Ot hálózati érzékelők karbantartása az érzékelőkonzolról
Ez a cikk a nagyobb üzembehelyezési folyamaton kívül elvégezhető további OT-érzékelőkarbantartási tevékenységeket ismerteti.
Az OT-érzékelők az OT-érzékelő parancssori felületéről, az Azure Portalról és egy helyszíni felügyeleti konzolról is karbantarthatók.
Figyelemfelhívás
Az ügyfélkonfiguráció csak dokumentált konfigurációs paramétereket támogat az OT hálózati érzékelőn és a helyszíni felügyeleti konzolon. Ne módosítsa a nem dokumentált konfigurációs paramétereket vagy rendszertulajdonságokat, mert a módosítások váratlan viselkedést és rendszerhibákat okozhatnak.
A csomagok Microsoft-jóváhagyás nélküli eltávolítása váratlan eredményeket okozhat az érzékelőből. Az érzékelőre telepített összes csomagra szükség van a megfelelő érzékelőfunkcióhoz.
Előfeltételek
A cikkben szereplő eljárások végrehajtása előtt győződjön meg arról, hogy rendelkezik az alábbi eljárásokkal:
Az Azure Portalon telepített, konfigurált és aktivált, valamint a Defender for IoT-be előkészített OT-hálózati érzékelő.
Hozzáférés az OT-érzékelőhöz Rendszergazda felhasználóként. A kiválasztott eljárásokhoz és a parancssori felülethez való hozzáféréshez kiemelt felhasználóra is szükség van. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.
Az OT-érzékelők szoftvereinek letöltéséhez biztonsági Rendszergazda, közreműködőként vagy tulajdonosként kell hozzáférnie az Azure Portalhoz.
Egy SSL/TLS-tanúsítvány, amelyet akkor készítünk el , ha frissítenie kell az érzékelő tanúsítványát.
Az OT-érzékelő általános állapotának megtekintése
Amikor bejelentkezik az OT-érzékelőbe, az első látható oldal az Áttekintés lap.
Példa:
Az Áttekintés lapon a következő widgetek láthatók:
Név | Leírás |
---|---|
Általános Gépház | Megjeleníti az érzékelő alapkonfigurációs beállításainak és kapcsolati állapotának listáját. |
Forgalomfigyelés | Megjeleníti az érzékelő forgalmát részletező grafikont. A grafikon a megtekintés napján óránkénti Mbps egységekként jeleníti meg a forgalmat. |
Az első 5 OT-protokoll | Megjeleníti az öt leggyakrabban használt OT-protokollt részletező sávdiagramot. A sávdiagram az egyes protokollokat használó eszközök számát is megadja. |
Forgalom port szerint | A hálózat porttípusait ábrázoló kördiagramot jelenít meg az egyes porttípusokban észlelt forgalom mennyiségével. |
A legmegnyílóbb riasztások | Megjeleníti a nagy súlyosságú, jelenleg megnyitott riasztásokat felsoroló táblázatot, beleértve az egyes riasztásokkal kapcsolatos kritikus részleteket is. |
Kattintson az egyes vezérlők hivatkozására, hogy részletesebb információkat találjon az érzékelőben.
Kapcsolat állapotának ellenőrzése
Ellenőrizze, hogy az OT-érzékelő sikeresen csatlakozik-e az Azure Portalhoz közvetlenül az OT-érzékelő Áttekintés lapján.
Ha csatlakozási problémák merülnek fel, az Áttekintés lap Általános Gépház területén megszakadási üzenet jelenik meg, és a Rendszerüzenetek terület lapjának tetején egy szolgáltatáskapcsolati hibajelzés jelenik meg. Példa:
A probléma további információinak megkereséséhez vigye az egérmutatót az információs ikonra. Példa:
A Művelet végrehajtásához válassza a További információ lehetőséget a Rendszerüzenetek területen. Példa:
Szoftver letöltése AZ OT-érzékelőkhöz
Előfordulhat, hogy le kell töltenie az OT-érzékelőhöz tartozó szoftvereket, ha a Defender for IoT szoftvert telepíti a saját berendezésére, vagy frissíti a szoftververziókat.
Az Azure Portalon a Defender for IoT-ben használja az alábbi lehetőségek egyikét:
Új telepítéshez válassza az Első lépések>érzékelő lehetőséget. Válasszon ki egy verziót a Berendezés vásárlása és a szoftverterület telepítése területen, majd válassza a Letöltés lehetőséget.
Ha az OT-érzékelőt frissíti, használja a Webhelyek és érzékelők lap >érzékelőfrissítés (előzetes verzió) menüjének beállításait.
Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.
További információ: Update Defender for IoT OT monitorozási szoftver.
Új aktiválási fájl feltöltése
Minden OT-érzékelő felhőhöz csatlakoztatott vagy helyileg felügyelt OT-érzékelőként van előkészítve, és egy egyedi aktiválási fájl használatával aktiválódik. A felhőalapú érzékelők esetében az aktiválási fájl biztosítja az érzékelő és az Azure közötti kapcsolatot.
Új aktiválási fájlt kell feltöltenie az érzékelőhöz, ha érzékelőkezelési módokat szeretne váltani, például helyileg felügyelt érzékelőről felhőhöz csatlakoztatott érzékelőre szeretne váltani, vagy ha friss szoftververzióról frissít. Ha új aktiválási fájlt tölt fel az érzékelőbe, az azt is magában foglalja, hogy törli az érzékelőt az Azure Portalról, és újra előkészíti azt.
Új aktiválási fájl hozzáadása:
Hajtsa végre a megfelelő műveletet:
Az érzékelő előkészítése az alapoktól:
Az Azure Portal>webhelyein és érzékelőiben található Defender for IoT-ben keresse meg és törölje az OT-érzékelőt.
Válassza az OT-érzékelő > előléptetését az érzékelő újbóli előkészítéséhez az alapoktól kezdve, és töltse le az új aktiválási fájlt. További információt az OT-érzékelők előkészítése című témakörben talál.
Töltse le az aktuális érzékelő aktiválási fájlját: A Helyek és érzékelők lapon keresse meg az imént hozzáadott érzékelőt. Válassza ki a három elemet (...) az érzékelő sorában, és válassza az Aktiválási fájl letöltése lehetőséget. Mentse a fájlt az érzékelő számára elérhető helyre.
Az Azure Portalról letöltött összes fájlt a megbízhatósági gyökér írja alá, így a gépek csak aláírt objektumokat használnak.
Jelentkezzen be a Defender for IoT érzékelőkonzoljára, és válassza a System Gépház> Sensor felügyeleti>előfizetés & aktiválási módot.
Válassza a Feltöltés lehetőséget, és keresse meg az Azure Portalról letöltött fájlt.
Válassza az Aktiválás lehetőséget az új aktiválási fájl feltöltéséhez.
Aktiválási fájl feltöltésének hibaelhárítása
Hibaüzenet jelenik meg, ha az aktiválási fájl nem tölthető fel. A következő események történhettek:
Az érzékelő nem tud csatlakozni az internethez: Ellenőrizze az érzékelő hálózati konfigurációját. Ha az érzékelőnek webes proxyn keresztül kell csatlakoznia az internet eléréséhez, ellenőrizze, hogy a proxykiszolgáló megfelelően van-e konfigurálva a Sensor Network Configuration képernyőn. Ellenőrizze, hogy a szükséges végpontok engedélyezettek-e a tűzfalban és/vagy a proxyban.
