Freigeben über


Konfigurieren von OT-Sensoreinstellungen über das Azure-Portal (öffentliche Vorschau)

Nach dem Onboarding eines neuen OT-Netzwerksensors in Microsoft Defender for IoT können Sie mehrere Einstellungen direkt in der OT-Sensorkonsole definieren, z. B. das Hinzufügen lokaler Benutzer.

Die in diesem Artikel aufgeführten OT-Sensoreinstellungen sind auch direkt über das Azure-Portal verfügbar. Verwenden Sie das Azure-Portal, um diese Einstellungen per Massenvorgang auf mehrere mit der Cloud verbundene OT-Sensoren gleichzeitig oder auf alle mit der Cloud verbundenen OT-Sensoren an einem bestimmten Standort oder in einer bestimmten Zone anzuwenden. In diesem Artikel wird beschrieben, wie Sie Einstellungen von OT-Netzwerksensoren über das Azure-Portal anzeigen und konfigurieren.

Hinweis

Die Seite Sensoreinstellungen in Defender for IoT befindet sich in der VORSCHAU. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

Stellen Sie zum Definieren der OT-Sensoreinstellungen sicher, dass Sie über Folgendes verfügen:

Definieren einer neuen Sensoreinstellung

Definieren Sie eine neue Einstellung, wenn Sie eine bestimmte Konfiguration für einen oder mehrere OT-Netzwerksensoren definieren möchten. Sie können beispielsweise Bandbreitenobergrenzen für alle OT-Sensoren an einem bestimmten Standort oder in einer bestimmten Zone oder für einen einzelnen OT-Sensor an einer bestimmten Stelle in Ihrem Netzwerk definieren.

So definieren Sie eine neue Einstellung

  1. Wählen Sie in Defender for IoT im Azure-Portal Standorte und Sensoren>Sensoreinstellungen (Vorschau) aus.

  2. Wählen Sie auf der Seite Sensoreinstellungen (Vorschau) die Option + Hinzufügen aus, und verwenden Sie dann den Assistenten, um die folgenden Werte für Ihre Einstellung zu definieren. Wählen Sie Weiter aus, wenn Sie mit allen Registerkarten im Assistenten fertig sind, um mit dem nächsten Schritt fortzufahren.

    Registerkartenname Beschreibung
    Grundlagen Wählen Sie das Abonnement, auf das Sie Ihre Einstellung anwenden möchten, und Ihren Einstellungstyp aus.

    Geben Sie einen aussagekräftigen Namen und eine optionale Beschreibung für Ihre Einstellung ein.
    Einstellung Definieren Sie die Werte für den ausgewählten Einstellungstyp.
    Suchen Sie unten in der Referenz zu Sensoreinstellungen nach dem ausgewählten Einstellungstyp, um Details zu den für jeden Einstellungstyp verfügbaren Optionen zu erhalten.
    Anwenden Verwenden Sie die Dropdownmenüs Standorte auswählen, Zonen auswählen und Sensoren auswählen, um zu definieren, wo Sie Ihre Einstellung anwenden möchten.

    Wichtig: Wenn Sie einen Standort oder eine Zone auswählen, wird die Einstellung auf alle verbundenen OT-Sensoren angewendet. Dazu gehören auch alle OT-Sensoren, die später dem Standort oder der Zone hinzugefügt werden.
    Wenn Sie Ihre Einstellungen auf einen vollständigen Standort anwenden, müssen Sie die Zonen oder Sensoren nicht zusätzlich auswählen.
    Überprüfen und erstellen Überprüfen Sie die Auswahl, die Sie für Ihre Einstellung vorgenommen haben.

    Wenn Ihre neue Einstellung eine vorhandene Einstellung ersetzt, wird als Warnung angezeigt, um auf die vorhandene Einstellung hinzuweisen.

    Wenn Sie mit der Konfiguration der Einstellung zufrieden sind, wählen Sie Erstellen aus.

