Identifiera Enterprise IoT-enheter med en Enterprise IoT-nätverkssensor (offentlig förhandsversion)

Viktigt!

Det är inte längre tillgängligt att registrera en ny Enterprise IoT-nätverkssensor enligt beskrivningen i den här artikeln. För kunder med Azure Consumption Revenue (ACR) eller äldre licens har Defender for IoT befintliga Enterprise IoT-nätverkssensorer.

Den här artikeln beskriver hur du registrerar en Enterprise IoT-nätverkssensor i Microsoft Defender för IoT.

Microsoft Defender XDR-kunder med en Enterprise IoT-nätverkssensor kan se alla identifierade enheter i enhetsinventeringen i antingen Microsoft Defender XDR eller Defender för IoT. Du får också extra säkerhetsvärde från fler aviseringar, sårbarheter och rekommendationer i Microsoft Defender XDR för de nyligen identifierade enheterna.

Om du är Defender för IoT-kund som arbetar enbart i Azure Portal ger en Enterprise IoT-nätverkssensor extra enhetssynlighet till Enterprise IoT-enheter, till exempel VoIP-enheter, skrivare och kameror (Voice over Internet Protocol), som kanske inte omfattas av dina OT-nätverkssensorer.

Defender för IoT-aviseringar och rekommendationer för enheter som identifieras av Enterprise IoT-sensorn är endast tillgängliga i Azure Portal.

Mer information finns i Skydda IoT-enheter i företaget.

Viktigt!

Enterprise IoT Network-sensorn är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

I det här avsnittet beskrivs de krav som krävs innan du distribuerar en Enterprise IoT-nätverkssensor.

Krav för Azure

• Om du vill visa Defender för IoT-data i Microsoft Defender XDR, inklusive enheter, aviseringar, rekommendationer och säkerhetsrisker, måste du ha Enterprise IoT-säkerhet aktiverat i Microsoft Defender XDR.

  Om du bara vill visa data i Azure Portal behöver du inte Microsoft Defender XDR. Du kan också aktivera Enterprise IoT-säkerhet i Microsoft Defender XDR när du har registrerat nätverkssensorn för att ge din organisation extra synlighet och säkerhetsvärde .

• Kontrollera att du kan komma åt Azure Portal som säkerhetsadministratör, deltagare eller ägare. Om du inte redan har ett Azure-konto kan du skapa ditt kostnadsfria Azure-konto i dag.

Nätverkskrav

• Identifiera de enheter och undernät som du vill övervaka så att du förstår var du ska placera en Enterprise IoT-sensor i nätverket. Du kanske vill distribuera flera Enterprise IoT-sensorer.

• Konfigurera trafikspegling i nätverket så att den trafik som du vill övervaka speglas med din Enterprise IoT-sensor. Metoder för trafikspegling som stöds är desamma som för OT-övervakning. Mer information finns i Välj en trafikspeglingsmetod för trafikövervakning.

Krav för fysiska eller virtuella datorer

Allokera en fysisk installation eller en virtuell dator (VM) som ska användas som nätverkssensor. Kontrollera att datorn har följande specifikationer:

Nivå	Krav
Minimal	Så här stöder du upp till 1 Gbit/s data: - 4 processorer, var och en med 2,4 GHz eller mer - 16 GB RAM-minne av DDR4 eller bättre - 250 GB HDD
Rekommenderat	Så här stöder du upp till 15 Gbit/s data: - 8 processorer, var och en med 2,4 GHz eller mer - 32 GB RAM av DDR4 eller bättre - 500 GB HDD

Datorn måste också ha:

• Operativsystemet Ubuntu 18.04 Server. Om du ännu inte har installerat Ubuntu laddar du ned installationsfilerna till ett externt lagringsutrymme, till exempel en DVD eller disk-on-key, och installerar dem sedan på din enhet eller virtuella dator. Mer information finns i Ubuntu Image Burning Guide.

• Nätverkskort, minst ett för växelövervakningsporten (SPAN) och ett för hanteringsporten för att få åtkomst till sensorns användargränssnitt

Din Enterprise IoT-sensor måste ha åtkomst till Azure-molnet med hjälp av en direktanslutning. Direktanslutningar konfigureras för Enterprise IoT-sensorer med samma procedur som för OT-sensorer. Mer information finns i Etablera sensorer för molnhantering.

Förbereda en fysisk installation eller virtuell dator

Den här proceduren beskriver hur du förbereder den fysiska installationen eller den virtuella datorn för att installera enterprise IoT-nätverkssensorprogramvaran.

Så här förbereder du installationen:

1. Anslut ett nätverksgränssnitt (NIC) från den fysiska installationen eller den virtuella datorn till en växel på följande sätt:

   • Fysisk apparat – Anslut ett övervakningskort till en SPAN-port direkt via en koppar- eller fiberkabel.

   • Virtuell dator – Anslut ett virtuellt nätverkskort till en vSwitch och konfigurera dina vSwitch-säkerhetsinställningar för att acceptera promiskuöst läge. Mer information finns i till exempel Konfigurera ett SPAN-övervakningsgränssnitt för en virtuell installation.

2. Logga in på den fysiska installationen eller den virtuella datorn och kör följande kommando för att verifiera inkommande trafik till övervakningsporten:

   ifconfig
   

   Systemet visar en lista över alla övervakade gränssnitt.

   Identifiera de gränssnitt som du vill övervaka, som vanligtvis är de gränssnitt som inte har någon IP-adress i listan. Gränssnitt med inkommande trafik visar ett ökande antal RX-paket.

3. För varje gränssnitt som du vill övervaka kör du följande kommando för att aktivera promiskuöst läge i nätverkskortet:

   ifconfig <monitoring port> up promisc
   

   Var <monitoring port> är ett gränssnitt som du vill övervaka. Upprepa det här steget för varje gränssnitt som du vill övervaka.

4. Kontrollera nätverksanslutningen genom att öppna följande portar i brandväggen:

   Protokoll	Transport	In/ut	Port	Syfte
   HTTPS	TCP	In/ut	443	Molnanslutning
   DNS	TCP/UDP	In/ut	53	Adressmatchning

5. Kontrollera att den fysiska installationen eller den virtuella datorn kan komma åt molnet med HTTPS på port 443 till följande Microsoft-slutpunkter:

   • EventHub: *.servicebus.windows.net
   • Lagring: *.blob.core.windows.net
   • Download Center: download.microsoft.com
   • IoT Hub: *.azure-devices.net

   Dricks

   Du kan också ladda ned och lägga till de offentliga IP-intervallen i Azure så att brandväggen tillåter de Azure-slutpunkter som anges ovan, tillsammans med deras region.

   De offentliga IP-intervallen i Azure uppdateras varje vecka. De nya intervall som anges i filen kommer inte att börja användas i Azure förrän om minst en vecka. Om du vill använda det här alternativet laddar du ned den nya json-filen varje vecka och utför nödvändiga ändringar på din webbplats för att identifiera tjänster som körs i Azure korrekt.

Registrera en Enterprise IoT-sensor i Defender för IoT

I det här avsnittet beskrivs hur du registrerar en Enterprise IoT-sensor i Defender för IoT. När du är klar med att registrera sensorn fortsätter du med att installera Enterprise IoT-övervakningsprogramvaran på sensordatorn.

Så här registrerar du en sensor i Azure Portal:

1. Gå till Defender för IoT-webbplatser>och sensorer och välj sedan Registrera sensor>EIoT.

2. På sidan Konfigurera Enterprise IoT Security anger du följande information och väljer sedan Registrera:

   • I fältet Sensornamn anger du ett beskrivande namn för sensorn.
   • I listrutan Prenumeration väljer du den prenumeration där du vill lägga till sensorn.

   En skärm för sensorregistrering visar nästa steg och kommandot du behöver för att starta sensorinstallationen.

   Till exempel:

   

3. Kopiera kommandot till en säker plats där du kan kopiera det till den fysiska installationen eller den virtuella datorn för att installera sensorprogramvaran.

Installera Enterprise IoT-sensorprogramvara

Den här proceduren beskriver hur du installerar Enterprise IoT-övervakningsprogram på sensordatorn, antingen en fysisk installation eller virtuell dator.

Kommentar

Den här proceduren beskriver hur du installerar sensorprogramvara på en virtuell dator med ESXi, men företags-IoT-sensorer stöds också med Hjälp av Hyper-V.

Så här installerar du sensorprogramvara:

1. På sensordatorn loggar du in på sensorns CLI med hjälp av en terminal, till exempel PuTTY eller MobaXterm.

2. Kör kommandot som du kopierade från sensorregistreringssteget. Till exempel:

   

   Processen kontrollerar om den nödvändiga Docker-versionen redan är installerad. Om det inte är det installerar sensorinstallationen även den senaste Docker-versionen.

   När kommandoprocessen är klar visas guiden Konfigurera microsoft-eiot-sensor i Ubuntu. I den här guiden använder du upp- eller nedpilarna för att navigera och blankstegsfältet för att välja ett alternativ. Tryck på RETUR för att gå vidare till nästa skärm.

3. I guiden Konfigurera microsoft-eiot-sensor går du till skärmen Vad är namnet på det övervakade gränssnittet? väljer du ett eller flera gränssnitt som du vill övervaka med sensorn och väljer sedan OK.

   Till exempel:

   

4. På skärmen Konfigurera proxyserver? väljer du om du vill konfigurera en proxyserver för sensorn. Till exempel:

   

   Om du konfigurerar en proxyserver väljer du Ja och definierar sedan proxyserverns värd, port, användarnamn och lösenord och väljer Ok efter varje alternativ.

   Installationen tar några minuter att slutföra.

5. I Azure Portal kontrollerar du att sidan Platser och sensorer nu visar en lista över din nya sensor.

   Till exempel:

   

På sidan Webbplatser och sensorer läggs företags-IoT-sensorer automatiskt till på samma plats med namnet Enterprise-nätverk. Mer information finns i Hantera sensorer med Defender för IoT i Azure Portal.

Dricks

Om du inte ser dina Enterprise IoT-data i Defender för IoT som förväntat kontrollerar du att du visar Azure Portal med rätt prenumerationer valda. Mer information finns i Hantera Azure Portal inställningar.

Om du fortfarande inte visar dina data som förväntat kontrollerar du sensorkonfigurationen från CLI.

Visa nyligen identifierade Enterprise IoT-enheter

När du har verifierat konfigurationen börjar sidan Defender för IoT-enhetsinventering att fyllas i med nya enheter som identifieras av sensorn efter 15 minuter.

Om du är en Defender för Endpoint-kund med en äldre Enterprise IoT-plan kan du visa alla identifierade enheter på sidan Enhetsinventering i både Defender för IoT och Microsoft Defender XDR. Identifierade enheter omfattar både enheter som identifierats av Defender för Endpoint och enheter som identifierats av Enterprise IoT-sensorn.

Mer information finns i Hantera enhetsinventering från Azure Portal och Microsoft Defender XDR-enhetsidentifiering.

Ta bort en Enterprise IoT-nätverkssensor

Ta bort en sensor om den inte längre används med Defender för IoT.

1. Leta upp sensorn i rutnätet på sidan Platser och sensorer på Azure Portal.

2. På raden för sensorn väljer du menyn> ... alternativ Ta bort sensor.

Mer information finns i Hantera sensorer med Defender för IoT i Azure Portal.

Dricks

Du kan också ta bort sensorn manuellt från CLI. Mer information finns i Extra steg och exempel för Enterprise IoT-distribution.

Om du vill avbryta enterprise IoT-säkerhet med Microsoft Defender XDR gör du det från Microsoft Defender-portalen. Mer information finns i Inaktivera IoT-säkerhet för företag.

Nästa steg

• Extra steg och exempel för Enterprise IoT-distribution

• Hantera sensorer i Azure Portal

• Visa och hantera aviseringar från Azure Portal. Mer information finns i Aviseringar om skadlig kodmotor.

• Förbättra säkerhetsstatusen med säkerhetsrekommendationer