Zelfstudie: Een virtuele OT-sensor onboarden en activeren

In deze zelfstudie worden de basisbeginselen beschreven van het instellen van een Microsoft Defender voor IoT OT-sensor, met behulp van een proefabonnement van Microsoft Defender voor IoT en uw eigen virtuele machine.

Voor een volledige, end-to-end-implementatie moet u de stappen volgen om uw systeem te plannen en voor te bereiden, en ook uw instellingen volledig kalibreren en verfijnen. Zie Defender for IoT voor OT-bewaking implementeren voor meer informatie.

In deze zelfstudie leert u het volgende:

Vereisten

Voordat u begint, moet u ervoor zorgen dat u over het volgende beschikt:

• Voltooide quickstart: Aan de slag met Defender voor IoT, zodat u een Azure-abonnement hebt toegevoegd aan Defender for IoT.

• Toegang tot de Azure Portal als beveiligings-Beheer, inzender of eigenaar. Zie Azure gebruikersrollen voor OT- en Enterprise IoT-bewaking met Defender for IoT voor meer informatie.

• Zorg ervoor dat u een netwerkswitch hebt die ondersteuning biedt voor het bewaken van verkeer via een SPAN-poort. U hebt ook ten minste één apparaat nodig om te bewaken, dat is verbonden met de SPAN-poort van de switch.

• VMware, ESXi 5.5 of hoger, geïnstalleerd en operationeel op uw sensor.

• Beschikbare hardwareresources voor uw VM zijn als volgt:

  Implementatietype	Corporate	Enterprise	SMB
  Maximale bandbreedte	2,5 Gb per seconde	800 Mb/sec.	160 Mb/sec.
  Maximaal aantal beveiligde apparaten	12,000	10.000	800

• Een goed begrip van OT-bewaking met virtuele apparaten.

• Details voor de volgende netwerkparameters die moeten worden gebruikt voor uw sensorapparaat:

  • Ip-adres van een beheernetwerk
  • Een sensorsubnetmasker
  • Hostnaam van een apparaat
  • Een DNS-adres
  • Een standaardgateway
  • Eventuele invoerinterfaces

Een VM voor uw sensor maken

In deze procedure wordt beschreven hoe u een virtuele machine voor uw sensor maakt met VMware ESXi.

Defender for IoT ondersteunt ook andere processen, zoals het gebruik van Hyper-V of fysieke sensoren. Zie Defender for IoT-installatie voor meer informatie.

Een virtuele machine voor uw sensor maken:

1. Zorg ervoor dat VMware wordt uitgevoerd op uw computer.

2. Meld u aan bij de ESXi, kies het relevante gegevensarchief en selecteer Datastore Browser.

3. Upload de afbeelding en selecteer Sluiten.

4. Ga naar Virtual Machines en selecteer vervolgens VM maken/registreren.

5. Selecteer Nieuwe virtuele machine maken en selecteer vervolgens Volgende.

6. Voeg een sensornaam toe en definieer vervolgens de volgende opties:

   • Compatibiliteit: <nieuwste ESXi-versie>

   • Gastbesturingssysteemfamilie: Linux

   • Versie van gastbesturingssystemen: Debian

7. Selecteer Volgende.

8. Kies het relevante gegevensarchief en selecteer Volgende.

9. Wijzig de parameters voor virtuele hardware volgens de vereiste specificaties voor uw behoeften. Zie de tabel in de sectie Vereisten hierboven voor meer informatie.

Uw VM is nu voorbereid op uw Defender for IoT-software-installatie. U gaat verder met het installeren van de software verderop in deze zelfstudie, nadat u uw sensor hebt onboardd in de Azure Portal, verkeersspiegeling hebt geconfigureerd en de machine hebt ingericht voor cloudbeheer.

Onboarding van de virtuele sensor

Voordat u uw Defender for IoT-sensor kunt gaan gebruiken, moet u uw nieuwe virtuele sensor onboarden naar uw Azure-abonnement.

