Az OT-érzékelő beállításainak konfigurálása az Azure Portalról (nyilvános előzetes verzió)
Miután egy új OT-hálózati érzékelőt készített a Microsoft Defender for IoT-be, érdemes lehet több beállítást közvetlenül az OT-érzékelő konzolján definiálni, például helyi felhasználókat felvenni, vagy csatlakozni egy helyszíni felügyeleti konzolhoz.
A cikkben felsorolt OT-érzékelőbeállítások közvetlenül az Azure Portalról is elérhetők. Az Azure Portal használatával ezeket a beállításokat tömegesen alkalmazhatja egyszerre több felhőhöz csatlakoztatott OT-érzékelőre, vagy egy adott helyen vagy zónában lévő összes felhőalapú OT-érzékelőre. Ez a cikk bemutatja, hogyan tekintheti meg és konfigurálhatja az OT hálózati érzékelő beállításait az Azure Portalról.
Megjegyzés:
A Defender for IoT Érzékelő beállításai lapja előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei olyan egyéb jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Előfeltételek
Az OT-érzékelő beállításainak meghatározásához győződjön meg arról, hogy rendelkezik a következővel:
Azure-előfizetés az IoT-hez készült Defenderbe. Ha szükséges, regisztráljon egy ingyenes fiókra, majd használja a rövid útmutatót: Az IoT-hez készült Defender használatának első lépései az ingyenes próbaverzió elindításához.
Engedélyek:
A mások által definiált beállítások megtekintéséhez jelentkezzen be az előfizetés biztonsági olvasói, biztonsági rendszergazdai, közreműködői vagy tulajdonosi szerepkörével.
A beállítások megadásához vagy frissítéséhez jelentkezzen be biztonsági rendszergazdai, közreműködői vagy tulajdonosi szerepkörrel.
További információ: Azure felhasználói szerepkörök és engedélyek az IoT Defenderhez.
Egy vagy több felhőhöz csatlakoztatott OT hálózati érzékelő. További információ: Az OT-érzékelők előkészítése a Defender for IoT-be.
Új érzékelőbeállítás definiálása
Adjon meg egy új beállítást, amikor egy vagy több OT hálózati érzékelőhöz szeretne egy adott konfigurációt definiálni. Ha például egy adott helyen vagy zónában lévő összes OT-érzékelőhöz meg szeretné határozni a sávszélességkorlátokat, vagy definiálni szeretné őket egyetlen, a hálózat egy adott helyén található OT-érzékelőhöz.
Új beállítás definiálása:
Az Azure Portalon az IoT-hez készült Defenderben válassza a Helyek és érzékelők>érzékelő beállításai (előzetes verzió) lehetőséget.
Az Érzékelő beállításai (előzetes verzió) lapon válassza a + Hozzáadás lehetőséget, majd a varázslóval definiálja a következő értékeket a beállításhoz. Ha végzett a varázsló minden lapjával, válassza a Tovább gombot a következő lépésre való ugráshoz.
Lap neve Leírás Alapvető beállítások Válassza ki azt az előfizetést, amelyben alkalmazni szeretné a beállítást, és a beállítás típusát.
Adjon meg egy értelmes nevet és egy opcionális leírást a beállításhoz.Beállítás Adja meg a kiválasztott beállítástípus értékeit.
Az egyes beállítástípusokhoz elérhető beállításokkal kapcsolatos részletekért keresse meg a kiválasztott beállítástípust az alábbi Érzékelő beállítási hivatkozásában .Alkalmazás A Helyek kijelölése, a Zónák kijelölése és az Érzékelők kijelölése legördülő menüvel meghatározhatja, hogy hol szeretné alkalmazni a beállítást.
Fontos: A hely vagy zóna kiválasztása az összes csatlakoztatott OT-érzékelőre alkalmazza a beállítást, beleértve a helyhez vagy zónához később hozzáadott BÁRMELY OT-érzékelőt is.
Ha úgy választja, hogy a beállításokat egy teljes webhelyre alkalmazza, akkor nem kell kijelölnie a zónáit vagy érzékelőit sem.Áttekintés és létrehozás Ellenőrizze a beállításhoz megadott beállításokat.
Ha az új beállítás lecserél egy meglévő beállítást, megjelenik egy
figyelmeztetés, amely a meglévő beállítást jelzi.
Ha elégedett a beállítás konfigurációjával, válassza a Létrehozás lehetőséget.
Az új beállítás most megjelenik az Érzékelő beállításai (Előzetes verzió) lapon a beállítástípus alatt, valamint az érzékelő részleteinek oldalán az esetleges kapcsolódó OT-érzékelőhöz. Az érzékelőbeállítások írásvédettként jelennek meg az érzékelő részleteinek oldalán. Például:
Tipp.
Előfordulhat, hogy egy adott OT-érzékelő vagy zóna beállításai alóli kivételeket szeretne konfigurálni. Ilyen esetekben hozzon létre egy további beállítást a kivételhez.
Gépház hierarchikus módon felülbírálják egymást, így ha a beállítás egy adott OT-érzékelőre van alkalmazva, az felülbírálja a teljes zónára vagy helyre alkalmazott kapcsolódó beállításokat. Ha egy teljes zóna kivételét szeretné létrehozni, adjon hozzá egy beállítást a zónához, amely felülírja a teljes webhelyre alkalmazott kapcsolódó beállításokat.
Az ot-érzékelő aktuális beállításainak megtekintése és szerkesztése
Az előfizetéshez már definiált beállítások megtekintése:
Az Azure Portalon az IoT-hez készült Defenderben válassza a Helyek és érzékelők>érzékelőbeállításokat (előzetes verzió)
Az Érzékelő beállításai (előzetes verzió) lapon az előfizetésekhez már definiált beállítások láthatók, beállítástípus szerint listában. Bontsa ki vagy csukja össze az egyes típusokat a részletes konfigurációk megtekintéséhez. Például:
Egy adott beállítás kiválasztásával megtekintheti annak pontos konfigurációját, valamint azt a helyet, zónákat vagy egyedi érzékelőket, ahol a beállítás alkalmazva van.
A beállítás konfigurációjának szerkesztéséhez válassza a Szerkesztés lehetőséget, majd a beállítás létrehozásához használt varázslóval végezze el a szükséges frissítéseket. Ha végzett, a módosítások mentéséhez válassza az Alkalmaz elemet.
Meglévő OT-érzékelő beállításainak törlése
Az OT-érzékelő beállításainak teljes törlése:
- Az Érzékelő beállításai (előzetes verzió) lapon keresse meg a törölni kívánt beállítást.
- Válassza a beállítás kártya jobb felső sarkában található ... beállítások menüt, majd válassza a Törlés lehetőséget.
Például:
A leválasztott OT-érzékelők beállításainak szerkesztése
Ez az eljárás azt ismerteti, hogyan szerkesztheti az OT-érzékelő beállításait, ha az OT-érzékelő jelenleg nincs leválasztva az Azure-ról, például egy folyamatban lévő biztonsági incidens során.
Alapértelmezés szerint, ha az Azure Portalon konfigurál bármilyen beállítást, az Azure Portalról és az OT-érzékelőből konfigurálható összes beállítás írásvédettre van állítva az OT-érzékelőn. Ha például az Azure Portalról konfigurál egy VLAN-t, akkor a sávszélességkorlát, az alhálózat és a VLAN-beállítások írásvédettre vannak állítva, és blokkolva vannak a módosítások az OT-érzékelőn.
Ha olyan helyzetben van, hogy az OT-érzékelő leválasztva van az Azure-ról, és módosítania kell az egyik beállítást, először írási hozzáférést kell szereznie ezekhez a beállításokhoz.
Írási hozzáférés elérése a letiltott OT-érzékelő beállításaihoz:
Az Azure Portal Érzékelő beállításai (előzetes verzió) lapján keresse meg a szerkeszteni kívánt beállítást, és nyissa meg szerkesztésre. További információ: A fenti OT-érzékelő aktuális beállításainak megtekintése és szerkesztése.
Szerkessze a beállítás hatókörét úgy, hogy az már ne tartalmazza az OT-érzékelőt, és az ot-érzékelő leválasztásakor végrehajtott módosítások nem lesznek felülírva, amikor újra csatlakoztatja az Azure-hoz.
Fontos
Gépház az Azure Portalon definiált beállítások mindig felülbírálják az OT-érzékelőn definiált beállításokat.
Jelentkezzen be az érintett OT-érzékelő konzoljára, és válassza Gépház > Speciális konfigurációk>Azure Remote Config lehetőséget.
A kódmezőben módosítsa a kívánt
01értéket, és válassza ablock_local_configBezárás lehetőséget. Például:
Folytassa a megfelelő beállítás frissítésével közvetlenül az OT hálózati érzékelőn. További információ: Egyéni érzékelők kezelése.
Érzékelőbeállítási referencia
Az azure portalon elérhető egyedi OT-érzékelőbeállításokról az alábbi szakaszokban olvashat bővebben:
Active Directory
Az Active Directory-beállítások Azure Portalról való konfigurálásához adja meg az alábbi beállítások értékeit:
| Name | Leírás |
|---|---|
| Tartományvezérlő teljes tartományneve | A teljes tartománynév (FQDN) pontosan az LDAP-kiszolgálón megjelenő módon jelenik meg. Például adja meg host1.subdomain.contoso.com. Ha problémát tapasztal az FQDN használatával történő integrációval kapcsolatban, ellenőrizze a DNS-konfigurációt. Az integráció beállításakor az LDAP-kiszolgáló explicit IP-címét is megadhatja a teljes tartománynév helyett. |
| Tartományvezérlő portja | Az a port, ahol az LDAP konfigurálva van. Használja például a 636-os portot AZ LDAPS-kapcsolatokhoz. |
| Elsődleges tartomány | A tartománynév, például subdomain.contoso.com, majd válassza ki az LDAP-konfiguráció kapcsolattípusát. Támogatott kapcsolattípusok: LDAPS/NTLMv3 (ajánlott), LDAP/NTLMv3 vagy LDAP/SASL-MD5 |
| Active Directory-csoportok | A + Hozzáadás elemet választva szükség szerint hozzáadhat egy Active Directory-csoportot az egyes felsorolt jogosultsági szintekhez. Amikor megad egy csoportnevet, győződjön meg arról, hogy pontosan az LDAP-kiszolgálón az Active Directory-konfigurációban meghatározott csoportnevet adja meg. Ezeket a csoportneveket akkor használja, ha új érzékelőfelhasználót ad hozzá az Active Directoryhoz. A támogatott jogosultsági szintek közé tartoznak az írásvédett, a biztonsági elemző, a Rendszergazda és a megbízható tartományok. |
Fontos
LDAP-paraméterek megadásakor:
- Az értékeket pontosan úgy definiálhatja, ahogyan az Active Directoryban megjelennek, kivéve az esetet.
- A felhasználó csak kisbetűs karaktereket használ, még akkor is, ha az Active Directory konfigurációja nagybetűket használ.
- Az LDAP és az LDAPS nem konfigurálható ugyanahhoz a tartományhoz. Ezeket azonban különböző tartományokban konfigurálhatja, majd egyszerre használhatja őket.
Másik Active Directory-kiszolgáló hozzáadásához válassza a + Kiszolgáló hozzáadása lehetőséget, és definiálja ezeket a kiszolgálói értékeket.
Sávszélességkorlát
Sávszélesség-korlát esetén határozza meg, hogy az érzékelő mekkora sávszélességet használjon az érzékelő és a felhő közötti kimenő kommunikációhoz, akár Kbps, akár Mbps formátumban.
Alapértelmezett: 1500 Kbps
Az Azure-hoz való stabil kapcsolathoz minimálisan szükséges: 350 Kb/s. Ebben a minimális beállításban az érzékelőkonzolhoz való csatlakozás a szokásosnál lassabb lehet.
NTP
Ha NTP-kiszolgálót szeretne konfigurálni az érzékelőhöz az Azure Portalról, adjon meg egy érvényes IPv4 NTP-kiszolgáló IP-címét/tartománycímét a 123-es port használatával.
Alhálózat
Ha az Azure-eszközleltárat az IoT/OT-hatókörben lévő eszközökre szeretné összpontosítani, manuálisan kell szerkesztenie az alhálózatok listáját, hogy csak az IoT/OT-hatókörben lévő helyileg figyelt alhálózatokat tartalmazza. Az alhálózatok konfigurálása után az eszközök hálózati helye megjelenik az Azure-eszközleltár Hálózati hely (Nyilvános előzetes verzió) oszlopában. A felsorolt alhálózatokhoz társított összes eszköz helyiként jelenik meg, míg a listában nem szereplő észlelt alhálózatokhoz társított eszközök irányítva jelennek meg.
Az alhálózatok konfigurálása az Azure Portalon:
Az Azure Portalon nyissa meg a Helyek és érzékelők>érzékelőbeállításokat.
Az Alhálózatok területen tekintse át a konfigurált alhálózatokat. Az eszközleltár összpontosításához és a leltárban lévő helyi eszközök megtekintéséhez törölje az IoT/OT-hatókörben nem szereplő alhálózatokat a törölni kívánt alhálózat beállítások menüjének (...) kiválasztásával.
További beállítások módosításához jelölje ki bármelyik alhálózatot, majd válassza a Szerkesztés lehetőséget a következő beállításokhoz:
Válassza az Alhálózatok importálása lehetőséget az alhálózat IP-címeinek és maszkjainak vesszővel tagolt listájának importálásához. Válassza az Alhálózatok exportálása lehetőséget az aktuálisan konfigurált adatok listájának exportálásához, vagy az összes törlése lehetőséget az alapoktól kezdve.
Adjon meg értékeket az IP-cím, a Maszk és a Név mezőben az alhálózat részleteinek manuális hozzáadásához. Az Alhálózat hozzáadása lehetőséget választva szükség szerint további alhálózatokat vehet fel.
VLAN-elnevezés
Ha meg szeretne határozni egy VLAN-t az OT-érzékelőhöz, adja meg a VLAN-azonosítót és egy értelmes nevet.
A VLAN hozzáadása lehetőséget választva szükség szerint további VLAN-okat vehet fel.