Tutorial: Instalar o microagente do Defender para IoT

Este tutorial ensinará você a instalar e autenticar o microagente do Defender para IoT.

Neste tutorial, você aprenderá a:

  • Baixar e instalar o microagente
  • Autenticar o microagente
  • validar a instalação
  • Testar o sistema
  • Instalar uma versão específica do microagente

Pré-requisitos

Baixar e instalar o microagente

Dependendo da sua configuração, será necessário instalar o pacote da Microsoft apropriado.

Para adicionar o repositório de pacotes da Microsoft apropriado:

  1. Baixe a configuração do repositório que corresponda ao sistema operacional do seu dispositivo.

    • Para o Ubuntu 18.04:

      curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
      
    • Para o Ubuntu 20.04:

          curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
      
    • Para o Debian 9 (AMD64 e ARM64):

      curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
      
  2. Use o seguinte comando para copiar a configuração do repositório para o diretório sources.list.d:

    sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
    
  3. Instale a chave pública do Microsoft GPG com o seguinte comando:

    curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
    sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
    
  4. Confirme se você atualizou o apt usando o seguinte comando:

    sudo apt-get update
    
  5. Use o seguinte comando para instalar o pacote do microagente do Defender para IoT no Debian e nas distribuições do Linux baseadas em Ubuntu:

    sudo apt-get install defender-iot-micro-agent 
    

Conectar por meio de um proxy

Este procedimento descreve como você pode conectar o microagente do Defender para IoT ao Hub IoT por meio de um proxy.

Para configurar conexões por meio de um proxy:

  1. No computador do microagente, crie um arquivo /etc/defender_iot_micro_agent/conf.json com o seguinte conteúdo:

    {
        "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>",
        "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
    }
    

    Os campos de usuário e senha são opcionais. Se você não precisar deles, em vez disso, use a seguinte sintaxe:

    {
        "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>",
        "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
    }
    
    
  2. Exclua qualquer arquivo armazenado em cache em /var/lib/defender_iot_micro_agent/cache.json.

  3. Reinicie o microagente. Execute:

    sudo systemctl restart defender-iot-micro-agent.service
    

Adicionar suporte ao protocolo AMQP

Este procedimento descreve as etapas adicionais necessárias para dar suporte ao protocolo AMQP.

Para adicionar suporte ao protocolo AMQP:

  1. No computador do microagente, abra o arquivo /etc/defender_iot_micro_agent/conf.json e adicione o seguinte conteúdo:

    {
    "IothubModule_TransportProtocol": "AMQP_Protocol"
    }
    
  2. Exclua qualquer arquivo armazenado em cache em /var/lib/defender_iot_micro_agent/cache.json.

  3. Reinicie o microagente. Execute:

    sudo systemctl restart defender-iot-micro-agent.service
    

Para adicionar o AMQP por meio do suporte ao protocolo de soquete da Web:

  1. No computador do microagente, abra o arquivo /etc/defender_iot_micro_agent/conf.json e adicione o seguinte conteúdo:

    {
    "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol"
    }
    
  2. Exclua qualquer arquivo armazenado em cache em /var/lib/defender_iot_micro_agent/cache.json.

  3. Reinicie o microagente. Execute:

    sudo systemctl restart defender-iot-micro-agent.service
    

O agente usará esse protocolo e se comunicará com o Hub IoT na porta 443. Há suporte para a configuração de Proxy HTTP para esse protocolo, caso o proxy também esteja configurado, a porta de comunicação com o proxy será definida na configuração do proxy.

Autenticar o microagente

Há duas opções que podem ser usadas para autenticar o microagente do Defender para IoT:

Autenticar-se usando uma cadeia de conexão de identidade do módulo

Você precisará copiar a cadeia de conexão de identidade do módulo dos detalhes de identidade do módulo DefenderIoTMicroAgent.

Para copiar a cadeia de conexão da identidade do módulo:

  1. Navegue até Hub IoT>Your hub>Gerenciamento de dispositivos>Dispositivos.

    Selecione os dispositivos IoT no menu à esquerda.

  2. Selecione um dispositivo na lista ID do dispositivo.

  3. Selecione a guia Identidades do módulo.

  4. Selecione o módulo DefenderIotMicroAgent na lista de identidades de módulo associadas ao dispositivo.

    Selecione as identidades do módulo na guia.

  5. Copie a cadeia de conexão (chave primária) selecionando o botão copiar.

    Selecione o botão Copiar para copiar a cadeia de conexão (chave primária).

  6. Crie um arquivo chamado connection_string.txt contendo a cadeia de conexão copiada codificada em UTF-8 no caminho /etc/defender_iot_micro_agent do diretório do agente do Defender para IoT inserindo o seguinte comando:

    sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
    

    O connection_string.txt agora estará na localização do caminho /etc/defender_iot_micro_agent/connection_string.txt.

    Observação

    A cadeia de conexão inclui uma chave que permite o acesso direto ao próprio módulo, portanto, inclui informações confidenciais que só devem ser usadas e lidas por usuários raiz.

  7. Reinicie o serviço usando este comando:

    sudo systemctl restart defender-iot-micro-agent.service 
    

Autenticar-se usando um certificado

Para se autenticar usando um certificado:

  1. Adquira um certificado seguindo estas instruções.

  2. Coloque a parte pública codificada por PEM do certificado e a chave privada, em /etc/defender_iot_micro_agent, nos arquivos chamados certificate_public.pem e certificate_private.pem.

  3. Coloque a cadeia de conexão apropriada no arquivo connection_string.txt. A cadeia de conexão terá a seguinte aparência:

    HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true

    Essa cadeia de caracteres alerta o agente do Defender para IoT que ele deve esperar que um certificado seja fornecido para autenticação.

  4. Reinicie o serviço usando o seguinte comando:

    sudo systemctl restart defender-iot-micro-agent.service
    

validar a instalação

Para validar a instalação:

  1. Use o seguinte comando para verificar se o microagente está sendo executado corretamente:

    systemctl status defender-iot-micro-agent.service
    
  2. Verifique se o serviço está estável confirmando se ele está como active e se o tempo de atividade do processo é apropriado.

    Verificar se o serviço está estável e ativo.

Testar o sistema

Você pode testar o sistema criando um arquivo de gatilho no dispositivo. O arquivo de gatilho fará com que a verificação de linha de base no agente detecte o arquivo como uma violação de linha de base.

  1. Crie um arquivo no sistema de arquivos com o seguinte comando:

    sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
    
  2. Verifique se o workspace do Log Analytics está anexado ao seu Hub IoT. Para obter mais informações, confira Criar um workspace do Log Analytics.

  3. Reinicie o agente usando o comando:

    sudo systemctl restart defender-iot-micro-agent.service
    

Aguarde até uma hora para que a recomendação seja exibida no hub.

Uma recomendação de linha de base chamada 'IoT_CISBenchmarks_DIoTTest ' é criada. Você pode consultar essa recomendação no Log Analytics, da seguinte maneira:

SecurityRecommendation

| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"

| where DeviceId contains "<device-id>"

| top 1 by TimeGenerated desc

Por exemplo:

Captura de tela da execução da consulta IoT_CISBenchmarks_DIoTTest no Log Analytics.

Instalar uma versão específica do microagente

Você pode instalar uma versão específica do microagente usando um comando específico.

Para instalar uma versão específica do microagente do Defender para IoT:

  1. Abra um terminal.

  2. Execute o comando a seguir:

    sudo apt-get install defender-iot-micro-agent=<version>
    

Limpar os recursos

Não há recursos para limpar.

Próximas etapas