Tutoriel : Installation du micro-agent Defender pour IoT

Ce tutoriel va vous aider à découvrir comment installer et authentifier le micro-agent Defender pour IoT.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Un IoT Hub.

• Vérifiez que vous exécutez l’un des systèmes d’exploitation suivants.

• Vous devez avoir activé Microsoft Defender pour IoT sur votre hub IoT Azure.

• Vous devez avoir ajouté un groupe de ressources à votre solution IoT.

• Vous devez avoir créé un jumeau de module pour le micro-agent Defender pour IoT.

Télécharger et installer le micro-agent

En fonction de votre configuration, le package Microsoft approprié doit être installé.

Pour ajouter le référentiel de packages Microsoft approprié :

1. Téléchargez la configuration du référentiel correspondant au système d’exploitation de votre appareil.

   • Pour Ubuntu 18.04 :

     curl https://packages.microsoft.com/config/ubuntu/18.04/multiarch/prod.list > ./microsoft-prod.list
     

   • Pour Ubuntu 20.04 :

         curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list > ./microsoft-prod.list
     

   • Pour Debian 9 (AMD64 et ARM64) :

     curl https://packages.microsoft.com/config/debian/stretch/multiarch/prod.list > ./microsoft-prod.list
     

2. Utilisez la commande suivante pour copier la configuration du référentiel dans le répertoire sources.list.d :

   sudo cp ./microsoft-prod.list /etc/apt/sources.list.d/
   

3. Installez la clé publique Microsoft GPG à l’aide de la commande suivante :

   curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
   sudo cp ./microsoft.gpg /etc/apt/trusted.gpg.d/
   

4. Assurez-vous que vous avez mis à jour la source apt à l’aide de la commande suivante :

   sudo apt-get update
   

5. Utilisez la commande suivante pour installer le package du micro-agent Defender pour IoT sur Debian ou sur des distributions Linux basées sur Ubuntu :

   sudo apt-get install defender-iot-micro-agent 
   

Connexion via un proxy

Cette procédure explique comment connecter le micro-agent Defender pour IoT à IoT Hub via un proxy.

Pour configurer des connexions via un proxy :

1. Sur l’ordinateur du micro-agent, créez un fichier /etc/defender_iot_micro_agent/conf.json avec le contenu suivant :

   {
       "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>,<username>,<password>",
       "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
   }
   

   Les champs utilisateur et mot de passe sont facultatifs. Si vous n’en avez pas besoin, utilisez plutôt la syntaxe suivante :

   {
       "IothubModule_ProxyConfig": "<proxy_ipv4>,<port>",
       "IothubModule_TransportProtocol": "MQTT_WebSocket_Protocol"
   }
   
   

2. Supprimez tout fichier mis en cache dans /var/lib/defender_iot_micro_agent/cache.json.

3. Redémarrez le micro-agent. Exécutez :

   sudo systemctl restart defender-iot-micro-agent.service
   

Ajouter la prise en charge du protocole AMQP

Cette procédure décrit les étapes supplémentaires requises pour prendre en charge le protocole AMQP.

Pour ajouter la prise en charge du protocole AMQP :

1. Sur l’ordinateur du micro-agent, ouvrez le fichier /etc/defender_iot_micro_agent/conf.json et ajoutez le contenu suivant :

   {
   "IothubModule_TransportProtocol": "AMQP_Protocol"
   }
   

2. Supprimez tout fichier mis en cache dans /var/lib/defender_iot_micro_agent/cache.json.

3. Redémarrez le micro-agent. Exécutez :

   sudo systemctl restart defender-iot-micro-agent.service
   

Pour ajouter la prise en charge du protocole AMQP sur un socket web :

1. Sur l’ordinateur du micro-agent, ouvrez le fichier /etc/defender_iot_micro_agent/conf.json et ajoutez le contenu suivant :

   {
   "IothubModule_TransportProtocol": "AMQP_WebSocket_Protocol"
   }
   

2. Supprimez tout fichier mis en cache dans /var/lib/defender_iot_micro_agent/cache.json.

3. Redémarrez le micro-agent. Exécutez :

   sudo systemctl restart defender-iot-micro-agent.service
   

L’agent utilise ce protocole et communique avec le hub IoT sur le port 443. La configuration du proxy HTTP est prise en charge pour ce protocole. Dans le cas où le proxy est également configuré, le port de communication avec le proxy est défini dans la configuration du proxy.