Az OT-érzékelők 22.x-es verziójához töltse le a szükséges végpontok listáját az Azure Portal Webhelyek és érzékelők oldaláról. Válasszon ki egy támogatott szoftververziójú OT-érzékelőt, vagy egy vagy több támogatott érzékelőt tartalmazó webhelyet. Ezután válassza a További műveletek>A végpont részleteinek letöltése lehetőséget. A korábbi verziójú érzékelőkkel kapcsolatos további információt az Azure Portalhoz való érzékelőhozzáférés című témakörben talál.
Az aktiválási fájl érvényes, de az IoT Defender elutasította: Ha nem tudja megoldani a problémát, az Azure Portal Webhelyek és érzékelők lapjáról tölthet le egy újabb aktiválást. Ha ez nem működik, forduljon Microsoft ügyfélszolgálata.
Feljegyzés
Az aktiválási fájlok a létrehozás után 14 nappal lejárnak. Ha előkészítette az érzékelőt, de nem töltötte fel az aktiválási fájlt a lejárata előtt, töltsön le egy új aktiválási fájlt.
SSL/TLS-tanúsítványok kezelése
Ha éles környezetben dolgozik, az OT-érzékelő üzembe helyezésének részeként üzembe helyezett egy HITELESÍTÉSSZOLGÁLTATÓ ÁLTAL aláírt SSL/TLS-tanúsítványt. Javasoljuk, hogy csak tesztelési célokra használjunk önaláírt tanúsítványokat.
Az alábbi eljárások ismertetik a frissített SSL-/TLS-tanúsítványok üzembe helyezését, például azt, hogy a tanúsítvány lejárt-e.
Tipp.
A tanúsítványt cli-parancsokkal is importálhatja az OT-érzékelőbe.
- Hitelesítésszolgáltató által aláírt tanúsítvány üzembe helyezése
- Önaláírt tanúsítvány létrehozása és üzembe helyezése
Hitelesítésszolgáltató által aláírt SSL/TLS-tanúsítvány üzembe helyezése:
Jelentkezzen be az OT-érzékelőbe, és válassza a System Gépház> Basic>SSL/TLS-tanúsítványt.
Az SSL/TLS-tanúsítványok panelen válassza a Megbízható hitelesítésszolgáltatói tanúsítvány importálása (ajánlott) lehetőséget. Példa:
Adja meg a következő paramétereket:
Paraméter Leírás Tanúsítvány neve Adja meg a tanúsítvány nevét. - Jelszó megadása nem kötelező Adjon meg egy jelszót. Titkos kulcs (KEY-fájl) Titkos kulcs (KEY-fájl) feltöltése. Tanúsítvány (CRT-fájl) Tanúsítvány (CRT-fájl) feltöltése. Tanúsítványlánc (PEM-fájl) - Nem kötelező Tanúsítványlánc (PEM-fájl) feltöltése. Válassza a CRL (Visszavont tanúsítványok listája) lehetőséget a tanúsítvány állapotának ellenőrzéséhez a tanúsítvány CRL-kiszolgálón való érvényesítéséhez. A tanúsítványt az importálási folyamat során egyszer ellenőrzi a rendszer.
Ha a feltöltés sikertelen, forduljon a biztonsági vagy informatikai rendszergazdához. További információ: SSL/TLS-tanúsítványkövetelmények a helyszíni erőforrásokhoz és SSL/TLS-tanúsítványok létrehozása OT-berendezésekhez.
A helyszíni felügyeleti konzol tanúsítványterületén válassza a Kötelező lehetőséget, ha SSL-/TLS-tanúsítványérvényesítésre van szükség. Ellenkező esetben válassza a Nincs lehetőséget.
Ha a Kötelező beállítást választotta, és az ellenőrzés meghiúsul, a rendszer leállítja a megfelelő összetevők közötti kommunikációt, és érvényesítési hiba jelenik meg az érzékelőn. További információ: CRT-fájlkövetelmények.
A tanúsítványbeállítások mentéséhez válassza a Mentés lehetőséget.
