Öğretici: Sanal OT algılayıcısı ekleme ve etkinleştirme

Bu öğreticide IoT için Microsoft Defender OT algılayıcısını ayarlamanın temelleri, IoT için Microsoft Defender deneme aboneliğini ve kendi sanal makinenizi kullanarak açıklanmaktadır.

Tam, uçtan uca dağıtım için sisteminizi planlama ve hazırlama adımlarını izlediğinizden ve ayarlarınızı tam olarak ayarlayıp hassas ayarlar yaptığınızdan emin olun. Daha fazla bilgi için bkz . OT izleme için IoT için Defender'ı dağıtma.

Not

Kurumsal IoT sistemleri için güvenlik izlemeyi ayarlamak istiyorsanız bkz . Uç Nokta için Defender'da Kurumsal IoT güvenliğini etkinleştirme.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Algılayıcı için vm oluşturma
  • Sanal algılayıcı ekleme
  • Sanal SPAN bağlantı noktası yapılandırma
  • Bulut yönetimi için sağlama
  • Sanal algılayıcı için yazılım indirme
  • Sanal algılayıcı yazılımını yükleme
  • Sanal algılayıcıyı etkinleştirme

Önkoşullar

Başlamadan önce aşağıdakilere sahip olduğunuzdan emin olun:

  • Tamamlandı Hızlı Başlangıç: IoT için Defender'a bir Azure aboneliği eklemek için IoT için Defender'ı kullanmaya başlayın.

  • Güvenlik Yöneticisi, Katkıda Bulunan veya Sahip olarak Azure portalına erişim. Daha fazla bilgi için bkz . IoT için Defender ile OT ve Enterprise IoT izleme için Azure kullanıcı rolleri.

  • SPAN bağlantı noktası üzerinden trafik izlemeyi destekleyen bir ağ anahtarınız olduğundan emin olun. Ayrıca, anahtarın SPAN bağlantı noktasına bağlı en az bir cihaz izlemeniz gerekir.

  • VMware, ESXi 5.5 veya üzeri, algılayıcınıza yüklenmiş ve çalışır durumda.

  • VM'niz için kullanılabilir donanım kaynakları şu şekildedir:

    Dağıtım türü Kurumsal Kurumsal SMB
    En fazla bant genişliği 2,5 Gb/sn 800 Mb/sn 160 Mb/sn
    En fazla korumalı cihaz sayısı 12,000 Kategori 10,000 800
  • Sanal gereçlerle OT izlemeyi anlama.

  • Algılayıcı gereciniz için kullanılacak aşağıdaki ağ parametrelerinin ayrıntıları:

    • Yönetim ağı IP adresi
    • Algılayıcı alt ağ maskesi
    • Gereç ana bilgisayar adı
    • DNS adresi
    • Varsayılan ağ geçidi
    • Tüm giriş arabirimleri

Algılayıcınız için vm oluşturma

Bu yordamda VMware ESXi ile algılayıcınız için vm oluşturma işlemi açıklanmaktadır.

IoT için Defender, Hyper-V veya fiziksel algılayıcılar kullanma gibi diğer işlemleri de destekler. Daha fazla bilgi için bkz . IoT için Defender yüklemesi.

Algılayıcınız için vm oluşturmak için:

  1. VMware'in makinenizde çalıştığından emin olun.

  2. ESXi'de oturum açın, ilgili veri depolarını seçin ve Datastore Browser'ı seçin.

  3. Resmi karşıya yükleyin ve Kapat'ı seçin.

  4. Sanal Makineler gidin ve ardından VM Oluştur/Kaydet'i seçin.

  5. Yeni sanal makine oluştur'u ve ardından İleri'yi seçin.

  6. Bir algılayıcı adı ekleyin ve aşağıdaki seçenekleri tanımlayın:

    • Uyumluluk: <en son ESXi sürümü>

    • Konuk işletim sistemi ailesi: Linux

    • Konuk işletim sistemi sürümü: Debian

  7. İleri'yi seçin.

  8. İlgili veri depoyu seçin ve İleri'yi seçin.

