Zelfstudie: Beveiligingsagents configureren
In dit artikel worden defender for IoT-beveiligingsagents uitgelegd en wordt beschreven hoe u deze kunt wijzigen en configureren.
- Beveiligingsagents configureren
- Agentgedrag wijzigen door eigenschappen van dubbels te bewerken
- Standaardconfiguratie detecteren
Agents
Defender for IoT-beveiligingsagents verzamelen gegevens van IoT-apparaten en voeren beveiligingsacties uit om de gedetecteerde beveiligingsproblemen te verhelpen. De configuratie van de beveiligingsagent kan worden bepaald met behulp van een set moduledubbeleigenschappen die u kunt aanpassen. Over het algemeen komen secundaire updates voor deze eigenschappen niet vaak voor.
Het configuratieobject van de beveiligingsagentdubbel van Defender for IoT is een JSON-indelingsobject. Het configuratieobject is een set controleerbare eigenschappen die u kunt definiëren om het gedrag van de agent te bepalen.
Met deze configuraties kunt u de agent aanpassen voor elk vereist scenario. U kunt bijvoorbeeld bepaalde gebeurtenissen automatisch uitsluiten of het energieverbruik op een minimaal niveau houden door deze eigenschappen te configureren.
Gebruik het configuratieschema van de Defender for IoT-beveiligingsagent om wijzigingen aan te brengen.
Configuratieobjecten
Eigenschappen met betrekking tot elke Defender for IoT-beveiligingsagent bevinden zich in het configuratieobject van de agent, in de sectie met gewenste eigenschappen, van de module azureiotsecurity .
Als u de configuratie wilt wijzigen, maakt en wijzigt u dit object in de azureiotsecurity-moduledubbelidentiteit .
Als het configuratieobject van de agent niet bestaat in de moduledubbel azureiotsecurity , worden alle eigenschapswaarden van de beveiligingsagent ingesteld op de standaardwaarde.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Configuratieschema en validatie
Zorg ervoor dat u de configuratie van uw agent valideert op basis van dit schema. Een agent wordt niet gestart als het configuratieobject niet overeenkomt met het schema.
Als, terwijl de agent wordt uitgevoerd, het configuratieobject wordt gewijzigd in een ongeldige configuratie (de configuratie komt niet overeen met het schema), negeert de agent de ongeldige configuratie en blijft de huidige configuratie gebruiken.
Configuratievalidatie
Defender for IoT-beveiligingsagent rapporteert de huidige configuratie in de sectie gerapporteerde eigenschappen van de azureiotsecurity-moduledubbelidentiteit . De agent rapporteert alle beschikbare eigenschappen. Als een eigenschap niet is ingesteld door de gebruiker, rapporteert de agent de standaardconfiguratie.
Als u uw configuratie wilt valideren, vergelijkt u de waarden die zijn ingesteld in de gewenste sectie met de waarden die zijn gerapporteerd in de gerapporteerde sectie.
Als er een verschil is tussen de gewenste en de gerapporteerde eigenschappen, kan de agent de configuratie niet parseren.
Valideer de gewenste eigenschappen op het schema, los de fouten op en stel de gewenste eigenschappen opnieuw in!
Notitie
Er wordt een configuratiefoutwaarschuwing geactiveerd vanuit de agent als de agent de gewenste configuratie niet kon parseren. Vergelijk de gerapporteerde en gewenste sectie om te begrijpen of de waarschuwing nog steeds van toepassing is
Een eigenschap bewerken
Alle aangepaste eigenschappen moeten worden ingesteld in het configuratieobject van de agent in de moduledubbel azureiotsecurity . Als u een standaardeigenschapswaarde wilt gebruiken, verwijdert u de eigenschap uit het configuratieobject.
Een eigenschap instellen
Zoek en selecteer in uw IoT Hub het apparaat dat u wilt wijzigen.
Klik op uw apparaat en vervolgens op de module azureiotsecurity .
Klik op Module Identity Twin.
Bewerk de eigenschappen die u wilt wijzigen in de Defender-IoT-micro-agent.
Als u bijvoorbeeld verbindingsevenementen wilt configureren als hoge prioriteit en gebeurtenissen met een hoge prioriteit elke 7 minuten wilt verzamelen, gebruikt u de volgende configuratie.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }
Klik op Opslaan.
Een standaardwaarde gebruiken
Als u een standaardeigenschapswaarde wilt gebruiken, verwijdert u de eigenschap uit het configuratieobject.
Standaardeigenschappen
De volgende tabel bevat de controleerbare eigenschappen van Defender for IoT-beveiligingsagents.
Standaardwaarden zijn beschikbaar in het juiste schema in GitHub.
Naam | Status | Geldige waarden | Standaardwaarden | Description |
---|---|---|---|---|
highPriorityMessageFrequency | Vereist: false | Geldige waarden: Duur in ISO 8601-indeling | Standaardwaarde: PT7M | Maximaal tijdsinterval voordat berichten met hoge prioriteit worden verzonden. |
lowPriorityMessageFrequency | Vereist: false | Geldige waarden: Duur in ISO 8601-indeling | Standaardwaarde: PT5H | Maximale tijd voordat berichten met een lage prioriteit worden verzonden. |
snapshotFrequency | Vereisen: false | Geldige waarden: Duur in ISO 8601-indeling | Standaardwaarde PT13H | Tijdsinterval voor het maken van momentopnamen van apparaatstatus. |
maxLocalCacheSizeInBytes | Vereist: false | Geldige waarden: | Standaardwaarde: 2560000, groter dan 8192 | Maximale opslag (in bytes) die is toegestaan voor de berichtencache van een agent. Maximale hoeveelheid ruimte die is toegestaan voor het opslaan van berichten op het apparaat, voordat berichten worden verzonden. |
maxMessageSizeInBytes | Vereist: false | Geldige waarden: een positief getal, groter dan 8192, kleiner dan 262144 | Standaardwaarde: 204800 | Maximaal toegestane grootte van een bericht van een agent naar de cloud. Met deze instelling bepaalt u de hoeveelheid gegevens die maximaal in elk bericht worden verzonden. |
eventPriority${EventName} | Vereist: false | Geldige waarden: Hoog, Laag, Uit | Standaardwaarden: | Prioriteit van elke door de agent gegenereerde gebeurtenis |
Ondersteunde beveiligingsevenementen
Gebeurtenisnaam | PropertyName | Standaardwaarde | Momentopname-gebeurtenis | Details Status |
---|---|---|---|---|
Diagnostische gebeurtenis | eventPriorityDiagnostic | Aan | False | Aan agent gerelateerde diagnostische gebeurtenissen. Gebruik deze gebeurtenis voor uitgebreide logboekregistratie. |
Configuratiefout | eventPriorityConfigurationError | Beperkt | False | De agent kan de configuratie niet parseren. Controleer de configuratie op basis van het schema. |
Statistieken over verwijderde gebeurtenissen | eventPriorityDroppedEventsStatistics | Beperkt | Waar | Gebeurtenisstatistieken met betrekking tot agent. |
Verbonden hardware | eventPriorityConnectedHardware | Beperkt | Waar | Momentopname van alle hardware die op het apparaat is aangesloten. |
Luisterpoorten | eventPriorityListeningPorts | Hoog | Waar | Momentopname van alle geopende luisterpoorten op het apparaat. |
Proces maken | eventPriorityProcessCreate | Beperkt | False | Controleert het maken van processen op het apparaat. |
Proces beëindigen | eventPriorityProcessTerminate | Beperkt | False | Controleert de beëindiging van het proces op het apparaat. |
Systeemgegevens | eventPrioritySystemInformation | Beperkt | Waar | Een momentopname van systeemgegevens (bijvoorbeeld: besturingssysteem of CPU). |
Lokale gebruikers | eventPriorityLocalUsers | Hoog | Waar | Een momentopname van de geregistreerde lokale gebruikers in het systeem. |
Aanmelden | eventPriorityLogin | Hoog | False | Controleer de aanmeldingsgebeurtenissen op het apparaat (lokale en externe aanmeldingen). |
Verbinding maken | eventPriorityConnectionCreate | Beperkt | False | Controleert tcp-verbindingen die zijn gemaakt van en naar het apparaat. |
Firewallconfiguratie | eventPriorityFirewallConfiguration | Beperkt | Waar | Momentopname van de firewallconfiguratie van het apparaat (firewallregels). |
Basislijn van besturingssysteem | eventPriorityOSBaseline | Beperkt | Waar | Momentopname van de basislijncontrole van het besturingssysteem van het apparaat. |