Defender for IoT CLI-felhasználók és hozzáférés
Ez a cikk bemutatja a Microsoft Defender for IoT parancssori felületét (CLI). A parancssori felület egy szöveges felhasználói felület, amely lehetővé teszi az OT-érzékelők és a helyszíni felügyeleti konzol elérését a speciális konfigurációhoz, hibaelhárításhoz és támogatáshoz.
A Defender for IoT CLI eléréséhez hozzá kell férnie az érzékelőhöz vagy a helyszíni felügyeleti konzolhoz.
- Az OT-érzékelők vagy a helyszíni felügyeleti konzol esetében kiemelt felhasználóként kell bejelentkeznie.
- Nagyvállalati IoT-érzékelők esetén bármely felhasználóként bejelentkezhet.
Figyelmeztetés
Az ügyfélkonfiguráció csak dokumentált konfigurációs paramétereket támogat az OT hálózati érzékelőn és a helyszíni felügyeleti konzolon. Ne módosítsa a nem dokumentált konfigurációs paramétereket vagy rendszertulajdonságokat, mert a módosítások váratlan viselkedést és rendszerhibákat okozhatnak.
A csomagok Microsoft-jóváhagyás nélküli eltávolítása váratlan eredményeket okozhat az érzékelőből. Az érzékelőre telepített összes csomagra szükség van a megfelelő érzékelőfunkcióhoz.
Emelt szintű felhasználói hozzáférés az OT-monitorozáshoz
Használja a támogatási felhasználót a Defender for IoT CLI használatakor, amely egy rendszergazdai fiók, amely minden CLI-parancshoz hozzáfér. A helyszíni felügyeleti konzolon használja a támogatást vagy a cyberx-felhasználót.
A 23.1.x-nél korábbi érzékelőszoftver-verziókban a cyberx és cyberx_host kiemelt felhasználók is elérhetők. A 23.1.x és újabb verziókban a cyberx és cyberx_host felhasználók elérhetők, de alapértelmezés szerint nem engedélyezettek. Ha engedélyezni szeretné ezeket az extra jogosultságokkal rendelkező felhasználókat, módosítsa a jelszavát.
Más parancssori felületi felhasználók nem vehetők fel.
Az alábbi táblázat az egyes kiemelt felhasználók számára elérhető hozzáférést ismerteti:
| Name | Csatlakozás | Permissions |
|---|---|---|
| Támogatás | Az OT-érzékelő vagy a helyszíni felügyeleti konzol configuration shell |
Hatékony rendszergazdai fiók, amely az alábbiakhoz fér hozzá: - Minden PARANCSSOR-parancs – A naplófájlok kezelése - Szolgáltatások indítása és leállítása Ez a felhasználó nem rendelkezik fájlrendszer-hozzáféréssel |
| cyberx | Az OT-érzékelő vagy a helyszíni felügyeleti konzol terminal (root) |
Gyökérfelhasználóként szolgál, és korlátlan jogosultságokkal rendelkezik a berendezésen. Csak a következő feladatokhoz használható: – Alapértelmezett jelszavak módosítása -Hibaelhárítás - Fájlrendszer-hozzáférés |
| cyberx_host | Az OT-érzékelő gazda operációs rendszere terminal (root) |
Gyökérfelhasználóként szolgál, és korlátlan jogosultságokkal rendelkezik a berendezés gazdagép operációs rendszerén. A következőhöz használatos: - Hálózati konfiguráció - Alkalmazástároló-vezérlő - Fájlrendszer-hozzáférés |
További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender használatával végzett OT-monitorozáshoz.
Támogatott felhasználók parancssori felületi műveletek alapján
Az alábbi táblázatok felsorolják a parancssori felület által elérhető tevékenységeket és az egyes tevékenységekhez támogatott kiemelt felhasználókat. A cyberx- és cyberx_host-felhasználók csak a 23.1.x-nél korábbi verziókban támogatottak.
Berendezéskarbantartási parancsok
| Szolgáltatási terület | Felhasználók | Műveletek |
|---|---|---|
| Érzékelő állapota | támogatás, cyberx | Az OT monitorozási szolgáltatások állapotának ellenőrzése |
| Újraindítás és leállítás | támogatás, cyberx, cyberx_host | Berendezés újraindítása Berendezés leállítása |
| Szoftververziók | támogatás, cyberx | Telepített szoftververzió megjelenítése Szoftververzió frissítése |
| Dátum és idő | támogatás, cyberx, cyberx_host | Aktuális rendszerdátum/idő megjelenítése |
| NTP | támogatás, cyberx | Az NTP időszinkronizálásának bekapcsolása Az NTP időszinkronizálásának kikapcsolása |
Biztonsági mentési és visszaállítási parancsok
| Szolgáltatási terület | Felhasználók | Műveletek |
|---|---|---|
| Fájlok biztonsági mentése | támogatás, cyberx | Aktuális biztonsági mentési fájlok listázása Azonnali, nem ütemezett biztonsági mentés indítása |
| Restore | támogatás, cyberx | Adatok visszaállítása a legutóbbi biztonsági mentésből |
| Lemezterület biztonsági mentése | cyberx | Biztonsági mentési lemezterület lefoglalásának megjelenítése |
TLS/SSL-tanúsítványparancsok
| Szolgáltatási terület | Felhasználók | Műveletek |
|---|---|---|
| Tanúsítványkezelés | cyberx | TLS/SSL-tanúsítványok importálása az OT-érzékelőbe Az alapértelmezett önaláírt tanúsítvány visszaállítása |
Helyi felhasználókezelési parancsok
| Szolgáltatási terület | Felhasználók | Műveletek |
|---|---|---|
| Jelszókezelés | cyberx, cyberx_host | Helyi felhasználói jelszavak módosítása |
| Bejelentkezési konfiguráció | támogatás, cyberx, cyberx_host | Felhasználói munkamenet időtúllépéseinek szabályozása |
| Bejelentkezési konfiguráció | cyberx | A sikertelen bejelentkezések maximális számának meghatározása |
Hálózati konfigurációs parancsok
| Szolgáltatási terület | Felhasználók | Műveletek |
|---|---|---|
| Hálózati beállítás konfigurálása | cyberx_host | Hálózati konfiguráció módosítása vagy hálózati adapterszerepkörök újbóli hozzárendelése |
| Hálózati beállítás konfigurálása | Támogatás | Hálózati adapter konfigurációjának ellenőrzése és megjelenítése |
| Hálózati kapcsolat | támogatás, cyberx | Hálózati kapcsolat ellenőrzése az OT-érzékelőről |
| Hálózati kapcsolat | cyberx | Hálózati adapter aktuális terhelésének ellenőrzése Internetkapcsolat ellenőrzése |
| Hálózati sávszélesség korlátja | cyberx | Sávszélességkorlát beállítása a felügyeleti hálózati adapterhez |
| Fizikai felületek kezelése | Támogatás | Fizikai port megkeresése villogó illesztőfények segítségével |
| Fizikai felületek kezelése | támogatás, cyberx | Csatlakoztatott fizikai adapterek listázása |
Forgalomrögzítési szűrőparancsok
| Szolgáltatási terület | Felhasználók | Műveletek |
|---|---|---|
| Szűrőkezelés rögzítése | támogatás, cyberx | Alapszintű szűrő létrehozása az összes összetevőhöz Speciális szűrő létrehozása adott összetevőkhöz Adott összetevők aktuális rögzítési szűrőinek listázása Az összes rögzítési szűrő alaphelyzetbe állítása |
Riasztási parancsok
| Szolgáltatási terület | Felhasználók | Műveletek |
|---|---|---|
| Riasztási funkciók tesztelése | cyberx | Tesztriasztás aktiválása |
| Riasztáskizárási szabályok | támogatás, cyberx | Aktuális riasztáskizárási szabályok megjelenítése Új riasztáskizárási szabály létrehozása Riasztás kizárási szabályának módosítása Riasztás kizárási szabályának törlése |
Defender for IoT CLI-hozzáférés
A Defender for IoT CLI eléréséhez jelentkezzen be az OT- vagy Enterprise IoT-érzékelőbe vagy a helyszíni felügyeleti konzolba egy terminálemulátor és egy SSH használatával.
- Windows rendszeren használja a PuTTY-t vagy más hasonló alkalmazást.
- Mac rendszeren használja a Terminált.
- Virtuális berendezésen az SSH-n, a vSphere-ügyfélen vagy a Hyper-V Manageren keresztül érheti el a parancssori felületet. Csatlakozás a virtuális berendezés felügyeleti felületének IP-címére a 22-s porton keresztül.
Az OT hálózati érzékelőn vagy a helyszíni felügyeleti konzolon található cli-parancsok különböző jogosultsági szintű felhasználókat támogatnak, amint az a vonatkozó CLI-leírásokban is szerepel. Győződjön meg arról, hogy a futtatni kívánt parancshoz szükséges felhasználóként jelentkezik be. További információ: Privileged user access for OT monitoring.
A rendszergyökér elérése támogatási felhasználóként
Amikor támogatási felhasználóként jelentkezik be, futtassa az alábbi parancsot a gazdagép gyökérfelhasználóként való eléréséhez. A gazdagép gyökérfelhasználóként való elérése lehetővé teszi olyan parancssori felületi parancsok futtatását, amelyek nem érhetők el a támogatási felhasználó számára.
Futtatás:
system shell
Kijelentkezés a parancssori felületről
Ha végzett a használatával, győződjön meg arról, hogy megfelelően kijelentkezik a parancssori felületről. A rendszer automatikusan kijelentkezik 300 másodperces inaktív időszak után.
Ha manuálisan szeretne kijelentkezni egy OT-érzékelőn vagy egy helyszíni felügyeleti konzolon, futtassa az alábbi parancsok egyikét:
| User | Command |
|---|---|
| Támogatás | logout |
| cyberx | cyberx-xsense-logout |
| cyberx_host | logout |
Következő lépések
A felhőalapú csatlakoztatott érzékelőket az IoT-helyekhez készült Defender és az érzékelők oldaláról is vezérelheti és figyelheti. További információ: Érzékelők kezelése az IoT-hez készült Defenderrel az Azure Portalon.