Tanúsítványfeltöltési hibák elhárítása
Nem fog tudni tanúsítványokat feltölteni az OT-érzékelőkre vagy a helyszíni felügyeleti konzolokra, ha a tanúsítványok nem lettek megfelelően létrehozva, vagy érvénytelenek. Az alábbi táblázatból megtudhatja, hogyan hajthat végre műveletet, ha a tanúsítványfeltöltés sikertelen, és hibaüzenet jelenik meg:
Tanúsítványérvényesítési hiba | Ajánlás |
---|---|
A jelszó nem egyezik a kulccsal | Győződjön meg arról, hogy a megfelelő jelszóval rendelkezik. Ha a probléma továbbra is fennáll, próbálja meg újra a tanúsítványt a megfelelő jelszóval. További információ: Kulcsok és jelszók támogatott karakterei. |
A megbízhatósági lánc nem érvényesíthető. A megadott tanúsítvány és a legfelső szintű hitelesítésszolgáltató nem egyezik. | Győződjön meg arról, hogy egy .pem fájl korrelál a .crt fájllal. Ha a probléma továbbra is fennáll, próbálja meg újra a tanúsítványt a fájl által meghatározott megbízhatósági lánccal újraépíteni .pem . |
Ez az SSL-tanúsítvány lejárt, és nem tekinthető érvényesnek. | Hozzon létre egy új tanúsítványt érvényes dátumokkal. |
Ezt a tanúsítványt visszavonta a CRL, és nem megbízható a biztonságos kapcsolathoz | Hozzon létre egy új nem visszavont tanúsítványt. |
A visszavont tanúsítványok listája (CRL) helye nem érhető el. Ellenőrizze, hogy az URL-cím elérhető-e ebből a berendezésből | Győződjön meg arról, hogy a hálózati konfiguráció lehetővé teszi, hogy az érzékelő vagy a helyszíni felügyeleti konzol elérje a tanúsítványban meghatározott CRL-kiszolgálót. További információ: CRL-kiszolgálói hozzáférés ellenőrzése. |
A tanúsítvány érvényesítése nem sikerült | Ez a berendezés általános hibáját jelzi. Lépjen kapcsolatba Microsoft ügyfélszolgálata. |
Az OT-érzékelő hálózati konfigurációjának frissítése
A telepítés során konfigurálta az OT-érzékelő hálózatát. Előfordulhat, hogy az OT-érzékelő karbantartása részeként módosításokat kell végeznie, például módosítania kell a hálózati értékeket, vagy proxykonfigurációt kell beállítania.
Az OT-érzékelő konfigurációjának frissítése:
Jelentkezzen be az OT-érzékelőbe, és válassza a System Gépház> Basic>Sensor hálózati beállításait.
Az Érzékelő hálózati beállításai panelen szükség szerint frissítse az OT-érzékelő alábbi adatait:
- IP-cím. Az IP-cím módosítása esetén előfordulhat, hogy a felhasználóknak újra be kell jelentkezniük az OT-érzékelőbe.
- Alhálózati maszk
- Alapértelmezett átjáró
- DNS. Ügyeljen arra, hogy ugyanazt a gazdagépnevet használja, amely a szervezet DNS-kiszolgálóján van konfigurálva.
- Állomásnév (nem kötelező)
Ha szükséges, kapcsolja be vagy ki a Proxy engedélyezése beállítást. Proxy használata esetén adja meg a következő értékeket:
- Proxy gazdagép
- Proxyport
- Proxy felhasználónév (nem kötelező)
- Proxyjelszó (nem kötelező)
Válassza a Mentés lehetőséget a módosítások mentéséhez.
A tanulási mód manuális kikapcsolása
A Microsoft Defender for IoT OT hálózati érzékelő automatikusan figyeli a hálózatot, amint csatlakozik a hálózathoz, és bejelentkezett. A hálózati eszközök megjelennek az eszközleltárban, és riasztások aktiválódnak a hálózatban előforduló biztonsági vagy üzemeltetési incidensek esetén.
Ez a tevékenység kezdetben tanulási módban történik, amely arra utasítja az OT-érzékelőt, hogy ismerje meg a hálózat szokásos tevékenységeit, beleértve a hálózat eszközeit és protokolljait, valamint az adott eszközök közötti rendszeres fájlátviteleket. Minden rendszeresen észlelt tevékenység a hálózat alapkonfigurációs forgalmává válik.
Ez az eljárás azt ismerteti, hogyan kapcsolhatja ki manuálisan a tanulási módot, ha úgy érzi, hogy az aktuális riasztások pontosan tükrözik a hálózati tevékenységet.
A tanulási mód kikapcsolása:
Jelentkezzen be az OT-hálózati érzékelőbe, és válassza a Rendszerbeállítások > Hálózatfigyelés észlelési > motorjait és a hálózatmodellezést.
Kapcsolja ki az alábbi lehetőségek egyikét vagy mindkettőt:
Tanulás. Az érzékelő üzembe helyezése után körülbelül két-hat héttel kapcsolja ki ezt a beállítást, amikor úgy érzi, hogy az OT-érzékelő észlelései pontosan tükrözik a hálózati tevékenységet.
Intelligens informatikai Tanulás. Ezt a beállítást állítsa be úgy, hogy a nemdeterminisztikus riasztások és értesítések száma alacsony legyen.
A nemdeterminisztikus viselkedés olyan módosításokat is tartalmaz, amelyek a normál informatikai tevékenység, például a DNS- és HTTP-kérések eredménye. Az intelligens informatikai Tanulás beállítás kikapcsolásával számos hamis pozitív szabályzatmegsértési riasztás aktiválható.
A megerősítő üzenetben kattintson az OK gombra, majd a Bezárás gombra a módosítások mentéséhez.
Az érzékelő monitorozási felületeinek frissítése (az ERSPAN konfigurálása)
Érdemes lehet módosítani az érzékelő által a forgalom figyelésére használt interfészeket. Ezeket a részleteket eredetileg a kezdeti érzékelőbeállítás részeként konfigurálta, de előfordulhat, hogy a rendszerkarbantartás részeként módosítania kell a beállításokat, például konfigurálnia kell az ERSPAN monitorozását.
További információ: ERSPAN-portok.
Feljegyzés
Ez az eljárás újraindítja az érzékelőszoftvert a végrehajtott módosítások implementálásához.
Az érzékelő monitorozási felületeinek frissítése:
Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások>alapszintű>interfészkapcsolatok lehetőséget.
Keresse meg a konfigurálni kívánt felületet a rácson. Tegye meg a következők bármelyikét:
Válassza az Érzékelő által monitorozni kívánt felületek engedélyezése/letiltása váltógombot. Minden érzékelőhöz legalább egy interfésznek engedélyezve kell lennie.
Ha nem biztos abban, hogy melyik felületet használja, válassza a Pislogás fizikai felület LED gombot , hogy a kiválasztott port villogjon a gépen.
Tipp.
Javasoljuk, hogy optimalizálja az érzékelő teljesítményét úgy, hogy a beállításokat úgy konfigurálja, hogy csak az aktív használatban lévő interfészeket figyelje.
A monitorozáshoz kiválasztott összes felületnél válassza a Speciális beállítások gombot az alábbi beállítások módosításához:
Név Leírás Mód Válasszon az alábbiak közül:
- SPAN-forgalom (nincs beágyazás) az alapértelmezett SPAN-porttükrözés használatához.
- ERSPAN , ha ERSPAN-tükrözést használ.
További információ: Forgalomtükrözési módszer kiválasztása az OT-érzékelőkhöz.Leírás Adjon meg egy opcionális leírást a felülethez. Ezt később láthatja az érzékelő Rendszerbeállítások > felületének konfigurációi oldalán, és ezek a leírások hasznosak lehetnek az egyes interfészek céljának megértésében. Automatikus egyeztetés Csak fizikai gépekre vonatkozik. Ezzel a beállítással meghatározhatja, hogy milyen kommunikációs módszereket használ, vagy hogy a kommunikációs módszerek automatikusan vannak-e definiálva az összetevők között.
Fontos: Javasoljuk, hogy ezt a beállítást csak a hálózati csapat tanácsára módosítsa.
Példa:
Válassza a Mentés lehetőséget a módosítások mentéséhez. Az érzékelőszoftver újraindul a módosítások implementálásához.
Időzónák szinkronizálása egy OT-érzékelőn
Előfordulhat, hogy az OT-érzékelőt egy adott időzónával szeretné konfigurálni, hogy minden felhasználó ugyanazt az időpontot láthassa a felhasználó helyétől függetlenül.
Az időzónákat riasztásokban, trendekben és statisztikai vezérlőkben, adatbányászati jelentésekben, kockázatértékelési jelentésekben és támadásvektor-jelentésekben használják.
Az OT-érzékelő időzónájának konfigurálása:
Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások>alapidő>> régió lehetőséget.
Az Idő > Régió panelen adja meg a következő adatokat:
Időzóna: Válassza ki a használni kívánt időzónát
Dátumformátum: Válassza ki a használni kívánt idő- és dátumformátumot. A támogatott formátumok a következők:
dd/MM/yyyy HH:mm:ss
MM/dd/yyyy HH:mm:ss
yyyy/MM/dd HH:mm:ss
A Dátum és idő mező automatikusan frissül az aktuális időponttal a kiválasztott formátumban.
Válassza a Mentés lehetőséget a módosítások mentéséhez.
SMTP-levelezési kiszolgáló beállításainak konfigurálása
Adja meg az SMTP-levelezési kiszolgáló beállításait az OT-érzékelőn, hogy úgy konfigurálja az OT-érzékelőt, hogy adatokat küldjön más kiszolgálóknak és partnerszolgáltatásoknak.
Szüksége van egy smtp-levelezési kiszolgálóra, amely lehetővé teszi a leválasztott érzékelőkkel, a sikertelen érzékelők biztonsági mentésével és a span monitorozási porthibákkal kapcsolatos riasztásokat a helyszíni felügyeleti konzolról, valamint a levelezés továbbítására és a továbbítási riasztási szabályok konfigurálására.
Előfeltételek:
Győződjön meg arról, hogy az SMTP-kiszolgáló az érzékelő felügyeleti portjáról érhető el.
SMTP-kiszolgáló konfigurálása az OT-érzékelőn:
Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások>integrációs>levelezési kiszolgáló lehetőséget.
A megjelenő Levelezési kiszolgáló konfigurációjának szerkesztése panelen adja meg az SMTP-kiszolgáló értékeit az alábbiak szerint:
Paraméter Leírás SMTP-kiszolgáló címe Adja meg az SMTP-kiszolgáló IP-címét vagy tartománycímét. SMTP-kiszolgáló portja Alapértelmezett = 25. Igény szerint módosítsa az értéket. Kimenő levelek fiókja Adjon meg egy e-mail-címet, amelyet az érzékelő kimenő e-mail-fiókjaként szeretne használni. SSL Kapcsolja be a biztonságos kapcsolatot az érzékelőről. Hitelesítés Kapcsolja be, majd adja meg az e-mail-fiókjához tartozó felhasználónevet és jelszót. NTLM használata Az NTLM engedélyezéséhez kapcsolja be a kapcsolót. Ez a beállítás csak akkor jelenik meg, ha be van kapcsolva a Hitelesítési beállítás. Ha végzett, válassza a Mentés lehetőséget.
PCAP-fájlok feltöltése és lejátszása
Az OT-érzékelő hibaelhárítása során érdemes lehet megvizsgálni egy adott PCAP-fájl által rögzített adatokat. Ehhez feltölthet egy PCAP-fájlt az OT-érzékelőbe, és lejátszhatja a rögzített adatokat.
A PCAP lejátszása beállítás alapértelmezés szerint engedélyezve van az érzékelőkonzol beállításai között.
A feltöltött fájlok maximális mérete 2 GB.
A PCAP-lejátszó megjelenítése az érzékelőkonzolon:
Az érzékelőkonzolon nyissa meg a Rendszerbeállítások > érzékelőkezelési > speciális konfigurációit.
A Speciális konfigurációk panelen válassza ki a Pcaps kategóriát.
A megjelenített konfigurációkban váltson
enabled=0
a következőreenabled=1
, és válassza a Mentés lehetőséget.
A PcAP lejátszása lehetőség már elérhető az érzékelőkonzol beállításai között, a rendszerbeállítások > alapszintű > lejátszása PCAP alatt.
PCAP-fájl feltöltése és lejátszása:
Az érzékelőkonzolon válassza a System Settings > Basic > Play PCAP lehetőséget.
A PCAP PLAYER panelen válassza a Feltöltés lehetőséget, majd keresse meg és válassza ki a feltölteni kívánt fájlt vagy több fájlt.
Válassza a Lejátszás lehetőséget a PCAP-fájl lejátszásához, vagy az Összes lejátszása lehetőséget az összes jelenleg betöltött PCAP-fájl lejátszásához.
Tipp.
Válassza az Összes törlése lehetőséget az összes betöltött PCAP-fájl érzékelőjének törléséhez.
Adott elemzési motorok kikapcsolása
Alapértelmezés szerint minden ot hálózati érzékelő beépített elemzési motorokkal elemzi a betöltött adatokat, és valós idejű és előre rögzített forgalom alapján aktiválja a riasztásokat.
Bár azt javasoljuk, hogy az összes elemzési motort bekapcsolva tartsa, érdemes kikapcsolni az OT-érzékelők adott elemzési motorjait, hogy korlátozza az adott OT-érzékelő által figyelt rendellenességek és kockázatok típusát.
Fontos
Szabályzatmotor letiltásakor a motor által generált információk nem lesznek elérhetők az érzékelő számára. Ha például letiltja az Anomáliamotort, akkor nem fog riasztásokat kapni a hálózati rendellenességekkel kapcsolatban. Ha létrehozott egy továbbítási riasztási szabályt, a rendszer nem küldi el azokat az anomáliákat, amelyeket a motor megtanul.
Az OT-érzékelő elemzőmotorjainak kezelése:
Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások > Hálózatfigyelés > testreszabásészlelési > motorjait és a hálózatmodellezést.
Az Észlelési motorok és a hálózatmodellezés panel Motorok területén kapcsolja ki az alábbi motorok közül egy vagy több motort:
- Protokoll megsértése
- Szabályzat megsértése
- Kártevő
- Anomália
- Működési
Kapcsolja vissza a motort a kapcsolódó rendellenességek és tevékenységek nyomon követéséhez.
További információ: Defender for IoT analytics engines.
A módosítások mentéséhez válassza a Bezárás lehetőséget.
Elemzési motorok kezelése helyszíni felügyeleti konzolról:
Jelentkezzen be a helyszíni felügyeleti konzolra, és válassza a System Gépház lehetőséget.
Az Érzékelőmotor konfigurációja szakaszban válasszon ki egy vagy több OLYAN OT-érzékelőt, ahol beállításokat szeretne alkalmazni, és törölje az alábbi lehetőségek egyikét:
- Protokoll megsértése
- Szabályzat megsértése
- Kártevő
- Anomália
- Működési
A módosítások mentéséhez válassza a MÓDOSÍTÁSOK MENTÉSE lehetőséget.
Az OT-érzékelő adatainak törlése
Ha át kell helyeznie vagy törölnie kell az OT-érzékelőt, állítsa alaphelyzetbe, hogy törölje az összes észlelt vagy tanult adatot az OT-érzékelőn.
