Freigeben über


Konfigurieren und Aktivieren des OT-Sensors

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird. Außerdem wird erläutert, wie Sie die Einstellungen für die Ersteinrichtung konfigurieren und Ihren OT-Sensor aktivieren.

Diagramm einer Statusleiste mit hervorgehobenem Text „Ihre Sensoren bereitstellen“.

Mehrere Schritte für die Ersteinrichtung können im Browser oder über die CLI ausgeführt werden.

  • Verwenden Sie den Browser, wenn Sie physische Kabel von Ihrem Switch an den Sensor anschließen können, um Ihre Schnittstellen richtig zu identifizieren. Stellen Sie sicher, dass Sie Ihren Netzwerkadapter so konfigurieren, dass er den Standardeinstellungen auf dem Sensor entspricht.
  • Verwenden Sie die CLI, wenn Sie Ihre Netzwerkdetails kennen, sodass Sie keine physischen Kabel anschließen zu müssen. Verwenden Sie die CLI, wenn Sie nur über iLo/iDrac eine Verbindung mit dem Sensor herstellen können.

Wenn Sie Ihr Setup über die CLI konfigurieren, müssen Sie die letzten Schritte trotzdem im Browser ausführen.

Voraussetzungen

Um die Verfahren in diesem Artikel auszuführen, benötigen Sie Folgendes:

  • Ein in Defender for IoT integrierter OT-Sensor im Azure-Portal.

  • OT-Sensorsoftware, die auf Ihrer Appliance installiert ist. Stellen Sie sicher, dass Sie die Software entweder selbst installiert oder eine vorkonfigurierte Appliance erworben haben.

  • Die Aktivierungsdatei des Sensors, die nach dem Onboarding Ihres Sensors heruntergeladen wurde. Sie benötigen eine eindeutige Aktivierungsdatei für jeden OT-Sensor, den Sie bereitstellen.

    Alle aus dem Azure-Portal heruntergeladenen Dateien sind vom Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.

    Hinweis

    Aktivierungsdateien laufen 14 Tage nach der Erstellung ab. Wenn Sie ein Onboarding für Ihren Sensor durchführt haben, die Aktivierungsdatei jedoch nicht vor ihrem Ablauf hochgeladen haben, laden Sie eine neue Aktivierungsdatei herunter.

  • Ein SSL/TLS-Zertifikat Es wird empfohlen, ein von der Zertifizierungsstelle signiertes Zertifikat und kein selbstsigniertes Zertifikat zu verwenden. Weitere Informationen finden Sie unter Erstellen von SSL-/TLS-Zertifikaten für OT-Appliances.

  • Greifen Sie auf die physische oder virtuelle Appliance zu, auf der Sie Ihren Sensor installieren. Weitere Informationen finden Sie unter Welche Appliances benötige ich?

Dieser Schritt wird von Ihren Bereitstellungsteams ausgeführt.

Konfigurieren des Setups über den Browser

Das Konfigurieren des Sensorsetups über den Browser umfasst die folgenden Schritte:

  • Anmelden bei der Sensorkonsole und Ändern des Kennworts des Admin-Benutzers
  • Definieren von Netzwerkdetails für den Sensor
  • Definieren der zu überwachenden Schnittstellen
  • Aktivieren des Sensors
  • Konfigurieren von SSL/TLS-Zertifikateinstellungen

Anmelden bei der Sensorkonsole und Ändern des Standardkennworts

In diesem Verfahren wird beschrieben, wie Sie sich zum ersten Mal bei der OT-Sensorkonsole anmelden. Sie werden aufgefordert, das Standardkennwort für den Admin-Benutzer zu ändern.

So melden Sie sich bei Ihrem Sensor an:

  1. Verwenden Sie in einem Browser die IP-Adresse 192.168.0.101. Dabei handelt es sich um die Standard-IP-Adresse, die am Ende der Installation für Ihren Sensor angegeben wird.

    Die Seite für die Erstanmeldung wird angezeigt. Zum Beispiel:

    Screenshot: die anfängliche Sensoranmeldungsseite.

  2. Geben Sie die folgenden Anmeldeinformationen ein, und wählen Sie Anmelden aus:

    • Benutzername: admin
    • Kennwort: admin

    Sie werden aufgefordert, ein neues Kennwort für den Admin-Benutzer zu definieren.

