Samouczek: instalowanie mikro agenta usługi Defender for IoT
Ten samouczek pomoże Ci dowiedzieć się, jak zainstalować i uwierzytelnić mikro agenta usługi Defender for IoT.
Niniejszy samouczek zawiera informacje na temat wykonywania następujących czynności:
- Pobieranie i instalowanie mikro agenta
- Uwierzytelnianie mikro agenta
- Sprawdź poprawność instalacji
- Testowanie systemu
- Instalowanie określonej wersji mikro agenta
Uwaga
Usługa Defender dla IoT planuje wycofać mikro agenta 1 sierpnia 2025 r.
Wymagania wstępne
Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
Centrum IoT.
Sprawdź, czy korzystasz z jednego z następujących systemów operacyjnych.
Musisz mieć włączoną usługę Microsoft Defender dla IoT w usłudze Azure IoT Hub.
Musisz dodać grupę zasobów do rozwiązania IoT.
Musisz mieć utworzoną reprezentację modułu mikro agenta usługi Defender dla IoT.
Pobieranie i instalowanie mikro agenta
W zależności od konfiguracji należy zainstalować odpowiedni pakiet firmy Microsoft.
Aby dodać odpowiednie repozytorium pakietów firmy Microsoft:
Pobierz konfigurację repozytorium zgodną z systemem operacyjnym urządzenia.
Dla systemu Ubuntu 18.04:
curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
Dla systemu Ubuntu 20.04:
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
Dla Debiana 9 (zarówno AMD64, jak i ARM64):
curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
Użyj następującego polecenia, aby skopiować konfigurację repozytorium do
sources.list.d
katalogu:sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
Zainstaluj klucz publiczny gpg firmy Microsoft za pomocą następującego polecenia:
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
Upewnij się, że apt został zaktualizowany przy użyciu następującego polecenia:
sudo apt-get update
Użyj następującego polecenia, aby zainstalować pakiet mikro agenta usługi Defender for IoT w dystrybucjach systemu Linux z systemem Debian lub Ubuntu:
sudo apt-get install defender-iot-micro-agent
Nawiązywanie połączenia za pośrednictwem serwera proxy
W tej procedurze opisano sposób łączenia mikro agenta usługi Defender for IoT z usługą IoT Hub za pośrednictwem serwera proxy.
Aby skonfigurować połączenia za pośrednictwem serwera proxy:
Na maszynie mikro agenta utwórz
/etc/defender_iot_micro_agent/conf.json
plik z następującą zawartością:{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
Pola użytkownika i hasła są opcjonalne. Jeśli ich nie potrzebujesz, użyj następującej składni:
{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }
Usuń dowolny buforowany plik w folderze /var/lib/defender_iot_micro_agent/cache.json.
Uruchom ponownie mikro agenta. Uruchom:
sudo systemctl restart defender-iot-micro-agent.service
Dodawanie obsługi protokołu AMQP
Ta procedura zawiera opis dodatkowych kroków wymaganych do obsługi protokołu AMQP.
Aby dodać obsługę protokołu AMQP:
Na maszynie mikro agenta
/etc/defender_iot_micro_agent/conf.json
otwórz plik i dodaj następującą zawartość:{ "IothubModule_TransportProtocol": "AMQP_Protocol" }
Usuń dowolny buforowany plik w folderze /var/lib/defender_iot_micro_agent/cache.json.
Uruchom ponownie mikro agenta. Uruchom:
sudo systemctl restart defender-iot-micro-agent.service
Aby dodać protokół AMQP za pośrednictwem protokołu web socket:
Na maszynie mikro agenta
/etc/defender_iot_micro_agent/conf.json
otwórz plik i dodaj następującą zawartość:{ "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol" }
Usuń dowolny buforowany plik w folderze /var/lib/defender_iot_micro_agent/cache.json.
Uruchom ponownie mikro agenta. Uruchom:
sudo systemctl restart defender-iot-micro-agent.service
Agent będzie używać tego protokołu i komunikować się z usługą IoT Hub na porcie 443. Konfiguracja serwera proxy HTTP jest obsługiwana dla tego protokołu, w przypadku, gdy serwer proxy jest również skonfigurowany, port komunikacji z serwerem proxy będzie zgodnie z definicją w konfiguracji serwera proxy.