Ihre neue Einstellung wird jetzt auf der Seite Sensoreinstellungen (Vorschau) unter dem Einstellungstyp und auf der Seite mit Sensordetails für alle zugehörigen OT-Sensoren aufgeführt. Sensoreinstellungen werden auf der Seite mit Sensordetails als schreibgeschützt angezeigt. Beispiel:

Screenshot of a sensor details page showing a setting applied.

Tipp

Sie können für einen bestimmten OT-Sensor oder eine bestimmte Zone Ausnahmen für Ihre Einstellungen konfigurieren. Erstellen Sie in solchen Fällen eine zusätzliche Einstellung für die Ausnahme.

Einstellungen setzen sich hierarchisch außer Kraft. Wenn Ihre Einstellung also auf einen bestimmten OT-Sensor angewendet wird, werden alle zugehörigen Einstellungen außer Kraft gesetzt, die auf die gesamte Zone oder den gesamten Standort angewendet wurden. Um eine Ausnahme für eine vollständige Zone zu erstellen, fügen Sie eine Einstellung für diese Zone hinzu, mit der alle zugehörigen Einstellungen außer Kraft gesetzt werden, die auf den vollständigen Standort angewendet wurden.

Anzeigen und Bearbeiten der aktuellen OT-Sensoreinstellungen

So zeigen Sie die aktuellen Einstellungen an, die bereits für Ihr Abonnement definiert sind

  1. Wählen Sie in Defender for IoT im Azure-Portal Standorte und Sensoren>Sensoreinstellungen (Vorschau) aus.

    Auf der Seite Sensoreinstellungen (Vorschau) werden alle Einstellungen angezeigt, die bereits für Ihre Abonnements definiert sind, sortiert nach Einstellungstyp. Erweitern oder reduzieren Sie die einzelnen Typen, um detaillierte Konfigurationen anzuzeigen. Beispiel:

    Screenshot of OT sensor settings on the Azure portal.

  2. Wählen Sie eine bestimmte Einstellung aus, um die genaue Konfiguration und den Standort, die Zonen oder die einzelnen Sensoren anzuzeigen, auf die die Einstellung angewendet ist.

  3. Um die Konfiguration der Einstellung zu bearbeiten, wählen Sie Bearbeiten aus. Verwenden Sie dann den gleichen Assistenten, den Sie zum Erstellen der Einstellung verwendet haben, um die erforderlichen Aktualisierungen vorzunehmen. Wenn Sie fertig sind, wählen Sie Übernehmen aus, um Ihre Änderungen zu speichern.

Löschen einer vorhandenen OT-Sensoreinstellung

So löschen Sie eine OT-Sensoreinstellung vollständig

  1. Suchen Sie auf der Seite Sensoreinstellungen (Vorschau) nach der Einstellung, die Sie löschen möchten.
  2. Wählen Sie oben rechts auf der Karte der Einstellung das Optionsmenü ... aus, und wählen Sie dann Löschen aus.

Beispiel:

Screenshot of the Delete setting option.

Bearbeiten von Einstellungen für nicht verbundene OT-Sensoren

In diesem Verfahren wird beschrieben, wie Sie OT-Sensoreinstellungen bearbeiten, wenn Ihr OT-Sensor gerade von Azure getrennt ist, z. B. während eines laufenden Sicherheitsvorfalls.

Wenn Sie Einstellungen im Azure-Portal konfiguriert haben, sind alle Einstellungen, die sowohl über das Azure-Portal als auch über den OT-Sensor konfiguriert werden können, standardmäßig auf dem OT-Sensor selbst als schreibgeschützt festgelegt. Wenn Sie beispielsweise ein VLAN über das Azure-Portal konfiguriert haben, werden die Einstellungen für Bandbreitenobergrenze, Subnetz und VLAN alle als schreibgeschützt festgelegt und sind für Änderungen auf dem OT-Sensor blockiert.

Wenn Sie sich in einer Situation befinden, in der der OT-Sensor von Azure getrennt ist und Sie eine dieser Einstellungen ändern müssen, benötigen Sie zunächst Schreibzugriff auf diese Einstellungen.

So erhalten Sie Schreibzugriff auf blockierte OT-Sensoreinstellungen

  1. Suchen Sie im Azure-Portal auf der Seite Sensoreinstellungen (Vorschau) nach der Einstellung, die Sie bearbeiten möchten, und öffnen Sie sie zur Bearbeitung. Weitere Informationen finden Sie oben unter Anzeigen und Bearbeiten der aktuellen OT-Sensoreinstellungen.

    Bearbeiten Sie den Bereich der Einstellung so, dass sie den OT-Sensor nicht mehr enthält. Dann werden alle Änderungen, die Sie vornehmen, während der OT-Sensor getrennt ist, nicht außer Kraft gesetzt, wenn Sie ihn wieder mit Azure verbinden.

    Wichtig

    Die im Azure-Portal definierten Einstellungen setzen immer die auf dem OT-Sensor definierten Einstellungen außer Kraft.

  2. Melden Sie sich bei der betroffenen OT-Sensorkonsole an, und wählen Sie Einstellungen > Erweiterte Konfigurationen>Azure-Remotekonfiguration aus.

  3. Ändern Sie im Codefeld den Wert block_local_config von 1 in 0, und wählen Sie Schließen aus. Beispiel:

    Screenshot of the Azure Remote Config option.

Fahren Sie fort, indem Sie die entsprechende Einstellung direkt auf dem OT-Netzwerksensor aktualisieren. Weitere Informationen finden Sie unter Verwalten einzelner Sensoren.

Referenz zu Sensoreinstellungen

In den folgenden Abschnitten erfahren Sie mehr über die einzelnen OT-Sensoreinstellungen, die im Azure-Portal verfügbar sind:

Active Directory

Um Active Directory-Einstellungen über das Azure-Portal zu konfigurieren, definieren Sie Werte für die folgenden Optionen:

Name BESCHREIBUNG
Vollqualifizierter Domänenname (FQDN) des Domänencontrollers Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) in genau der Ausführung, in der er auf Ihrem LDAP-Server angezeigt wird Geben Sie beispielsweise host1.subdomain.contoso.com ein.

Wenn ein Problem bei der Integration mithilfe des FQDN auftritt, überprüfen Sie Ihre DNS-Konfiguration. Sie können beim Einrichten der Integration auch die explizite IP-Adresse des LDAP-Servers anstelle des FQDN eingeben.
Domänencontrollerport Der Port, für den LDAP konfiguriert ist Verwenden Sie beispielsweise Port 636 für LDAPS-Verbindungen (SSL).
Primary Domain (Primäre Domäne) Der Domänenname, z. B. subdomain.contoso.com. Wählen Sie dann den Verbindungstyp für Ihre LDAP-Konfiguration aus.

Dies sind die unterstützten Verbindungstypen: LDAPS/NTLMv3 (empfohlen), LDAP/NTLMv3 oder LDAP/SASL-MD5.
Active Directory-Gruppen Wählen Sie + Hinzufügen aus, um jeder aufgeführten Berechtigungsstufe nach Bedarf eine Active Directory-Gruppe hinzuzufügen.

Wenn Sie einen Gruppennamen eingeben, vergewissern Sie sich, dass Sie den Gruppennamen genau so eingeben, wie er in Ihrer Active Directory-Konfiguration auf dem LDAP-Server definiert ist. Verwenden Sie diese Gruppennamen beim Hinzufügen neuer Sensorbenutzer*innen mit Active Directory.

Zu den unterstützten Berechtigungsstufen zählen schreibgeschützt, Sicherheitsanalyst, Administrator und vertrauenswürdige Domänen.

Wichtig

Bei der Eingabe von LDAP-Parametern:

  • Definieren Sie Werte genau so, wie sie in Active Directory angezeigt werden, mit Ausnahme der Groß-/Kleinschreibung.
  • Verwenden Sie nur Kleinbuchstaben, auch dann, wenn die Konfiguration in Active Directory Großbuchstaben verwendet.
  • LDAP und LDAPS können nicht für dieselbe Domäne konfiguriert werden. Jedoch können Sie beide in jeweils verschiedenen Domänen konfigurieren und sie dann gleichzeitig verwenden.

