将 OT 网络传感器连接到本地管理控制台(旧版)
重要
Defender for IoT 现在建议使用 Microsoft 云服务或现有 IT 基础结构进行集中监视和传感器管理,计划于 2025 年 1 月 1 日 停用本地管理控制台。
有关详细信息,请参阅 部署混合或物理隔离的 OT 传感器管理。
本文是系列文章中的一篇,介绍了适用于隔离 OT 传感器的 Microsoft Defender for IoT 本地管理控制台的 部署路径。
安装并配置 OT 网络传感器后,可以将它们连接到本地管理控制台,以便进行集中管理和网络监视。
先决条件
若要执行本文中的过程,请确保具备:
可以作为 管理员 用户访问本地管理控制台和 OT 传感器。 有关详细信息,请参阅 使用 Defender for IoT进行 OT 监视的本地用户和角色。
若要通过代理隧道配置对 OT 传感器的访问,请确保作为 特权用户访问本地管理控制台的 CLI。
将 OT 传感器连接到本地管理控制台
若要将 OT 传感器连接到本地管理控制台,请从本地管理控制台复制连接字符串,并根据需要将其粘贴到 OT 传感器控制台中。
本地管理控制台:
登录到本地管理控制台,选择 系统设置,向下滚动以查看 传感器设置 - 连接字符串 区域。 例如:
将 “复制连接字符串” 框中的字符串复制到剪贴板。
OT 传感器:
登录到 OT 传感器,然后选择 系统设置 > 基本 > 传感器设置 > 连接到管理控制台。
在“连接字符串” 字段中,粘贴从本地管理控制台复制的连接字符串,然后选择 连接。
将 OT 传感器连接到本地管理控制台后,这些传感器将在本地管理控制台的“站点管理”页面上作为“未分配的传感器”列出。
通过隧道化技术配置 OT 传感器的访问权限
你可能希望通过阻止本地管理控制台直接访问 OT 传感器来增强系统安全性。
在这种情况下,请在本地管理控制台上配置 代理隧道,以允许用户通过本地管理控制台连接到 OT 传感器。 无需对传感器进行配置。
默认情况下,用于通过代理隧道访问 OT 传感器的端口是 9000,可以根据需要将此值修改为其他端口。
若要通过隧道配置 OT 传感器访问:
使用 特权用户通过 Telnet 或 SSH 登录到本地管理控制台的 CLI。
运行:
sudo cyberx-management-tunnel-enable请稍等几分钟以便连接启动。
配置隧道访问时,使用以下 URL 语法访问传感器控制台:https://<on-premises management console address>/<sensor address>/<page URL>
自定义用于代理隧道的端口:
使用 特权用户通过 Telnet 或 SSH 登录到本地管理控制台的 CLI。
运行:
sudo cyberx-management-tunnel-enable --port <port>用于代理隧道的端口值为
<port>。
删除代理隧道配置:
使用 特权用户通过 Telnet 或 SSH 登录到本地管理控制台的 CLI。
运行:
cyberx-management-tunnel-disable
访问代理隧道日志文件:
代理隧道日志文件位于以下位置:
- 本地管理控制台:/var/log/apache2.log
- OT 传感器:/var/cyberx/logs/tunnel.log