Onboarden van de virtuele sensor:

1. Ga in de Azure Portal naar de pagina Aan de slag met Defender for IoT>.

2. Selecteer linksonder OT/ICS-beveiliging instellen.

   U kunt ook op de pagina Defender for IoT-sites en -sensorende optie OT-sensor> onboarden.

   Standaard worden op de pagina OT/ICS-beveiliging instellenStap 1: Hebt u een sensor ingesteld? en Stap 2: SPAN-poort of TAP van de wizard configureren standaard samengevouwen.

   U installeert software en configureert verkeerspiegeling later in het implementatieproces, maar u moet uw apparaten gereed hebben en de methode voor het spiegelen van verkeer gepland hebben.

3. In Stap 3: Deze sensor registreren bij Microsoft Defender voor IoT definieert u de volgende waarden:

   Veldnaam	Beschrijving
   Resourcenaam	Selecteer de site waaraan u de sensoren wilt koppelen of selecteer Site maken om een nieuwe site te maken. Als u een nieuwe site maakt: 1. Voer in het veld Nieuwe site de naam van uw site in en selecteer het vinkje. 2. Selecteer in het menu Sitegrootte de grootte van uw site. De grootten die in dit menu worden weergegeven, zijn de grootten waarvoor u een licentie hebt, op basis van de licenties die u hebt gekocht in de Microsoft 365-beheercentrum.
   Weergavenaam	Voer een duidelijke naam in voor uw site die moet worden weergegeven in Defender for IoT.
   Tags	Voer de tagsleutel en -waarden in om uw site en sensor te identificeren en te vinden in de Azure Portal.
   Zone	Selecteer de zone die u wilt gebruiken voor uw OT-sensor of selecteer Zone maken om een nieuwe te maken.

   Zie OT-sites en -zones plannen voor meer informatie.

4. Wanneer u klaar bent met alle andere velden, selecteert u Registreren om uw sensor toe te voegen aan Defender for IoT. Er wordt een bericht weergegeven dat is geslaagd en het activeringsbestand wordt automatisch gedownload. Het activeringsbestand is uniek voor uw sensor en bevat instructies over de beheermodus van uw sensor.

   Alle bestanden die zijn gedownload van de Azure Portal zijn ondertekend door de hoofdmap van vertrouwen, zodat uw machines alleen ondertekende assets gebruiken.

5. Sla het gedownloade activeringsbestand op een locatie op die toegankelijk is voor de gebruiker die zich voor het eerst aanmeldt bij de console, zodat deze de sensor kan activeren.

   U kunt het bestand ook handmatig downloaden door de relevante koppeling te selecteren in het vak Uw sensor activeren . U gebruikt dit bestand om uw sensor te activeren, zoals hieronder wordt beschreven.

6. Selecteer in het vak Regels voor uitgaande toestemming toevoegen de koppeling Eindpuntdetails downloaden om een JSON-lijst te downloaden met de eindpunten die u moet configureren als beveiligde eindpunten van uw sensor.

   Sla het gedownloade bestand lokaal op. Gebruik de eindpunten die worden vermeld in het gedownloade bestand verderop in deze zelfstudie om ervoor te zorgen dat uw nieuwe sensor verbinding kan maken met Azure.

   Tip

   U kunt ook toegang krijgen tot de lijst met vereiste eindpunten op de pagina Sites en sensoren . Zie Opties voor sensorbeheer in de Azure Portal voor meer informatie.

7. Selecteer Voltooien linksonder op de pagina. U ziet nu dat uw nieuwe sensor wordt vermeld op de pagina Defender for IoT-sites en -sensoren .

   Totdat u de sensor activeert, wordt de status van de sensor weergegeven als In behandeling activering.

Zie Sensoren beheren met Defender for IoT in de Azure Portal voor meer informatie.

Een SPAN-poort configureren

Virtuele switches hebben geen mogelijkheden voor spiegeling. In het belang van deze zelfstudie kunt u echter de promiscueuze modus gebruiken in een virtuele switchomgeving om al het netwerkverkeer te bekijken dat via de virtuele switch gaat.

In deze procedure wordt beschreven hoe u een SPAN-poort configureert met behulp van een tijdelijke oplossing met VMware ESXi.

Een bewakingsinterface configureren met de Promiscuous-modus op een ESXi v-Switch:

1. Open de pagina vSwitch-eigenschappen en selecteer Standaard virtuele switch toevoegen.

2. Voer SPAN-netwerk in als het netwerklabel.

3. Voer in het veld MTU 4096 in.

4. Selecteer Beveiliging en controleer of het beleid Promiscuous Mode is ingesteld op De modus Accepteren .

5. Selecteer Toevoegen om de vSwitch-eigenschappen te sluiten.

6. Markeer de vSwitch die u hebt gemaakt en selecteer Uplink toevoegen.

7. Selecteer de fysieke NIC die u wilt gebruiken voor het SPAN-verkeer, wijzig de MTU in 4096 en selecteer vervolgens Opslaan.

8. Open de pagina Eigenschappen van poortgroep en selecteer Poortgroep toevoegen.

9. Voer SPAN-poortgroep in als de naam, voer 4095 in als de VLAN-id en selecteer SPAN-netwerk in de vSwitch-vervolgkeuzelijst en selecteer vervolgens Toevoegen.

10. Open de EIGENSCHAPPEN van de OT-sensor-VM .

11. Selecteer voor Netwerkadapter 2 het SPAN-netwerk .

12. Selecteer OK.

13. Maak verbinding met de sensor en controleer of spiegeling werkt.

Verkeer spiegelen valideren

Nadat u verkeerspiegeling hebt geconfigureerd, probeert u een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN- of mirrorpoort.

Een pcap-voorbeeldbestand helpt u bij het volgende:

• De switchconfiguratie valideren
• Controleer of het verkeer dat via uw switch gaat relevant is voor bewaking
• De bandbreedte en het geschatte aantal apparaten identificeren dat door de switch is gedetecteerd

1. Gebruik een netwerkprotocolanalysetoepassing, zoals Wireshark, om een pcap-voorbeeldbestand enkele minuten op te nemen. Sluit bijvoorbeeld een laptop aan op een poort waarop u verkeersbewaking hebt geconfigureerd.

2. Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast-verkeer is verkeer dat van het adres naar een ander adres wordt verzonden.

   Als het meeste verkeer ARP-berichten is, is de configuratie voor het spiegelen van verkeer niet juist.

3. Controleer of uw OT-protocollen aanwezig zijn in het geanalyseerde verkeer.

   Bijvoorbeeld:

   

Inrichten voor cloudbeheer

In deze sectie wordt beschreven hoe u eindpunten configureert om te definiëren in firewallregels, zodat uw OT-sensoren verbinding kunnen maken met Azure.

Zie Methoden voor het verbinden van sensoren met Azure voor meer informatie.

Eindpuntdetails configureren:

Open het bestand dat u eerder hebt gedownload om de lijst met vereiste eindpunten weer te geven. Configureer uw firewallregels zodat uw sensor via poort 443 toegang heeft tot elk van de vereiste eindpunten.

Zie Sensoren inrichten voor cloudbeheer voor meer informatie.

Software voor uw virtuele sensor downloaden

In deze sectie wordt beschreven hoe u de sensorsoftware op uw eigen computer downloadt en installeert.

Software voor uw virtuele sensoren downloaden:

1. Ga in de Azure Portal naar de pagina Aan de slag met Defender for IoT > en selecteer het tabblad Sensor.

2. Controleer in het vak Een apparaat aanschaffen en software installeren of de standaardoptie is geselecteerd voor de meest recente en aanbevolen softwareversie en selecteer vervolgens Downloaden.

