المستخدمون المحليون والأدوار لمراقبة OT باستخدام Defender for IoT

عند العمل مع شبكات OT، يتوفر Defender لخدمات وبيانات IoT من مستشعرات شبكة OT المحلية، بالإضافة إلى Azure.

توفر هذه المقالة:

  • وصف للمستخدمين الافتراضيين المتميزين الذين يأتون مع تثبيت برنامج Defender for IoT
  • مرجع للإجراءات المتاحة لكل دور مستخدم محلي، على كل من مستشعرات شبكة OT

هام

يوصي Defender for IoT الآن باستخدام خدمات Microsoft السحابية أو البنية الأساسية الحالية ل تكنولوجيا المعلومات للمراقبة المركزية وإدارة أجهزة الاستشعار، ويخطط لإيقاف وحدة التحكم بالإدارة المحلية في 1 يناير 2025.

لمزيد من المعلومات، راجع نشر إدارة مستشعر OT المختلط أو المكيف الهواء.

المستخدمون المحليون المميزون الافتراضيون

بشكل افتراضي، يتم تثبيت كل أداة استشعار مع مستخدم مسؤول افتراضي متميز، مع الوصول إلى أدوات متقدمة لاستكشاف الأخطاء وإصلاحها والإعداد، مثل CLI.

عند إعداد المستشعر لأول مرة، قم بتسجيل الدخول باستخدام المستخدم المسؤول ، وأنشئ مستخدما أوليا بدور المسؤول ، ثم استخدم هذا المستخدم المسؤول لإنشاء مستخدمين آخرين بأدوار أخرى.

لمزيد من المعلومات، راجع:

المستخدمون القدامى

السيناريو القديم ‏‏الوصف
إصدارات المستشعر الأقدم من 23.2.0 في إصدارات المستشعر الأقدم من 23.2.0، يسمى المستخدم المسؤول الافتراضي الدعم. يتوفر مستخدم الدعم ويتم دعمه فقط على الإصدارات الأقدم من 23.2.0.

تشير الوثائق إلى المستخدم المسؤول لمطابقة أحدث إصدار من البرنامج.
إصدارات برامج الاستشعار الأقدم من 23.1.x في إصدارات برامج الاستشعار الأقدم من 23.1.x، يتم أيضا استخدام cyberx والمستخدمين المميزين cyberx_host .

في الإصدارات المثبتة حديثا 23.1.x والإصدارات الأحدث، يتوفر الإنترنت والمستخدمون cyberx_host ، ولكن لا يتم تمكينهم بشكل افتراضي.

لتمكين هؤلاء المستخدمين المميزين الإضافيين، مثل استخدام Defender ل IoT CLI، قم بتغيير كلمات المرور الخاصة بهم. لمزيد من المعلومات، راجع استرداد الوصول المتميز إلى أداة استشعار.

الوصول لكل مستخدم متميز

يصف الجدول التالي الوصول المتاح لكل مستخدم متميز، بما في ذلك المستخدمين القدامى.

الاسم يتصل ب الأذونات
مشرف مستشعر OT configuration shell حساب إداري قوي مع إمكانية الوصول إلى:
- جميع أوامر CLI
- القدرة على إدارة ملفات السجل
- بدء وإيقاف الخدمات

لا يملك هذا المستخدم حق الوصول إلى نظام الملفات. في إصدارات البرامج القديمة، يسمى هذا المستخدم بالدعم.
cyberx مستشعر OT terminal (root) يعمل كمستخدم جذر ولديه امتيازات غير محدودة على الجهاز.

يستخدم فقط للمهام التالية:
- تغيير كلمات المرور الافتراضية
-استكشاف الاخطاء
- الوصول إلى نظام الملفات
cyberx_host نظام التشغيل المضيف لمستشعر OT terminal (root) يعمل كمستخدم جذر ولديه امتيازات غير محدودة على نظام التشغيل المضيف للجهاز.

يستخدم من أجل:
- تكوين الشبكة
- التحكم في حاوية التطبيق
- الوصول إلى نظام الملفات

أدوار المستخدم المحلية

تتوفر الأدوار التالية على مستشعرات شبكة OT:

الدور ‏‏الوصف
المسؤول يمكن للمستخدمين المسؤولين الوصول إلى جميع الأدوات، بما في ذلك تكوينات النظام وإنشاء المستخدمين وإدارتهم والمزيد.
محلل الأمان لا يملك محللو الأمان أذونات على مستوى المسؤول للتكوينات، ولكن يمكنهم تنفيذ إجراءات على الأجهزة، والاعتراف بالتنبيهات، واستخدام أدوات التحقيق.

يمكن لمحللي الأمان الوصول إلى الخيارات على أداة الاستشعار المعروضة في قوائم الاكتشاف والتحليل على أداة الاستشعار.
للقراءة فقط يقوم المستخدمون للقراءة فقط بتنفيذ مهام مثل عرض التنبيهات والأجهزة على خريطة الجهاز.

يمكن للمستخدمين للقراءة فقط الوصول إلى الخيارات المعروضة في قوائم الاكتشاف والتحليل على أداة الاستشعار، في وضع القراءة فقط

عند نشر نظام مراقبة OT لأول مرة، قم بتسجيل الدخول إلى أدوات الاستشعار الخاصة بك باستخدام أحد المستخدمين المميزين الافتراضيين الموضحين أعلاه. قم بإنشاء أول مستخدم مسؤول ، ثم استخدم هذا المستخدم لإنشاء مستخدمين آخرين وتعيينهم للأدوار.

راجع الجداول أدناه للحصول على الأذونات المتوفرة لكل دور على أداة الاستشعار.

الأذونات المستندة إلى الدور لمستشعرات شبكة OT

الإذن للقراءة فقط محلل الأمان مسؤول
عرض لوحة المعلومات
التحكم في طرق عرض تكبير/تصغير الخريطة - -
عرض التنبيهات
إدارة التنبيهات: الإقرار والتعلم وكتم الصوت -
عرض الأحداث في مخطط زمني
تخويل الأجهزة، وأجهزة الفحص المعروفة، وأجهزة البرمجة -
دمج الأجهزة وحذفها - -
عرض بيانات التحقيق
إدارة إعدادات النظام - -
إدارة المستخدمين - -
تغيير كلمات المرور - - *
خوادم DNS للبحث العكسي - -
إرسال بيانات التنبيه إلى الشركاء -
إنشاء تعليقات التنبيه -
عرض محفوظات تغيير البرمجة
إنشاء قواعد تنبيه مخصصة -
إدارة إعلامات متعددة في وقت واحد -
إدارة الشهادات - -

إشعار

يمكن للمستخدمين المسؤولين فقط تغيير كلمات المرور لأنفسهم أو للمستخدمين الآخرين الذين لديهم أدوار محلل الأمان والقراءة فقط .

الخطوات التالية

لمزيد من المعلومات، راجع: