Udostępnij za pośrednictwem

Konfigurowanie i aktywowanie czujnika OT

  • Artykuł

Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT i opisano sposób konfigurowania początkowych ustawień konfiguracji i aktywowania czujnika OT.

Diagram przedstawiający pasek postępu z wyróżnioną funkcją Wdróż czujniki.

W przeglądarce lub za pośrednictwem interfejsu wiersza polecenia można wykonać kilka początkowych kroków konfiguracji.

  • Użyj przeglądarki, jeśli możesz podłączyć fizyczne z przełącznika do czujnika, aby prawidłowo zidentyfikować interfejsy. Pamiętaj, aby ponownie skonfigurować kartę sieciową, aby dopasować ustawienia domyślne czujnika.
  • Użyj interfejsu wiersza polecenia, jeśli znasz szczegóły sieci bez konieczności podłączania fizycznych. Użyj interfejsu wiersza polecenia, jeśli możesz nawiązać połączenie tylko z czujnikiem za pośrednictwem urządzenia iLo /iDrac

Skonfigurowanie konfiguracji za pośrednictwem interfejsu wiersza polecenia nadal wymaga wykonania kilku ostatnich kroków w przeglądarce.

Wymagania wstępne

Aby wykonać procedury opisane w tym artykule, potrzebne są następujące elementy:

  • Czujnik OT dołączony do usługi Defender for IoT w witrynie Azure Portal.

  • Oprogramowanie czujnika OT zainstalowane na urządzeniu. Upewnij się, że oprogramowanie zostało zainstalowane samodzielnie lub zakupiono wstępnie skonfigurowane urządzenie.

  • Plik aktywacji czujnika, który został pobrany po dołączeniu czujnika. Potrzebny jest unikatowy plik aktywacji dla każdego wdrożonego czujnika OT.

    Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

    Uwaga

    Pliki aktywacji wygasają 14 dni po utworzeniu. Jeśli dołączono czujnik, ale nie przekazano pliku aktywacji przed jego wygaśnięciem, pobierz nowy plik aktywacji.

  • Certyfikat SSL/TLS. Zalecamy używanie certyfikatu z podpisem urzędu certyfikacji, a nie certyfikatu z podpisem własnym. Aby uzyskać więcej informacji, zobacz Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

  • Dostęp do fizycznego lub wirtualnego urządzenia, na którym instalujesz czujnik. Aby uzyskać więcej informacji, zobacz Jakie urządzenia są potrzebne?

Ten krok jest wykonywany przez zespoły wdrożeniowe.

Konfigurowanie konfiguracji za pośrednictwem przeglądarki

Konfigurowanie konfiguracji czujnika za pośrednictwem przeglądarki obejmuje następujące kroki:

  • Logowanie się do konsoli czujnika i zmienianie hasła użytkownika administratora
  • Definiowanie szczegółów sieci dla czujnika
  • Definiowanie interfejsów, które chcesz monitorować
  • Aktywowanie czujnika
  • Konfigurowanie ustawień certyfikatu SSL/TLS

Zaloguj się do konsoli czujnika i zmień hasło domyślne

W tej procedurze opisano sposób logowania się do konsoli czujnika OT po raz pierwszy. Zostanie wyświetlony monit o zmianę domyślnego hasła użytkownika administratora .

Aby zalogować się do czujnika:

  1. W przeglądarce przejdź do 192.168.0.101 adresu IP, który jest domyślnym adresem IP podanym dla czujnika na końcu instalacji.

    Zostanie wyświetlona początkowa strona logowania. Na przykład:

    Zrzut ekranu przedstawiający początkową stronę logowania z czujnika.

  2. Wprowadź następujące poświadczenia i wybierz pozycję Zaloguj się:

    • Nazwa użytkownika: admin
    • Hasło: admin

    Zostanie wyświetlone pytanie o zdefiniowanie nowego hasła dla użytkownika administracyjnego.

  3. W polu Nowe hasło wprowadź nowe hasło. Hasło musi zawierać małe i wielkie litery, cyfry i symbole.

    W polu Potwierdź nowe hasło ponownie wprowadź nowe hasło, a następnie wybierz pozycję Rozpocznij.

    Aby uzyskać więcej informacji, zobacz Domyślne uprzywilejowane użytkowników.

Usługa Defender dla IoT | Strona Przegląd zostanie otwarta na karcie Interfejs zarządzania.

Definiowanie szczegółów sieci czujników

Na karcie Interfejs zarządzania użyj następujących pól, aby zdefiniować szczegóły sieci dla nowego czujnika:

Nazwa/nazwisko opis
Interfejs zarządzania Wybierz interfejs, którego chcesz użyć jako interfejsu zarządzania, aby nawiązać połączenie z witryną Azure Portal lub lokalną konsolą zarządzania.

Aby zidentyfikować interfejs fizyczny na maszynie, wybierz interfejs, a następnie wybierz pozycję Dioda LED interfejsu fizycznego Blink. Port pasujący do wybranego interfejsu świeci się tak, aby można było poprawnie podłączyć.
IP Address Wprowadź adres IP, którego chcesz użyć dla czujnika. Jest to adres IP używany przez zespół do nawiązywania połączenia z czujnikiem za pośrednictwem przeglądarki lub interfejsu wiersza polecenia.
Maska podsieci Wprowadź adres, którego chcesz użyć jako maski podsieci czujnika.
Brama domyślna Wprowadź adres, którego chcesz użyć jako bramy domyślnej czujnika.
DNS Wprowadź adres IP serwera DNS czujnika.
Nazwa hosta Wprowadź nazwę hosta, którą chcesz przypisać do czujnika. Upewnij się, że używasz tej samej nazwy hosta, która jest zdefiniowana na serwerze DNS.
Włączanie serwera proxy dla łączności w chmurze (opcjonalnie) Wybierz, aby zdefiniować serwer proxy dla czujnika.

Jeśli używasz certyfikatu SSL/TSL do uzyskiwania dostępu do serwera proxy, wybierz pozycję Certyfikat klienta i przekaż certyfikat.

Po zakończeniu wybierz pozycję Dalej: konfiguracje interfejsu , aby kontynuować.

Definiowanie interfejsów, które chcesz monitorować

Na karcie Konfiguracje interfejsu są domyślnie wyświetlane wszystkie interfejsy wykryte przez czujnik. Użyj tej karty, aby włączyć lub wyłączyć monitorowanie dla każdego interfejsu lub zdefiniować określone ustawienia dla każdego interfejsu.

Napiwek

Zalecamy zoptymalizowanie wydajności czujnika przez skonfigurowanie ustawień w celu monitorowania tylko interfejsów, które są aktywnie używane.

Na karcie Konfiguracje interfejsu wykonaj następujące czynności, aby skonfigurować ustawienia dla monitorowanych interfejsów:

  1. Wybierz przełącznik Włącz/Wyłącz dla wszystkich interfejsów, które mają być monitorowane przez czujnik. Aby kontynuować, musisz wybrać co najmniej jeden interfejs.

    Jeśli nie masz pewności, którego interfejsu użyć, wybierz przycisk LED interfejsu fizycznego Blink, aby wybrać portu na maszynie. Wybierz dowolny interfejs, który został połączony z przełącznikiem.

  2. (Opcjonalnie) Dla każdego interfejsu wybranego do monitorowania wybierz przycisk Ustawienia zaawansowane, aby zmodyfikować dowolne z następujących ustawień:

    Nazwa/nazwisko opis
    Tryb Wybierz jedną z następujących pozycji:
    - Ruch SPAN (bez hermetyzacji) do korzystania z domyślnego dublowania portów SPAN.
    - ERSPAN , jeśli używasz dublowania ERSPAN.

    Aby uzyskać więcej informacji, zobacz Wybieranie metody dublowania ruchu dla czujników OT.
    Opis Wprowadź opcjonalny opis interfejsu. Zobaczysz to później na stronie Konfiguracji interfejsu ustawień systemowych > czujnika, a te opisy mogą być pomocne w zrozumieniu przeznaczenia każdego interfejsu.
    Automatyczne negocjowanie Dotyczy tylko maszyn fizycznych. Użyj tej opcji, aby określić, jakiego rodzaju metody komunikacji są używane, lub jeśli metody komunikacji są automatycznie definiowane między składnikami.

    Ważne: zalecamy zmianę tego ustawienia tylko na porady zespołu ds. sieci.

    Aby dodać tunelowanie ERSPAN do interfejsu:

    1. W opcji Tryb wybierz pozycję Tunelowanie z listy rozwijanej.

    2. Aby skonfigurować tunel, zaktualizuj następujące szczegóły czujnika OT:

      • Opis (opcjonalnie).
      • Adres IP interfejsu.
      • Podsieć.

    Na przykład:

    Zrzut ekranu przedstawiający sposób konfigurowania ustawień ERSPAN w ustawieniach czujnika OT.

  3. Wybierz Zapisz, aby zapisać zmiany.

  4. Wybierz pozycję Dalej: Uruchom ponownie>, aby kontynuować, a następnie uruchom ponownie, aby ponownie uruchomić maszynę czujnika. Po ponownym uruchomieniu czujnika nastąpi automatyczne przekierowanie do zdefiniowanego wcześniej adresu IP jako adresu IP czujnika.

    Wybierz pozycję Anuluj , aby poczekać na ponowny rozruch.

Aktywowanie czujnika OT

W tej procedurze opisano sposób aktywowania nowego czujnika OT.

Jeśli do tej pory skonfigurowano ustawienia początkowe za pośrednictwem interfejsu wiersza polecenia , uruchomisz konfigurację opartą na przeglądarce w tym kroku. Po ponownym uruchomieniu czujnika nastąpi przekierowanie do tej samej usługi Defender dla IoT | Strona Przegląd na karcie Aktywacja.

Aby aktywować czujnik:

  1. Na karcie Aktywacja wybierz pozycję Przekaż , aby przekazać plik aktywacji czujnika pobrany z witryny Azure Portal.
  2. Wybierz opcję Warunki i postanowienia, a następnie wybierz pozycję Aktywuj.
  3. Wybierz pozycję Dalej: Certyfikaty.

Jeśli masz problem z połączeniem między czujnikiem opartym na chmurze a witryną Azure Portal podczas procesu aktywacji, który powoduje niepowodzenie aktywacji, zostanie wyświetlony komunikat poniżej przycisku Aktywuj. Aby rozwiązać problem z łącznością, wybierz pozycję Dowiedz się więcej , a zostanie otwarte okienko Łączności w chmurze. W okienku wymieniono przyczyny problemu i zalecenia dotyczące jego rozwiązania.

Nawet bez rozwiązania problemu możesz przejść do następnego etapu, wybierając pozycję Dalej: Certyfikaty.

Jedynym problemem z połączeniem, który należy rozwiązać przed przejściem do następnego etapu, jest wykrycie dryfu czasu i synchronizacja czujnika z chmurą. W takim przypadku czujnik musi być poprawnie zsynchronizowany, zgodnie z opisem w zaleceniach, przed przejściem do następnego etapu.

Definiowanie ustawień certyfikatu SSL/TLS

Użyj karty Certyfikaty, aby wdrożyć certyfikat SSL/TLS na czujniku OT. Zalecamy użycie certyfikatu podpisanego przez urząd certyfikacji dla wszystkich środowisk produkcyjnych.

Aby zdefiniować ustawienia certyfikatu SSL/TLS:

  1. Na karcie Certyfikaty wybierz pozycję Importuj zaufany certyfikat urzędu certyfikacji (zalecane), aby wdrożyć certyfikat z podpisem urzędu certyfikacji.

    Wprowadź nazwę certyfikatu i hasło, a następnie wybierz pozycję Przekaż , aby przekazać plik klucza prywatnego, plik certyfikatu i opcjonalny plik łańcucha certyfikatów.

    Może być konieczne odświeżenie strony po przekazaniu plików. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z błędami przekazywania certyfikatów.

    Napiwek

    Jeśli pracujesz w środowisku testowym, możesz również użyć certyfikatu z podpisem własnym, który jest generowany lokalnie podczas instalacji. Jeśli wybierzesz opcję używania certyfikatu z podpisem własnym, upewnij się, że wybrano opcję Potwierdź zalecenia.

    Aby uzyskać więcej informacji, zobacz Zarządzanie certyfikatami SSL/TLS.

  2. W obszarze Walidacja lokalnego certyfikatu konsoli zarządzania wybierz pozycję Obowiązkowe, aby zweryfikować certyfikat lokalnej konsoli zarządzania względem listy odwołania certyfikatów (CRL), zgodnie z konfiguracją w certyfikacie.

    Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych i Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

  3. Wybierz pozycję Zakończ , aby ukończyć początkową konfigurację i otworzyć konsolę czujnika.

Konfigurowanie konfiguracji za pomocą interfejsu wiersza polecenia

Użyj tej procedury, aby skonfigurować następujące początkowe ustawienia konfiguracji za pośrednictwem interfejsu wiersza polecenia:

  • Logowanie się do konsoli czujnika i ustawianie nowego hasła użytkownika administratora
  • Definiowanie szczegółów sieci dla czujnika
  • Definiowanie interfejsów, które chcesz monitorować

Kontynuuj aktywowanie i konfigurowanie ustawień certyfikatu SSL/TLS w przeglądarce.

Uwaga

Informacje zawarte w tym artykule dotyczą czujnika w wersji 24.1.5. Jeśli używasz starszej wersji, zobacz Konfigurowanie dublowania ERSPAN.

Aby skonfigurować początkowe ustawienia konfiguracji za pomocą interfejsu wiersza polecenia:

  1. Na ekranie instalacji po wyświetlaniu domyślnych szczegółów sieci naciśnij ENTER , aby kontynuować.

  2. Po wyświetleniu monitu D4Iot login zaloguj się przy użyciu następujących poświadczeń domyślnych:

    • Nazwa użytkownika: admin
    • Hasło: admin

    Po wprowadzeniu hasła znaki hasła nie są wyświetlane na ekranie. Upewnij się, że wprowadzasz je ostrożnie.

