Konfigurieren und Aktivieren des OT-Sensors
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird. Außerdem wird erläutert, wie Sie die Einstellungen für die Ersteinrichtung konfigurieren und Ihren OT-Sensor aktivieren.
Mehrere Schritte für die Ersteinrichtung können im Browser oder über die CLI ausgeführt werden.
- Verwenden Sie den Browser, wenn Sie physische Kabel von Ihrem Switch an den Sensor anschließen können, um Ihre Schnittstellen richtig zu identifizieren. Stellen Sie sicher, dass Sie Ihren Netzwerkadapter so konfigurieren, dass er den Standardeinstellungen auf dem Sensor entspricht.
- Verwenden Sie die CLI, wenn Sie Ihre Netzwerkdetails kennen, sodass Sie keine physischen Kabel anschließen zu müssen. Verwenden Sie die CLI, wenn Sie nur über iLo/iDrac eine Verbindung mit dem Sensor herstellen können.
Wenn Sie Ihr Setup über die CLI konfigurieren, müssen Sie die letzten Schritte trotzdem im Browser ausführen.
Voraussetzungen
Um die Verfahren in diesem Artikel auszuführen, benötigen Sie Folgendes:
Ein in Defender for IoT integrierter OT-Sensor im Azure-Portal.
OT-Sensorsoftware, die auf Ihrer Appliance installiert ist. Stellen Sie sicher, dass Sie die Software entweder selbst installiert oder eine vorkonfigurierte Appliance erworben haben.
Die Aktivierungsdatei des Sensors, die nach dem Onboarding Ihres Sensors heruntergeladen wurde. Sie benötigen eine eindeutige Aktivierungsdatei für jeden OT-Sensor, den Sie bereitstellen.
Alle aus dem Azure-Portal heruntergeladenen Dateien sind vom Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.
Hinweis
Aktivierungsdateien laufen 14 Tage nach der Erstellung ab. Wenn Sie ein Onboarding für Ihren Sensor durchführt haben, die Aktivierungsdatei jedoch nicht vor ihrem Ablauf hochgeladen haben, laden Sie eine neue Aktivierungsdatei herunter.
Ein SSL/TLS-Zertifikat Es wird empfohlen, ein von der Zertifizierungsstelle signiertes Zertifikat und kein selbstsigniertes Zertifikat zu verwenden. Weitere Informationen finden Sie unter Erstellen von SSL-/TLS-Zertifikaten für OT-Appliances.
Greifen Sie auf die physische oder virtuelle Appliance zu, auf der Sie Ihren Sensor installieren. Weitere Informationen finden Sie unter Welche Appliances benötige ich?
Dieser Schritt wird von Ihren Bereitstellungsteams ausgeführt.
Konfigurieren des Setups über den Browser
Das Konfigurieren des Sensorsetups über den Browser umfasst die folgenden Schritte:
- Anmelden bei der Sensorkonsole und Ändern des Kennworts des Admin-Benutzers
- Definieren von Netzwerkdetails für den Sensor
- Definieren der zu überwachenden Schnittstellen
- Aktivieren des Sensors
- Konfigurieren von SSL/TLS-Zertifikateinstellungen
Anmelden bei der Sensorkonsole und Ändern des Standardkennworts
In diesem Verfahren wird beschrieben, wie Sie sich zum ersten Mal bei der OT-Sensorkonsole anmelden. Sie werden aufgefordert, das Standardkennwort für den Admin-Benutzer zu ändern.
So melden Sie sich bei Ihrem Sensor an:
Verwenden Sie in einem Browser die IP-Adresse
192.168.0.101
. Dabei handelt es sich um die Standard-IP-Adresse, die am Ende der Installation für Ihren Sensor angegeben wird.Die Seite für die Erstanmeldung wird angezeigt. Zum Beispiel:
Geben Sie die folgenden Anmeldeinformationen ein, und wählen Sie Anmelden aus:
- Benutzername:
admin
- Kennwort:
admin
Sie werden aufgefordert, ein neues Kennwort für den Admin-Benutzer zu definieren.
- Benutzername:
Geben Sie im Feld Neues Kennwort Ihr neues Kennwort ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.
