Konfigurieren und Aktivieren des OT-Sensors
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird. Außerdem wird erläutert, wie Sie die Einstellungen für die Ersteinrichtung konfigurieren und Ihren OT-Sensor aktivieren.
Mehrere Schritte für die Ersteinrichtung können im Browser oder über die CLI ausgeführt werden.
- Verwenden Sie den Browser, wenn Sie physische Kabel von Ihrem Switch an den Sensor anschließen können, um Ihre Schnittstellen richtig zu identifizieren. Stellen Sie sicher, dass Sie Ihren Netzwerkadapter so konfigurieren, dass er den Standardeinstellungen auf dem Sensor entspricht.
- Verwenden Sie die CLI, wenn Sie Ihre Netzwerkdetails kennen, sodass Sie keine physischen Kabel anschließen zu müssen. Verwenden Sie die CLI, wenn Sie nur über iLo/iDrac eine Verbindung mit dem Sensor herstellen können.
Wenn Sie Ihr Setup über die CLI konfigurieren, müssen Sie die letzten Schritte trotzdem im Browser ausführen.
Voraussetzungen
Um die Verfahren in diesem Artikel auszuführen, benötigen Sie Folgendes:
Ein in Defender for IoT integrierter OT-Sensor im Azure-Portal.
OT-Sensorsoftware, die auf Ihrer Appliance installiert ist. Stellen Sie sicher, dass Sie die Software entweder selbst installiert oder eine vorkonfigurierte Appliance erworben haben.
Die Aktivierungsdatei des Sensors, die nach dem Onboarding Ihres Sensors heruntergeladen wurde. Sie benötigen eine eindeutige Aktivierungsdatei für jeden OT-Sensor, den Sie bereitstellen.
Alle aus dem Azure-Portal heruntergeladenen Dateien sind vom Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.
Hinweis
Aktivierungsdateien laufen 14 Tage nach der Erstellung ab. Wenn Sie ein Onboarding für Ihren Sensor durchführt haben, die Aktivierungsdatei jedoch nicht vor ihrem Ablauf hochgeladen haben, laden Sie eine neue Aktivierungsdatei herunter.
Ein SSL/TLS-Zertifikat Es wird empfohlen, ein von der Zertifizierungsstelle signiertes Zertifikat und kein selbstsigniertes Zertifikat zu verwenden. Weitere Informationen finden Sie unter Erstellen von SSL-/TLS-Zertifikaten für OT-Appliances.
Greifen Sie auf die physische oder virtuelle Appliance zu, auf der Sie Ihren Sensor installieren. Weitere Informationen finden Sie unter Welche Appliances benötige ich?
Dieser Schritt wird von Ihren Bereitstellungsteams ausgeführt.
Konfigurieren des Setups über den Browser
Das Konfigurieren des Sensorsetups über den Browser umfasst die folgenden Schritte:
- Anmelden bei der Sensorkonsole und Ändern des Kennworts des Admin-Benutzers
- Definieren von Netzwerkdetails für den Sensor
- Definieren der zu überwachenden Schnittstellen
- Aktivieren des Sensors
- Konfigurieren von SSL/TLS-Zertifikateinstellungen
Anmelden bei der Sensorkonsole und Ändern des Standardkennworts
In diesem Verfahren wird beschrieben, wie Sie sich zum ersten Mal bei der OT-Sensorkonsole anmelden. Sie werden aufgefordert, das Standardkennwort für den Admin-Benutzer zu ändern.
So melden Sie sich bei Ihrem Sensor an:
Verwenden Sie in einem Browser die IP-Adresse
192.168.0.101
. Dabei handelt es sich um die Standard-IP-Adresse, die am Ende der Installation für Ihren Sensor angegeben wird.Die Seite für die Erstanmeldung wird angezeigt. Zum Beispiel:
Geben Sie die folgenden Anmeldeinformationen ein, und wählen Sie Anmelden aus:
- Benutzername:
admin
- Kennwort:
admin
Sie werden aufgefordert, ein neues Kennwort für den Admin-Benutzer zu definieren.
- Benutzername:
Geben Sie im Feld Neues Kennwort Ihr neues Kennwort ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.
Geben Sie im Feld Neues Kennwort bestätigen Ihr neues Kennwort erneut ein, und wählen Sie dann Erste Schritte aus.
Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.
Die Seite Defender for IoT | Übersicht wird mit der Registerkarte Verwaltungsschnittstelle geöffnet.
Definieren von Sensornetzwerkdetails
Verwenden Sie auf der Registerkarte Verwaltungsschnittstelle die folgenden Felder, um Netzwerkdetails für Ihren neuen Sensor zu definieren:
Wenn Sie fertig sind, wählen Sie Weiter: Schnittstellenkonfigurationen aus, um fortzufahren.
