Zelfstudie: De Defender for IoT-microagent installeren

In deze zelfstudie leert u hoe u de Defender for IoT-microagent installeert en verifieert.

In deze zelfstudie leert u het volgende:

Vereisten

• Een Azure-account met een actief abonnement. Maak gratis een account aan.

• Een IoT-hub.

• Controleer of u een van de volgende besturingssystemen gebruikt.

• U moet Microsoft Defender voor IoT op uw Azure IoT Hub hebben ingeschakeld.

• U moet een resourcegroep hebben toegevoegd aan uw IoT-oplossing.

• U moet een Defender for IoT-microagentmoduledubbel hebben gemaakt.

De microagent downloaden en installeren

Afhankelijk van uw installatie moet het juiste Microsoft-pakket worden geïnstalleerd.

De juiste Microsoft-pakketopslagplaats toevoegen:

1. Download de opslagplaatsconfiguratie die overeenkomt met het besturingssysteem van uw apparaat.

   • Voor Ubuntu 18.04:

     curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
     

   • Voor Ubuntu 20.04:

         curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
     

   • Voor Debian 9 (zowel AMD64 als ARM64):

     curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
     

2. Gebruik de volgende opdracht om de configuratie van de opslagplaats naar de sources.list.d map te kopiëren:

   sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
   

3. Installeer de openbare sleutel van Microsoft GPG met de volgende opdracht:

   curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
   sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
   

4. Zorg ervoor dat u de apt hebt bijgewerkt met behulp van de volgende opdracht:

   sudo apt-get update
   

5. Gebruik de volgende opdracht om het defender for IoT-microagentpakket te installeren op Debian of op Ubuntu gebaseerde Linux distributies:

   sudo apt-get install defender-iot-micro-agent 
   

Verbinding maken via een proxy

In deze procedure wordt beschreven hoe u de Defender for IoT-microagent via een proxy kunt verbinden met de IoT Hub.

Verbindingen configureren via een proxy:

1. Maak op uw microagentcomputer een /etc/defender_iot_micro_agent/conf.json bestand met de volgende inhoud:

   {
       "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>",
       "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
   }
   

   Gebruikers- en wachtwoordvelden zijn optioneel. Als u deze niet nodig hebt, gebruikt u in plaats daarvan de volgende syntaxis:

   {
       "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>",
       "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
   }
   
   

2. Verwijder een bestand in de cache op /var/lib/defender_iot_micro_agent/cache.json.

3. Start de microagent opnieuw op. Uitvoeren:

   sudo systemctl restart defender-iot-micro-agent.service
   

Ondersteuning voor AMQP-protocol toevoegen

In deze procedure worden aanvullende stappen beschreven die nodig zijn om het AMQP-protocol te ondersteunen.

Amqp-protocolondersteuning toevoegen:

1. Open het /etc/defender_iot_micro_agent/conf.json bestand op uw microagentcomputer en voeg de volgende inhoud toe:

   {
   "IothubModule_TransportProtocol": "AMQP_Protocol"
   }
   

2. Verwijder een bestand in de cache op /var/lib/defender_iot_micro_agent/cache.json.

3. Start de microagent opnieuw op. Uitvoeren:

   sudo systemctl restart defender-iot-micro-agent.service
   

Ondersteuning voor AMQP via websockets toevoegen:

1. Open het /etc/defender_iot_micro_agent/conf.json bestand op uw microagentcomputer en voeg de volgende inhoud toe:

   {
   "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol"
   }
   

2. Verwijder een bestand in de cache op /var/lib/defender_iot_micro_agent/cache.json.

3. Start de microagent opnieuw op. Uitvoeren:

   sudo systemctl restart defender-iot-micro-agent.service
   

De agent gebruikt dit protocol en communiceert met de IoT Hub op poort 443. HTTP-proxyconfiguratie wordt ondersteund voor dit protocol. Als de proxy ook is geconfigureerd, is de communicatiepoort met de proxy zoals gedefinieerd in de proxyconfiguratie.

De microagent verifiëren

Er zijn twee opties die kunnen worden gebruikt om de Defender for IoT-microagent te verifiëren:

• Verifieer met behulp van een module-id verbindingsreeks.

• Verifieer met behulp van een certificaat.

Verifiëren met behulp van een module-id-verbindingsreeks

U moet de module-id kopiëren verbindingsreeks uit de identiteitsgegevens van de DefenderIoTMicroAgent-module.

De verbindingsreeks van de module-id kopiëren:

1. Navigeer naar de IoT Hub>Your hub>Apparaatbeheerapparaten>.

   

2. Selecteer een apparaat in de lijst Apparaat-id.

3. Selecteer het tabblad Module-identiteiten .

4. Selecteer de module DefenderIotMicroAgent in de lijst met module-id's die aan het apparaat zijn gekoppeld.

   

5. Kopieer de verbindingsreeks (primaire sleutel) door de knop Kopiëren te selecteren.

   

6. Maak een bestand met de naam connection_string.txt met de gekopieerde verbindingsreeks gecodeerd in utf-8 in het mappad van de Defender for IoT-agent /etc/defender_iot_micro_agent door de volgende opdracht in te voeren:

   sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
   

   De connection_string.txt bevindt zich nu in de volgende padlocatie /etc/defender_iot_micro_agent/connection_string.txt.

   Opmerking

   De verbindingsreeks bevat een sleutel die directe toegang tot de module zelf mogelijk maakt, en daarom gevoelige informatie bevat die alleen mag worden gebruikt en leesbaar is voor hoofdgebruikers.

7. Start de service opnieuw op met behulp van deze opdracht:

   sudo systemctl restart defender-iot-micro-agent.service 
   

Verifiëren met behulp van een certificaat

Verifiëren met behulp van een certificaat:

1. U kunt een certificaat aanschaffen door deze instructies te volgen.

2. Plaats het met PEM gecodeerde openbare deel van het certificaat en de persoonlijke sleutel in /etc/defender_iot_micro_agent, in bestanden met de naam certificate_public.pemen certificate_private.pem.

3. Plaats de juiste verbindingsreeks in het connection_string.txt bestand. De verbindingsreeks ziet er als volgt uit:

   HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true

   Met deze tekenreeks wordt de Defender for IoT-agent gewaarschuwd dat er een certificaat wordt opgegeven voor verificatie.

4. Start de service opnieuw met de volgende opdracht:

   sudo systemctl restart defender-iot-micro-agent.service
   

De installatie valideren

Uw installatie valideren:

1. Gebruik de volgende opdracht om ervoor te zorgen dat de microagent correct wordt uitgevoerd:

   systemctl status defender-iot-micro-agent.service
   

2. Zorg ervoor dat de service stabiel is door ervoor te zorgen dat deze is activeen of de uptime van het proces geschikt is.

   

Het systeem testen

U kunt het systeem testen door een triggerbestand op het apparaat te maken. Het triggerbestand zorgt ervoor dat de basislijnscan in de agent het bestand detecteert als een schending van de basislijn.

1. Maak een bestand in het bestandssysteem met de volgende opdracht:

   sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
   

2. Zorg ervoor dat uw Log Analytics-werkruimte is gekoppeld aan uw IoT-hub. Zie Een Log Analytics-werkruimte maken voor meer informatie.

3. Start de agent opnieuw op met de opdracht:

   sudo systemctl restart defender-iot-micro-agent.service
   

Het kan maximaal één uur duren voordat de aanbeveling in de hub wordt weergegeven.

Er wordt een basislijnaan aanbeveling met de naam 'IoT_CISBenchmarks_DIoTTest' gemaakt. U kunt deze aanbeveling als volgt opvragen vanuit Log Analytics:

SecurityRecommendation

| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"

| where DeviceId contains "<device-id>"

| top 1 by TimeGenerated desc

Bijvoorbeeld:

Een specifieke microagentversie installeren

U kunt een specifieke versie van de microagent installeren met behulp van een specifieke opdracht.

Een specifieke versie van de Defender for IoT-microagent installeren:

1. Open een terminal.

2. Voer de volgende opdracht uit:

   sudo apt-get install defender-iot-micro-agent=<version>
   

Bronnen opschonen

Er zijn geen resources om op te schonen.

Volgende stappen