  3. Geben Sie im Feld Neues Kennwort Ihr neues Kennwort ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.

    Geben Sie im Feld Neues Kennwort bestätigen Ihr neues Kennwort erneut ein, und wählen Sie dann Erste Schritte aus.

    Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.

Die Seite Defender for IoT | Übersicht wird mit der Registerkarte Verwaltungsschnittstelle geöffnet.

Definieren von Sensornetzwerkdetails

Verwenden Sie auf der Registerkarte Verwaltungsschnittstelle die folgenden Felder, um Netzwerkdetails für Ihren neuen Sensor zu definieren:

Name Beschreibung
Verwaltungsschnittstelle Wählen Sie die Schnittstelle aus, die Sie als Verwaltungsschnittstelle verwenden möchten, um entweder eine Verbindung mit dem Azure-Portal oder einer lokalen Verwaltungskonsole herzustellen.

Um eine physische Schnittstelle auf Ihrem Computer zu identifizieren, wählen Sie eine Schnittstelle und dann LED der physischen Schnittstelle blinken lassen aus. Der Anschluss, der mit der ausgewählten Schnittstelle übereinstimmt, leuchtet auf, damit Sie ihr Kabel ordnungsgemäß anschließen können.
IP-Adresse Geben Sie die IP-Adresse ein, die Sie für Ihren Sensor verwenden möchten. Dies ist die IP-Adresse, die Ihr Team verwendet, um über den Browser oder die CLI eine Verbindung mit dem Sensor herzustellen.
Subnetzmaske Geben Sie die Adresse ein, die Sie als Subnetzmaske des Sensors verwenden möchten.
Standardgateway Geben Sie die Adresse ein, die Sie als Standardgateway des Sensors verwenden möchten.
DNS Geben Sie die IP-Adresse des DNS-Servers des Sensors ein.
Hostname Geben Sie den Hostnamen ein, den Sie dem Sensor zuweisen möchten. Stellen Sie sicher, dass Sie denselben Hostnamen verwenden, der auf dem DNS-Server definiert ist.
Aktivieren des Proxys für Cloudkonnektivität (optional) Wählen Sie diese Option aus, um einen Proxyserver für Ihren Sensor zu definieren.

Wenn Sie ein SSL/TSL-Zertifikat für den Zugriff auf den Proxyserver verwenden, wählen Sie Clientzertifikat aus, und laden Sie Ihr Zertifikat hoch.

Wenn Sie fertig sind, wählen Sie Weiter: Schnittstellenkonfigurationen aus, um fortzufahren.

Definieren der zu überwachenden Schnittstellen

Auf der Registerkarte Schnittstellenkonfigurationen werden standardmäßig alle vom Sensor erkannten Schnittstellen angezeigt. Verwenden Sie diese Registerkarte, um die Überwachung pro Schnittstelle zu aktivieren oder zu deaktivieren, oder definieren Sie bestimmte Einstellungen für jede Schnittstelle.

Tipp

Es wird empfohlen, die Leistung ihres Sensors zu optimieren, indem Sie Ihre Einstellungen so konfigurieren, dass nur die aktiv verwendeten Schnittstellen überwacht werden.

Führen Sie auf der Registerkarte Schnittstellenkonfigurationen die folgenden Schritte aus, um Einstellungen für Ihre überwachten Schnittstellen zu konfigurieren:

  1. Wählen Sie die Umschaltfläche Aktivieren/Deaktivieren für alle Schnittstellen aus, die vom Sensor überwacht werden sollen. Sie müssen mindestens eine Assembly auswählen, um den Vorgang fortsetzen zu können.

    Wenn Sie nicht sicher sind, welche Schnittstelle verwendet werden soll, wählen Sie LED der physischen Schnittstelle blinken lassen aus, damit der ausgewählte Port auf Ihrem Computer blinkt. Wählen Sie eine der Schnittstellen aus, die Sie mit Ihrem Switch verbunden haben.

  2. (Optional) Wählen Sie für jede zu überwachende Schnittstelle die Schaltfläche Erweiterte Einstellungen aus, um eine der folgenden Einstellungen zu ändern:

    Name Beschreibung
    Mode Wählen Sie eines der folgenden Szenarien aus:
    - SPAN-Datenverkehr (keine Kapselung), um die standardmäßige SPAN-Portspiegelung zu verwenden.
    - ERSPAN, wenn Sie die ERSPAN-Spiegelung verwenden.