Miután törölte az adatokat egy felhőalapú érzékelőn:
- Az Eszközleltár az Azure Portalon párhuzamosan frissül.
- Az Azure Portal megfelelő riasztásaival kapcsolatos egyes műveletek már nem támogatottak, például PCAP-fájlok letöltése vagy tanulási riasztások.
Feljegyzés
Az olyan hálózati beállítások, mint az IP/DNS/GATEWAY, nem változnak a rendszeradatok törlésével.
Rendszeradatok törlése:
Jelentkezzen be az OT-érzékelőbe rendszergazdai felhasználóként. További információ: Alapértelmezett jogosultsággal rendelkező helyszíni felhasználók.
Válassza a Támogatási>adatok törlése lehetőséget.
A megerősítést kérő párbeszédpanelen válassza az Igen lehetőséget annak megerősítéséhez, hogy törli az összes adatot az érzékelőből, és visszaállítja azt. Példa:
Megjelenik egy megerősítést kérő üzenet, amely szerint a művelet sikeres volt. Minden tanult adat, engedélyezési lista, szabályzat és konfigurációs beállítás törlődik az érzékelőből.
Érzékelő beépülő modulok kezelése és a beépülő modul teljesítményének monitorozása
Az érzékelő által figyelt protokollok adatainak megtekintése az érzékelőkonzol ProtokollOK DPI (Horizon Beépülő modulok) lapján.
Jelentkezzen be az OT-érzékelő konzoljára, és válassza a System Settings > Network Monitoring > Protocols DPI (Horizon Beépülő modulok) lehetőséget.
Hajtsa végre a megfelelő műveletet:
Az érzékelő által figyelt protokollok korlátozásához szükség szerint válassza az Engedélyezés/Letiltás kapcsolót az egyes beépülő modulokhoz.
A beépülő modul teljesítményének monitorozásához tekintse meg az egyes beépülő modulok protokollok DPI (Horizon Beépülő modulok) lapján látható adatokat. Egy adott beépülő modul megkereséséhez használja a Keresőmezőt a beépülő modul egy részének vagy teljes nevének megadásához.
A dpi protokollok (Horizon beépülő modulok) beépülő modulonként a következő adatokat sorolják fel:
Oszlop neve | Leírás |
---|---|
Plugin | Meghatározza a beépülő modul nevét. |
Típus | A beépülő modul típusa, beleértve az ALKALMAZÁST vagy az INFRASTRUKTÚRÁT is. |
Idő | Az az idő, amikor az adatokat utoljára elemezték a beépülő modul használatával. Az időbélyeg öt másodpercenként frissül. |
PPS | A beépülő modul által másodpercenként elemzett csomagok száma. |
Sávszélesség | A beépülő modul által az elmúlt öt másodpercben észlelt átlagos sávszélesség. |
Hibás űrlapok | Az elmúlt öt másodpercben észlelt hibás űrlaphibák száma. A hibásan formázott érvényesítéseket a protokoll pozitív érvényesítése után használja a rendszer. Ha a protokoll alapján nem sikerül feldolgozni a csomagokat, a rendszer hibaválaszt ad vissza. |
Figyelmeztetések | Az észlelt figyelmeztetések száma, például amikor a csomagok megfelelnek a szerkezetnek és a specifikációknak, de a beépülő modul figyelmeztetési konfigurációja alapján váratlan viselkedést észlel. |
Hibák | Az elmúlt öt másodpercben észlelt hibák száma azon csomagok esetében, amelyek nem felelnek meg a protokolldefinícióknak megfelelő csomagok alapszintű protokollellenőrzéseinek. |
A naplóadatok exportálhatóak a Dissection statistics és a Dissection Logs, log files fájlban. További információ: Exportálási hibaelhárítási naplók.
Következő lépések
További információkért lásd:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: