Freigeben über


Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT

Bei der Arbeit mit OT-Netzwerken stehen Defender for IoT-Dienste und -Daten über Azure hinaus auch über lokale OT-Netzwerksensoren und die lokale Sensorverwaltungskonsole zur Verfügung.

Dieser Artikel enthält Folgendes:

  • Eine Beschreibung der privilegierten Standardbenutzer, die mit der Installation der Defender for IoT-Software zur Verfügung gestellt werden
  • Eine Referenz der Aktionen, die für jede lokale Benutzerrolle verfügbar sind, sowohl für OT-Netzwerksensoren als auch in der lokalen Verwaltungskonsole

Wichtig

Defender for IoT empfiehlt jetzt die Verwendung von Microsoft-Clouddiensten oder vorhandener IT-Infrastruktur für die zentrale Überwachung und Sensorverwaltung und plant, die lokale Verwaltungskonsole am 1. Januar 2025 auszuschalten.

Weitere Informationen finden Sie unter Bereitstellen einer hybriden oder Air-Gapped-OT-Sensorverwaltung.

Lokale Standardbenutzer mit Privilegien

Standardmäßig wird jeder Sensor mit einem standardmäßigen, privilegierten Administratorbenutzer installiert, mit Zugriff auf erweiterte Tools für die Problembehandlung und Einrichtung, z. B. die CLI.

Melden Sie sich beim ersten Einrichten Ihres Sensors mit dem Administratorbenutzer an, erstellen Sie einen ersten Benutzer mit einer Administratorrolle und verwenden Sie dann diesen Administratorbenutzer, um andere Benutzer mit anderen Rollen zu erstellen.

Weitere Informationen finden Sie unter:

Ältere Benutzer

Legacy-Szenario Beschreibung
Sensorversionen vor 23.2.0 In Sensorversionen vor 23.2.0 wird der standardmäßige Administratorbenutzer Support benannt. Der Supportbenutzer ist nur für Versionen vor 23.2.0 verfügbar und unterstützt.

Die Dokumentation bezieht sich auf den Administratorbenutzer, um der neuesten Version der Software zu entsprechen.
Sensorsoftwareversionen vor 23.1.x In Sensorsoftwareversionen vor 23.1.x sind auch die privilegierten cyberx- und cyberx_host-Benutzer in Gebrauch.

In neu installierten Versionen 23.1.x und höher sind cyberx- und cyberx_host-Benutzer verfügbar, aber nicht standardmäßig aktiviert.

Damit diese zusätzlichen privilegierten Benutzer z. B. die Defender for IoT CLI verwenden können, ändern Sie ihre Kennwörter. Weitere Informationen finden Sie unter Wiederherstellen des privilegierten Zugriffs auf einen Sensor.
Lokale Verwaltungskonsole Die lokale Verwaltungskonsole wird mit berechtigtem Support und Cyberx-Benutzern installiert.

Melden Sie sich beim Einrichten der lokalen Verwaltungskonsole zuerst mit dem Support-Benutzer an, erstellen Sie einen ersten Benutzer mit einer Administrator-Rolle, und verwenden Sie dann diesen Administratorbenutzer, um andere Benutzer mit anderen Rollen zu erstellen.

Zugriff pro berechtigtem Benutzer

In der folgenden Tabelle wird der Zugriff beschrieben, der für die einzelnen berechtigten Benutzer verfügbar ist, einschließlich Legacybenutzern.

Name Stellt eine Verbindung mit Berechtigungen
admin configuration shell des OT-Sensors Ein Administratorkonto mit weitreichenden Berechtigungen und Zugriff auf:
- Alle CLI-Befehle
- Verwaltung von Protokolldateien
- Starten und Beenden von Diensten

Dieser Benutzer hat keinen Dateisystemzugriff. In älteren Softwareversionen wird dieser Benutzer Support benannt.
support configuration shell der lokalen Verwaltungskonsole
Dieser Benutzer ist auch in älteren Sensorversionen vorhanden
Ein Administratorkonto mit weitreichenden Berechtigungen und Zugriff auf:
- Alle CLI-Befehle
- Verwaltung von Protokolldateien
- Starten und Beenden von Diensten

Dieser Benutzer verfügt nicht über Dateisystemzugriff.
cyberx terminal (root) des OT-Sensors oder der lokalen Verwaltungskonsole Dient als Stammbenutzer und verfügt über unbegrenzte Berechtigungen für die Appliance.

Wird nur für die folgenden Aufgaben verwendet:
- Ändern von Standardkennwörtern
- Problembehandlung
- Dateisystemzugriff
cyberx_host terminal (root) des Hostbetriebssystems des OT-Sensors Dient als Stammbenutzer und verfügt über unbegrenzte Berechtigungen für das Hostbetriebssystem der Appliance.

Wird für Folgendes verwendet:
- Netzwerkkonfiguration
- Anwendungscontainersteuerung
- Dateisystemzugriff

Lokale Benutzerrollen

Die folgenden Rollen sind auf OT-Netzwerksensoren und lokalen Verwaltungskonsolen verfügbar:

Rolle BESCHREIBUNG
Administrator Administratorbenutzer haben Zugriff auf alle Tools, einschließlich Systemkonfigurationen, der Erstellung und Verwaltung von Benutzern usw.
Sicherheitsanalyst Sicherheitsanalysten verfügen nicht über Berechtigungen auf Administratorebene für Konfigurationen, können aber Aktionen auf Geräten ausführen, Warnungen bestätigen und Untersuchungstools verwenden.

Sicherheitsanalysten können auf die Optionen des Sensors zugreifen, die in den Menüs Entdecken und Analysieren des Sensors sowie in den Menüs NAVIGATION und ANALYSE in der lokalen Verwaltungskonsole angezeigt werden.
Nur Lesezugriff Benutzer mit Leseberechtigung führen Aufgaben wie das Anzeigen von Warnungen und Geräten in den Gerätezuordnungen aus.

Benutzer, die nur Leseberechtigung haben, können auf Optionen zugreifen, die in den Menüs Entdecken und Analysieren auf dem Sensor, im schreibgeschützten Modus und im Navigationsmenü der lokalen Verwaltungskonsole angezeigt werden.

Melden Sie sich bei der Erstbereitstellung eines OT-Überwachungssystems bei Ihren Sensoren und der lokalen Verwaltungskonsole mit einem der oben beschriebenen privilegierten Standardbenutzer an. Erstellen Sie Ihren ersten Administratorbenutzer, und verwenden Sie diesen Benutzer dann, um weitere Benutzer zu erstellen und sie Rollen zuzuweisen.

Die auf die einzelnen Rollen angewendeten Berechtigungen unterscheiden sich zwischen dem Sensor und der lokalen Verwaltungskonsole. Weitere Informationen finden Sie in den folgenden Tabellen für die Berechtigungen, die auf dem Sensor und in der lokalen Verwaltungskonsole für die einzelnen Rollen verfügbar sind.

Rollenbasierte Berechtigungen für OT-Netzwerksensoren

Berechtigung Nur Leseberechtigung Sicherheitsanalyst Administrator
Anzeigen des Dashboards
Steuern der Vergrößerung von Zuordnungsansichten - -
Anzeigen von Warnungen
Verwalten von Warnungen: Bestätigen, Erlernen und Stummschalten -
Anzeigen von Ereignissen auf einer Zeitachse
Autorisieren von Geräten, bekannten Scannergeräten, programmierbaren Geräten -
Zusammenführen und Löschen von Geräten - -
Anzeigen von Untersuchungsdaten
Verwalten von Systemeinstellungen - -
Verwalten von Benutzern - -
Ändern von Kennwörtern - - *
DNS-Server für Reverse-Lookup - -
Senden von Warnungsdaten an Partner -
Erstellen von Warnungskommentaren -
Anzeigen des Verlauf von Programmieränderungen
Erstellen angepasster Warnungsregeln -
Verwalten mehrerer Benachrichtigungen gleichzeitig -
Verwalten von Zertifikaten - -

Hinweis

Administratorbenutzer können Kennwörter nur für sich selbst und andere Benutzer mit den Rollen Sicherheitsanalyst und Schreibgeschützt ändern.

Rollenbasierte Berechtigungen für die lokale Verwaltungskonsole

Berechtigung Nur Leseberechtigung Sicherheitsanalyst Administrator
Anzeigen und Filtern der Gerätezuordnungen im Unternehmen
Erstellen eines Standorts - -
Verwalten eines Standorts (Hinzufügen und Bearbeiten von Zonen) - -
Anzeigen und Filtern des Gerätebestands
Anzeigen und Verwalten von Warnungen: Bestätigen, Erlernen und Stummschalten
Generieren von Berichten -
Anzeigen von Risikobewertungsberichten -
Festlegen von Warnungsausschlüssen -
Anzeigen oder Definieren von Zugriffsgruppen - -
Verwalten von Systemeinstellungen - -
Verwalten von Benutzern - -
Ändern von Kennwörtern - - *
Senden von Warnungsdaten an Partner - -
Verwalten von Zertifikaten - -

Hinweis

Administratorbenutzer können Kennwörter nur für sich selbst und andere Benutzer mit den Rollen Sicherheitsanalyst und Schreibgeschützt ändern.

Nächste Schritte

Weitere Informationen finden Sie unter