Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tutorial irá ajudá-lo a aprender a instalar e autenticar o micro agente do Defender para IoT.
Neste tutorial, irá aprender a:
- Transferir e instalar o micro agente
- Autenticar o micro agente
- Validar a instalação
- Testar o sistema
- Instalar uma versão específica do micro agente
Nota
O Defender para IoT planeia extinguir o micro agente a 1 de agosto de 2025.
Pré-requisitos
Uma conta Azure com uma subscrição ativa. Crie uma conta gratuitamente.
Um hub IoT.
Verifique se está a executar um dos seguintes sistemas operativos.
Tem de ter ativado Microsoft Defender para IoT no seu Hub IoT do Azure.
Tem de ter adicionado um grupo de recursos à sua solução de IoT.
Tem de ter criado um módulo duplo do micro agente do Defender para IoT.
Transferir e instalar o micro agente
Consoante a configuração, o pacote Microsoft adequado terá de ser instalado.
Para adicionar o repositório de pacotes da Microsoft adequado:
Transfira a configuração do repositório que corresponde ao sistema operativo do dispositivo.
Para ubuntu 18.04:
curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.listPara ubuntu 20.04:
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.listPara Debian 9 (AMD64 e ARM64):
curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
Utilize o seguinte comando para copiar a configuração do repositório para o
sources.list.ddiretório:sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/Instale a chave pública do Microsoft GPG com o seguinte comando:
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/Certifique-se de que atualizou o apt com o seguinte comando:
sudo apt-get updateUtilize o seguinte comando para instalar o pacote de micro agente do Defender para IoT no Debian ou distribuições de Linux baseadas no Ubuntu:
sudo apt-get install defender-iot-micro-agent
Ligar através de um proxy
Este procedimento descreve como pode ligar o micro agente do Defender para IoT ao Hub IoT através de um proxy.
Para configurar ligações através de um proxy:
No seu computador micro agente, crie um
/etc/defender_iot_micro_agent/conf.jsonficheiro com o seguinte conteúdo:{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }Os campos utilizador e palavra-passe são opcionais. Se não precisar deles, utilize a seguinte sintaxe:
{ "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>", "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol" }Elimine qualquer ficheiro em cache em /var/lib/defender_iot_micro_agent/cache.json.
Reinicie o micro agente. Executar:
sudo systemctl restart defender-iot-micro-agent.service
Adicionar suporte de protocolo AMQP
Este procedimento descreve os passos adicionais necessários para suportar o protocolo AMQP.
Para adicionar suporte de protocolo AMQP:
No seu computador micro agente, abra o
/etc/defender_iot_micro_agent/conf.jsonficheiro e adicione o seguinte conteúdo:{ "IothubModule_TransportProtocol": "AMQP_Protocol" }Elimine qualquer ficheiro em cache em /var/lib/defender_iot_micro_agent/cache.json.
Reinicie o micro agente. Executar:
sudo systemctl restart defender-iot-micro-agent.service
Para adicionar suporte de protocolo AMQP através de socket Web:
No seu computador micro agente, abra o
/etc/defender_iot_micro_agent/conf.jsonficheiro e adicione o seguinte conteúdo:{ "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol" }Elimine qualquer ficheiro em cache em /var/lib/defender_iot_micro_agent/cache.json.
Reinicie o micro agente. Executar:
sudo systemctl restart defender-iot-micro-agent.service
O agente utilizará este protocolo e comunicará com o Hub IoT na porta 443. A configuração do Proxy HTTP é suportada para este protocolo. No caso de o proxy também estar configurado, a porta de comunicação com o proxy será definida na configuração do proxy.
Autenticar o micro agente
Existem duas opções que podem ser utilizadas para autenticar o micro agente do Defender para IoT:
Autenticar com uma identidade de módulo cadeia de ligação
Terá de copiar a identidade do módulo cadeia de ligação a partir dos detalhes da identidade do módulo DefenderIoTMicroAgent.
Para copiar o cadeia de ligação da identidade do módulo:
Navegue para o Hub IoT>
Your hub>Dispositivos de gestão> dedispositivos.
Selecione um dispositivo na lista ID do Dispositivo.
Selecione o separador Identidades do Módulo .
Selecione o módulo DefenderIotMicroAgent na lista de identidades de módulo associadas ao dispositivo.
Copie a Cadeia de ligação (chave primária) ao selecionar o botão copiar .
Crie um ficheiro com o nome
connection_string.txtque contém o cadeia de ligação copiado codificado em utf-8 no caminho do diretório/etc/defender_iot_micro_agentdo agente do Defender para IoT ao introduzir o seguinte comando:sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'O
connection_string.txtestará agora localizado na seguinte localização/etc/defender_iot_micro_agent/connection_string.txtdo caminho .Nota
O cadeia de ligação inclui uma chave que permite o acesso direto ao próprio módulo, pelo que inclui informações confidenciais que só devem ser utilizadas e legíveis pelos utilizadores raiz.
Reinicie o serviço com este comando:
sudo systemctl restart defender-iot-micro-agent.service
Autenticar com um certificado
Para autenticar com um certificado:
Para obter um certificado, siga estas instruções.
Coloque a parte pública codificada por PEM do certificado e a chave privada, em , nos
/etc/defender_iot_micro_agentficheiros denominadoscertificate_public.pemecertificate_private.pem.Coloque o cadeia de ligação adequado no
connection_string.txtficheiro. O cadeia de ligação deverá ter o seguinte aspeto:HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=trueEsta cadeia alerta o agente do Defender para IoT para esperar que seja fornecido um certificado para autenticação.
Reinicie o serviço com o seguinte comando:
sudo systemctl restart defender-iot-micro-agent.service
Validar a instalação
Para validar a instalação:
Utilize o seguinte comando para garantir que o micro agente está a ser executado corretamente:
systemctl status defender-iot-micro-agent.serviceCertifique-se de que o serviço está estável ao certificar-se de que é
activee que o tempo de atividade do processo é adequado.
Testar o sistema
Pode testar o sistema ao criar um ficheiro de acionador no dispositivo. O ficheiro de acionador fará com que a análise da linha de base no agente detete o ficheiro como uma violação da linha de base.
Crie um ficheiro no sistema de ficheiros com o seguinte comando:
sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txtCertifique-se de que a área de trabalho do Log Analytics está anexada ao hub IoT. Para obter mais informações, veja Criar uma área de trabalho do Log Analytics.
Reinicie o agente com o comando :
sudo systemctl restart defender-iot-micro-agent.service
Aguarde até uma hora para que a recomendação seja apresentada no hub.
É criada uma recomendação de linha de base denominada "IoT_CISBenchmarks_DIoTTest". Pode consultar esta recomendação no Log Analytics da seguinte forma:
SecurityRecommendation
| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"
| where DeviceId contains "<device-id>"
| top 1 by TimeGenerated desc
Por exemplo:
Instalar uma versão específica do micro agente
Pode instalar uma versão específica do micro agente com um comando específico.
Para instalar uma versão específica do micro agente do Defender para IoT:
Abra um terminal.
Execute o seguinte comando:
sudo apt-get install defender-iot-micro-agent=<version>
Recursos de limpeza
Não existem recursos para limpar.