Opplæring: Om bord og aktiver en virtuell OT-sensor

Denne opplæringen beskriver det grunnleggende ved å konfigurere en Microsoft Defender for IoT OT-sensor, ved hjelp av et prøveabonnement på Microsoft Defender for IoT og din egen virtuelle maskin.

For en fullstendig, ende-til-ende-distribusjon må du følge trinnene for å planlegge og klargjøre systemet, og også fullstendig kalibrere og finjustere innstillingene. Hvis du vil ha mer informasjon, kan du se Distribuer Defender for IoT for OT-overvåking.

I denne opplæringen lærer du hvordan du:

Forutsetninger

Før du begynner, må du kontrollere at du har følgende:

• Fullført hurtigstart: Kom i gang med Defender for IoT, slik at du har lagt til et Azure-abonnement i Defender for IoT.

• Tilgang til Azure Portal som en sikkerhets-Admin, bidragsyter eller eier. Hvis du vil ha mer informasjon, kan du se Azure brukerroller for OT- og Enterprise IoT-overvåking med Defender for IoT.

• Kontroller at du har en nettverksbryter som støtter trafikkovervåking via en SPAN-port. Du trenger også minst én enhet for å overvåke, koblet til bryterens SPAN-port.

• VMware, ESXi 5.5 eller nyere, installert og operativ på sensoren.

• Tilgjengelige maskinvareressurser for den virtuelle maskinen på følgende måte:

  Distribusjonstype	Corporate	Enterprise	SMB
  Maksimal båndbredde	2,5 GB/sekund	800 MB/sekund	160 MB/sekund
  Maksimalt antall beskyttede enheter	12,000	10,000	800

• En forståelse av OT overvåking med virtuelle apparater.

• Detaljer for følgende nettverksparametere som skal brukes for sensorapparatet:

  • En IP-adresse for administrasjonsnettverk
  • En sensorundernettmaske
  • Et vertsnavn for apparater
  • En DNS-adresse
  • En standard gateway
  • Alle inndatagrensesnitt

Opprett en virtuell maskin for sensoren

Denne fremgangsmåten beskriver hvordan du oppretter en virtuell maskin for sensoren med VMware ESXi.

Defender for IoT støtter også andre prosesser, for eksempel bruk av Hyper-V eller fysiske sensorer. Hvis du vil ha mer informasjon, kan du se Defender for IoT-installasjon.

Slik oppretter du en virtuell maskin for sensoren:

1. Kontroller at VMware kjører på maskinen.

2. Logg på ESXi, velg det relevante datalageret, og velg Nettleser for datalager.

3. Last opp bildet, og velg Lukk.

4. Gå til Virtual Machines, og velg deretter Opprett/registrer VM.

5. Velg Opprett ny virtuell maskin, og velg deretter Neste.

6. Legg til et sensornavn, og definer deretter følgende alternativer:

   • Kompatibilitet: <nyeste ESXi-versjon>

   • Gjesteoperativ- og gjestefamilie: Linux

   • Gjeste-OS-versjon: Debian

7. Velg Neste.

8. Velg det relevante datalageret, og velg Neste.

9. Endre parameterne for virtuell maskinvare i henhold til de nødvendige spesifikasjonene for dine behov. Hvis du vil ha mer informasjon, kan du se tabellen i avsnittet Forutsetninger ovenfor.

Den virtuelle maskinen er nå klargjort for din Defender for IoT-programvareinstallasjon. Du fortsetter ved å installere programvaren senere i denne opplæringen, etter at du har koblet inn sensoren i Azure Portal, konfigurert trafikkspeiling og klargjort maskinen for skyadministrasjon.

Om bord på den virtuelle sensoren

Før du kan begynne å bruke Defender for IoT-sensoren, må du ta den nye virtuelle sensoren på Azure-abonnementet.

Om bord på den virtuelle sensoren:

1. Gå til siden Komme i gang med Defender for IoT > i Azure Portal.

2. Velg Konfigurer OT/ICS-sikkerhet nederst til venstre.

   Alternativt, fra Defender for IoT Nettsteder og sensorer side, velg Onboard OT sensor>OT.

   Som standard, på siden Konfigurer OT/ICS-sikkerhet , trinn 1: Konfigurerte du en sensor? og trinn 2: Konfigurer SPAN-port eller TRYKK på veiviseren er skjult.

   Du installerer programvare og konfigurerer trafikkspeiling senere i distribusjonsprosessen, men bør ha planlagt klargjøring av apparater og trafikkspeilingsmetode.

3. I trinn 3: Registrer denne sensoren med Microsoft Defender for IoT, definer følgende verdier:

   Feltnavn	Beskrivelse
   Ressursnavn	Velg området du vil feste sensorene til, eller velg Opprett område for å opprette et nytt område. Hvis du oppretter et nytt område: 1. Skriv inn navnet på området i Nytt område-feltet , og velg hakeknappen. 2. Velg områdets størrelse på områdestørrelse-menyen . Størrelsene som er oppført i denne menyen, er størrelsene du er lisensiert for, basert på lisensene du hadde kjøpt i Administrasjonssenter for Microsoft 365.
   Visningsnavn	Skriv inn et beskrivende navn for området som skal vises på tvers av Defender for IoT.
   Tags	Skriv inn kodenøkkel og verdier for å hjelpe deg med å identifisere og finne området og sensoren i Azure Portal.
   Sone	Velg sonen du vil bruke for OT-sensoren, eller velg Opprett sone for å opprette en ny.

   Hvis du vil ha mer informasjon, kan du se Plan OT-områder og -soner.

4. Når du er ferdig med alle andre felt, velger du Registrer for å legge til sensoren i Defender for IoT. En vellykket melding vises, og aktiveringsfilen lastes ned automatisk. Aktiveringsfilen er unik for sensoren og inneholder instruksjoner om sensorens administrasjonsmodus.

   Alle filer som lastes ned fra Azure Portal er signert med roten av klarering, slik at maskinene bare bruker signerte ressurser.

5. Lagre den nedlastede aktiveringsfilen på en plassering som vil være tilgjengelig for brukeren som logger seg på konsollen for første gang, slik at de kan aktivere sensoren.

   Du kan også laste ned filen manuelt ved å velge den relevante koblingen i boksen Aktiver sensoren . Du bruker denne filen til å aktivere sensoren, som beskrevet nedenfor.

6. Velg koblingen Last ned endepunktdetaljer i boksen Legg til regler for utgående tillatelse for å laste ned en JSON-liste over endepunktene du må konfigurere som sikre endepunkter fra sensoren.

   Lagre den nedlastede filen lokalt. Bruk endepunktene som er oppført i den nedlastede filen senere i denne opplæringen, for å sikre at den nye sensoren kan koble til Azure.

   Tips

   Du kan også få tilgang til listen over nødvendige endepunkter fra nettsteder og sensorer-siden . Hvis du vil ha mer informasjon, kan du se alternativer for sensorbehandling fra Azure Portal.

7. Velg Fullfør nederst til venstre på siden. Nå kan du se den nye sensoren oppført på siden Defender for IoT-nettsteder og sensorer .

   Frem til du aktiverer sensoren, vises sensorens status som Venter på aktivering.

Hvis du vil ha mer informasjon, kan du se Administrere sensorer med Defender for IoT i Azure Portal.

Konfigurere en SPAN-port

Virtuelle brytere har ikke speilingsfunksjoner. Men for denne opplæringen kan du bruke promiskuøs modus i et virtuelt byttemiljø for å vise all nettverkstrafikk som går gjennom den virtuelle bryteren.

Denne fremgangsmåten beskriver hvordan du konfigurerer en SPAN-port ved hjelp av en løsning med VMware ESXi.

Slik konfigurerer du et overvåkingsgrensesnitt med Promiscuous-modus på en ESXi v-Switch:

1. Åpne siden for vSwitch-egenskaper, og velg Legg til standard virtuell bryter.

2. Angi SPAN Network som nettverksetikett.

3. Skriv inn 4096 i MTU-feltet.

4. Velg Sikkerhet, og kontroller at policyen for promiskuøs modus er satt til Godta-modus .

5. Velg Legg til for å lukke vSwitch-egenskapene.

6. Uthev vSwitch du har opprettet, og velg Legg til oppkobling.

7. Velg den fysiske NIC-en du vil bruke for SPAN-trafikken, endre MTU til 4096, og velg deretter Lagre.

8. Åpne egenskapssiden for portgruppen , og velg Legg til portgruppe.

9. Angi SPAN Port Group som navn, skriv inn 4095 som VLAN-ID, og velg SPAN Network i vSwitch-rullegardinlisten, og velg deretter Legg til.

10. Åpne EGENSKAPENE for OT Sensor VM .

11. Velg SPAN-nettverket for Nettverkskort 2.

12. Velg OK.

13. Koble til sensoren, og kontroller at speiling fungerer.

Valider trafikkspeiling

Når du har konfigurert trafikkspeiling, gjør du et forsøk på å motta et eksempel på registrert trafikk (PCAP-fil) fra bryteren SPAN eller speilvendt port.