  9. Sanal donanım parametrelerini gereksinimleriniz için gerekli belirtimlere göre değiştirin. Daha fazla bilgi için yukarıdaki Önkoşullar bölümündeki tabloya bakın.

VM'niz artık IoT için Defender yazılım yüklemenize hazır. Bu öğreticinin ilerleyen bölümlerinde azure portalında algılayıcınızı ekleyip trafik yansıtmayı yapılandırdıktan ve makineyi bulut yönetimi için sağladıktan sonra yazılımı yükleyerek devam edersiniz.

Sanal algılayıcıyı ekleme

IoT için Defender algılayıcınızı kullanmaya başlamadan önce yeni sanal algılayıcınızı Azure aboneliğinize eklemeniz gerekir.

Sanal algılayıcıyı eklemek için:

  1. Azure portalında IoT > için Defender Başlarken sayfasına gidin.

  2. Sol alt kısımda OT/ICS Güvenliğini Ayarla'yı seçin.

    Alternatif olarak, IoT Siteleri ve algılayıcılar için Defender sayfasındaN Ot algılayıcısı>OT'yi ekleme'yi seçin.

    Varsayılan olarak, OT/ICS Güvenliğini Ayarla sayfasında, 1. Adım: Algılayıcı mı ayarladınız? ve 2. Adım: SPAN bağlantı noktasını yapılandırma veya sihirbazın TAP'i daraltılır.

    Dağıtım işleminin ilerleyen bölümlerinde yazılım yükleyecek ve trafik yansıtmayı yapılandıracaksınız, ancak gereçlerinizin hazır ve trafik yansıtma yönteminin planlı olması gerekir.

  3. 3. Adım: Bu algılayıcıyı IoT için Microsoft Defender'a kaydedin bölümünde aşağıdaki değerleri tanımlayın:

    Alan adı Açıklama
    Kaynak adı Algılayıcılarınızı eklemek istediğiniz siteyi seçin veya yeni bir site oluşturmak için Site oluştur'u seçin.

    Yeni bir site oluşturuyorsanız:
    1. Yeni site alanına sitenizin adını girin ve onay işareti düğmesini seçin.
    2. Site boyutu menüsünden sitenizin boyutunu seçin. Bu menüde listelenen boyutlar, Microsoft 365 yönetim merkezi satın aldığınız lisanslara göre lisansladığınız boyutlardır.
    Görünen ad IoT için Defender'da gösterilecek siteniz için anlamlı bir ad girin.
    Etiketler Azure portalında sitenizi ve algılayıcınızı tanımlamanıza ve bulmanıza yardımcı olması için etiket anahtarını ve değerlerini girin.
    Bölge OT algılayıcınız için kullanmak istediğiniz bölgeyi seçin veya yeni bir tane oluşturmak için Bölge oluştur'u seçin.

    Daha fazla bilgi için bkz . OT sitelerini ve bölgelerini planlama.

  4. Diğer tüm alanları tamamladığınızda Algılayıcınızı IoT için Defender'a eklemek için Kaydet'i seçin. Başarılı iletisi görüntülenir ve etkinleştirme dosyanız otomatik olarak indirilir. Etkinleştirme dosyası algılayıcınız için benzersizdir ve algılayıcınızın yönetim moduyla ilgili yönergeler içerir.

    Azure portalından indirilen tüm dosyalar güven kökü tarafından imzalanarak makinelerinizin yalnızca imzalı varlıkları kullanması sağlanır.

  5. İndirilen etkinleştirme dosyasını, algılayıcıyı etkinleştirebilmesi için konsolunda ilk kez oturum açmış olan kullanıcının erişebileceği bir konuma kaydedin.

    Algılayıcınızı etkinleştirin kutusunda ilgili bağlantıyı seçerek dosyayı el ile de indirebilirsiniz. Aşağıda açıklandığı gibi algılayıcınızı etkinleştirmek için bu dosyayı kullanacaksınız.

  6. Giden izin kuralları ekle kutusunda Uç nokta ayrıntılarını indir bağlantısını seçerek algılayıcınızdan güvenli uç nokta olarak yapılandırmanız gereken uç noktaların JSON listesini indirin.