3. Sla de gedownloade software op een locatie op die toegankelijk is vanaf uw VM.

Alle bestanden die zijn gedownload van de Azure Portal zijn ondertekend door de hoofdmap van vertrouwen, zodat uw machines alleen ondertekende assets gebruiken.

Sensorsoftware installeren

In deze procedure wordt beschreven hoe u de sensorsoftware op uw VM installeert.

De software installeren op de virtuele sensor:

1. Als u de VM hebt gesloten, meldt u zich opnieuw aan bij de ESXi en opent u de VM-instellingen.

2. Voor cd/dvd-station 1 selecteert u Iso-bestand datastore en selecteert u de Defender for IoT-software die u eerder hebt gedownload.

3. Selecteer Volgende>Voltooien.

4. Schakel de VM in en open een console.

5. Wanneer de installatie wordt gestart, wordt u gevraagd het installatieproces te starten. Selecteer het item Iot-sensor-<version number> installeren om door te gaan of laat het automatisch starten na 30 seconden. Bijvoorbeeld:

   

   Opmerking

   Als u een verouderde BIOS-versie gebruikt, wordt u gevraagd een taal te selecteren en worden de installatieopties linksboven weergegeven in plaats van in het midden. Wanneer u hierom wordt gevraagd, selecteert u English de optie iot-sensor-<version number> installeren om door te gaan.

   De installatie begint, zodat u bijgewerkte statusberichten krijgt. Het hele installatieproces duurt maximaal 20-30 minuten en kan variëren, afhankelijk van het type media dat u gebruikt.

   Wanneer de installatie is voltooid, ziet u de volgende set standaardnetwerkgegevens.

   IP: 172.23.41.83,
   SUBNET: 255.255.255.0,
   GATEWAY: 172.23.41.1,
   UID: 91F14D56-C1E4-966F-726F-006A527C61D
   

Gebruik het standaard-IP-adres dat is opgegeven voor toegang tot uw sensor voor de eerste installatie en activering.

Validatie na installatie

In deze procedure wordt beschreven hoe u uw installatie kunt valideren met behulp van de eigen systeemstatuscontroles van de sensor en is beschikbaar voor de standaardbeheerder .

Uw installatie valideren:

1. Meld u als gebruiker aan bij de admin OT-sensor.

2. Selecteer Systeeminstellingen>Sensorbeheer>Systeemstatuscontrole.

3. Selecteer de volgende opdrachten:

   • Apparaat om te controleren of het systeem wordt uitgevoerd. Controleer of voor elk regelitem Wordt uitgevoerd wordt weergegeven en of de laatste regel aangeeft dat het systeem actief is.
   • Versie om te controleren of u de juiste versie hebt geïnstalleerd.
   • ifconfig om te controleren of alle invoerinterfaces die tijdens de installatie zijn geconfigureerd, worden uitgevoerd.

Zie De installatie van een OT-sensorsoftware valideren voor meer validatietests na de installatie, zoals gateway-, DNS- of firewallcontroles.

Initiële installatie definiëren

In de volgende procedure wordt beschreven hoe u de initiële instellingen van uw sensor configureert, waaronder:

• Aanmelden bij de sensorconsole en het gebruikerswachtwoord van de beheerder wijzigen
• Netwerkdetails voor uw sensor definiëren
• De interfaces definiëren die u wilt bewaken
• Uw sensor activeren
• SSL/TLS-certificaatinstellingen configureren

Meld u aan bij de sensorconsole en wijzig het standaardwachtwoord

In deze procedure wordt beschreven hoe u zich voor het eerst aanmeldt bij de OT-sensorconsole. U wordt gevraagd het standaardwachtwoord voor de beheerder te wijzigen.

Ga als volgende te werk om u aan te melden bij uw sensor:

1. Ga in een browser naar het 192.168.0.101 IP-adres. Dit is het standaard-IP-adres dat aan het einde van de installatie voor uw sensor is opgegeven.