    Weitere Informationen finden Sie unter Auswählen einer Methode zur Verkehrsspiegelung für OT-Sensoren.
    Beschreibung Geben Sie eine optionale Beschreibung für die Schnittstelle ein. Diese wird später auf der Seite Systemeinstellungen > Schnittstellenkonfigurationen des Sensors angezeigt und kann hilfreich sein, um den Zweck der einzelnen Schnittstellen zu verstehen.
    Automatische Aushandlung Nur für physische Computer relevant. Verwenden Sie diese Option, um zu bestimmen, welche Art von Kommunikationsmethoden verwendet wird oder ob die Kommunikationsmethoden automatisch zwischen Komponenten definiert werden.

    Wichtig: Es wird empfohlen, diese Einstellung nur auf Anraten Ihres Netzwerkteams zu ändern.

    So fügen Sie ERSPAN-Tunnel zu Ihrer Schnittstelle hinzu:

    1. Wählen Sie in der Option Modus in der Dropdownliste Tunneln aus.

    2. Um den Tunnel zu konfigurieren, aktualisieren Sie die folgenden OT-Sensordetails:

      • Beschreibung (optional).
      • Schnittstellen-IP.
      • Subnetz.

    Zum Beispiel:

    Screenshot: Konfigurieren der ERSPAN-Einstellungen in den OT-Sensoreinstellungen.

  3. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

  4. Wählen Sie Weiter: Neustart > aus, um fortzufahren, und dann Neu starten, um Den Sensorcomputer neu zu starten. Nachdem der Sensor erneut gestartet wurde, werden Sie automatisch an die IP-Adresse weitergeleitet, die Sie zuvor als Ihre Sensor-IP-Adresse definiert haben.

    Wählen Sie Abbrechen aus, um auf den Neustart zu warten.

Aktivieren Ihres OT-Sensors

In diesem Verfahren wird beschrieben, wie Sie Ihren neuen OT-Sensor aktivieren.

Wenn Sie die Ersteinstellungen bisher über die CLI konfiguriert haben, starten Sie in diesem Schritt die browserbasierte Konfiguration. Nach dem Neustart des Sensors werden Sie auf derselben Seite Defender for IoT | Übersicht zur Registerkarte Aktivierung weitergeleitet.

So aktivieren Sie Ihren Sensor

  1. Wählen Sie auf der Registerkarte Aktivierung die Option Hochladen aus, um die Aktivierungsdatei hochzuladen, die Sie aus dem Azure-Portal heruntergeladen haben.
  2. Wählen Sie die Option „Geschäftsbedingungen“ und dann aktivieren aus.
  3. Wählen Sie Weiter: Zertifikate aus.

Wenn während des Aktivierungsprozesses ein Verbindungsproblem zwischen dem cloudbasierten Sensor und dem Azure-Portal auftritt, das zu einem Fehler bei der Aktivierung führt, wird unterhalb der Schaltfläche „Aktivieren“ eine Meldung angezeigt. Um das Konnektivitätsproblem zu lösen, wählen Sie Weitere Informationen aus, um den Bereich Cloudkonnektivität zu öffnen. Im Bereich werden die Ursachen für das Problem und Empfehlungen zur Behebung aufgeführt.

Auch ohne eine Lösung des Problems können Sie mit der nächsten Phase fortfahren, indem Sie Weiter: Zertifikate auswählen.

Das einzige Verbindungsproblem, das vor dem Übergang zur nächsten Phase behoben werden muss, ist, wenn eine Zeitabweichung erkannt und der Sensor nicht mit der Cloud synchronisiert wird. In diesem Fall muss der Sensor ordnungsgemäß wie in den Empfehlungen beschrieben synchronisiert werden, bevor Sie mit der nächsten Phase fortfahren können.

Definieren von SSL/TLS-Zertifikateinstellungen

Verwenden Sie die Registerkarte Zertifikate, um ein SSL/TLS-Zertifikat auf Ihrem OT-Sensor bereitzustellen. Die Verwendung eines von der Zertifizierungsstelle signierten Zertifikats für alle Produktionsumgebungen wird empfohlen.

