Sdílet prostřednictvím

Rychlý start: Nahrání imagí firmwaru do analýzy firmwaru pomocí Azure CLI

  • Článek

Tento článek vysvětluje, jak pomocí Azure CLI nahrát image firmwaru do analýzy firmwaru.

Analýza firmwaru je nástroj, který analyzuje image firmwaru a poskytuje porozumění ohrožením zabezpečení v imagích firmwaru.

Požadavky

V tomto rychlém startu se předpokládá základní znalost analýzy firmwaru. Další informace najdete v tématu Analýza firmwaru pro tvůrce zařízení. Seznam podporovaných systémů souborů najdete v tématu Nejčastější dotazy k analýze firmwaru.

Příprava prostředí pro rozhraní příkazového řádku Azure

  • Nainstalujte Azure CLI a spusťte příkazy rozhraní příkazového řádku místně. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Přihlaste se k Azure CLI pomocí příkazu az login . Dokončete proces ověřování podle kroků zobrazených v terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

    • Nainstalujte rozšíření Pro analýzu firmwaru spuštěním následujícího příkazu: 
      az extension add --name firmwareanalysis

  • Pokud chcete najít nainstalované verze a závislé knihovny, spusťte příkaz az version. Pokud chcete upgradovat na nejnovější verzi, spusťte příkaz az upgrade.

  • Připojte své předplatné k analýze firmwaru.

  • Vyberte odpovídající ID předplatného, ve kterém chcete nahrát image firmwaru spuštěním příkazu az account set.

Nahrání image firmwaru do pracovního prostoru

  1. Vytvořte image firmwaru, která se má nahrát. Do příslušných parametrů vložte název skupiny prostředků, ID předplatného a název pracovního prostoru.

    az firmwareanalysis firmware create --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default

Výstup tohoto příkazu zahrnuje name vlastnost, což je ID vašeho firmwaru. Uložte toto ID pro další příkaz.

  1. Vygenerujte adresu URL SAS, kterou použijete v dalším kroku k odeslání image firmwaru do Azure Storage. Nahraďte sampleFirmwareID ID firmwaru, které jste uložili v předchozím kroku. Adresu URL SAS můžete uložit do proměnné, abyste usnadnili přístup pro budoucí příkazy:

    set resourceGroup=myResourceGroup
set subscription=123e4567-e89b-12d3-a456-426614174000
set workspace=default
set firmwareID=sampleFirmwareID

for /f "tokens=*" %i in ('az firmwareanalysis workspace generate-upload-url --resource-group %resourceGroup% --subscription %subscription% --workspace-name %workspace% --firmware-id %firmwareID% --query "url"') do set sasURL=%i

  2. Nahrajte image firmwaru do Služby Azure Storage. Nahraďte pathToFile cestu k imagi firmwaru na místním počítači.

    az storage blob upload -f "pathToFile" --blob-url %sasURL%

Tady je ukázkový pracovní postup použití těchto příkazů k vytvoření a nahrání image firmwaru. Další informace o používání proměnných v příkazech rozhraní příkazového řádku najdete v tématu Použití proměnných v příkazech Azure CLI:

set filePath="/path/to/image"
set resourceGroup="myResourceGroup"
set workspace="default"

set fileName="file1"
set vendor="vendor1"
set model="model"
set version="test"

for /f "tokens=*" %i in ('az firmwareanalysis firmware create --resource-group %resourceGroup% --workspace-name %workspace% --file-name %fileName% --vendor %vendor% --model %model% --version %version% --query "name"') do set FWID=%i

for /f "tokens=*" %i in ('az firmwareanalysis workspace generate-upload-url --resource-group %resourceGroup% --workspace-name %workspace% --firmware-id %FWID% --query "url"') do set URL=%i

az storage blob upload -f %filePath% --blob-url %URL%

Načtení výsledků analýzy firmwaru

Pokud chcete načíst výsledky analýzy firmwaru, musíte se ujistit, že je stav analýzy připravený:

az firmwareanalysis firmware show --firmware-id sampleFirmwareID --resource-group myResourceGroup --workspace-name default

Vyhledejte pole Stav a zobrazte "Připraveno", spuštěním následujících příkazů načtěte výsledky analýzy firmwaru.

Pokud chcete automatizovat proces kontroly stavu analýzy, můžete použít az resource wait tento příkaz.

Příkaz az resource wait--timeout parametr, což je doba v sekundách, po kterou analýza skončí, pokud "stav" nedosahuje "Připraveno" v rámci časového limitu. Výchozí časový limit je 3600, což je jedna hodina. Analýza velkých imagí může trvat déle, takže časový limit můžete nastavit pomocí parametru --timeout podle svých potřeb. Tady je příklad, jak můžete pomocí az resource wait příkazu s parametrem --timeout automatizovat kontrolu stavu analýzy za předpokladu, že jste už vytvořili firmware a uložili ID firmwaru do proměnné s názvem $FWID:

set resourceGroup="myResourceGroup"
set workspace="default"
set FWID="yourFirmwareID"

for /f "tokens=*" %i in ('az firmwareanalysis firmware show --resource-group %resourceGroup% --workspace-name %workspace% --firmware-id %FWID% --query "id"') do set ID=%i

echo Successfully created a firmware image with the firmware ID of %FWID%, recognized in Azure by this resource ID: %ID%.

for /f "tokens=*" %i in ('az resource wait --ids %ID% --custom "properties.status=='Ready'" --timeout 10800') do set WAIT=%i

for /f "tokens=*" %i in ('az resource show --ids %ID% --query "properties.status"') do set STATUS=%i

echo Firmware analysis completed with status: %STATUS%

Jakmile potvrdíte, že váš stav analýzy je Připravený, můžete spustit příkazy pro načtení výsledků.

SBOM

Následující příkaz načte SBOM v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.

az firmwareanalysis firmware sbom-component --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID

Slabé stránky

Následující příkaz načte CVE nalezené v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.

az firmwareanalysis firmware cve --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID

Binární posílení zabezpečení

Následující příkaz načte výsledky analýzy binárního posílení zabezpečení v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.

az firmwareanalysis firmware binary-hardening --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID

Hodnoty hash hesel

Následující příkaz načte hodnoty hash hesel v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.

az firmwareanalysis firmware password-hash --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID

Certifikáty

Následující příkaz načte zranitelné kryptografické certifikáty, které byly nalezeny v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.

az firmwareanalysis firmware crypto-certificate --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID

Klávesy

Následující příkaz načte zranitelné kryptografické klíče, které byly nalezeny v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.

az firmwareanalysis firmware crypto-key --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID