Esercitazione: Eseguire l'onboarding e attivare un sensore OT virtuale

  • Articolo

Questa esercitazione descrive le nozioni di base per configurare un sensore OT di Microsoft Defender per IoT, usando una sottoscrizione di valutazione di Microsoft Defender per IoT e la propria macchina virtuale.

Per una distribuzione completa end-to-end, assicurarsi di seguire i passaggi per pianificare e preparare il sistema e anche calibrare e ottimizzare completamente le impostazioni. Per altre informazioni, vedere Distribuire Defender per IoT per il monitoraggio OT.

Nota

Per configurare il monitoraggio della sicurezza per i sistemi IoT aziendali, vedere Abilitare la sicurezza IoT aziendale in Defender per endpoint.

In questa esercitazione apprenderai a:

  • Creare una macchina virtuale per il sensore
  • Onboarding di un sensore virtuale
  • Configurare una porta SPAN virtuale
  • Provisioning per la gestione del cloud
  • Scaricare il software per un sensore virtuale
  • Installare il software del sensore virtuale
  • Attivare il sensore virtuale

Prerequisiti

Prima di iniziare, verificare di disporre degli elementi seguenti:

  • Avvio rapido completato : Introduzione a Defender per IoT in modo da avere una sottoscrizione di Azure aggiunta a Defender per IoT.

  • Accesso al portale di Azure come amministratore della sicurezza, collaboratore o proprietario. Per altre informazioni, vedere Ruoli utente di Azure per il monitoraggio di OT ed Enterprise IoT con Defender per IoT.

  • Assicurarsi di disporre di un commutatore di rete che supporta il monitoraggio del traffico tramite una porta SPAN. È anche necessario almeno un dispositivo da monitorare, connesso alla porta SPAN del commutatore.

  • VMware, ESXi 5.5 o versione successiva, installato e operativo nel sensore.

  • Risorse hardware disponibili per la macchina virtuale come indicato di seguito:

    Tipo di distribuzione Azienda Enterprise SMB
    Larghezza di banda massima 2,5 GB/sec 800 Mb/sec 160 MB/sec
    Numero massimo di dispositivi protetti 12,000 10,000 800

  • Conoscenza del monitoraggio OT con appliance virtuali.

  • Dettagli per i parametri di rete seguenti da usare per l'appliance del sensore:

    • Un indirizzo IP di rete di gestione
    • Una subnet mask del sensore
    • Un nome host dell'appliance
    • Un indirizzo DNS
    • Un gateway predefinito
    • Qualsiasi interfaccia di input

Creare una macchina virtuale per il sensore

Questa procedura descrive come creare una macchina virtuale per il sensore con VMware ESXi.

Defender per IoT supporta anche altri processi, ad esempio l'uso di hyper-V o sensori fisici. Per altre informazioni, vedere Installazione di Defender per IoT.

Per creare una macchina virtuale per il sensore:

  1. Assicurarsi che VMware sia in esecuzione nel computer.

  2. Accedere a ESXi, scegliere l'archivio dati pertinente e selezionare Browser archivio dati.

  3. Caricare l'immagine e selezionare Chiudi.

  4. Passare a Macchine virtuali e quindi selezionare Crea/Registra macchina virtuale.

  5. Selezionare Crea nuova macchina virtuale e quindi avanti.

  6. Aggiungere un nome di sensore e quindi definire le opzioni seguenti:

    • Compatibilità: <versione più recente di ESXi>

    • Famiglia di sistemi operativi guest: Linux

    • Versione del sistema operativo guest: Debian

  7. Selezionare Avanti.

  8. Scegliere l'archivio dati pertinente e selezionare Avanti.

  9. Modificare i parametri hardware virtuali in base alle specifiche necessarie per le proprie esigenze. Per altre informazioni, vedere la tabella nella sezione Prerequisiti precedente.

La macchina virtuale è ora preparata per l'installazione del software Defender per IoT. Si continuerà installando il software più avanti in questa esercitazione, dopo aver eseguito l'onboarding del sensore nel portale di Azure, configurato il mirroring del traffico ed è stato effettuato il provisioning del computer per la gestione cloud.

Eseguire l'onboarding del sensore virtuale

Prima di iniziare a usare il sensore Defender per IoT, è necessario eseguire l'onboarding del nuovo sensore virtuale nella sottoscrizione di Azure.

Per eseguire l'onboarding del sensore virtuale:

  1. Nella portale di Azure passare alla pagina Introduttiva di Defender per IoT>.

  2. In basso a sinistra selezionare Configura SICUREZZA OT/ICS.

    In alternativa, nella pagina Siti e sensori di Defender per IoT selezionare Onboard OT sensor OT (Onboard OT sensor>OT).

    Per impostazione predefinita, nella pagina Configura sicurezza OT/ICS, passaggio 1: è stato configurato un sensore? e passaggio 2: Configurare la porta SPAN o TAP della procedura guidata vengono compressi.

    Si installerà il software e si configurerà il mirroring del traffico in un secondo momento nel processo di distribuzione, ma le appliance devono essere pronte e il metodo di mirroring del traffico pianificato.

  3. Nel passaggio 3: Registrare questo sensore con Microsoft Defender per IoT, definire i valori seguenti:

    Nome del campo Descrizione
    Nome risorsa Selezionare il sito a cui collegare i sensori oppure selezionare Crea sito per creare un nuovo sito.

    Se si sta creando un nuovo sito:
    1. Nel campo Nuovo sito immettere il nome del sito e selezionare il pulsante del segno di spunta.
    2. Dal menu Dimensioni sito, selezionare le dimensioni del sito. Le dimensioni elencate in questo menu sono le dimensioni concesse in licenza, in base alle licenze acquistate nel interfaccia di amministrazione di Microsoft 365.
    Nome visualizzato Immettere un nome significativo per il sito da visualizzare in Defender per IoT.
    Tag Immettere la chiave e i valori dei tag per identificare e individuare il sito e il sensore nel portale di Azure.
    Zona Selezionare la zona da usare per il sensore OT oppure selezionare Crea zona per crearne una nuova.

    Per altre informazioni, vedere Pianificare siti e zone OT.

  4. Al termine di tutti gli altri campi, selezionare Registra per aggiungere il sensore a Defender per IoT. Viene visualizzato un messaggio di esito positivo e il file di attivazione viene scaricato automaticamente. Il file di attivazione è univoco per il sensore e contiene istruzioni sulla modalità di gestione del sensore.

    Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.

  5. Salvare il file di attivazione scaricato in un percorso che sarà accessibile all'utente che accede alla console per la prima volta in modo da poter attivare il sensore.

    È anche possibile scaricare manualmente il file selezionando il collegamento pertinente nella casella Attiva il sensore . Questo file verrà usato per attivare il sensore, come descritto di seguito.

  6. Nella casella Aggiungi regole consenti in uscita selezionare il collegamento Scarica dettagli endpoint per scaricare un elenco JSON degli endpoint che è necessario configurare come endpoint sicuri dal sensore.

    Salvare il file scaricato in locale. Usare gli endpoint elencati nel file scaricato più avanti in questa esercitazione per assicurarsi che il nuovo sensore possa connettersi correttamente ad Azure.

    Suggerimento

    È anche possibile accedere all'elenco degli endpoint necessari dalla pagina Siti e sensori . Per altre informazioni, vedere Opzioni di gestione dei sensori dal portale di Azure.

  7. Nella parte inferiore sinistra della pagina selezionare Fine. È ora possibile visualizzare il nuovo sensore elencato nella pagina Siti e sensori di Defender per IoT.

    Finché non si attiva il sensore, lo stato del sensore viene visualizzato come Attivazione in sospeso.

Per altre informazioni, vedere Gestire i sensori con Defender per IoT nella portale di Azure.

Configurare una porta SPAN

I commutatori virtuali non dispongono di funzionalità di mirroring. Tuttavia, ai fini di questa esercitazione è possibile usare la modalità promiscua in un ambiente commutatore virtuale per visualizzare tutto il traffico di rete che passa attraverso il commutatore virtuale.

Questa procedura descrive come configurare una porta SPAN usando una soluzione alternativa con VMware ESXi.

Nota

La modalità promiscua è una modalità operativa e una tecnica di monitoraggio della sicurezza per le interfacce di una macchina virtuale nello stesso livello di portgroup del commutatore virtuale per visualizzare il traffico di rete del commutatore. La modalità promiscua è disabilitata per impostazione predefinita, ma può essere definita a livello di commutatore virtuale o di portgroup.

Per configurare un'interfaccia di monitoraggio con la modalità Promiscuous in un commutatore v-Switch ESXi:

  1. Aprire la pagina delle proprietà vSwitch e selezionare Aggiungi commutatore virtuale standard.

  2. Immettere SPAN Network come etichetta di rete.

  3. Nel campo MTU immettere 4096.

  4. Selezionare Sicurezza e verificare che il criterio Modalità promiscua sia impostato su Modalità di accettazione .

  5. Selezionare Aggiungi per chiudere le proprietà vSwitch.

  6. Evidenziare il vSwitch creato e selezionare Aggiungi uplink.

  7. Selezionare la scheda di interfaccia di rete fisica che verrà usata per il traffico SPAN, impostare MTU su 4096 e quindi selezionare Salva.

  8. Aprire la pagina delle proprietà Gruppo di porte e selezionare Aggiungi gruppo di porte.

  9. Immettere SPAN Port Group come nome, immettere 4095 come ID VLAN e selezionare SPAN Network (Rete SPAN) nell'elenco a discesa vSwitch e quindi selezionare Aggiungi.

  10. Aprire le proprietà della macchina virtuale del sensore OT.

  11. Per Scheda di rete 2 selezionare la rete SPAN .

  12. Seleziona OK.

  13. Connettersi al sensore e verificare che il mirroring funzioni.

Convalidare il mirroring del traffico

Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dal commutatore SPAN o dalla porta di mirroring.

Un file PCAP di esempio consente di:

  • Convalidare la configurazione del commutatore
  • Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
  • Identificare la larghezza di banda e un numero stimato di dispositivi rilevati dal commutatore

  1. Usare un'applicazione di analisi di protocolli di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.

  2. Verificare che nel traffico di registrazione siano presenti pacchetti Unicast. Il traffico Unicast è il traffico inviato da un indirizzo a un altro.

    Se la maggior parte del traffico è costituita da messaggi ARP, la configurazione del mirroring del traffico non è corretta.

  3. Verificare che i protocolli OT siano presenti nel traffico analizzato.

    Ad esempio:

    Screenshot della convalida Wireshark.

Provisioning per la gestione del cloud

Questa sezione descrive come configurare gli endpoint da definire nelle regole del firewall, assicurandosi che i sensori OT possano connettersi ad Azure.

Per altre informazioni, vedere Metodi per la connessione dei sensori ad Azure.

Per configurare i dettagli dell'endpoint:

Aprire il file scaricato in precedenza per visualizzare l'elenco degli endpoint necessari. Configurare le regole del firewall in modo che il sensore possa accedere a ognuno degli endpoint necessari, sulla porta 443.

Suggerimento

È anche possibile scaricare l'elenco degli endpoint necessari dalla pagina Siti e sensori nella portale di Azure. Passare a Siti e sensori>Altre azioni>Scaricare i dettagli dell'endpoint. Per altre informazioni, vedere Opzioni di gestione dei sensori dal portale di Azure.

Per altre informazioni, vedere Effettuare il provisioning dei sensori per la gestione cloud.

Scaricare il software per il sensore virtuale

Questa sezione descrive come scaricare e installare il software del sensore nel proprio computer.

Per scaricare il software per i sensori virtuali:

  1. Nella portale di Azure passare alla pagina Attività iniziali di Defender per IoT > e selezionare la scheda Sensore.

  2. Nella casella Acquista un'appliance e installa software verificare che l'opzione predefinita sia selezionata per la versione software più recente e consigliata e quindi selezionare Scarica.

  3. Salvare il software scaricato in un percorso accessibile dalla macchina virtuale.

Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.

Installare il software dei sensori

Questa procedura descrive come installare il software del sensore nella macchina virtuale.

Nota

Verso la fine di questo processo verranno presentati i nomi utente e le password per il dispositivo. Assicurarsi di copiare queste password perché non verranno più presentate.

Per installare il software nel sensore virtuale:

  1. Se la macchina virtuale è stata chiusa, accedere di nuovo a ESXi e aprire le impostazioni della macchina virtuale.

  2. Per UNITÀ CD/DVD 1 selezionare File ISO archivio dati e selezionare il software Defender per IoT scaricato in precedenza.

  3. Selezionare Next>Finish (Avanti > Fine).

  4. Accendere la macchina virtuale e aprire una console.

  5. Quando l'installazione viene avviata, viene richiesto di avviare il processo di installazione. Selezionare l'elemento Install iot-sensor- (Installa sensore iot-<version number> ) per continuare o lasciare che venga avviato automaticamente dopo 30 secondi. Ad esempio:

    Screenshot della schermata di installazione iniziale.

    Nota

    Se si usa una versione legacy del BIOS, viene richiesto di selezionare una lingua e le opzioni di installazione vengono visualizzate in alto a sinistra anziché al centro. Quando richiesto, selezionare English e quindi l'opzione Installa iot-sensor-<version number> per continuare.

    L'installazione inizia, fornendo messaggi di stato aggiornati man mano che passa. L'intero processo di installazione richiede fino a 20-30 minuti e può variare a seconda del tipo di supporto in uso.

    Al termine dell'installazione, viene visualizzato il set di dettagli di rete predefinito seguente.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Usare l'indirizzo IP predefinito fornito per accedere al sensore per la configurazione iniziale e l'attivazione.

Convalida post-installazione

Questa procedura descrive come convalidare l'installazione usando i propri controlli di integrità del sistema del sensore ed è disponibile per l'utente amministratore predefinito.

Per convalidare l'installazione:

  1. Accedere al sensore OT come admin utente.

  2. Selezionare System Settings>Sensor management System Health Check (Controllo integrità sistema di gestione>del sistema).

  3. Selezionare i comandi seguenti:

    • Appliance per verificare che il sistema sia in esecuzione. Verificare che ogni voce di riga mostri In esecuzione e che l'ultima riga indichi che il sistema è attivo.
    • Versione per verificare che sia installata la versione corretta.
    • ifconfig per verificare che tutte le interfacce di input configurate durante l'installazione siano in esecuzione.

Per altri test di convalida post-installazione, ad esempio i controlli gateway, DNS o firewall, vedere Convalidare un'installazione software del sensore OT.

Definire la configurazione iniziale

La procedura seguente descrive come configurare le impostazioni di configurazione iniziali del sensore, tra cui:

  • Accesso alla console del sensore e modifica della password utente dell'amministratore
  • Definizione dei dettagli di rete per il sensore
  • Definizione delle interfacce da monitorare
  • Attivazione del sensore
  • Configurazione delle impostazioni del certificato SSL/TLS

Accedere alla console del sensore e modificare la password predefinita

Questa procedura descrive come accedere alla console del sensore OT per la prima volta. Viene richiesto di modificare la password predefinita per l'utente amministratore.

Per accedere al sensore:

  1. In un browser passare all'indirizzo IP 192.168.0.101, ovvero l'indirizzo predefinito fornito per il sensore alla fine dell'installazione.

    Viene visualizzata la pagina di accesso iniziale. Ad esempio:

    Screenshot della pagina di accesso iniziale del sensore.

  2. Immettere le credenziali seguenti e selezionare Accedi:

    • Nome utente: support
    • Password: support

    Viene chiesto di definire una nuova password per l'utente amministratore.

  3. Nel campo Nuova password immettere la nuova password. La password deve contenere caratteri alfabetici minuscoli e maiuscoli, numeri e simboli.

    Nel campo Conferma nuova password immettere di nuovo la nuova password e quindi selezionare Inizia.

    Per altre informazioni, vedere Utenti con privilegi predefiniti.