So definieren Sie die SSL/TLS-Zertifikateinstellungen:

  1. Wählen Sie auf der Registerkarte Zertifikate die Option Vertrauenswürdiges Zertifizierungsstellenzertifikat importieren (empfohlen) aus, um ein von der Zertifizierungsstelle signiertes Zertifikat bereitzustellen.

    Geben Sie den Zertifikatnamen und die Passphrase ein, und wählen Sie dann Hochladen aus, um Ihre Datei für den privaten Schlüssel, die Zertifikatdatei und eine optionale Zertifikatkettendatei hochzuladen.

    Möglicherweise müssen Sie die Seite aktualisieren, nachdem Sie Ihre Dateien hochgeladen haben. Weitere Informationen finden Sie unter Problembehandlung für Fehler beim Hochladen von Zertifikaten.

    Tipp

    Wenn Sie in einer Testumgebung arbeiten, können Sie auch das selbstsignierte Zertifikat verwenden, das während der Installation lokal generiert wird. Wenn Sie ein selbstsigniertes Zertifikat verwenden möchten, stellen Sie sicher, dass Sie die Option Bestätigen für die Empfehlungen auswählen.

    Weitere Informationen finden Sie unter Verwalten von SSL/TLS-Zertifikaten.

  2. Wählen Sie im Bereich Validierung des Zertifikats für die lokale Verwaltungskonsole die Option Obligatorisch aus, um das Zertifikat einer lokalen Verwaltungskonsole anhand einer Zertifikatsperrliste (Certificate Revocation List, CRL) zu überprüfen, wie in Ihrem Zertifikat konfiguriert.

    Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.

  3. Wählen Sie Fertig stellen aus, um die Ersteinrichtung abzuschließen und die Sensorkonsole zu öffnen.

Konfigurieren des Setups über die CLI

Verwenden Sie dieses Verfahren, um die folgenden Einstellungen für die Ersteinrichtung über die CLI zu konfigurieren:

  • Anmelden bei der Sensorkonsole und Festlegen eines neuen Admin-Benutzerkennworts
  • Definieren von Netzwerkdetails für den Sensor
  • Definieren der zu überwachenden Schnittstellen

Fahren Sie mit der Aktivierung und Konfiguration der SSL/TLS-Zertifikateinstellungen im Browser fort.

Hinweis

Die Informationen in diesem Artikel gelten für die Sensorversion 24.1.5. Wenn Sie eine frühere Version ausführen, lesen Sie den Artikel zum Konfigurieren der ERSPAN-Spiegelung.

So konfigurieren Sie die Einstellungen für die Ersteinrichtung über die CLI:

  1. Drücken Sie auf dem Installationsbildschirm, nachdem die Standardnetzwerkdetails angezeigt wurden, die EINGABETASTE, um fortzufahren.

  2. Melden Sie sich nach der D4Iot login-Eingabeaufforderung mit den folgenden Standardanmeldeinformationen an:

    • Benutzername: admin
    • Kennwort: admin

    Wenn Sie Ihr Kennwort eingeben, werden die Kennwortzeichen nicht auf dem Bildschirm angezeigt. Stellen Sie sicher, dass Sie sie sorgfältig eingeben.

  3. Geben Sie nach der Eingabeaufforderung ein neues Kennwort für den Admin-Benutzer ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.

    Wenn Sie zur Bestätigung Ihres Kennworts aufgefordert werden, geben Sie Ihr neues Kennwort erneut ein. Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.

  4. Nach dem Ändern des Kennworts wird der Sensor Config-Assistent automatisch gestartet. Fahren Sie mit Schritt 5 fort.

    Wenn Sie sich später anmelden, fahren Sie mit Schritt 4 fort.

  5. Um den Sensor Config-Assistenten zu starten, geben Sie an der Eingabeaufforderung network reconfigure ein. Wenn Sie den Benutzer „cyberx“ verwenden, geben Sie ERSPAN=1 python3 -m cyberx.config.configure ein.