Wählen Sie zum Hinzufügen eines weiteren Active Directory-Servers + Server hinzufügen aus, und definieren Sie diese Serverwerte.

Bandbreitenobergrenze

Definieren Sie für eine Bandbreitenobergrenze die maximale Bandbreite, die der Sensor für die ausgehende Kommunikation vom Sensor in die Cloud verwenden soll (in KBit/s oder MBit/s).

Standard: 1500 KBit/s

Mindestens erforderlich für eine stabile Verbindung mit Azure: 350 KBit/s. Mit dieser Mindesteinstellung sind Verbindungen mit der Sensorkonsole möglicherweise langsamer als üblich.

NTP

Um einen NTP-Server für Ihren Sensor über das Azure-Portal zu konfigurieren, definieren Sie eine IP-/Domänenadresse eines gültigen IPv4-NTP-Servers über Port 123.

Lokale Subnetze

Um den Azure-Gerätebestand auf Geräte zu konzentrieren, die sich in Ihrem OT-Bereich befinden, müssen Sie die Subnetzliste manuell bearbeiten, sodass nur die lokal überwachten Subnetze in Ihrem OT-Bereich darin enthalten sind.

Subnetze in der Subnetzliste werden automatisch als ICS-Subnetze konfiguriert, was bedeutet, dass Defender for IoT diese Subnetze als OT-Netzwerke erkennt. Sie können diese Einstellung bearbeiten, wenn Sie die Subnetze konfigurieren.

Wenn die Subnetze konfiguriert wurden, wird der Netzwerkstandort der Geräte in der Spalte Netzwerkstandort (Öffentliche Vorschau) im Azure-Gerätebestand angezeigt. Alle Geräte, die den aufgelisteten Subnetzen zugeordnet sind, werden als lokal angezeigt, während Geräte, die erkannten, nicht in der Liste enthaltenen Subnetzen zugeordnet sind, als Routing angezeigt werden.

Konfigurieren von Subnetzen im Azure-Portal

  1. Wechseln Sie im Microsoft Azure-Portal zu Standorte und Sensoren>Sensoreinstellungen.

  2. Überprüfen Sie unter Lokale Subnetze die konfigurierten Subnetze. Um den Gerätebestand zu fokussieren und lokale Geräte im Bestand anzuzeigen, löschen Sie alle Subnetze, die sich nicht in Ihrem IoT/OT-Bereich befinden, indem Sie das Optionsmenü (...) für jedes Subnetz auswählen, das Sie löschen möchten.

  3. Um weitere Einstellungen zu ändern, wählen Sie ein beliebiges Subnetz und dann Bearbeiten aus, woraufhin die folgenden Optionen verfügbar sind:

    • Wählen Sie Subnetze importieren aus, um eine durch Trennzeichen getrennte Liste von Subnetz-IP-Adressen und -Masken zu importieren. Wählen Sie Subnetze exportieren aus, um eine Liste der aktuell konfigurierten Daten zu exportieren, oder wählen Sie Alle löschen aus, um von Grund auf neu zu beginnen.

    • Geben Sie Werte in die Felder IP-Adresse, Maske und Name ein, um Subnetzdetails manuell hinzuzufügen. Wählen Sie Subnetz hinzufügen aus, um nach Bedarf weitere Subnetze hinzuzufügen.

    • ICS-Subnetz ist standardmäßig aktiviert, was bedeutet, dass Defender for IoT das Subnetz als OT-Netzwerk erkennt. Um ein Subnetz als Nicht-ICS zu markieren, deaktivieren Sie ICS-Subnetz.

VLAN-Benennung

Um ein VLAN für Ihren OT-Sensor zu definieren, geben Sie die VLAN-ID und einen aussagekräftigen Namen ein.

Wählen Sie VLAN hinzufügen aus, um nach Bedarf weitere VLANs hinzuzufügen.

Nächste Schritte