Et eksempel på en PCAP-fil hjelper deg:

• Valider bryterkonfigurasjonen
• Bekreft at trafikken som går gjennom bryteren er relevant for overvåking
• Identifiser båndbredden og et estimert antall enheter som oppdages av bryteren

1. Bruk et program for nettverksprotokollanalyse, for eksempel Wireshark, til å registrere en PCAP-eksempelfil i noen minutter. Du kan for eksempel koble en bærbar datamaskin til en port der du har konfigurert trafikkovervåking.

2. Kontroller at Unicast-pakker finnes i opptakstrafikken . Unicast-trafikk sendes fra adresse til en annen.

   Hvis mesteparten av trafikken er ARP-meldinger, er konfigurasjonen for trafikkspeiling ikke riktig.

3. Kontroller at OT-protokollene finnes i den analyserte trafikken.

   Eksempel:

   

Klargjøring for skyadministrasjon

Denne delen beskriver hvordan du konfigurerer endepunkter til å definere i brannmurregler, slik at OT-sensorene kan koble til Azure.

Hvis du vil ha mer informasjon, kan du se Metoder for å koble sensorer til Azure.

Slik konfigurerer du endepunktdetaljer:

Åpne filen du hadde lastet ned tidligere for å vise listen over nødvendige endepunkter. Konfigurer brannmurreglene slik at sensoren får tilgang til hvert av de nødvendige endepunktene, over port 443.

Hvis du vil ha mer informasjon, kan du se Klargjør sensorer for skyadministrasjon.

Last ned programvare for den virtuelle sensoren

Denne delen beskriver hvordan du laster ned og installerer sensorprogramvaren på din egen maskin.

Slik laster du ned programvare for virtuelle sensorer:

1. Gå til siden Komme i gang med Defender for IoT > i Azure Portal, og velg sensorfanen.

2. Kontroller at standardalternativet er valgt for den nyeste og anbefalte programvareversjonen i boksen Kjøp et apparat og installer programvare , og velg deretter Last ned.

3. Lagre den nedlastede programvaren på en plassering som er tilgjengelig fra den virtuelle maskinen.

Alle filer som lastes ned fra Azure Portal er signert med roten av klarering, slik at maskinene bare bruker signerte ressurser.

Installer sensorprogramvare

Denne fremgangsmåten beskriver hvordan du installerer sensorprogramvaren på den virtuelle maskinen.

Slik installerer du programvaren på den virtuelle sensoren:

1. Hvis du lukket den virtuelle maskinen, logger du deg på ESXi på nytt og åpner VM-innstillingene.

2. For CD/DVD Drive 1 velger du ISO-filen datalager og velger Defender for IoT-programvaren du hadde lastet ned tidligere.

3. Veg Neste>Fullfør.

4. Slå på den virtuelle maskinen, og åpne en konsoll.

5. Når installasjonen starter, blir du bedt om å starte installasjonsprosessen. Velg installer iot-sensor-elementet<version number> for å fortsette eller la det starte automatisk etter 30 sekunder. Eksempel:

   

   Obs!

   Hvis du bruker en eldre BIOS-versjon, blir du bedt om å velge et språk, og installasjonsalternativene presenteres øverst til venstre i stedet for i midten. Når du blir bedt om det, velger du English og deretter alternativet Installer iot-sensor-<version number> for å fortsette.

   Installasjonen starter, noe som gir deg oppdaterte statusmeldinger etter hvert som det går. Hele installasjonsprosessen tar opptil 20–30 minutter, og kan variere avhengig av medietypen du bruker.

   Når installasjonen er fullført, vises følgende sett med standard nettverksdetaljer.

   IP: 172.23.41.83,
   SUBNET: 255.255.255.0,
   GATEWAY: 172.23.41.1,
   UID: 91F14D56-C1E4-966F-726F-006A527C61D
   

Bruk standard IP-adresse for å få tilgang til sensoren for første installasjon og aktivering.

Validering etter installasjon

Denne fremgangsmåten beskriver hvordan du validerer installasjonen ved hjelp av sensorens egne systemtilstandskontroller og er tilgjengelig for standard administratorbruker .

Slik validerer du installasjonen:

1. Logg deg på OT-sensoren admin som brukeren.

2. Velg Systeminnstillinger>Sensorbehandling>System Health Check.

3. Velg følgende kommandoer:

   • Apparat for å kontrollere at systemet kjører. Kontroller at hvert linjeelement viser Kjøring , og at den siste linjen sier at systemet er oppe.
   • Versjon for å bekrefte at du har riktig versjon installert.
   • ifconfig for å bekrefte at alle inndatagrensesnitt som er konfigurert under installasjonen, kjører.