Geben Sie im Feld Neues Kennwort bestätigen Ihr neues Kennwort erneut ein, und wählen Sie dann Erste Schritte aus.
Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.
Die Seite Defender for IoT | Übersicht wird mit der Registerkarte Verwaltungsschnittstelle geöffnet.
Definieren von Sensornetzwerkdetails
Verwenden Sie auf der Registerkarte Verwaltungsschnittstelle die folgenden Felder, um Netzwerkdetails für Ihren neuen Sensor zu definieren:
Wenn Sie fertig sind, wählen Sie Weiter: Schnittstellenkonfigurationen aus, um fortzufahren.
Definieren der zu überwachenden Schnittstellen
Auf der Registerkarte Schnittstellenkonfigurationen werden standardmäßig alle vom Sensor erkannten Schnittstellen angezeigt. Verwenden Sie diese Registerkarte, um die Überwachung pro Schnittstelle zu aktivieren oder zu deaktivieren, oder definieren Sie bestimmte Einstellungen für jede Schnittstelle.
Tipp
Es wird empfohlen, die Leistung ihres Sensors zu optimieren, indem Sie Ihre Einstellungen so konfigurieren, dass nur die aktiv verwendeten Schnittstellen überwacht werden.
Führen Sie auf der Registerkarte Schnittstellenkonfigurationen die folgenden Schritte aus, um Einstellungen für Ihre überwachten Schnittstellen zu konfigurieren:
Wählen Sie die Umschaltfläche Aktivieren/Deaktivieren für alle Schnittstellen aus, die vom Sensor überwacht werden sollen. Sie müssen mindestens eine Assembly auswählen, um den Vorgang fortsetzen zu können.
Wenn Sie nicht sicher sind, welche Schnittstelle verwendet werden soll, wählen Sie LED der physischen Schnittstelle blinken lassen aus, damit der ausgewählte Port auf Ihrem Computer blinkt. Wählen Sie eine der Schnittstellen aus, die Sie mit Ihrem Switch verbunden haben.
(Optional) Wählen Sie für jede zu überwachende Schnittstelle die Schaltfläche Erweiterte Einstellungen aus, um eine der folgenden Einstellungen zu ändern:
Name Beschreibung Mode Wählen Sie eines der folgenden Szenarien aus:
- SPAN-Datenverkehr (keine Kapselung), um die standardmäßige SPAN-Portspiegelung zu verwenden.
- ERSPAN, wenn Sie die ERSPAN-Spiegelung verwenden.
Weitere Informationen finden Sie unter Auswählen einer Methode zur Verkehrsspiegelung für OT-Sensoren.Beschreibung Geben Sie eine optionale Beschreibung für die Schnittstelle ein. Diese wird später auf der Seite Systemeinstellungen > Schnittstellenkonfigurationen des Sensors angezeigt und kann hilfreich sein, um den Zweck der einzelnen Schnittstellen zu verstehen. Automatische Aushandlung Nur für physische Computer relevant. Verwenden Sie diese Option, um zu bestimmen, welche Art von Kommunikationsmethoden verwendet wird oder ob die Kommunikationsmethoden automatisch zwischen Komponenten definiert werden.
Wichtig: Es wird empfohlen, diese Einstellung nur auf Anraten Ihres Netzwerkteams zu ändern.Wählen Sie Speichern aus, um die Änderungen zu speichern.
Wählen Sie Weiter: Neustart > aus, um fortzufahren, und dann Neu starten, um Den Sensorcomputer neu zu starten. Nachdem der Sensor erneut gestartet wurde, werden Sie automatisch an die IP-Adresse weitergeleitet, die Sie zuvor als Ihre Sensor-IP-Adresse definiert haben.
Wählen Sie Abbrechen aus, um auf den Neustart zu warten.
Aktivieren Ihres OT-Sensors
In diesem Verfahren wird beschrieben, wie Sie Ihren neuen OT-Sensor aktivieren.
Wenn Sie die Ersteinstellungen bisher über die CLI konfiguriert haben, starten Sie in diesem Schritt die browserbasierte Konfiguration. Nach dem Neustart des Sensors werden Sie auf derselben Seite Defender for IoT | Übersicht zur Registerkarte Aktivierung weitergeleitet.