Si apre la pagina Defender per IoT | Panoramica e viene visualizzata la scheda Interfaccia di gestione.

Definire i dettagli della rete dei sensori

Nella scheda Interfaccia di gestione usare i campi seguenti per definire i dettagli di rete per il nuovo sensore:

Nome Descrizione
Interfaccia di gestione Selezionare l'interfaccia da usare come interfaccia di gestione e connettersi al portale di Azure.

Per identificare un'interfaccia fisica nel computer, selezionare un'interfaccia e quindi selezionare LED dell'interfaccia fisica lampeggiante. La porta che corrisponde all'interfaccia selezionata si accende in modo da poter collegare correttamente il cavo.
Indirizzo IP Immettere l'indirizzo IP da usare per il sensore. Questo è l'indirizzo IP che il team userà per connettersi al sensore tramite il browser o l'interfaccia della riga di comando.
Subnet mask Immettere l'indirizzo da usare come subnet mask del sensore.
Gateway predefinito Immettere l'indirizzo da usare come gateway predefinito del sensore.
DNS Immettere l'indirizzo IP del server DNS del sensore.
Hostname (Nome host) Immettere il nome host da assegnare al sensore. Assicurarsi di usare lo stesso nome host definito nel server DNS.

A scopo di questa esercitazione, lasciare ignorare le configurazioni proxy nell'area Abilita proxy per la connettività cloud (facoltativo).

Al termine, selezionare Avanti: Configurazioni dell'interfaccia per continuare.

Definire le interfacce da monitorare

La scheda Connessioni interfaccia mostra tutte le interfacce rilevate dal sensore per impostazione predefinita. Usare questa scheda per attivare o disattivare il monitoraggio per ogni interfaccia o definire impostazioni specifiche per ogni interfaccia.

Suggerimento

È consigliabile ottimizzare le prestazioni nel sensore configurando le impostazioni per monitorare solo le interfacce in uso.

Nella scheda Configurazioni interfaccia eseguire le operazioni seguenti per configurare le impostazioni per le interfacce monitorate:

  1. Selezionare l'interruttore Abilita/Disabilita per tutte le interfacce che si vuole monitorare dal sensore. È necessario selezionare almeno un'interfaccia per continuare.

    Se non si è certi dell'interfaccia da usare, selezionare il pulsante LED dell'interfaccia fisica lampeggiane per far lampeggiare la porta selezionata nel computer. Selezionare una delle interfacce connesse al commutatore.

  2. A scopo di questa esercitazione, ignorare le impostazioni avanzate e selezionare Avanti: Riavvia > per continuare.

  3. Quando richiesto, selezionare Avvia riavvio per riavviare il computer del sensore. Dopo l'avvio del sensore, si viene reindirizzati automaticamente all'indirizzo IP definito in precedenza come indirizzo IP del sensore.

    Selezionare Annulla per attendere il riavvio.

Attivare il sensore OT

Questa procedura descrive come attivare il nuovo sensore OT.

Per attivare il sensore:

  1. Nella scheda Attivazione selezionare Carica per caricare il file di attivazione del sensore scaricato dal portale di Azure.

  2. Selezionare l'opzione termini e condizioni e quindi selezionare Avanti: Certificati.

Definire le impostazioni del certificato SSL/TLS

Usare la scheda Certificati per distribuire un certificato SSL/TLS nel sensore OT. Sebbene sia consigliabile usare un certificato firmato dalla CA per tutti gli ambienti di produzione, per questo scopo, selezionare questa esercitazione per usare un certificato autofirmato.

Per definire le impostazioni del certificato SSL/TLS:

  1. Nella scheda Certificati selezionare Usa certificato autofirmato generato localmente (scelta non consigliata) e quindi selezionare l'opzione Conferma .

    Per altre informazioni, vedere Requisiti dei certificati SSL/TLS per le risorse locali e Creare certificati SSL/TLS per appliance OT.

  2. Selezionare Fine per completare la configurazione iniziale e aprire la console del sensore.

Passaggi successivi

Percorso di distribuzione completo per il monitoraggio OT