تكوين إعدادات مستشعر OT من مدخل Microsoft Azure (معاينة عامة)

  • مقالة

بعد إعداد مستشعر شبكة OT جديد إلى Microsoft Defender for IoT، قد تحتاج إلى تحديد العديد من الإعدادات مباشرة على وحدة تحكم أداة استشعار OT، مثل إضافة مستخدمين محليين.

تتوفر أيضا إعدادات مستشعر OT المدرجة في هذه المقالة مباشرة من مدخل Microsoft Azure. استخدم مدخل Microsoft Azure لتطبيق هذه الإعدادات بشكل مجمع عبر العديد من مستشعرات OT المتصلة بالسحابة في كل مرة، أو عبر جميع مستشعرات OT المتصلة بالسحابة في موقع أو منطقة معينة. توضح هذه المقالة كيفية عرض إعدادات مستشعر شبكة OT وتكوينها من مدخل Microsoft Azure.

إشعار

صفحة إعدادات المستشعر في Defender for IoT قيد المعاينة. تتضمن شروط Azure Preview التكميلية شروطاً قانونيةً إضافيةً تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم تُصدَر بعد في الإتاحة العامة.

المتطلبات الأساسية

لتعريف إعدادات مستشعر OT، تأكد من أن لديك ما يلي:

تحديد إعداد مستشعر جديد

حدد إعدادا جديدا كلما أردت تعريف تكوين معين لجهاز استشعار شبكة OT واحد أو أكثر. على سبيل المثال، إذا كنت تريد تحديد أحرف استهلالية للنطاق الترددي لجميع أدوات استشعار OT في موقع أو منطقة معينة، أو تعريفها لمستشعر OT واحد في موقع معين في شبكتك.

لتعريف إعداد جديد:

  1. في Defender for IoT على مدخل Microsoft Azure، حدد المواقع وأدوات الاستشعار>إعدادات الاستشعار (معاينة).

  2. في صفحة إعدادات الاستشعار (معاينة)، حدد + إضافة، ثم استخدم المعالج لتعريف القيم التالية لإعدادك. حدد التالي عند الانتهاء من كل علامة تبويب في المعالج للانتقال إلى الخطوة التالية.

    اسم علامة التبويب ‏‏الوصف
    الأساسيات حدد الاشتراك حيث تريد تطبيق الإعداد ونوع الإعداد.

    أدخل اسما ذا معنى ووصفا اختياريا للإعداد.
    الإعداد حدد قيم نوع الإعداد المحدد.
    للحصول على تفاصيل حول الخيارات المتوفرة لكل نوع إعداد، ابحث عن نوع الإعداد المحدد في مرجع إعداد المستشعر أدناه.
    تطبيق استخدم القوائم المنسدلة تحديد المواقع وتحديد المناطق وتحديد أدوات الاستشعار لتحديد المكان الذي تريد تطبيق الإعداد فيه.

    هام: يؤدي تحديد موقع أو منطقة إلى تطبيق الإعداد على جميع مستشعرات OT المتصلة، بما في ذلك أي مستشعرات OT تمت إضافتها إلى الموقع أو المنطقة لاحقا.
    إذا قمت بتحديد تطبيق إعداداتك على موقع بأكمله، فلن تحتاج أيضا إلى تحديد مناطقه أو أدوات الاستشعار الخاصة به.
    المراجعة والإنشاء تحقق من التحديدات التي تم إجراؤها لإعدادك.

    إذا استبدل الإعداد الجديد إعدادا موجودا، يظهر تحذير للإشارة إلى الإعداد الموجود.

    عندما تكون راضيا عن تكوين الإعداد، حدد إنشاء.

يتم الآن إدراج الإعداد الجديد في صفحة إعدادات المستشعر (معاينة) ضمن نوع الإعداد الخاص به، وعلى صفحة تفاصيل المستشعر لأي مستشعر OT ذي صلة. يتم عرض إعدادات المستشعر للقراءة فقط في صفحة تفاصيل المستشعر. على سبيل المثال:

Screenshot of a sensor details page showing a setting applied.

تلميح

قد تحتاج إلى تكوين استثناءات لإعداداتك لمستشعر أو منطقة OT معينة. في مثل هذه الحالات، قم بإنشاء إعداد إضافي للاستثناء.

الإعدادات تجاوز بعضها بطريقة هرمية، بحيث إذا تم تطبيق الإعداد الخاص بك على مستشعر OT معين، فإنه يتجاوز أي إعدادات ذات صلة يتم تطبيقها على المنطقة أو الموقع بأكمله. لإنشاء استثناء لمنطقة بأكملها، أضف إعدادا لتلك المنطقة لتجاوز أي إعدادات ذات صلة تم تطبيقها على الموقع بأكمله.