So aktivieren Sie Ihren Sensor
- Wählen Sie auf der Registerkarte Aktivierung die Option Hochladen aus, um die Aktivierungsdatei hochzuladen, die Sie aus dem Azure-Portal heruntergeladen haben.
- Wählen Sie die Option „Geschäftsbedingungen“ und dann aktivieren aus.
- Wählen Sie Weiter: Zertifikate aus.
Definieren von SSL/TLS-Zertifikateinstellungen
Verwenden Sie die Registerkarte Zertifikate, um ein SSL/TLS-Zertifikat auf Ihrem OT-Sensor bereitzustellen. Die Verwendung eines von der Zertifizierungsstelle signierten Zertifikats für alle Produktionsumgebungen wird empfohlen.
So definieren Sie die SSL/TLS-Zertifikateinstellungen:
Wählen Sie auf der Registerkarte Zertifikate die Option Vertrauenswürdiges Zertifizierungsstellenzertifikat importieren (empfohlen) aus, um ein von der Zertifizierungsstelle signiertes Zertifikat bereitzustellen.
Geben Sie den Zertifikatnamen und die Passphrase ein, und wählen Sie dann Hochladen aus, um Ihre Datei für den privaten Schlüssel, die Zertifikatdatei und eine optionale Zertifikatkettendatei hochzuladen.
Möglicherweise müssen Sie die Seite aktualisieren, nachdem Sie Ihre Dateien hochgeladen haben. Weitere Informationen finden Sie unter Problembehandlung für Fehler beim Hochladen von Zertifikaten.
Tipp
Wenn Sie in einer Testumgebung arbeiten, können Sie auch das selbstsignierte Zertifikat verwenden, das während der Installation lokal generiert wird. Wenn Sie ein selbstsigniertes Zertifikat verwenden möchten, stellen Sie sicher, dass Sie die Option Bestätigen für die Empfehlungen auswählen.
Weitere Informationen finden Sie unter Verwalten von SSL/TLS-Zertifikaten.
Wählen Sie im Bereich Validierung des Zertifikats für die lokale Verwaltungskonsole die Option Obligatorisch aus, um das Zertifikat einer lokalen Verwaltungskonsole anhand einer Zertifikatsperrliste (Certificate Revocation List, CRL) zu überprüfen, wie in Ihrem Zertifikat konfiguriert.
Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.
Wählen Sie Fertig stellen aus, um die Ersteinrichtung abzuschließen und die Sensorkonsole zu öffnen.
Konfigurieren des Setups über die CLI
Verwenden Sie dieses Verfahren, um die folgenden Einstellungen für die Ersteinrichtung über die CLI zu konfigurieren:
- Anmelden bei der Sensorkonsole und Festlegen eines neuen Admin-Benutzerkennworts
- Definieren von Netzwerkdetails für den Sensor
- Definieren der zu überwachenden Schnittstellen
Fahren Sie mit der Aktivierung und Konfiguration der SSL/TLS-Zertifikateinstellungen im Browser fort.
So konfigurieren Sie die Einstellungen für die Ersteinrichtung über die CLI:
Drücken Sie auf dem Installationsbildschirm, nachdem die Standardnetzwerkdetails angezeigt wurden, die EINGABETASTE, um fortzufahren.
Melden Sie sich nach der
D4Iot login
-Eingabeaufforderung mit den folgenden Standardanmeldeinformationen an:- Benutzername:
admin
- Kennwort:
admin
Wenn Sie Ihr Kennwort eingeben, werden die Kennwortzeichen nicht auf dem Bildschirm angezeigt. Stellen Sie sicher, dass Sie sie sorgfältig eingeben.
- Benutzername:
Geben Sie nach der Eingabeaufforderung ein neues Kennwort für den Admin-Benutzer ein. Ihr Kennwort muss Klein- und Großbuchstaben, Zahlen und Symbole enthalten.
Wenn Sie zur Bestätigung Ihres Kennworts aufgefordert werden, geben Sie Ihr neues Kennwort erneut ein. Weitere Informationen finden Sie unter Standardbenutzer mit Privilegien.