Uwierzytelnianie mikro agenta
Istnieją dwie opcje, których można użyć do uwierzytelniania mikro agenta usługi Defender dla IoT:
Uwierzytelnianie przy użyciu parametry połączenia tożsamości modułu.
Uwierzytelnianie przy użyciu parametry połączenia tożsamości modułu
Musisz skopiować tożsamość modułu parametry połączenia ze szczegółów tożsamości modułu DefenderIoTMicroAgent.
Aby skopiować parametry połączenia tożsamości modułu:
Przejdź do urządzeń zarządzania urządzeniami>usługi IoT Hub.>
Your hub
>Wybierz urządzenie z listy Identyfikator urządzenia.
Wybierz kartę Tożsamości modułu.
Wybierz moduł DefenderIotMicroAgent z listy tożsamości modułów skojarzonych z urządzeniem.
Skopiuj parametry połączenia (klucz podstawowy), wybierając przycisk kopiowania.
Utwórz plik o nazwie
connection_string.txt
zawierający skopiowaną parametry połączenia zakodowaną w formacie utf-8 w ścieżce katalogu/etc/defender_iot_micro_agent
agenta usługi Defender for IoT, wprowadzając następujące polecenie:sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
Obiekt
connection_string.txt
będzie teraz znajdować się w następującej lokalizacji ścieżki/etc/defender_iot_micro_agent/connection_string.txt
.Uwaga
Parametry połączenia zawiera klucz, który umożliwia bezpośredni dostęp do samego modułu, w związku z tym zawiera poufne informacje, które powinny być używane i czytelne tylko przez użytkowników głównych.
Uruchom ponownie usługę przy użyciu tego polecenia:
sudo systemctl restart defender-iot-micro-agent.service
Uwierzytelnianie przy użyciu certyfikatu
Aby uwierzytelnić się przy użyciu certyfikatu:
Należy uzyskać certyfikat, postępując zgodnie z tymi instrukcjami.
Umieść zakodowaną w PEM część publiczną certyfikatu i klucz prywatny w pliku
/etc/defender_iot_micro_agent
, do plików o nazwiecertificate_public.pem
icertificate_private.pem
.Umieść odpowiednie parametry połączenia w
connection_string.txt
pliku. Parametry połączenia powinny wyglądać następująco:HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true
Ten ciąg ostrzega agenta usługi Defender for IoT, aby oczekiwał podania certyfikatu na potrzeby uwierzytelniania.
Uruchom ponownie usługę, używając następującego polecenia:
sudo systemctl restart defender-iot-micro-agent.service
Sprawdź poprawność instalacji
Aby zweryfikować instalację:
Użyj następującego polecenia, aby upewnić się, że mikro agent działa prawidłowo:
systemctl status defender-iot-micro-agent.service
Upewnij się, że usługa jest stabilna, upewniając się, że jest ona
active
i że czas działania procesu jest odpowiedni.
Testowanie systemu
System można przetestować, tworząc plik wyzwalacza na urządzeniu. Plik wyzwalacza spowoduje skanowanie punktu odniesienia w agencie w celu wykrycia pliku jako naruszenia punktu odniesienia.
Utwórz plik w systemie plików za pomocą następującego polecenia:
sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
Upewnij się, że obszar roboczy usługi Log Analytics jest dołączony do centrum IoT Hub. Aby uzyskać więcej informacji, zobacz Tworzenie obszaru roboczego usługi Log Analytics.
Uruchom ponownie agenta przy użyciu polecenia :
sudo systemctl restart defender-iot-micro-agent.service
Zezwalaj na wyświetlenie rekomendacji w centrum do jednej godziny.
Zostanie utworzone zalecenie bazowe o nazwie "IoT_CISBenchmarks_DIoTTest". Możesz wykonać zapytanie dotyczące tego zalecenia w usłudze Log Analytics w następujący sposób:
SecurityRecommendation
| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"
| where DeviceId contains "<device-id>"
| top 1 by TimeGenerated desc
Na przykład:
Instalowanie określonej wersji mikro agenta
Określoną wersję mikro agenta można zainstalować przy użyciu określonego polecenia.
Aby zainstalować określoną wersję mikro agenta usługi Defender dla IoT:
Otwórz terminal.
Uruchom następujące polecenie:
sudo apt-get install defender-iot-micro-agent=<version>
Czyszczenie zasobów
Nie ma żadnych zasobów do wyczyszczenia.