Definieren der zu überwachenden Schnittstellen
Auf der Registerkarte Schnittstellenkonfigurationen werden standardmäßig alle vom Sensor erkannten Schnittstellen angezeigt. Verwenden Sie diese Registerkarte, um die Überwachung pro Schnittstelle zu aktivieren oder zu deaktivieren, oder definieren Sie bestimmte Einstellungen für jede Schnittstelle.
Tipp
Es wird empfohlen, die Leistung ihres Sensors zu optimieren, indem Sie Ihre Einstellungen so konfigurieren, dass nur die aktiv verwendeten Schnittstellen überwacht werden.
Führen Sie auf der Registerkarte Schnittstellenkonfigurationen die folgenden Schritte aus, um Einstellungen für Ihre überwachten Schnittstellen zu konfigurieren:
Wählen Sie die Umschaltfläche Aktivieren/Deaktivieren für alle Schnittstellen aus, die vom Sensor überwacht werden sollen. Sie müssen mindestens eine Assembly auswählen, um den Vorgang fortsetzen zu können.
Wenn Sie nicht sicher sind, welche Schnittstelle verwendet werden soll, wählen Sie LED der physischen Schnittstelle blinken lassen aus, damit der ausgewählte Port auf Ihrem Computer blinkt. Wählen Sie eine der Schnittstellen aus, die Sie mit Ihrem Switch verbunden haben.
(Optional) Wählen Sie für jede zu überwachende Schnittstelle die Schaltfläche Erweiterte Einstellungen aus, um eine der folgenden Einstellungen zu ändern:
Name Beschreibung Mode Wählen Sie eines der folgenden Szenarien aus:
- SPAN-Datenverkehr (keine Kapselung), um die standardmäßige SPAN-Portspiegelung zu verwenden.
- ERSPAN, wenn Sie die ERSPAN-Spiegelung verwenden.
Weitere Informationen finden Sie unter Auswählen einer Methode zur Verkehrsspiegelung für OT-Sensoren.Beschreibung Geben Sie eine optionale Beschreibung für die Schnittstelle ein. Diese wird später auf der Seite Systemeinstellungen > Schnittstellenkonfigurationen des Sensors angezeigt und kann hilfreich sein, um den Zweck der einzelnen Schnittstellen zu verstehen. Automatische Aushandlung Nur für physische Computer relevant. Verwenden Sie diese Option, um zu bestimmen, welche Art von Kommunikationsmethoden verwendet wird oder ob die Kommunikationsmethoden automatisch zwischen Komponenten definiert werden.
Wichtig: Es wird empfohlen, diese Einstellung nur auf Anraten Ihres Netzwerkteams zu ändern.So fügen Sie ERSPAN-Tunnel zu Ihrer Schnittstelle hinzu:
Wählen Sie in der Option Modus in der Dropdownliste Tunneln aus.
Um den Tunnel zu konfigurieren, aktualisieren Sie die folgenden OT-Sensordetails:
- Beschreibung (optional).
- Schnittstellen-IP.
- Subnetz.
Zum Beispiel:
Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.
Wählen Sie Weiter: Neustart > aus, um fortzufahren, und dann Neu starten, um Den Sensorcomputer neu zu starten. Nachdem der Sensor erneut gestartet wurde, werden Sie automatisch an die IP-Adresse weitergeleitet, die Sie zuvor als Ihre Sensor-IP-Adresse definiert haben.
Wählen Sie Abbrechen aus, um auf den Neustart zu warten.
Aktivieren Ihres OT-Sensors
In diesem Verfahren wird beschrieben, wie Sie Ihren neuen OT-Sensor aktivieren.
Wenn Sie die Ersteinstellungen bisher über die CLI konfiguriert haben, starten Sie in diesem Schritt die browserbasierte Konfiguration. Nach dem Neustart des Sensors werden Sie auf derselben Seite Defender for IoT | Übersicht zur Registerkarte Aktivierung weitergeleitet.
So aktivieren Sie Ihren Sensor
- Wählen Sie auf der Registerkarte Aktivierung die Option Hochladen aus, um die Aktivierungsdatei hochzuladen, die Sie aus dem Azure-Portal heruntergeladen haben.
- Wählen Sie die Option „Geschäftsbedingungen“ und dann aktivieren aus.
- Wählen Sie Weiter: Zertifikate aus.