Hvis du vil ha flere valideringstester etter installasjonen, for eksempel gateway, DNS eller brannmurkontroller, kan du se Validere en installasjon av OT-sensorprogramvare.

Definer første oppsett

Følgende fremgangsmåte beskriver hvordan du konfigurerer sensorens første konfigurasjonsinnstillinger, inkludert:

• Logge på sensorkonsollen og endre administratorens brukerpassord
• Definere nettverksdetaljer for sensoren
• Definere grensesnittene du vil overvåke
• Aktivere sensoren
• Konfigurere SSL/TLS-sertifikatinnstillinger

Logg på sensorkonsollen, og endre standardpassordet

Denne fremgangsmåten beskriver hvordan du logger på OT-sensorkonsollen for første gang. Du blir bedt om å endre standardpassordet for administratorbrukeren .

Slik logger du på sensoren:

1. Gå til IP-adressen i 192.168.0.101 en nettleser, som er standard IP-adresse som er angitt for sensoren på slutten av installasjonen.

   Den første påloggingssiden vises. Eksempel:

   

2. Skriv inn følgende legitimasjon, og velg Pålogging:

   • Brukernavn: support
   • Passord: support

   Du blir bedt om å definere et nytt passord for administratorbrukeren .

3. Skriv inn det nye passordet i Nytt passord-feltet . Passordet må inneholde små og store bokstaver i alfabetiske tegn, tall og symboler.

   Skriv inn det nye passordet på nytt i bekreft nytt passord-feltet , og velg deretter Kom i gang.

   Hvis du vil ha mer informasjon, kan du se Standard privilegerte brukere.

Defender for IoT | Oversiktssiden åpnes i kategorien Administrasjonsgrensesnitt.

Definer sensornettverksdetaljer

Bruk følgende felt i administrasjonsgrensesnittfanen til å definere nettverksdetaljer for den nye sensoren:

For denne opplæringen kan du la hoppe over proxy-konfigurasjonene i området Aktiver proxy for skytilkobling (valgfritt ).

Når du er ferdig, velger du Neste: Grensesnittkonfigurasjoner for å fortsette.

Definer grensesnittene du vil overvåke

Fanen Grensesnitttilkoblinger viser alle grensesnitt som oppdages av sensoren som standard. Bruk denne fanen til å aktivere eller deaktivere overvåking per grensesnitt, eller definer bestemte innstillinger for hvert grensesnitt.

Gjør følgende i Grensesnittkonfigurasjoner-fanen for å konfigurere innstillingene for de overvåkede grensesnittene:

1. Velg aktiver/deaktiver veksleknappen for eventuelle grensesnitt du vil at sensoren skal overvåke. Du må velge minst ett grensesnitt for å fortsette.

   Hvis du ikke er sikker på hvilket grensesnitt du skal bruke, velger du Blink fysisk grensesnitt LED-knappen for å få den valgte porten til å blinke på maskinen. Velg hvilket som helst av grensesnittene du har koblet til bryteren.

2. For å få til denne opplæringen, kan du hoppe over eventuelle avanserte innstillinger og velge Neste: Start på nytt > for å fortsette.

3. Når du blir bedt om det, velger du Start omstart for å starte sensormaskinen på nytt. Når sensoren starter på nytt, blir du automatisk omdirigert til IP-adressen du hadde definert tidligere som sensor-IP-adressen.

   Velg Avbryt for å vente på omstarten.

Aktiver OT-sensoren

Denne fremgangsmåten beskriver hvordan du aktiverer den nye OT-sensoren.

Slik aktiverer du sensoren:

1. Velg Last opp på Aktivering-fanen for å laste opp sensorens aktiveringsfil som du hadde lastet ned fra Azure Portal.

2. Velg vilkår og betingelser, og velg deretter Neste: Sertifikater.

Definer SSL-/TLS-sertifikatinnstillinger

Bruk Sertifikater-fanen til å distribuere et SSL/TLS-sertifikat på OT-sensoren. Selv om vi anbefaler at du bruker et sertifiseringsinstanssignert sertifikat for alle produksjonsmiljøer, velger du for å bruke et selvsignert sertifikat.

Slik definerer du SSL/TLS-sertifikatinnstillinger:

1. Velg Bruk lokalt generert selvsignert sertifikat (anbefales ikke) på Sertifikater-fanen, og velg deretter alternativet Bekreft.

   Hvis du vil ha mer informasjon, kan du se SSL/TLS-sertifikatkrav for lokale ressurser og Opprette SSL/TLS-sertifikater for OT-apparater.

2. Velg Fullfør for å fullføre det første oppsettet og åpne sensorkonsollen.

Neste trinn