  6. Auf dem Bildschirm Sensor Config wird das aktuelle Setup der Schnittstellen angezeigt. Vergewissern Sie sich, dass eine Schnittstelle als Verwaltungsschnittstelle festgelegt ist. Drücken Sie in diesem Assistenten die NACH-OBEN- bzw. NACH-UNTEN-TASTE, um zu navigieren, und die LEERTASTE, um eine Option auszuwählen. Drücken Sie die EINGABETASTE, um zum nächsten Bildschirm zu gelangen.

    Wählen Sie die Schnittstelle aus, die Sie konfigurieren möchten, z. B.:

    Screenshot: Bildschirm zum Auswählen der Monitorschnittstelle

  7. Wählen Sie auf dem Bildschirm Select type den neuen Konfigurationstyp für diese Schnittstelle aus.

Wichtig

Achten Sie darauf, nur Schnittstellen auszuwählen, die verbunden sind.

Wenn Sie Schnittstellen auswählen, die aktiviert, aber nicht verbunden sind, wird für den Sensor im Azure-Portal die Integritätsbenachrichtigung Kein Datenverkehr überwacht angezeigt. Wenn Sie nach der Installation weitere Datenverkehrsquellen verbinden und diese mit Defender for IoT überwachen möchten, können Sie sie später über die Befehlszeilenschnittstelle hinzufügen.

Schnittstellen können auf Verwaltung, Überwachung, Tunnel oder Nicht verwendet festgelegt werden. Möglicherweise möchten Sie eine Schnittstelle temporär als Nicht verwendet festlegen, um sie zurückzusetzen oder wenn im ursprünglichen Setup ein Fehler gemacht wurde.

  1. So konfigurieren Sie eine Verwaltungsschnittstelle

    1. Wählen Sie die Schnittstelle aus.

    2. Wählen Sie Verwaltung aus.

    3. Geben Sie die IP-Adresse des Sensors, die IP-Adresse des DNS-Servers und die Standard-IP-Adresse des Gateways ein.

      Screenshot des Bildschirms für Verwaltungsschnittstellen

    4. Wählen Sie Zurück aus.

  2. So konfigurieren Sie eine Überwachungsschnittstelle

    1. Wählen Sie die Schnittstelle aus.
    2. Wählen Sie Monitor aus. Der Bildschirm Sensorkonfiguration wird aktualisiert.
  3. So konfigurieren Sie eine ERSPAN-Tunnelschnittstelle:

    1. Wählen Sie Schnittstellen-IP aus, und fügen Sie die Details zu IP und Subnetz hinzu.

    2. Klicken Sie auf Bestätigen.

    3. Wählen Sie Tunnel aus, und fügen Sie einen Namen, eine Quell-IP und eine ID nummeriert zwischen 1 und 1023 hinzu.

      Screenshot des Bildschirms „Schnittstellentunnel“.

    4. Klicken Sie auf Bestätigen.

  4. So konfigurieren Sie eine Schnittstelle als Nicht verwendet

    1. Wählen Sie die Schnittstelle aus.
    2. Wählen Sie den aktuellen Status aus.
    3. Wählen Sie Nicht verwendet aus. Der Bildschirm Sensorkonfiguration wird aktualisiert.
  5. Nachdem Sie alle Schnittstellen konfiguriert haben, wählen Sie Speichern aus.

Speicherort des Ordners für automatische Sicherungen

Der Sensor erstellt automatisch einen Sicherungsordner. Um den Speicherort der eingebundenen Sicherungen zu ändern, gehen Sie wie folgt vor:

  1. Melden Sie sich mit dem Benutzerkonto Administrator beim Sensor an.
  2. Geben Sie den folgenden Code auf der Benutzeroberfläche der Befehlszeilenschnittstelle: system backup path. Fügen Sie dann den Pfadspeicherort hinzu, z. B. /opt/sensor/backup.
  3. Die Sicherung wird automatisch ausgeführt und kann bis zu einer Minute dauern.

Hinweis

Während der Ersteinrichtung sind Optionen für ERSPAN-Überwachungsports nur in der browserbasierten Prozedur verfügbar.

Wenn Sie Ihre Netzwerkdetails über die CLI definieren und ERSPAN-Überwachungsports einrichten möchten, tun Sie dies anschließend über die Seite Einstellungen > Schnittstellenverbindungen des Sensors. Weitere Informationen finden Sie unter Aktualisieren der Überwachungsschnittstellen eines Sensors (Konfigurieren von ERSPAN).

Nächste Schritte