    İndirilen dosyayı yerel olarak kaydedin. Yeni algılayıcınızın Azure'a başarıyla bağlanabilmesini sağlamak için bu öğreticinin devamında indirilen dosyada listelenen uç noktaları kullanın.

    İpucu

    Gerekli uç noktaların listesine Siteler ve algılayıcılar sayfasından da erişebilirsiniz. Daha fazla bilgi için bkz . Azure portalındaki Algılayıcı yönetimi seçenekleri.

  7. Sayfanın sol alt kısmında Son'u seçin. Artık Yeni algılayıcınızı IoT için Defender Siteleri ve algılayıcılar sayfasında görebilirsiniz.

    Algılayıcınızı etkinleştirene kadar algılayıcının durumu Etkinleştirme Bekleniyor olarak gösterilir.

Daha fazla bilgi için bkz . Azure portalında IoT için Defender ile algılayıcıları yönetme.

SPAN bağlantı noktası yapılandırma

Sanal anahtarların yansıtma özellikleri yoktur. Ancak bu öğretici için sanal anahtar ortamında rastgele modu kullanarak sanal anahtardan geçen tüm ağ trafiğini görüntüleyebilirsiniz.

Bu yordamda, VMware ESXi ile geçici bir çözüm kullanarak SPAN bağlantı noktasının nasıl yapılandırıldığı açıklanır.

Not

Promiscuous modu, sanal anahtarın ağ trafiğini görüntülemek için sanal anahtarla aynı bağlantı noktası grubu düzeyindeki vm arabirimleri için bir işletim modu ve güvenlik izleme tekniğidir. Promiscuous modu varsayılan olarak devre dışıdır, ancak sanal anahtar veya bağlantı noktası grubu düzeyinde tanımlanabilir.

ESXi v-Switch'te Promiscuous moduyla bir izleme arabirimi yapılandırmak için:

  1. vSwitch özellikleri sayfasını açın ve Standart sanal anahtar ekle'yi seçin.

  2. Ağ etiketi olarak SPAN Ağı girin.

  3. MTU alanına 4096 girin.

  4. Güvenlik'i seçin ve Promiscuous Mode ilkesinin Kabul modu olarak ayarlandığını doğrulayın.

  5. vSwitch özelliklerini kapatmak için Ekle'yi seçin.

  6. Oluşturduğunuz vSwitch'i vurgulayın ve Yukarı bağlantı ekle'yi seçin.

  7. SPAN trafiği için kullanacağınız fiziksel NIC'yi seçin, MTU'yu 4096 olarak değiştirin ve kaydet'i seçin.

  8. Bağlantı Noktası Grubu özellikleri sayfasını açın ve Bağlantı Noktası Grubu Ekle'yi seçin.

  9. Ad olarak SPAN Bağlantı Noktası Grubu yazın, VLAN kimliği olarak 4095 girin ve vSwitch açılan listesinde SPAN Ağı'nı seçin ve ardından Ekle'yi seçin.

  10. OT Algılayıcısı VM özelliklerini açın.

  11. Ağ Bağdaştırıcısı 2 için SPAN ağını seçin.

  12. Tamam'ı seçin.

  13. Algılayıcıya bağlanın ve yansıtmanın çalıştığını doğrulayın.

Trafik yansıtmayı doğrulama

Trafik yansıtmayı yapılandırdıktan sonra, SPAN veya yansıtma bağlantı noktasından kaydedilmiş trafiğin (PCAP dosyası) bir örneğini almayı deneyin.

Örnek bir PCAP dosyası size yardımcı olur:

  • Anahtar yapılandırmasını doğrulama
  • Anahtarınızdan geçen trafiğin izleme için uygun olduğunu onaylayın
  • Anahtar tarafından algılanan bant genişliğini ve tahmini cihaz sayısını belirleme
  1. Birkaç dakika boyunca örnek bir PCAP dosyası kaydetmek için Wireshark gibi bir ağ protokolü çözümleyicisi uygulaması kullanın. Örneğin, bir dizüstü bilgisayarı trafik izlemeyi yapılandırdığınız bir bağlantı noktasına bağlayın.

  2. Tek noktaya yayın paketlerinin kayıt trafiğinde mevcut olup olmadığını denetleyin. Tek noktaya yayın trafiği, adresten diğerine gönderilen trafiktir.