  3. Po wyświetleniu monitu wprowadź nowe hasło dla użytkownika administracyjnego. Hasło musi zawierać małe i wielkie litery, cyfry i symbole.

    Po wyświetleniu monitu o potwierdzenie hasła ponownie wprowadź nowe hasło. Aby uzyskać więcej informacji, zobacz Domyślne uprzywilejowane użytkowników.

  4. Po zmianie hasła Sensor Config kreator zostanie automatycznie uruchomiony. Przejdź do kroku 5.

    Jeśli logujesz się przy kolejnych okazjach, przejdź do kroku 4.

  5. Aby uruchomić Sensor Config kreatora, w wierszu polecenia wpisz network reconfigure. Jeśli używasz użytkownika cyberx, wpisz ERSPAN=1 python3 -m cyberx.config.configure.

  6. Na Sensor Config ekranie przedstawiono bieżącą konfigurację interfejsów. Upewnij się, że jeden interfejs jest ustawiony jako interfejs zarządzania. W tym kreatorze użyj strzałek w górę lub w dół, aby przejść, a pasek SPACJI wybierz opcję. Naciśnij ENTER , aby przejść do następnego ekranu.

    Wybierz interfejs, który chcesz skonfigurować, na przykład:

    Zrzut ekranu przedstawiający ekran Wybieranie interfejsów monitora.

  7. Na ekranie Select type wybierz nowy typ konfiguracji dla tego interfejsu.

Ważne

Upewnij się, że wybrano tylko połączone interfejsy.

Jeśli wybierzesz interfejsy, które są włączone, ale nie są połączone, czujnik wyświetli w witrynie Azure Portal powiadomienie o kondycji Bez monitorowanego ruchu. Jeśli po instalacji połączysz więcej źródeł ruchu i chcesz je monitorować za pomocą usługi Defender dla IoT, możesz dodać je później za pośrednictwem interfejsu wiersza polecenia.

Interfejs można ustawić jako zarządzanie, monitorowanie, tunel lub nieużywane. Możesz ustawić interfejs jako nieużywane jako ustawienie tymczasowe, zresetować go lub jeśli w oryginalnej konfiguracji popełniono błąd.

  1. Aby skonfigurować interfejs zarządzania :

    1. Wybierz interfejs.

    2. Wybierz pozycję Zarządzanie.

    3. Wpisz adres IP czujnika, adres IP serwera DNS i domyślny adres IP bramy.

      Zrzut ekranu przedstawiający ekran zarządzanie interfejsem.

    4. Wybierz Powrót.

  2. Aby skonfigurować interfejs monitora:

    1. Wybierz interfejs.
    2. Wybierz pozycję Monitor. Ekran Konfiguracja czujnika zostanie zaktualizowany.

  3. Aby skonfigurować interfejs tunelu ERSPAN:

    1. Wybierz pozycję Adres IP interfejsu i dodaj szczegóły adresu IP i podsieci .

    2. Wybierz pozycję Potwierdź.

    3. Wybierz pozycję Tunele i dodaj nazwę, źródłowy adres IP i identyfikator numerowany od 1 do 1023.

      Zrzut ekranu przedstawiający ekran tuneli interfejsu.

    4. Wybierz pozycję Potwierdź.

  4. Aby skonfigurować interfejs jako Nieużywane:

    1. Wybierz interfejs.
    2. Wybierz istniejący stan.
    3. Wybierz pozycję Nieużywane. Ekran Konfiguracja czujnika zostanie zaktualizowany.

  5. Po skonfigurowaniu wszystkich interfejsów wybierz pozycję Zapisz.

Automatyczna lokalizacja folderu kopii zapasowej

Czujnik automatycznie tworzy folder kopii zapasowej. Aby zmienić lokalizację zainstalowanych kopii zapasowych, musisz:

  1. Zaloguj się do czujnika przy użyciu użytkownika administratora .
  2. Wpisz następujący kod w interfejsie interfejsu wiersza polecenia: system backup path a następnie dodaj lokalizację ścieżki, na przykład /opt/sensor/backup.
  3. Tworzenie kopii zapasowej jest uruchamiane automatycznie i może potrwać do jednej minuty.

Uwaga

Podczas początkowej konfiguracji opcje portów monitorowania ERSPAN są dostępne tylko w procedurze opartej na przeglądarce.

Jeśli definiujesz szczegóły sieci za pośrednictwem interfejsu wiersza polecenia i chcesz skonfigurować porty monitorowania ERSPAN, zrób to później za pośrednictwem strony połączeń interfejsu ustawień > czujnika. Aby uzyskać więcej informacji, zobacz Aktualizowanie interfejsów monitorowania czujnika (configure ERSPAN).

Następne kroki

« Weryfikowanie instalacji oprogramowania czujnika OT

Konfigurowanie ustawień serwera proxy na czujniku OT »