المستخدمون المحليون والأدوار لمراقبة OT باستخدام Defender for IoT
عند العمل مع شبكات OT، يتوفر Defender لخدمات وبيانات IoT من مستشعرات شبكة OT المحلية ووحدات تحكم إدارة أجهزة الاستشعار المحلية، بالإضافة إلى Azure.
توفر هذه المقالة:
- وصف للمستخدمين الافتراضيين المتميزين الذين يأتون مع تثبيت برنامج Defender for IoT
- مرجع للإجراءات المتاحة لكل دور مستخدم محلي، على كل من مستشعرات شبكة OT ووحدة تحكم الإدارة المحلية
هام
يوصي Defender for IoT الآن باستخدام خدمات Microsoft السحابية أو البنية الأساسية الحالية ل تكنولوجيا المعلومات للمراقبة المركزية وإدارة أجهزة الاستشعار، ويخطط لإيقاف وحدة التحكم بالإدارة المحلية في 1 يناير 2025.
لمزيد من المعلومات، راجع نشر إدارة مستشعر OT المختلط أو المكيف الهواء.
المستخدمون المحليون المميزون الافتراضيون
بشكل افتراضي، يتم تثبيت كل أداة استشعار مع مستخدم مسؤول افتراضي متميز، مع الوصول إلى أدوات متقدمة لاستكشاف الأخطاء وإصلاحها والإعداد، مثل CLI.
عند إعداد المستشعر لأول مرة، قم بتسجيل الدخول باستخدام المستخدم المسؤول، وأنشئ مستخدما أوليا بدور مسؤول، ثم استخدم هذا المستخدم المسؤول لإنشاء مستخدمين آخرين بأدوار أخرى.
لمزيد من المعلومات، راجع:
- تثبيت برنامج مراقبة OT على مستشعرات OT
- تكوين مستشعر OT وتنشيطه
- إنشاء المستخدمين وإدارتهم على مستشعر شبكة OT
المستخدمون القدامى
| السيناريو القديم | الوصف |
|---|---|
| إصدارات المستشعر الأقدم من 23.2.0 | في إصدارات المستشعر الأقدم من 23.2.0، يسمى المستخدم المسؤول الافتراضي الدعم. يتوفر مستخدم الدعم ويتم دعمه فقط على الإصدارات الأقدم من 23.2.0. تشير الوثائق إلى المستخدم المسؤول لمطابقة أحدث إصدار من البرنامج. |
| إصدارات برامج الاستشعار الأقدم من 23.1.x | في إصدارات برامج الاستشعار الأقدم من 23.1.x، يتم أيضا استخدام cyberx والمستخدمين المميزين cyberx_host . في الإصدارات المثبتة حديثا 23.1.x والإصدارات الأحدث، يتوفر الإنترنت والمستخدمون cyberx_host ، ولكن لا يتم تمكينهم بشكل افتراضي. لتمكين هؤلاء المستخدمين المميزين الإضافيين، مثل استخدام Defender ل IoT CLI، قم بتغيير كلمات المرور الخاصة بهم. لمزيد من المعلومات، راجع استرداد الوصول المتميز إلى أداة استشعار. |
| وحدات التحكم بالإدارة المحلية | يتم تثبيت وحدة التحكم بالإدارة المحلية مع دعم متميز ومستخدمي cyberx. عند إعداد وحدة تحكم إدارة محلية أولا، سجل الدخول أولا باستخدام مستخدم الدعم، وأنشئ مستخدما أوليا له دور مسؤول، ثم استخدم هذا المستخدم المسؤول لإنشاء مستخدمين آخرين بأدوار أخرى. |
الوصول لكل مستخدم متميز
يصف الجدول التالي الوصول المتاح لكل مستخدم متميز، بما في ذلك المستخدمين القدامى.
| الاسم | الاتصال إلى | الأذونات |
|---|---|---|
| مشرف | مستشعر OT configuration shell |
حساب إداري قوي مع إمكانية الوصول إلى: - جميع أوامر CLI - القدرة على إدارة ملفات السجل - بدء وإيقاف الخدمات لا يملك هذا المستخدم حق الوصول إلى نظام الملفات. في إصدارات البرامج القديمة، يسمى هذا المستخدم بالدعم. |
| support | وحدة التحكم بالإدارة المحلية configuration shell هذا المستخدم موجود أيضا على إصدارات الاستشعار القديمة |
حساب إداري قوي مع إمكانية الوصول إلى: - جميع أوامر CLI - القدرة على إدارة ملفات السجل - بدء وإيقاف الخدمات هذا المستخدم ليس لديه حق الوصول إلى نظام الملفات |
| cyberx | مستشعر OT أو وحدة تحكم الإدارة المحلية terminal (root) |
يعمل كمستخدم جذر ولديه امتيازات غير محدودة على الجهاز. يستخدم فقط للمهام التالية: - تغيير كلمات المرور الافتراضية -استكشاف الاخطاء - الوصول إلى نظام الملفات |
| cyberx_host | نظام التشغيل المضيف لمستشعر OT terminal (root) |
يعمل كمستخدم جذر ولديه امتيازات غير محدودة على نظام التشغيل المضيف للجهاز. يستخدم من أجل: - تكوين الشبكة - التحكم في حاوية التطبيق - الوصول إلى نظام الملفات |
أدوار المستخدم المحلية
تتوفر الأدوار التالية على مستشعرات شبكة OT ووحدات تحكم الإدارة المحلية:
| الدور | الوصف |
|---|---|
| المسؤول | مسؤول المستخدمين لديهم حق الوصول إلى جميع الأدوات، بما في ذلك تكوينات النظام، وإنشاء المستخدمين وإدارتهم، والمزيد. |
| محلل الأمان | لا يملك محللو الأمان أذونات على مستوى المسؤول للتكوينات، ولكن يمكنهم تنفيذ إجراءات على الأجهزة، والاعتراف بالتنبيهات، واستخدام أدوات التحقيق. يمكن لمحللي الأمان الوصول إلى الخيارات على أداة الاستشعار المعروضة في القوائم Discover and Analyze على أداة الاستشعار، وفي قوائم NAVIGATION and ANALYSIS على وحدة تحكم الإدارة المحلية. |
| للقراءة فقط | يقوم المستخدمون للقراءة فقط بتنفيذ مهام مثل عرض التنبيهات والأجهزة على خريطة الجهاز. يمكن للمستخدمين للقراءة فقط الوصول إلى الخيارات المعروضة في قوائم الاكتشاف والتحليل على أداة الاستشعار، وفي وضع القراءة فقط، وفي قائمة NAVIGATION على وحدة تحكم الإدارة المحلية. |
عند نشر نظام مراقبة OT لأول مرة، قم بتسجيل الدخول إلى أدوات الاستشعار ووحدة تحكم الإدارة المحلية باستخدام أحد المستخدمين الافتراضيين المميزين الموضحين أعلاه. قم بإنشاء أول مستخدم مسؤول، ثم استخدم هذا المستخدم لإنشاء مستخدمين آخرين وتعيينهم للأدوار.
تختلف الأذونات المطبقة على كل دور بين أداة الاستشعار ووحدة تحكم الإدارة المحلية. لمزيد من المعلومات، راجع الجداول أدناه للحصول على الأذونات المتوفرة لكل دور، على أداة الاستشعار وعلى وحدة تحكم الإدارة المحلية.
الأذونات المستندة إلى الدور لمستشعرات شبكة OT
| إذن | للقراءة فقط | محلل الأمان | الإدارة |
|---|---|---|---|
| عرض لوحة المعلومات | ✔ | ✔ | ✔ |
| التحكم في طرق عرض تكبير/تصغير الخريطة | - | - | ✔ |
| عرض التنبيهات | ✔ | ✔ | ✔ |
| إدارة التنبيهات: الإقرار والتعلم وكتم الصوت | - | ✔ | ✔ |
| عرض الأحداث في مخطط زمني | ✔ | ✔ | ✔ |
| تخويل الأجهزة، وأجهزة الفحص المعروفة، وأجهزة البرمجة | - | ✔ | ✔ |
| دمج الأجهزة وحذفها | - | - | ✔ |
| عرض بيانات التحقيق | ✔ | ✔ | ✔ |
| إدارة إعدادات النظام | - | - | ✔ |
| إدارة المستخدمين | - | - | ✔ |
| تغيير كلمات المرور | - | - | ✔* |
| خوادم DNS للبحث العكسي | - | - | ✔ |
| إرسال بيانات التنبيه إلى الشركاء | - | ✔ | ✔ |
| إنشاء تعليقات التنبيه | - | ✔ | ✔ |
| عرض محفوظات تغيير البرمجة | ✔ | ✔ | ✔ |
| إنشاء قواعد تنبيه مخصصة | - | ✔ | ✔ |
| إدارة إعلامات متعددة في وقت واحد | - | ✔ | ✔ |
| إدارة الشهادات | - | - | ✔ |
إشعار
يمكن للمستخدمين مسؤول تغيير كلمات المرور لأنفسهم أو للمستخدمين الآخرين الذين لديهم أدوار محلل الأمان والقراءة فقط.
الأذونات المستندة إلى الدور لوحدة التحكم بالإدارة المحلية
| إذن | للقراءة فقط | محلل الأمان | الإدارة |
|---|---|---|---|
| عرض خريطة المؤسسة وتصفيتها | ✔ | ✔ | ✔ |
| إنشاء موقع | - | - | ✔ |
| إدارة موقع (إضافة مناطق وتحريرها) | - | - | ✔ |
| عرض مخزون الجهاز وتصفيته | ✔ | ✔ | ✔ |
| عرض التنبيهات وإدارتها: الإقرار والتعلم وكتم الصوت | ✔ | ✔ | ✔ |
| إنشاء تقارير | - | ✔ | ✔ |
| عرض تقارير تقييم المخاطر | - | ✔ | ✔ |
| تعيين استثناءات التنبيه | - | ✔ | ✔ |
| عرض مجموعات الوصول أو تعريفها | - | - | ✔ |
| إدارة إعدادات النظام | - | - | ✔ |
| إدارة المستخدمين | - | - | ✔ |
| تغيير كلمات المرور | - | - | ✔* |
| إرسال بيانات التنبيه إلى الشركاء | - | - | ✔ |
| إدارة الشهادات | - | - | ✔ |
إشعار
يمكن للمستخدمين مسؤول تغيير كلمات المرور لأنفسهم أو للمستخدمين الآخرين الذين لديهم أدوار محلل الأمان والقراءة فقط.
الخطوات التالية
لمزيد من المعلومات، راجع:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