Tutorial: Mengonfigurasi agen keamanan
Artikel ini menjelaskan agen keamanan Defender for IoT, dan memerinci cara mengubah serta mengonfigurasinya.
- Mengonfigurasi agen keamanan
- Mengubah perilaku agen dengan mengedit properti kembar
- Menemukan konfigurasi default
Agen
Agen keamanan Defender for IoT mengumpulkan data dari perangkat IoT dan melakukan tindakan keamanan untuk mengurangi kerentanan yang terdeteksi. Konfigurasi agen keamanan dapat dikontrol menggunakan sekumpulan properti modul kembar yang dapat Anda sesuaikan. Secara umum, pembaruan sekunder untuk properti ini jarang terjadi.
Objek konfigurasi kembar agen keamanan Defender for IoT adalah objek format JSON. Objek konfigurasi adalah satu set properti yang dapat dikontrol yang dapat Anda tetapkan untuk mengontrol perilaku agen.
Konfigurasi ini membantu Anda menyesuaikan agen untuk setiap skenario yang diperlukan. Misalnya, secara otomatis mengecualikan beberapa peristiwa, atau menjaga konsumsi daya ke tingkat minimal dimungkinkan dengan mengonfigurasi properti ini.
Gunakan skema konfigurasi agen keamanan Defender for IoT untuk membuat perubahan.
Objek konfigurasi
Properti yang terkait dengan setiap agen keamanan Defender for IoT terletak di objek konfigurasi agen, di dalam bagian properti yang diinginkan, dari modul azureiotsecurity.
Untuk memodifikasi konfigurasi, buat dan ubah objek ini di dalam identitas kembar modul azureiotsecurity.
Jika objek konfigurasi agen tidak ada dalam modul azureiotsecurity kembar, semua nilai properti agen keamanan diatur ke default.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Skema dan validasi konfigurasi
Pastikan untuk memvalidasi konfigurasi agen Anda terhadap skema ini. Agen tidak akan diluncurkan jika objek konfigurasi tidak cocok dengan skema.
Jika, saat agen sedang berjalan, objek konfigurasi diubah menjadi konfigurasi yang tidak valid (konfigurasi tidak cocok dengan skema), agen akan mengabaikan konfigurasi yang tidak valid dan akan terus menggunakan konfigurasi saat ini.
Validasi konfigurasi
Agen keamanan Defender for IoT melaporkan konfigurasinya saat ini di dalam bagian properti yang dilaporkan dari identitas kembar modul azureiotsecurity. Agen melaporkan semua properti yang tersedia, jika properti tidak ditetapkan oleh pengguna, agen melaporkan konfigurasi default.
Untuk memvalidasi konfigurasi Anda, bandingkan nilai yang ditetapkan pada bagian yang diinginkan dengan nilai yang dilaporkan di bagian yang dilaporkan.
Jika ada ketidakcocokan antara properti yang diinginkan dan yang dilaporkan, agen tidak dapat mengurai konfigurasi.
Validasi properti yang Anda inginkan terhadap skema, perbaiki kesalahan dan atur properti yang Anda inginkan lagi!
Catatan
Pemberitahuan kesalahan konfigurasi akan dikirimkan dari agen jika agen tidak dapat mengurai konfigurasi yang diinginkan. Bandingkan bagian yang dilaporkan dan yang diinginkan untuk memahami apakah pemberitahuan masih berlaku
Mengedit properti
Semua properti kustom harus diatur di dalam objek konfigurasi agen dalam modul azureiotsecurity kembar. Untuk menggunakan nilai properti default, hapus properti dari objek konfigurasi.
Mengatur properti
Di IoT Hub Anda, temukan dan pilih perangkat yang ingin Anda ubah.
Klik perangkat Anda, lalu pada modul azureiotsecurity.
Klik Modul Identitas Kembar.
Edit properti yang ingin Anda ubah di Defender-IoT-micro-agent.
Misalnya, untuk mengonfigurasi peristiwa koneksi sebagai prioritas tinggi dan mengumpulkan peristiwa prioritas tinggi setiap 7 menit, gunakan konfigurasi berikut.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }
Klik Simpan.
Menggunakan nilai default
Untuk menggunakan nilai properti default, hapus properti dari objek konfigurasi.
Properti default
Tabel berikut berisi properti agen keamanan Defender for IoT yang dapat dikontrol.
Nilai default tersedia dalam skema yang tepat di GitHub.
Nama | Status | Nilai yang valid | Nilai default | Deskripsi |
---|---|---|---|---|
highPriorityMessageFrequency | Wajib: false | Nilai yang valid: Durasi dalam Format ISO 8601 | Nilai default: PT7M | Interval waktu maksimum sebelum pesan prioritas tinggi dikirim. |
lowPriorityMessageFrequency | Wajib: false | Nilai yang valid: Durasi dalam Format ISO 8601 | Nilai default: PT5H | Waktu maks. sebelum pesan prioritas rendah dikirim. |
snapshotFrequency | Wajib: false | Nilai yang valid: Durasi dalam Format ISO 8601 | Nilai default PT13H | Interval waktu untuk pembuatan snapshot status perangkat. |
maxLocalCacheSizeInBytes | Wajib: false | Nilai yang valid: | Nilai default: 2560000, lebih besar dari 8192 | Penyimpanan maksimum (dalam byte) yang diizinkan untuk cache pesan agen. Jumlah ruang maksimum yang diizinkan untuk menyimpan pesan pada perangkat, sebelum pesan dikirim. |
maxMessageSizeInBytes | Wajib: false | Nilai valid: Angka positif, lebih besar dari 8192, kurang dari 262144 | Nilai default: 204800 | Ukuran maksimum yang diizinkan agen ke pesan cloud. Pengaturan ini mengontrol jumlah data maksimum yang dikirim dalam setiap pesan. |
eventPriority${EventName} | Wajib: false | Nilai yang valid: Tinggi, Rendah, Mati | Nilai default: | Prioritas setiap peristiwa yang dihasilkan agen |
Peristiwa keamanan yang didukung
Nama kejadian | PropertyName | Nilai Default | Peristiwa Snapshot | Status Detail |
---|---|---|---|---|
Peristiwa diagnostik | eventPriorityDiagnostic | Nonaktif | Salah | Peristiwa diagnostik terkait agen. Gunakan peristiwa ini untuk pengelogan verbose. |
Kesalahan konfigurasi | eventPriorityConfigurationError | Kurang Penting | Salah | Agen gagal menguraikan konfigurasi. Verifikasi konfigurasi terhadap skema. |
Statistik peristiwa yang dihapus | eventPriorityDroppedEventsStatistics | Kurang Penting | Benar | Statistik peristiwa terkait agen. |
Perangkat keras tersambung | eventPriorityConnectedHardware | Kurang Penting | Benar | Snapshot semua perangkat keras yang terhubung ke perangkat. |
Port mendengarkan | eventPriorityListeningPorts | Sangat Penting | Benar | Snapshot dari semua port mendengarkan terbuka di perangkat. |
Proses dibuat | eventPriorityProcessCreate | Kurang Penting | Salah | Audit memproses pembuatan pada perangkat. |
Proses dihentikan | eventPriorityProcessTerminate | Kurang Penting | Salah | Audit memproses penghentian pada perangkat. |
Informasi sistem | eventPrioritySystemInformation | Kurang Penting | Benar | Snapshot informasi sistem (misalnya: OS atau CPU). |
Pengguna lokal | eventPriorityLocalUsers | Sangat Penting | Benar | Snapshot pengguna lokal terdaftar dalam sistem. |
Masuk | eventPriorityLogin | Sangat Penting | Salah | Mengaudit peristiwa login ke perangkat (login lokal dan jarak jauh). |
Sambungan dibuat | eventPriorityConnectionCreate | Kurang Penting | Salah | Mengaudit sambungan TCP yang dibuat ke dan dari perangkat. |
Konfigurasi Firewall | eventPriorityFirewallConfiguration | Kurang Penting | Benar | Snapshot konfigurasi firewall perangkat (aturan firewall). |
Dasar OS | eventPriorityOSBaseline | Kurang Penting | Benar | Snapshot pemeriksaan dasar OS perangkat. |