Der
Package configuration
-Konfigurations-Assistent wird geöffnet. Drücken Sie in diesem Assistenten die NACH-OBEN- bzw. NACH-UNTEN-TASTE, um zu navigieren, und die LEERTASTE, um eine Option auszuwählen. Drücken Sie die EINGABETASTE, um zum nächsten Bildschirm zu gelangen.Wählen Sie auf dem Bildschirm
Select monitor interfaces
des Assistenten eine der Schnittstellen aus, die Sie mit diesem Sensor überwachen möchten.Das System wählt die erste gefundene Schnittstelle als Verwaltungsschnittstelle aus, und es wird empfohlen, die Standardauswahl beizubehalten. Wenn Sie einen anderen Port als Verwaltungsschnittstelle verwenden, wird die Änderung erst nach dem Neustart des Sensors implementiert. Stellen Sie in solchen Fällen sicher, dass der Sensor bei Bedarf angeschlossen ist.
Zum Beispiel:
Wichtig
Achten Sie darauf, nur Schnittstellen auszuwählen, die verbunden sind.
Wenn Sie Schnittstellen auswählen, die aktiviert, aber nicht verbunden sind, wird für den Sensor im Azure-Portal die Integritätsbenachrichtigung Kein Datenverkehr überwacht angezeigt. Wenn Sie nach der Installation weitere Datenverkehrsquellen verbinden und diese mit Defender for IoT überwachen möchten, können Sie sie später über die Befehlszeilenschnittstelle hinzufügen.
Wählen Sie auf dem Bildschirm
Select management interface
die Schnittstelle aus, die Sie verwenden möchten, um eine Verbindung mit dem Azure-Portal oder einem lokalen Verwaltungskonsole herzustellen.Zum Beispiel:
Geben Sie auf dem Bildschirm
Enter sensor IP address
die IP-Adresse ein, die Sie für diesen Sensor verwenden möchten. Verwenden Sie diese IP-Adresse, um eine Verbindung mit dem Sensor über die CLI oder den Browser herzustellen. Zum Beispiel:Geben Sie auf dem Bildschirm
Enter path to the mounted backups folder
den Pfad zu den bereitgestellten Sicherungen des Sensors ein. Die Verwendung des Standardpfads/opt/sensor/persist/backups
wird empfohlen. Zum Beispiel:Geben Sie auf dem Bildschirm
Enter Subnet Mask
die IP-Adresse für die Subnetzmaske des Sensors ein. Beispiel:Geben Sie auf dem Bildschirm
Enter Gateway
die Standard-IP-Adresse des Gateways des Sensors ein. Beispiel:Geben Sie auf dem Bildschirm
Enter DNS server
die IP-Adresse des DNS-Servers des Sensors ein. Beispiel:Geben Sie auf dem Bildschirm
Enter hostname
einen Namen ein, den Sie als Sensorhostname verwenden möchten. Stellen Sie sicher, dass Sie denselben Hostnamen verwenden, der auf dem DNS-Server definiert ist. Zum Beispiel:Wählen Sie auf dem Bildschirm
Run this sensor as a proxy server (Preview)
die Option<Yes>
nur dann aus, wenn Sie einen Proxy konfigurieren möchten, und geben Sie dann die Proxyanmeldeinformationen wie aufgefordert ein. Weitere Informationen finden Sie unter Konfigurieren von Proxyeinstellungen auf einem OT-Sensor.Die Standardkonfiguration ist ohne Proxy.
Der Konfigurationsprozess beginnt mit der Ausführung, startet neu und fordert Sie dann auf, sich erneut anzumelden. Zum Beispiel:
Öffnen Sie an diesem Punkt einen Browser mit der IP-Adresse, die Sie für Ihren Sensor definiert haben, und fahren Sie mit der Einrichtung im Browser fort. Weitere Informationen finden Sie unter Aktivieren des OT-Sensors.
Hinweis
Während der Ersteinrichtung sind Optionen für ERSPAN-Überwachungsports nur in der browserbasierten Prozedur verfügbar.
Wenn Sie Ihre Netzwerkdetails über die CLI definieren und ERSPAN-Überwachungsports einrichten möchten, tun Sie dies anschließend über die Seite Einstellungen > Schnittstellenverbindungen des Sensors. Weitere Informationen finden Sie unter Aktualisieren der Überwachungsschnittstellen eines Sensors (Konfigurieren von ERSPAN).