使用企业 IoT 网络传感器发现企业 IoT 设备（公共预览版）

本文介绍如何在 Microsoft Defender for IoT 中注册企业 IoT 网络传感器。

具有企业 IoT 网络传感器的 Microsoft Defender XDR 客户可在 Microsoft Defender XDR 或 Defender for IoT 的“设备清单”中查看所有发现的设备。 对于新发现的设备，你还将从 Microsoft Defender XDR 的更多警报、漏洞和建议中获得额外的安全价值。

如果你是仅在 Azure 门户中工作的 Defender for IoT 客户，企业 IoT 网络传感器可为 OT 网络传感器可能未覆盖的企业 IoT 设备提供额外的设备可见性，例如 IP 电话 (VoIP) 设备、打印机和相机。

针对企业 IoT 传感器发现的设备的 Defender for IoT 警报和建议仅在 Azure 门户中可用。

有关详细信息，请参阅保护企业中的 IoT 设备。

先决条件

本部分介绍了在部署企业 IoT 网络传感器之前所需的先决条件。

Azure 要求

• 若要在 Microsoft Defender XDR 中查看 Defender for IoT 数据（包括设备、警报、建议和漏洞），必须在 Microsoft Defender XDR 中开启“企业 IoT 安全性”。

  如果只想在 Azure 门户中查看数据，则不需要 Microsoft Defender XDR。 注册网络传感器后，还可以在 Microsoft Defender XDR 中开启“企业 IoT 安全性”，从而为组织带来额外的设备可见性和安全价值。

• 确保可以安全管理员、参与者或所有者用户的身份访问 Azure 门户。 如果你还没有 Azure 帐户，可以立即创建免费 Azure 帐户。

网络要求

• 确定要监视的设备和子网，以便了解在网络中放置企业 IoT 传感器的位置。 你可能想要部署多个企业 IoT 传感器。

• 在网络中配置流量镜像，以便将要监视的流量镜像到企业 IoT 传感器。 支持的流量镜像方法与用于 OT 监视的方法相同。 有关详细信息，请参阅选择用于流量监视的流量镜像方法。

物理或虚拟机要求

分配物理设备或虚拟机 (VM) 用作网络传感器。 请确保计算机具有以下规范：

计算机还必须具有：

• Ubuntu 18.04 服务器操作系统。 如果尚未安装 Ubuntu，请将安装文件下载到外部存储（如 DVD 或闪存盘），然后将其安装在设备或 VM 上。 有关详细信息，请参阅 Ubuntu 图像刻录指南。

• 网络适配器，至少一个用于交换机监视 (SPAN) 端口，一个用于管理端口以访问传感器的用户界面

企业 IoT 传感器必须能够使用直接连接访问 Azure 云。 使用与 OT 传感器相同的配置过程为企业 IoT 传感器配置直接连接。 有关详细信息，请参阅预配传感器以进行云管理。

准备物理设备或 VM

此过程说明如何准备物理设备或 VM 以安装企业 IoT 网络传感器软件。

准备设备：

1. 将网络接口 (NIC) 从物理设备或 VM 连接到交换机，如下所示：

   • 物理设备 - 通过铜缆或光缆将监视 NIC 直接连接到 SPAN 端口。

   • VM - 将 vNIC 连接到 vSwitch，并将 vSwitch 安全设置配置为接受混杂模式。 有关详细信息，请参阅（例如）为虚拟设备配置 SPAN 监视接口。

2. 登录到物理设备或 VM，并运行以下命令来验证监视端口的传入流量：

   ifconfig
   

   系统显示所有受监视接口的列表。

   标识要监视的接口，这些接口通常是未列出 IP 地址的接口。 与传入流量的接口显示越来越多的 RX 数据包。

3. 对于要监视的每个接口，请运行以下命令以在网络适配器中启用“混杂模式”：

   ifconfig <monitoring port> up promisc
   

   其中，<monitoring port> 为要监视的接口。 针对要监视的每个接口重复此步骤。

4. 通过在防火墙中打开以下端口来确保网络连接：

   协议	Transport	输入/输出	端口	用途
   HTTPS	TCP	输入/输出	443	云连接
   DNS	TCP/UDP	输入/输出	53	地址解析

5. 确保你的物理设备或 VM 可以在端口 443 上使用 HTTP 访问云，并可访问以下 Microsoft 终结点：

   • 事件中心：*.servicebus.windows.net
   • 存储：*.blob.core.windows.net
   • 下载中心：download.microsoft.com
   • IoT 中心：*.azure-devices.net

   提示

   你也可以下载 Azure 公共 IP 范围，这样防火墙将允许上述指定的 Azure 终结点及其区域。

   Azure 公共 IP 范围每周更新一次。 Azure 至少在一周后才会使用文件中显示的新范围。 要使用此选项，请每周下载新的 json 文件，并在网站上执行必要的更改以正确地标识 Azure 中运行的服务。

在 Defender for IoT 中注册企业 IoT 传感器

本部分介绍如何在 Defender for IoT 中注册企业 IoT 传感器。 完成传感器注册后，将继续在传感器计算机上安装企业 IoT 监视软件。

在 Azure 门户中注册传感器：

1. 转到“Defender for IoT”>“站点和传感器”，然后选择“加入传感器”>“EIoT”。

2. 在“设置企业 IoT 安全性”页上，输入以下详细信息，然后选择“注册”：

   • 在“传感器名称”字段中，为传感器输入一个有意义的名称。
   • 从“订阅”下拉菜单中，选择要在其中添加传感器的订阅。

   “传感器注册成功”屏幕将显示后续步骤以及开始安装传感器所需的命令。

   例如：

   

3. 将命令复制到可将其复制到物理设备或 VM 的安全位置，以安装传感器软件。

安装企业 IoT 传感器软件

此过程介绍如何在传感器计算机（物理设备或 VM）上安装企业 IoT 监视软件。

要安装传感器软件：

1. 在传感器计算机上，使用 PuTTY 或 MobaXterm 等终端登录到传感器的 CLI。

2. 运行从传感器注册步骤复制的命令。 例如：

   

   该过程会检查是否已安装所需的 Docker 版本。 如果未安装，传感器安装也会安装最新的 Docker 版本。

   命令过程完成后，将显示 Ubuntu“配置 microsoft-eiot-sensor”向导。 在此向导中，使用向上或向下箭头进行导航，并使用空格键选择一个选项。 按 ENTER 可进入下一屏幕。

3. 在“配置 microsoft-eiot-sensor”向导中的“受监视接口的名称是什么?”屏幕上，选择要使用传感器监视的一个或多个接口，然后选择“确定”。

   例如：

   

4. 在“设置代理服务器”屏幕中，选择是否为传感器设置代理服务器。 例如：

   

   如果要设置代理服务器，请选择“是”，然后定义代理服务器主机、端口、用户名和密码，并在每个选项后选择“确定”。

   安装需要数分钟才能完成。

5. 在Azure 门户中，检查“站点和传感器”页现在是否列出了新传感器。

   例如：

   

在“站点和传感器”页中，企业 IoT 传感器全都会自动添加到同一站点，即名为“企业网络”的站点。 有关详细信息，请参阅在 Azure 门户中使用 Defender for IoT 管理传感器。

查看新的检测到的企业 IoT 设备

验证设置后，Defender for IoT“设备清单”页面将在 15 分钟后开始填充传感器检测到的新设备。

如果你是具有旧版企业 IoT 计划的 Defender for Endpoint 客户，则可以在 Defender for IoT 和 Microsoft Defender XDR 的“设备清单”页中查看所有检测到的设备。 检测到的设备包括 Defender for Endpoint 检测到的设备和企业 IoT 传感器检测到的设备。

有关详细信息，请参阅从 Azure 门户管理设备清单和 Microsoft Defender XDR 设备发现。

删除企业 IoT 网络传感器

如果某个传感器不再与 Defender for IoT 一起使用，请删除该传感器。

1. 从 Azure 门户的“站点和传感器”页中，在网格中找到传感器。

2. 在传感器的行中，依次选择“...”选项菜单>“删除传感器”。

有关详细信息，请参阅在 Azure 门户中使用 Defender for IoT 管理传感器。

如果要使用 Microsoft Defender XDR 取消企业 IoT 安全性，请从 Microsoft Defender 门户执行此操作。 有关详细信息，请参阅关闭企业 IoT 安全性。

后续步骤

• 适用于企业 IoT 部署的额外步骤和示例

• 在 Azure 门户中管理传感器

• 从 Azure 门户查看和管理警报。 有关详细信息，请参阅恶意软件引擎警报。

• 借助安全建议改善安全态势