Authentifier le micro-agent

Deux options peuvent être utilisées pour authentifier le micro-agent Defender pour IoT :

• Authentifier à l’aide d’une chaîne de connexion d’identité de module.

• Authentifier avec un certificat.

Authentifier à l’aide d’une chaîne de connexion d’identité de module

Vous devez copier la chaîne de connexion d’identité de module à partir des détails de l’identité du module DefenderIoTMicroAgent.

Pour copier la chaîne de connexion de l’identité de module :

1. Accédez à IoT Hub>Your hub>Gestion des appareils>Appareils.

   

2. Sélectionnez un appareil dans la liste ID d’appareil.

3. Sélectionnez l’onglet Identités de module.

4. Sélectionnez le module DefenderIotMicroAgent dans la liste des identités de module associées à l’appareil.

   

5. Copiez la chaîne de connexion (clé primaire) en sélectionnant le bouton Copier.

   

6. Créez un fichier nommé connection_string.txt contenant la chaîne de connexion copiée codée au format UTF-8 dans le chemin /etc/defender_iot_micro_agent du répertoire de l’agent IoT pour le cloud en entrant la commande suivante :

   sudo bash -c 'echo "<connection string>" > /etc/defender_iot_micro_agent/connection_string.txt'
   

   Le fichier connection_string.txt doit maintenant se trouver dans l’emplacement de chemin suivant : /etc/defender_iot_micro_agent/connection_string.txt.

   Notes

   La chaîne de connexion comprend une clé qui permet un accès direct au module lui-même, et contient par conséquent des informations sensibles qui doivent être utilisées et lisibles uniquement par les utilisateurs racines.

7. Redémarrez le service à l’aide de cette commande :

   sudo systemctl restart defender-iot-micro-agent.service 
   

S’authentifier à l’aide d’un certificat

Pour s’authentifier à l’aide d’un certificat :

1. Procurez-vous un certificat en suivant ces instructions.

2. Placez la partie publique encodée au format PEM du certificat, et la clé privée, dans /etc/defender_iot_micro_agent, dans des fichiers appelés certificate_public.pem et certificate_private.pem.

3. Placez la chaîne de connexion appropriée dans le fichier connection_string.txt. La chaîne de connexion doit ressembler à ceci :

   HostName=<the host name of the iot hub>;DeviceId=<the id of the device>;ModuleId=<the id of the module>;x509=true

   Cette chaîne alerte l’agent Defender pour IoT, afin de demander qu’un certificat soit fourni pour l’authentification.

4. Redémarrez le service à l’aide de la commande suivante :

   sudo systemctl restart defender-iot-micro-agent.service
   

validation de l'installation

Pour valider votre installation :

1. Utilisez la commande suivante pour vérifier que le micro-agent s’exécute correctement :

   systemctl status defender-iot-micro-agent.service
   

2. Vérifiez que le service est stable en contrôlant qu’il est actif (active) et que la durée du bon fonctionnement du processus est appropriée

   

Tester le système

Vous pouvez tester le système en créant un fichier déclencheur sur l’appareil. Le fichier déclencheur fait en sorte que l’analyse de ligne de base effectuée dans l’agent détecte le fichier comme une violation de la ligne de base.

1. Créez un fichier sur le système de fichiers avec la commande suivante :

   sudo touch /tmp/DefenderForIoTOSBaselineTrigger.txt
   

2. Vérifiez que votre espace de travail Log Analytics est attaché à votre hub IoT. Pour plus d’informations, consultez Créer un espace de travail Log Analytics.

3. Redémarrez l’agent à l’aide de la commande :

   sudo systemctl restart defender-iot-micro-agent.service
   

Patientez jusqu’à une heure pour que la recommandation apparaisse dans le hub.

Une recommandation de ligne de base appelée « IoT_CISBenchmarks_DIoTTest » est créée. Vous pouvez interroger cette suggestion à partir de Log Analytics comme suit :

SecurityRecommendation

| where RecommendationName contains "IoT_CISBenchmarks_DIoTTest"

| where DeviceId contains "<device-id>"

| top 1 by TimeGenerated desc

Par exemple :

Installer une version de micro-agent spécifique

Vous pouvez installer une version spécifique du micro-agent à l’aide d’une commande spécifique.

Pour installer une version spécifique du micro-agent Defender pour IoT :

1. Ouvrez un terminal.

2. Exécutez la commande suivante :

   sudo apt-get install defender-iot-micro-agent=<version>
   

Nettoyer les ressources

Il n’y a pas de ressources à nettoyer.

Étapes suivantes