'interruttore Abilita/Disabilita per tutte le interfacce che il sensore deve monitorare. È necessario selezionare almeno un'interfaccia per continuare.

   Se non si è certi dell'interfaccia da usare, selezionare il pulsante LED dell'interfaccia fisica Blink per far lampeggiare la porta selezionata nel computer. Selezionare una qualsiasi delle interfacce connesse al commutatore.

2. Per questa esercitazione, ignorare le impostazioni avanzate e selezionare Avanti: Riavvia > per continuare.

3. Quando richiesto, selezionare Avvia riavvio per riavviare il computer sensore. Dopo l'avvio del sensore, si viene reindirizzati automaticamente all'indirizzo IP definito in precedenza come indirizzo IP del sensore.

   Selezionare Annulla per attendere il riavvio.

Attivare il sensore OT

Questa procedura descrive come attivare il nuovo sensore OT.

Per attivare il sensore:

1. Nella scheda Attivazione selezionare Carica per caricare il file di attivazione del sensore scaricato dal portale di Azure.

2. Selezionare l'opzione termini e condizioni e quindi selezionare Avanti: Certificati.

Definire le impostazioni del certificato SSL/TLS

Usare la scheda Certificati per distribuire un certificato SSL/TLS nel sensore OT. Sebbene sia consigliabile usare un certificato con firma CA per tutti gli ambienti di produzione, per questa esercitazione selezionare per usare un certificato autofirma.

Per definire le impostazioni del certificato SSL/TLS:

1. Nella scheda Certificati selezionare Usa certificato autofirmati generato in locale (non consigliato) e quindi selezionare l'opzione Conferma .

   Per altre informazioni, vedere Requisiti dei certificati SSL/TLS per le risorse locali e Creare certificati SSL/TLS per appliance OT.

2. Selezionare Fine per completare la configurazione iniziale e aprire la console del sensore.

Passaggi successivi