Wenn während des Aktivierungsprozesses ein Verbindungsproblem zwischen dem cloudbasierten Sensor und dem Azure-Portal auftritt, das zu einem Fehler bei der Aktivierung führt, wird unterhalb der Schaltfläche „Aktivieren“ eine Meldung angezeigt. Um das Konnektivitätsproblem zu lösen, wählen Sie Weitere Informationen aus, um den Bereich Cloudkonnektivität zu öffnen. Im Bereich werden die Ursachen für das Problem und Empfehlungen zur Behebung aufgeführt.
Auch ohne eine Lösung des Problems können Sie mit der nächsten Phase fortfahren, indem Sie Weiter: Zertifikate auswählen.
Das einzige Verbindungsproblem, das vor dem Übergang zur nächsten Phase behoben werden muss, ist, wenn eine Zeitabweichung erkannt und der Sensor nicht mit der Cloud synchronisiert wird. In diesem Fall muss der Sensor ordnungsgemäß wie in den Empfehlungen beschrieben synchronisiert werden, bevor Sie mit der nächsten Phase fortfahren können.
Definieren von SSL/TLS-Zertifikateinstellungen
Verwenden Sie die Registerkarte Zertifikate, um ein SSL/TLS-Zertifikat auf Ihrem OT-Sensor bereitzustellen. Die Verwendung eines von der Zertifizierungsstelle signierten Zertifikats für alle Produktionsumgebungen wird empfohlen.
So definieren Sie die SSL/TLS-Zertifikateinstellungen:
Wählen Sie auf der Registerkarte Zertifikate die Option Vertrauenswürdiges Zertifizierungsstellenzertifikat importieren (empfohlen) aus, um ein von der Zertifizierungsstelle signiertes Zertifikat bereitzustellen.
Geben Sie den Zertifikatnamen und die Passphrase ein, und wählen Sie dann Hochladen aus, um Ihre Datei für den privaten Schlüssel, die Zertifikatdatei und eine optionale Zertifikatkettendatei hochzuladen.
Möglicherweise müssen Sie die Seite aktualisieren, nachdem Sie Ihre Dateien hochgeladen haben. Weitere Informationen finden Sie unter Problembehandlung für Fehler beim Hochladen von Zertifikaten.
Tipp
Wenn Sie in einer Testumgebung arbeiten, können Sie auch das selbstsignierte Zertifikat verwenden, das während der Installation lokal generiert wird. Wenn Sie ein selbstsigniertes Zertifikat verwenden möchten, stellen Sie sicher, dass Sie die Option Bestätigen für die Empfehlungen auswählen.
Weitere Informationen finden Sie unter Verwalten von SSL/TLS-Zertifikaten.
Wählen Sie im Bereich Validierung des Zertifikats für die lokale Verwaltungskonsole die Option Obligatorisch aus, um das Zertifikat einer lokalen Verwaltungskonsole anhand einer Zertifikatsperrliste (Certificate Revocation List, CRL) zu überprüfen, wie in Ihrem Zertifikat konfiguriert.
Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.
Wählen Sie Fertig stellen aus, um die Ersteinrichtung abzuschließen und die Sensorkonsole zu öffnen.
Konfigurieren des Setups über die CLI
Verwenden Sie dieses Verfahren, um die folgenden Einstellungen für die Ersteinrichtung über die CLI zu konfigurieren:
- Anmelden bei der Sensorkonsole und Festlegen eines neuen Admin-Benutzerkennworts
- Definieren von Netzwerkdetails für den Sensor
- Definieren der zu überwachenden Schnittstellen
Fahren Sie mit der Aktivierung und Konfiguration der SSL/TLS-Zertifikateinstellungen im Browser fort.
Hinweis
Die Informationen in diesem Artikel gelten für die Sensorversion 24.1.5. Wenn Sie eine frühere Version ausführen, lesen Sie den Artikel zum Konfigurieren der ERSPAN-Spiegelung.
So konfigurieren Sie die Einstellungen für die Ersteinrichtung über die CLI:
Drücken Sie auf dem Installationsbildschirm, nachdem die Standardnetzwerkdetails angezeigt wurden, die EINGABETASTE, um fortzufahren.
Melden Sie sich nach der
D4Iot login
-Eingabeaufforderung mit den folgenden Standardanmeldeinformationen an:- Benutzername:
admin
- Kennwort:
admin
Wenn Sie Ihr Kennwort eingeben, werden die Kennwortzeichen nicht auf dem Bildschirm angezeigt. Stellen Sie sicher, dass Sie sie sorgfältig eingeben.
- Benutzername:
Geben Sie nach der Eingabeaufforderung ein neues Kennwort für den Admin-Benutzer ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.
Wenn Sie zur Bestätigung Ihres Kennworts aufgefordert werden, geben Sie Ihr neues Kennwort erneut ein. Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.
Nach dem Ändern des Kennworts wird der
Sensor Config
-Assistent automatisch gestartet. Fahren Sie mit Schritt 5 fort.Wenn Sie sich später anmelden, fahren Sie mit Schritt 4 fort.
Um den
Sensor Config
-Assistenten zu starten, geben Sie an der Eingabeaufforderungnetwork reconfigure
ein. Wenn Sie den Benutzer „cyberx“ verwenden, geben SieERSPAN=1 python3 -m cyberx.config.configure
ein.Auf dem Bildschirm
Sensor Config
wird das aktuelle Setup der Schnittstellen angezeigt. Vergewissern Sie sich, dass eine Schnittstelle als Verwaltungsschnittstelle festgelegt ist. Drücken Sie in diesem Assistenten die NACH-OBEN- bzw. NACH-UNTEN-TASTE, um zu navigieren, und die LEERTASTE, um eine Option auszuwählen. Drücken Sie die EINGABETASTE, um zum nächsten Bildschirm zu gelangen.Wählen Sie die Schnittstelle aus, die Sie konfigurieren möchten, z. B.:
Wählen Sie auf dem Bildschirm
Select type
den neuen Konfigurationstyp für diese Schnittstelle aus.
Wichtig
Achten Sie darauf, nur Schnittstellen auszuwählen, die verbunden sind.
Wenn Sie Schnittstellen auswählen, die aktiviert, aber nicht verbunden sind, wird für den Sensor im Azure-Portal die Integritätsbenachrichtigung Kein Datenverkehr überwacht angezeigt. Wenn Sie nach der Installation weitere Datenverkehrsquellen verbinden und diese mit Defender for IoT überwachen möchten, können Sie sie später über die Befehlszeilenschnittstelle hinzufügen.
Schnittstellen können auf Verwaltung, Überwachung, Tunnel oder Nicht verwendet festgelegt werden. Möglicherweise möchten Sie eine Schnittstelle temporär als Nicht verwendet festlegen, um sie zurückzusetzen oder wenn im ursprünglichen Setup ein Fehler gemacht wurde.
So konfigurieren Sie eine Verwaltungsschnittstelle
Wählen Sie die Schnittstelle aus.
Wählen Sie Verwaltung aus.
Geben Sie die IP-Adresse des Sensors, die IP-Adresse des DNS-Servers und die Standard-IP-Adresse des Gateways ein.
Wählen Sie Zurück aus.
So konfigurieren Sie eine Überwachungsschnittstelle
- Wählen Sie die Schnittstelle aus.
- Wählen Sie Monitor aus. Der Bildschirm Sensorkonfiguration wird aktualisiert.
So konfigurieren Sie eine ERSPAN-Tunnelschnittstelle:
Wählen Sie Schnittstellen-IP aus, und fügen Sie die Details zu IP und Subnetz hinzu.
Klicken Sie auf Bestätigen.
Wählen Sie Tunnel aus, und fügen Sie einen Namen, eine Quell-IP und eine ID nummeriert zwischen 1 und 1023 hinzu.
Klicken Sie auf Bestätigen.
So konfigurieren Sie eine Schnittstelle als Nicht verwendet
- Wählen Sie die Schnittstelle aus.
- Wählen Sie den aktuellen Status aus.
- Wählen Sie Nicht verwendet aus. Der Bildschirm Sensorkonfiguration wird aktualisiert.
Nachdem Sie alle Schnittstellen konfiguriert haben, wählen Sie Speichern aus.
Speicherort des Ordners für automatische Sicherungen
Der Sensor erstellt automatisch einen Sicherungsordner. Um den Speicherort der eingebundenen Sicherungen zu ändern, gehen Sie wie folgt vor:
- Melden Sie sich mit dem Benutzerkonto Administrator beim Sensor an.
- Geben Sie den folgenden Code auf der Benutzeroberfläche der Befehlszeilenschnittstelle:
system backup path
. Fügen Sie dann den Pfadspeicherort hinzu, z. B./opt/sensor/backup
. - Die Sicherung wird automatisch ausgeführt und kann bis zu einer Minute dauern.
Hinweis
Während der Ersteinrichtung sind Optionen für ERSPAN-Überwachungsports nur in der browserbasierten Prozedur verfügbar.
Wenn Sie Ihre Netzwerkdetails über die CLI definieren und ERSPAN-Überwachungsports einrichten möchten, tun Sie dies anschließend über die Seite Einstellungen > Schnittstellenverbindungen des Sensors. Weitere Informationen finden Sie unter Aktualisieren der Überwachungsschnittstellen eines Sensors (Konfigurieren von ERSPAN).