   De eerste aanmeldingspagina wordt weergegeven. Bijvoorbeeld:

   

2. Voer de volgende referenties in en selecteer Aanmelden:

   • Gebruikersnaam: support
   • Wachtwoord: support

   U wordt gevraagd een nieuw wachtwoord te definiëren voor de beheerder .

3. Voer in het veld Nieuw wachtwoord uw nieuwe wachtwoord in. Uw wachtwoord moet alfabetische tekens, cijfers en symbolen in kleine letters en hoofdletters bevatten.

   Voer in het veld Nieuw wachtwoord bevestigen uw nieuwe wachtwoord opnieuw in en selecteer vervolgens Aan de slag.

   Zie Standaard bevoegde gebruikers voor meer informatie.

Defender voor IoT | De overzichtspagina wordt geopend op het tabblad Beheerinterface.

Details van sensornetwerken definiëren

Gebruik op het tabblad Beheerinterface de volgende velden om netwerkdetails voor uw nieuwe sensor te definiëren:

Voor deze zelfstudie laat u de proxyconfiguraties overslaan in het gebied Proxy inschakelen voor cloudconnectiviteit (optioneel).

Wanneer u klaar bent, selecteert u Volgende: Interfaceconfiguraties om door te gaan.

De interfaces definiëren die u wilt bewaken

Op het tabblad Interfaceverbindingen worden standaard alle interfaces weergegeven die door de sensor zijn gedetecteerd. Gebruik dit tabblad om bewaking per interface in of uit te schakelen of specifieke instellingen voor elke interface te definiëren.

Ga op het tabblad Interfaceconfiguraties als volgt te werk om instellingen voor uw bewaakte interfaces te configureren:

1. Selecteer de wisselknop In-/uitschakelen voor interfaces die u met de sensor wilt bewaken. U moet ten minste één interface selecteren om door te gaan.

   Als u niet zeker weet welke interface u moet gebruiken, selecteert u de knop Knipperen fysieke interface LED om de geselecteerde poort op uw computer te laten knipperen. Selecteer een van de interfaces die u hebt verbonden met uw switch.

2. In het belang van deze zelfstudie slaat u alle geavanceerde instellingen over en selecteert u Volgende: Opnieuw opstarten > om door te gaan.

3. Wanneer u hierom wordt gevraagd, selecteert u Opnieuw opstarten starten om uw sensorcomputer opnieuw op te starten. Nadat de sensor opnieuw wordt gestart, wordt u automatisch omgeleid naar het IP-adres dat u eerder hebt gedefinieerd als het IP-adres van uw sensor.

   Selecteer Annuleren om te wachten op het opnieuw opstarten.

Uw OT-sensor activeren

In deze procedure wordt beschreven hoe u uw nieuwe OT-sensor activeert.

Uw sensor activeren:

1. Selecteer op het tabblad Activeringde optie Uploaden om het activeringsbestand van de sensor te uploaden dat u hebt gedownload van de Azure Portal.

2. Selecteer de optie Voorwaarden en selecteer vervolgens Volgende: Certificaten.

SSL/TLS-certificaatinstellingen definiëren

Gebruik het tabblad Certificaten om een SSL/TLS-certificaat op uw OT-sensor te implementeren. Hoewel het raadzaam is om voor alle productieomgevingen een certificaat met ca-handtekening te gebruiken, selecteert u in het belang van deze zelfstudie een zelfondertekend certificaat.

SSL/TLS-certificaatinstellingen definiëren:

1. Selecteer op het tabblad Certificatende optie Lokaal gegenereerd zelfondertekend certificaat gebruiken (niet aanbevolen) en selecteer vervolgens de optie Bevestigen .

   Zie SSL/TLS-certificaatvereisten voor on-premises resources en SSL/TLS-certificaten maken voor OT-apparaten voor meer informatie.

2. Selecteer Voltooien om de eerste installatie te voltooien en de sensorconsole te openen.

Volgende stappen