عرض إعدادات مستشعر OT الحالية وتحريرها

لعرض الإعدادات الحالية المحددة بالفعل لاشتراكك:

  1. في Defender for IoT على مدخل Microsoft Azure، حدد إعدادات مستشعر المواقع وأجهزة الاستشعار>(معاينة)

    تعرض صفحة إعدادات المستشعر (معاينة) أي إعدادات معرفة بالفعل لاشتراكاتك، مدرجة حسب نوع الإعداد. قم بتوسيع أو طي كل نوع لعرض التكوينات التفصيلية. على سبيل المثال:

    Screenshot of OT sensor settings on the Azure portal.

  2. حدد إعدادا معينا لعرض تكوينه الدقيق والموقع أو المناطق أو أدوات الاستشعار الفردية حيث يتم تطبيق الإعداد.

  3. لتحرير تكوين الإعداد، حدد تحرير ثم استخدم المعالج نفسه الذي استخدمته لإنشاء الإعداد لإجراء التحديثات التي تحتاج إليها. عند الانتهاء، حدد تطبيق لحفظ التغييرات.

حذف إعداد مستشعر OT موجود

لحذف إعداد مستشعر OT تماما:

  1. في صفحة إعدادات المستشعر (معاينة)، حدد موقع الإعداد الذي تريد حذفه.
  2. حدد قائمة ... options في الزاوية العلوية اليسرى من بطاقة الإعداد ثم حدد Delete.

على سبيل المثال:

Screenshot of the Delete setting option.

تحرير الإعدادات لمستشعرات OT غير المتصلة

يصف هذا الإجراء كيفية تحرير إعدادات مستشعر OT إذا كان مستشعر OT غير متصل حاليا ب Azure، مثل أثناء حادث أمان مستمر.

بشكل افتراضي، إذا قمت بتكوين أي إعدادات من مدخل Microsoft Azure، يتم تعيين جميع الإعدادات القابلة للتكوين من كل من مدخل Azure ومستشعر OT للقراءة فقط على مستشعر OT نفسه. على سبيل المثال، إذا قمت بتكوين VLAN من مدخل Microsoft Azure، فسيتم تعيين إعدادات الحد الأقصى للنطاق الترددي والشبكة الفرعية وVLAN كلها للقراءة فقط، ويتم حظرها من التعديلات على مستشعر OT.

إذا كنت في موقف يتم فيه قطع اتصال أداة استشعار OT من Azure، وتحتاج إلى تعديل أحد هذه الإعدادات، يجب أولا الحصول على حق الوصول للكتابة إلى هذه الإعدادات.

للحصول على حق الوصول للكتابة إلى إعدادات مستشعر OT المحظورة:

  1. في مدخل Microsoft Azure، في صفحة إعدادات الاستشعار (معاينة)، حدد موقع الإعداد الذي تريد تحريره وافتحه لتحريره. لمزيد من المعلومات، راجع عرض إعدادات مستشعر OT الحالية وتحريرها أعلاه.

    قم بتحرير نطاق الإعداد بحيث لم يعد يتضمن مستشعر OT، ولا تتم الكتابة فوق أي تغييرات تجريها أثناء قطع اتصال أداة استشعار OT عند توصيله مرة أخرى ب Azure.

    هام

    الإعدادات المعرفة على مدخل Microsoft Azure دائما تجاوز الإعدادات المحددة على مستشعر OT.

  2. سجل الدخول إلى وحدة تحكم مستشعر OT المتأثرة، وحدد الإعدادات > التكوينات>المتقدمة Azure Remote Config.

  3. في مربع التعليمات البرمجية block_local_config ، قم بتعديل القيمة من 1 إلى 0، وحدد إغلاق. على سبيل المثال:

    Screenshot of the Azure Remote Config option.

تابع عن طريق تحديث الإعداد ذي الصلة مباشرة على مستشعر شبكة OT. لمزيد من المعلومات، راجع إدارة أدوات الاستشعار الفردية.

مرجع إعداد المستشعر

استخدم الأقسام التالية لمعرفة المزيد حول إعدادات مستشعر OT الفردية المتوفرة من مدخل Microsoft Azure:

Active Directory

لتكوين إعدادات Active Directory من مدخل Microsoft Azure، حدد القيم للخيارات التالية:

الاسم ‏‏الوصف
وحدة تحكم المجال FQDN اسم المجال المؤهل بالكامل (FQDN)، تماما كما يظهر على خادم LDAP. على سبيل المثال، قم بإدخال host1.subdomain.contoso.com.

إذا واجهت مشكلة في التكامل باستخدام FQDN، فتحقق من تكوين DNS. يمكنك أيضا إدخال IP الصريح لخادم LDAP بدلا من FQDN عند إعداد التكامل.
منفذ وحدة تحكم المجال المنفذ الذي تم تكوين LDAP فيه. على سبيل المثال، استخدم المنفذ 636 لاتصالات LDAPS (SSL).
المجال الأساسي اسم المجال، مثل subdomain.contoso.com، ثم حدد نوع الاتصال لتكوين LDAP.

تتضمن أنواع الاتصال المدعومة: LDAPS/NTLMv3 (مستحسن) أو LDAP/NTLMv3 أو LDAP/SASL-MD5
مجموعات Active Directory حدد + إضافة لإضافة مجموعة Active Directory إلى كل مستوى أذونات مدرج، حسب الحاجة.

عند إدخال اسم مجموعة، تأكد من إدخال اسم المجموعة تماما كما هو محدد في تكوين Active Directory على خادم LDAP. يمكنك استخدام أسماء المجموعات هذه عند إضافة مستخدمي أجهزة استشعار جديدة مع Active Directory.

تتضمن مستويات الأذونات المدعومة "للقراءة فقط" و"محلل الأمان" و"مسؤول" و"المجالات الموثوق بها".

هام

عند إدخال معلمات LDAP:

  • تعريف القيم تماما كما تظهر في Active Directory، باستثناء الحالة.
  • أحرف المستخدم الصغيرة فقط، حتى إذا كان التكوين في Active Directory يستخدم أحرفا كبيرة.
  • لا يمكن تكوين LDAP وLDAPS لنفس المجال. ومع ذلك، يمكنك تكوين كل منها في مجالات مختلفة ثم استخدامها في نفس الوقت.

لإضافة خادم Active Directory آخر، حدد + Add Server وحدد قيم الخادم هذه.

الحد الأقصى للنطاق الترددي

بالنسبة لغطاء النطاق الترددي، حدد الحد الأقصى للنطاق الترددي الذي تريد أن يستخدمه المستشعر للاتصال الصادر من أداة الاستشعار إلى السحابة، إما في Kbps أو Mbps.

الافتراضي: 1500 كيلوبت في الثانية

الحد الأدنى المطلوب للاتصال الثابت ب Azure: 350 كيلوبت في الثانية. في هذا الإعداد الأدنى، قد تكون الاتصالات بوحدة تحكم المستشعر أبطأ من المعتاد.

NTP

لتكوين خادم NTP لجهاز الاستشعار الخاص بك من مدخل Microsoft Azure، حدد عنوان IP/Domain لخادم IPv4 NTP صالح باستخدام المنفذ 123.

الشبكات الفرعية المحلية

لتركيز مخزون جهاز Azure على الأجهزة الموجودة في نطاق OT الخاص بك، تحتاج إلى تحرير قائمة الشبكة الفرعية يدويا لتضمين الشبكات الفرعية المراقبة محليا فقط الموجودة في نطاق OT الخاص بك.

يتم تكوين الشبكات الفرعية في قائمة الشبكة الفرعية تلقائيا كشبكات فرعية ل ICS، ما يعني أن Defender for IoT يتعرف على هذه الشبكات الفرعية كشبكات OT. يمكنك تحرير هذا الإعداد عند تكوين الشبكات الفرعية.

بمجرد تكوين الشبكات الفرعية، يتم عرض موقع شبكة الأجهزة في عمود موقع الشبكة (المعاينة العامة) في مخزون جهاز Azure. يتم عرض جميع الأجهزة المقترنة بالشبكات الفرعية المدرجة كشبكات محلية، بينما يتم عرض الأجهزة المقترنة بالشبكات الفرعية المكتشفة غير المضمنة في القائمة على أنها تم توجيهها.

تكوين الشبكات الفرعية في مدخل Microsoft Azure

  1. في مدخل Microsoft Azure، انتقل إلى المواقع وأدوات الاستشعار>إعدادات الاستشعار.

  2. ضمن الشبكات الفرعية المحلية، راجع الشبكات الفرعية المكونة. لتركيز مخزون الجهاز وعرض الأجهزة المحلية في المخزون، احذف أي شبكات فرعية غير موجودة في نطاق IoT/OT الخاص بك عن طريق تحديد قائمة الخيارات (...) على أي شبكة فرعية تريد حذفها.

  3. لتعديل إعدادات إضافية، حدد أي شبكة فرعية ثم حدد تحرير للخيارات التالية:

    • حدد استيراد الشبكات الفرعية لاستيراد قائمة مفصولة بفواصل من عناوين IP للشبكة الفرعية والأقنعة. حدد تصدير الشبكات الفرعية لتصدير قائمة بالبيانات التي تم تكوينها حاليا، أو قم بإلغاء تحديد الكل للبدء من البداية.

    • أدخل القيم في حقول عنوان IP والقناع والاسم لإضافة تفاصيل الشبكة الفرعية يدويا. حدد إضافة شبكة فرعية لإضافة شبكات فرعية إضافية حسب الحاجة.

    • تكون شبكة ICS الفرعية قيد التشغيل بشكل افتراضي، ما يعني أن Defender for IoT يتعرف على الشبكة الفرعية كشبكة OT. لوضع علامة على شبكة فرعية على أنها غير ICS، قم بتبديل الشبكة الفرعية ل ICS.

تسمية VLAN

لتعريف VLAN لمستشعر OT، أدخل معرف VLAN واسما ذا معنى.

حدد Add VLAN لإضافة المزيد من شبكات VLAN حسب الحاجة.

الخطوات التالية

إدارة أدوات الاستشعار من مدخل Microsoft Azure

إدارة مستشعرات OT من وحدة تحكم المستشعر