Rychlý start: Nahrání imagí firmwaru do Defenderu pro analýzu firmwaru IoT pomocí Azure CLI
Tento článek vysvětluje, jak pomocí Azure CLI nahrát image firmwaru do Defenderu pro analýzu firmwaru IoT.
Defender for IoT Firmware Analysis je nástroj, který analyzuje image firmwaru a poskytuje porozumění ohrožením zabezpečení v imagích firmwaru.
Požadavky
V tomto rychlém startu se předpokládá základní znalost analýzy firmwaru Defenderu pro IoT. Další informace najdete v tématu Analýza firmwaru pro tvůrce zařízení. Seznam podporovaných systémů souborů najdete v tématu Nejčastější dotazy k analýze firmwaru Defenderu pro IoT.
Příprava prostředí pro rozhraní příkazového řádku Azure
Nainstalujte Azure CLI a spusťte příkazy rozhraní příkazového řádku místně. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Přihlaste se k Azure CLI pomocí příkazu az login . Dokončete proces ověřování podle kroků zobrazených v terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
- Nainstalujte rozšíření Analýza firmwaru Defenderu pro IoT spuštěním následujícího příkazu:
az extension add --name firmwareanalysis
- Nainstalujte rozšíření Analýza firmwaru Defenderu pro IoT spuštěním následujícího příkazu:
Pokud chcete najít nainstalované verze a závislé knihovny, spusťte příkaz az version. Pokud chcete upgradovat na nejnovější verzi, spusťte příkaz az upgrade.
Připojte své předplatné do programu Defender for IoT Firmware Analysis.
Vyberte odpovídající ID předplatného, ve kterém chcete nahrát image firmwaru spuštěním příkazu az account set.
Nahrání image firmwaru do pracovního prostoru
Vytvořte image firmwaru, která se má nahrát. Do příslušných parametrů vložte název skupiny prostředků, ID předplatného a název pracovního prostoru.
az firmwareanalysis firmware create --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default
Výstup tohoto příkazu zahrnuje name vlastnost, což je ID vašeho firmwaru. Uložte toto ID pro další příkaz.
Vygenerujte adresu URL SAS, kterou použijete v dalším kroku k odeslání image firmwaru do Azure Storage. Nahraďte
sampleFirmwareIDID firmwaru, které jste uložili v předchozím kroku. Adresu URL SAS můžete uložit do proměnné, abyste usnadnili přístup pro budoucí příkazy:$sasURL = $(az firmwareanalysis workspace generate-upload-url --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID --query "url")Nahrajte image firmwaru do Služby Azure Storage. Nahraďte
pathToFilecestu k imagi firmwaru na místním počítači.az storage blob upload -f pathToFile --blob-url $sasURL
Tady je ukázkový pracovní postup použití těchto příkazů k vytvoření a nahrání image firmwaru. Další informace o používání proměnných v příkazech rozhraní příkazového řádku najdete v tématu Použití proměnných v příkazech Azure CLI:
$filePath='/path/to/image'
$resourceGroup='myResourceGroup'
$workspace='default'
$fileName='file1'
$vendor='vendor1'
$model='model'
$version='test'
$FWID=$(az firmwareanalysis firmware create --resource-group $resourceGroup --workspace-name $workspace --file-name $fileName --vendor $vendor --model $model --version $version --query "name")
$URL=$(az firmwareanalysis workspace generate-upload-url --resource-group $resourceGroup --workspace-name $workspace --firmware-id $FWID --query "url")
$OUTPUT=(az storage blob upload -f $filePath --blob-url $URL)
Načtení výsledků analýzy firmwaru
Pokud chcete načíst výsledky analýzy firmwaru, musíte se ujistit, že je stav analýzy připravený:
az firmwareanalysis firmware show --firmware-id sampleFirmwareID --resource-group myResourceGroup --workspace-name default
Vyhledejte pole Stav a zobrazte "Připraveno", spuštěním následujících příkazů načtěte výsledky analýzy firmwaru.
Pokud chcete automatizovat proces kontroly stavu analýzy, můžete použít az resource wait tento příkaz.
Příkaz az resource wait má --timeout parametr, což je doba v sekundách, po kterou analýza skončí, pokud "stav" nedosahuje "Připraveno" v rámci časového limitu. Výchozí časový limit je 3600, což je jedna hodina. Analýza velkých imagí může trvat déle, takže časový limit můžete nastavit pomocí parametru --timeout podle svých potřeb. Tady je příklad, jak můžete pomocí az resource wait příkazu s parametrem --timeout automatizovat kontrolu stavu analýzy za předpokladu, že jste už vytvořili firmware a uložili ID firmwaru do proměnné s názvem $FWID:
$ID=$(az firmwareanalysis firmware show --resource-group $resourceGroup --workspace-name $workspace --firmware-id $FWID --query "id")
Write-Host (‘Successfully created a firmware image with the firmware ID of ‘ + $FWID + ‘, recognized in Azure by this resource ID: ‘ + $ID + ‘.’)
$WAIT=$(az resource wait --ids $ID --custom "properties.status=='Ready'" --timeout 10800)
$STATUS=$(az resource show --ids $ID --query 'properties.status')
Write-Host ('Firmware analysis completed with status: ' + $STATUS)
Jakmile potvrdíte, že váš stav analýzy je Připravený, můžete spustit příkazy pro načtení výsledků.
SBOM
Následující příkaz načte SBOM v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.
az firmwareanalysis firmware sbom-component --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Slabé stránky
Následující příkaz načte CVE nalezené v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.
az firmwareanalysis firmware cve --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Binární posílení zabezpečení
Následující příkaz načte výsledky analýzy binárního posílení zabezpečení v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.
az firmwareanalysis firmware binary-hardening --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Hodnoty hash hesel
Následující příkaz načte hodnoty hash hesel v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.
az firmwareanalysis firmware password-hash --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Certifikáty
Následující příkaz načte zranitelné kryptografické certifikáty, které byly nalezeny v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.
az firmwareanalysis firmware crypto-certificate --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID
Klávesy
Následující příkaz načte zranitelné kryptografické klíče, které byly nalezeny v imagi firmwaru. Nahraďte každý argument odpovídající hodnotou pro vaši skupinu prostředků, předplatné, název pracovního prostoru a ID firmwaru.
az firmwareanalysis firmware crypto-key --resource-group myResourceGroup --subscription 123e4567-e89b-12d3-a456-426614174000 --workspace-name default --firmware-id sampleFirmwareID