    Trafiğin çoğu ARP iletileriyse, trafik yansıtma yapılandırmanız doğru değildir.

  3. OT protokollerinizin analiz edilen trafikte mevcut olduğunu doğrulayın.

    Örneğin:

    Wireshark doğrulamasının ekran görüntüsü.

Bulut yönetimi için sağlama

Bu bölümde uç noktaları güvenlik duvarı kurallarında tanımlayacak şekilde yapılandırma ve OT algılayıcılarınızın Azure'a bağlanabilmesini sağlama açıklanmaktadır.

Daha fazla bilgi için bkz . Algılayıcıları Azure'a bağlama yöntemleri.

Uç nokta ayrıntılarını yapılandırmak için:

Gerekli uç noktaların listesini görüntülemek için daha önce indirdiğiniz dosyayı açın. Algılayıcınızın 443 numaralı bağlantı noktası üzerinden gerekli uç noktaların her birine erişebilmesi için güvenlik duvarı kurallarınızı yapılandırın.

İpucu

Gerekli uç noktaların listesini Azure portalındaki Siteler ve algılayıcılar sayfasından da indirebilirsiniz. Siteler ve algılayıcılar>Diğer eylemler>Uç nokta ayrıntılarını indir'e gidin. Daha fazla bilgi için bkz . Azure portalındaki Algılayıcı yönetimi seçenekleri.

Daha fazla bilgi için bkz . Bulut yönetimi için algılayıcı sağlama.

Sanal algılayıcınız için yazılım indirme

Bu bölümde algılayıcı yazılımının kendi makinenize nasıl indirilip yükleneceği açıklanmaktadır.

Sanal algılayıcılarınız için yazılım indirmek için:

  1. Azure portalında IoT > için Defender Başlarken sayfasına gidin ve Algılayıcı sekmesini seçin.

  2. Alet satın al ve yazılım yükle kutusunda, en son ve önerilen yazılım sürümü için varsayılan seçeneğin belirlendiğinden emin olun ve ardından İndir'i seçin.

  3. İndirilen yazılımı VM'nizden erişilebilen bir konuma kaydedin.

Azure portalından indirilen tüm dosyalar güven kökü tarafından imzalanarak makinelerinizin yalnızca imzalı varlıkları kullanması sağlanır.

Algılayıcı yazılımını yükleme

Bu yordamda vm'nize algılayıcı yazılımının nasıl yükleneceği açıklanır.

Not

Bu işlemin sonuna doğru cihazınızın kullanıcı adları ve parolaları size sunulacaktır. Bu parolalar yeniden sunulmayacağı için bunları kopyaladığınızdan emin olun.

Yazılımı sanal algılayıcıya yüklemek için:

  1. VM'nizi kapattıysanız ESXi'de yeniden oturum açın ve VM ayarlarınızı açın.

  2. CD/DVD Sürücü 1 için Datastore ISO dosyası'nı seçin ve daha önce indirdiğiniz IoT için Defender yazılımını seçin.

  3. İleri>Son seçeneğini belirleyin.

  4. VM'yi açın ve bir konsol açın.

  5. Yükleme önyüklemesi yapıldığında, yükleme işlemini başlatmanız istenir. Devam etmek veya 30 saniye sonra otomatik olarak başlatılmasını sağlamak için iot-sensor-<version number> öğesini yükle öğesini seçin. Örneğin:

    İlk yükleme ekranının ekran görüntüsü.

    Not

    Eski bir BIOS sürümü kullanıyorsanız bir dil seçmeniz istenir ve yükleme seçenekleri orta yerine sol üst kısımda gösterilir. İstendiğinde devam etmek için iot-sensor yükle seçeneğini<version number> belirleyin English .

    Yükleme başlar ve size güncelleştirilmiş durum iletileri verir. Yükleme işleminin tamamı 20-30 dakika kadar sürer ve kullandığınız medya türüne bağlı olarak değişebilir.

    Yükleme tamamlandığında aşağıdaki varsayılan ağ ayrıntıları kümesi gösterilir.

    IP: 172.23.41.83,
    SUBNET: 255.255.255.0,
    GATEWAY: 172.23.41.1,
    UID: 91F14D56-C1E4-966F-726F-006A527C61D
    

İlk kurulum ve etkinleştirme için algılayıcınıza erişmek için sağlanan varsayılan IP adresini kullanın.

Yükleme sonrası doğrulama

Bu yordam, algılayıcının kendi sistem durumu denetimlerini kullanarak yüklemenizi doğrulamayı açıklar ve varsayılan yönetici kullanıcı tarafından kullanılabilir.

Yüklemenizi doğrulamak için:

  1. OT algılayıcısında kullanıcı olarak oturum admin açın.

  2. Sistem Ayarları>Algılayıcı yönetimi>Sistem Durumu Denetimi'ne tıklayın.

  3. Aşağıdaki komutları seçin:

    • Sistemin çalışıp çalışmadığını denetlemek için alet . Her satır öğesinin Çalışıyor olarak gösterildiğini ve son satırın Sistem'in çalıştığını belirttiğini doğrulayın.
    • Doğru sürümün yüklü olduğunu doğrulama sürümü.
    • ifconfig komutunu kullanarak yükleme sırasında yapılandırılan tüm giriş arabirimlerinin çalıştığını doğrulayın.

Ağ geçidi, DNS veya güvenlik duvarı denetimleri gibi daha fazla yükleme sonrası doğrulama testi için bkz . OT algılayıcısı yazılım yüklemesini doğrulama.

İlk kurulumu tanımlama

Aşağıdaki yordamda algılayıcınızın ilk kurulum ayarlarının nasıl yapılandırıldığı açıklanır:

  • Algılayıcı konsolunda oturum açma ve yönetici kullanıcı parolasını değiştirme
  • Algılayıcınız için ağ ayrıntılarını tanımlama
  • İzlemek istediğiniz arabirimleri tanımlama
  • Algılayıcınızı etkinleştirme
  • SSL/TLS sertifika ayarlarını yapılandırma

Algılayıcı konsolunda oturum açın ve varsayılan parolayı değiştirin

Bu yordamda OT algılayıcı konsolunda ilk kez nasıl oturum açıldığı açıklanır. Yönetici kullanıcı için varsayılan parolayı değiştirmeniz istenir.

Algılayıcınızda oturum açmak için:

  1. Tarayıcıda, yüklemenin 192.168.0.101 sonunda algılayıcınız için sağlanan varsayılan IP adresi olan IP adresine gidin.

    İlk oturum açma sayfası görüntülenir. Örneğin:

    İlk algılayıcı oturum açma sayfasının ekran görüntüsü.

  2. Aşağıdaki kimlik bilgilerini girin ve Oturum Aç'ı seçin:

    • Kullanıcı adı: support
    • Parola: support

    Yönetici kullanıcı için yeni bir parola tanımlamanız istenir.

  3. Yeni parola alanına yeni parolanızı girin. Parolanız küçük ve büyük harfli alfabetik karakterler, sayılar ve simgeler içermelidir.

    Yeni parolayı onayla alanına yeni parolanızı yeniden girin ve başlarken'i seçin.

    Daha fazla bilgi için bkz . Varsayılan ayrıcalıklı kullanıcılar.

IoT için Defender | Yönetim arabirimi sekmesinde Genel Bakış sayfası açılır.

Algılayıcı ağ ayrıntılarını tanımlama

Yönetim arabirimi sekmesinde, yeni algılayıcınızın ağ ayrıntılarını tanımlamak için aşağıdaki alanları kullanın:

Veri Akışı Adı Açıklama
Yönetim arabirimi Yönetim arabirimi olarak kullanmak istediğiniz arabirimi seçin ve Azure portalına bağlanın.

Makinenizdeki fiziksel bir arabirimi tanımlamak için bir arabirim seçin ve ardından Yanıp sönen fiziksel arabirim LED'i seçin. Kablonuzu doğru şekilde bağlayabilmeniz için seçilen arabirimle eşleşen bağlantı noktası yanar.
IP Address Algılayıcınız için kullanmak istediğiniz IP adresini girin. Bu, ekibinizin tarayıcı veya CLI aracılığıyla algılayıcıya bağlanmak için kullanacağı IP adresidir.
Alt Ağ Maskesi Algılayıcının alt ağ maskesi olarak kullanmak istediğiniz adresi girin.
Varsayılan Ağ Geçidi Algılayıcının varsayılan ağ geçidi olarak kullanmak istediğiniz adresi girin.
DNS Algılayıcının DNS sunucusu IP adresini girin.
Ana Bilgisayar Adı Algılayıcıya atamak istediğiniz ana bilgisayar adını girin. DNS sunucusunda tanımlanan ana bilgisayar adını kullandığınızdan emin olun.

Bu öğreticinin iyiliği için, Bulut bağlantısı için ara sunucuyu etkinleştir (İsteğe bağlı) alanında ara sunucu yapılandırmalarını atlayın.

İşiniz bittiğinde devam etmek için İleri: Arabirim yapılandırmaları'na tıklayın.

İzlemek istediğiniz arabirimleri tanımlama

Arabirim bağlantıları sekmesi, algılayıcı tarafından varsayılan olarak algılanan tüm arabirimleri gösterir. İzlemeyi arabirim başına açmak veya kapatmak ya da her arabirim için belirli ayarları tanımlamak için bu sekmeyi kullanın.

İpucu

Ayarlarınızı yalnızca etkin olarak kullanımda olan arabirimleri izleyecek şekilde yapılandırarak algılayıcınızın performansını iyileştirmenizi öneririz.

Arabirim yapılandırmaları sekmesinde, izlenen arabirimlerinizin ayarlarını yapılandırmak için aşağıdakileri yapın:

  1. Algılayıcının izlemesini istediğiniz arabirimler için Etkinleştir/Devre Dışı Bırak düğmesini seçin. Devam etmek için en az bir arabirim seçmelisiniz.

    Hangi arabirimi kullanacağınızdan emin değilseniz, seçili bağlantı noktasının makinenizde yanıp sönmesi için Fiziksel arabirim LED'ini yanıp sönme düğmesini seçin. Anahtarınıza bağladığınız arabirimlerden herhangi birini seçin.

  2. Bu öğretici için gelişmiş ayarları atlayın ve devam etmek için İleri: Yeniden başlat'ı > seçin.

  3. İstendiğinde algılayıcı makinenizi yeniden başlatmak için Yeniden başlatmayı başlat'ı seçin. Algılayıcı yeniden başlatıldıktan sonra otomatik olarak daha önce algılayıcı IP adresiniz olarak tanımladığınız IP adresine yönlendirilirsiniz.

    Yeniden başlatmayı beklemek için İptal'i seçin.

OT algılayıcınızı etkinleştirme

Bu yordamda yeni OT algılayıcınızın nasıl etkinleştirileceği açıklanır.

Algılayıcınızı etkinleştirmek için:

  1. Etkinleştirme sekmesinde Karşıya Yükle'yi seçerek algılayıcının Azure portalından indirdiğiniz etkinleştirme dosyasını karşıya yükleyin.

  2. Hüküm ve koşullar seçeneğini belirleyin ve ardından İleri: Sertifikalar'ı seçin.

SSL/TLS sertifika ayarlarını tanımlama

OT algılayıcınızda SSL/TLS sertifikası dağıtmak için Sertifikalar sekmesini kullanın. Tüm üretim ortamları için CA imzalı bir sertifika kullanmanızı öneririz ancak bu öğretici için otomatik olarak imzalanan bir sertifika kullanmayı seçin.

SSL/TLS sertifika ayarlarını tanımlamak için:

  1. Sertifikalar sekmesinde Yerel olarak oluşturulan otomatik olarak imzalanan sertifikayı kullan (Önerilmez) seçeneğini belirleyin ve ardından Onayla seçeneğini belirleyin.

    Daha fazla bilgi için bkz . Şirket içi kaynaklar için SSL/TLS sertifika gereksinimleri ve OT gereçleri için SSL/TLS sertifikaları oluşturma.

  2. İlk kurulumu tamamlamak ve algılayıcı konsolunuzu açmak için Son'u seçin.

Sonraki adımlar