OT-netwerksensoren onderhouden vanuit de sensorconsole

In dit artikel worden extra onderhoudsactiviteiten voor OT-sensoren beschreven die u buiten een groter implementatieproces kunt uitvoeren.

OT-sensoren kunnen ook worden onderhouden vanuit de OT-sensor-CLI, Azure Portal en een on-premises beheerconsole.

Let op

Alleen gedocumenteerde configuratieparameters op de OT-netwerksensor en on-premises beheerconsole worden ondersteund voor de configuratie van de klant. Wijzig geen niet-gedocumenteerde configuratieparameters of systeemeigenschappen, omdat wijzigingen onverwacht gedrag en systeemfouten kunnen veroorzaken.

Het verwijderen van pakketten uit uw sensor zonder Goedkeuring van Microsoft kan onverwachte resultaten veroorzaken. Alle pakketten die op de sensor zijn geïnstalleerd, zijn vereist voor de juiste sensorfunctionaliteit.

Vereisten

Voordat u de procedures in dit artikel uitvoert, moet u ervoor zorgen dat u het volgende hebt:

• In Azure Portal is een OT-netwerksensor geïnstalleerd, geconfigureerd en geactiveerd en toegevoegd aan Defender for IoT.

• Toegang tot de OT-sensor als Beheer gebruiker. Voor geselecteerde procedures en CLI-toegang is ook een bevoegde gebruiker vereist. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.

• Als u software voor OT-sensoren wilt downloaden, hebt u toegang tot De Azure-portal nodig als een gebruiker voor beveiliging Beheer, inzender of eigenaar.

• Een SSL/TLS-certificaat dat is voorbereid als u het certificaat van uw sensor moet bijwerken.

Algemene OT-sensorstatus weergeven

Wanneer u zich aanmeldt bij uw OT-sensor, is de eerste pagina die wordt weergegeven de pagina Overzicht .

Voorbeeld:

Op de pagina Overzicht ziet u de volgende widgets:

Name	Beschrijving
Algemene Instellingen	Geeft een lijst weer met de basisconfiguratie-instellingen en connectiviteitsstatus van de sensor.
Verkeersbewaking	Geeft een grafiek weer waarin het verkeer in de sensor wordt beschreven. De grafiek toont verkeer als eenheden van Mbps per uur op de dag van weergave.
Top 5 OT-protocollen	Geeft een staafdiagram weer waarin de vijf meest gebruikte OT-protocollen worden weergegeven. Het staafdiagram biedt ook het aantal apparaten dat elk van deze protocollen gebruikt.
Verkeer per poort	Geeft een cirkeldiagram weer met de typen poorten in uw netwerk, met de hoeveelheid verkeer dat is gedetecteerd in elk type poort.
Meest geopende waarschuwingen	Geeft een tabel weer met alle momenteel geopende waarschuwingen met hoge ernstniveaus, inclusief kritieke details over elke waarschuwing.

Selecteer de koppeling in elke widget om in te zoomen op meer informatie in uw sensor.

Connectiviteitsstatus valideren

Controleer of uw OT-sensor rechtstreeks via de overzichtspagina van de OT-sensor is verbonden met Azure Portal.

Als er verbindingsproblemen zijn, wordt een verbroken bericht weergegeven in het gebied Algemeen Instellingen op de pagina Overzicht en wordt boven aan de pagina in het gebied Systeemberichten een waarschuwing over een serviceverbindingsfout weergegeven. Voorbeeld:

Zoek meer informatie over het probleem door de muisaanwijzer op het informatiepictogram te bewegen. Voorbeeld:

Voer actie uit door de optie Meer informatie te selecteren onder Systeemberichten. Voorbeeld:

Software voor OT-sensoren downloaden

Mogelijk moet u software voor uw OT-sensor downloaden als u Defender for IoT-software op uw eigen apparaten installeert of softwareversies bijwerkt.

Gebruik in Defender for IoT in Azure Portal een van de volgende opties:

• Selecteer Aan de slag>sensor voor een nieuwe installatie. Selecteer een versie in het gebied Een apparaat aanschaffen en software installeren en selecteer Vervolgens Downloaden.

• Als u uw OT-sensor bijwerkt, gebruikt u de opties in het menu Sites en sensoren>sensorupdate (preview).

Alle bestanden die vanuit Azure Portal worden gedownload, worden ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.

Zie Update Defender for IoT OT-bewakingssoftware voor meer informatie.

Een nieuw activeringsbestand uploaden

Elke OT-sensor wordt ge onboardd als een in de cloud verbonden of lokaal beheerde OT-sensor en geactiveerd met behulp van een uniek activeringsbestand. Voor sensoren in de cloud wordt het activeringsbestand gebruikt om de verbinding tussen de sensor en Azure te garanderen.

U moet een nieuw activeringsbestand uploaden naar uw sensor als u wilt overschakelen van sensorbeheermodi, zoals overstappen van een lokaal beheerde sensor naar een met de cloud verbonden sensor, of als u bijwerkt vanuit een recente softwareversie. Het uploaden van een nieuw activeringsbestand naar uw sensor omvat het verwijderen van uw sensor vanuit Azure Portal en het opnieuw onboarden ervan.

Ga als volgt te werk om een nieuw activeringsbestand toe te voegen:

1. Voer een van de volgende stappen uit:

   • Onboarding van uw sensor vanaf het begin:

     1. Zoek en verwijder uw OT-sensor in Defender for IoT in Azure Portal>Sites en sensoren.

     2. Selecteer OT-sensor > onboarden om de sensor opnieuw te onboarden en download het nieuwe activeringsbestand. Zie Onboard OT-sensoren voor meer informatie.

   • Download het activeringsbestand van de huidige sensor: Zoek op de pagina Sites en sensoren de sensor die u zojuist hebt toegevoegd. Selecteer de drie puntjes (...) in de rij van de sensor en selecteer Activeringsbestand downloaden. Sla het bestand op een locatie op die toegankelijk is voor uw sensor.

   Alle bestanden die vanuit Azure Portal worden gedownload, worden ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.

2. Meld u aan bij de Defender for IoT-sensorconsole en selecteer Systeem Instellingen> Sensor-beheerabonnement>en activeringsmodus.

3. Selecteer Uploaden en blader naar het bestand dat u hebt gedownload vanuit Azure Portal.

4. Selecteer Activeren om uw nieuwe activeringsbestand te uploaden.

Problemen met uploaden van activeringsbestanden oplossen

U ontvangt een foutbericht als het activeringsbestand niet kan worden geüpload. De volgende gebeurtenissen zijn mogelijk opgetreden:

• De sensor kan geen verbinding maken met internet: controleer de netwerkconfiguratie van de sensor. Als uw sensor verbinding moet maken via een webproxy voor toegang tot internet, controleert u of uw proxyserver correct is geconfigureerd op het scherm Sensornetwerkconfiguratie . Controleer of de vereiste eindpunten zijn toegestaan in de firewall en/of proxy.

  Download voor OT-sensoren versie 22.x de lijst met vereiste eindpunten op de pagina Sites en sensoren in Azure Portal. Selecteer een OT-sensor met een ondersteunde softwareversie of een site met een of meer ondersteunde sensoren. En selecteer vervolgens Meer acties>Eindpuntdetails downloaden. Zie Sensortoegang tot Azure Portal voor sensoren met eerdere versies.

• Het activeringsbestand is geldig, maar Defender for IoT heeft het geweigerd: als u dit probleem niet kunt oplossen, kunt u een andere activering downloaden van de pagina Sites en sensoren in Azure Portal. Als dit niet werkt, neemt u contact op met Microsoft Ondersteuning.

Notitie

Activeringsbestanden verlopen 14 dagen na het maken. Als u de onboarding van uw sensor hebt uitgevoerd, maar het activeringsbestand niet hebt geüpload voordat het is verlopen, downloadt u een nieuw activeringsbestand.

SSL/TLS-certificaten beheren

Als u met een productieomgeving werkt, hebt u een DOOR een CA ondertekend SSL/TLS-certificaat geïmplementeerd als onderdeel van uw OT-sensorimplementatie. U wordt aangeraden zelfondertekende certificaten alleen te gebruiken voor testdoeleinden.

In de volgende procedures wordt beschreven hoe u bijgewerkte SSL/TLS-certificaten implementeert, bijvoorbeeld als het certificaat is verlopen.

Tip

U kunt het certificaat ook importeren in uw OT-sensor met behulp van CLI-opdrachten.

Een door een CA ondertekend certificaat implementeren

Ga als volgende te werk om een DOOR een CA ondertekend SSL/TLS-certificaat te implementeren:

1. Meld u aan bij uw OT-sensor en selecteer System Instellingen> Basic>SSL/TLS Certificate.

2. Selecteer in het deelvenster SSL/TLS-certificaten de optie Vertrouwd CA-certificaat importeren (aanbevolen). Voorbeeld:

   

3. Voer de volgende parameters in:

   Parameter	Description
   Certificaatnaam	Voer uw certificaatnaam in.
   Wachtwoordzin - optioneel	Voer een wachtwoordzin in.
   Persoonlijke sleutel (SLEUTELbestand)	Een persoonlijke sleutel (KEY-bestand) uploaden.
   Certificaat (CRT-bestand)	Een certificaat (CRT-bestand) uploaden.
   Certificaatketen (PEM-bestand) - Optioneel	Een PEM-bestand (Certificate Chain) uploaden.

   Selecteer CRL (certificaatintrekkingslijst ) gebruiken om de certificaatstatus te controleren om het certificaat te valideren op een CRL-server. Het certificaat wordt eenmaal gecontroleerd tijdens het importproces.

   Als het uploaden mislukt, neemt u contact op met uw beveiligings- of IT-beheerder. Zie ssl/TLS-certificaatvereisten voor on-premises resources en SSL/TLS-certificaten maken voor OT-apparaten voor meer informatie.

4. Selecteer in het gebied Validatie van het on-premises beheerconsolecertificaat verplicht als SSL/TLS-certificaatvalidatie is vereist. Selecteer anders Geen.

   Als u Verplicht hebt geselecteerd en de validatie mislukt, wordt de communicatie tussen relevante onderdelen gestopt en wordt er een validatiefout weergegeven op de sensor. Zie crt-bestandsvereisten voor meer informatie.

5. Selecteer Opslaan om de certificaatinstellingen op te slaan.

Een zelfondertekend certificaat maken en implementeren

Elke OT-sensor wordt geïnstalleerd met een zelfondertekend certificaat dat u alleen voor testdoeleinden kunt gebruiken. In productieomgevingen raden we u aan altijd een door een CA ondertekend certificaat te gebruiken.

Zelfondertekende certificaten leiden tot een minder veilige omgeving, omdat de eigenaar van het certificaat niet kan worden gevalideerd en de beveiliging van uw systeem niet kan worden onderhouden.

Als u een zelfondertekend certificaat wilt maken, downloadt u het certificaatbestand van uw OT-sensor en gebruikt u vervolgens een certificaatbeheerplatform om de certificaatbestanden te maken die u moet uploaden naar de OT-sensor.

Een zelfondertekend certificaat maken:

Ga naar het IP-adres van de OT-sensor in een browser en ga vervolgens naar:

1. Selecteer de waarschuwing Niet veilig in de adresbalk van uw webbrowser en selecteer vervolgens het > pictogram naast het waarschuwingsbericht 'Uw verbinding met deze site is niet beveiligd'. Voorbeeld:

   

2. Selecteer het pictogram Certificaat weergeven om het beveiligingscertificaat voor deze website weer te geven.

3. Selecteer in het deelvenster Certificaatviewer het tabblad Details en selecteer Exporteren om een naam in te voeren voor het geëxporteerde bestand en sla het op uw lokale computer op.

4. Gebruik een certificaatbeheerplatform om de volgende typen SSL/TLS-certificaatbestanden te maken:

   Bestandstype	Beschrijving
   .crt : certificaatcontainerbestand	Een .pem, of .der bestand, met een andere extensie voor ondersteuning in Windows Verkenner.
   .key - Bestand met persoonlijke sleutel	Een sleutelbestand heeft dezelfde indeling als een .pem bestand, met een andere extensie voor ondersteuning in Windows Verkenner.
   .pem – certificaatcontainerbestand (optioneel)	Optioneel. Een tekstbestand met base64-codering van de certificaattekst en een kop- en voettekst zonder opmaak om het begin en einde van het certificaat te markeren.

   Voorbeeld:

   1. Open het gedownloade certificaatbestand en selecteer het tabblad >Details Kopiëren naar bestand om de wizard Certificaat exporteren uit te voeren.

   2. Selecteer in de wizard Certificaat exporteren de optie Next>DER encoded binary X.509 (. CER)> en selecteer vervolgens Volgende opnieuw.

   3. Selecteer Bladeren in het scherm Bestand dat u wilt exporteren, kies een locatie om het certificaat op te slaan en selecteer vervolgens Volgende.

   4. Selecteer Voltooien om het certificaat te exporteren.

Notitie

Mogelijk moet u bestaande bestandstypen converteren naar ondersteunde typen.

Wanneer u klaar bent, gebruikt u de volgende procedures om uw certificaatbestanden te valideren:

• CRL-servertoegang controleren
• Het SSL/TLS-certificaat importeren in een vertrouwd archief
• Uw SSL/TLS-certificaten testen

Een zelfondertekend certificaat implementeren:

1. Meld u aan bij uw OT-sensor en selecteer System Instellingen> Basic>SSL/TLS Certificate.

2. Behoud in het deelvenster SSL/TLS-certificaten de standaardoptie Lokaal gegenereerd zelfondertekend certificaat gebruiken (niet aanbevolen).

3. Selecteer de optie Bevestigen om de waarschuwing te bevestigen.

4. Selecteer in het gebied Validatie van het on-premises beheerconsolecertificaat verplicht als SSL/TLS-certificaatvalidatie is vereist. Selecteer anders Geen.

   Als deze optie is ingeschakeld en de validatie mislukt, wordt de communicatie tussen relevante onderdelen gestopt en wordt er een validatiefout weergegeven op de sensor. Zie crt-bestandsvereisten voor meer informatie.

5. Selecteer Opslaan om de certificaatinstellingen op te slaan.

Fouten bij het uploaden van certificaten oplossen

U kunt geen certificaten uploaden naar uw OT-sensoren of on-premises beheerconsoles als de certificaten niet goed zijn gemaakt of ongeldig zijn. Gebruik de volgende tabel om te begrijpen hoe u actie kunt ondernemen als het uploaden van uw certificaat mislukt en een foutbericht wordt weergegeven:

Certificaatvalidatiefout	Aanbeveling
Wachtwoordzin komt niet overeen met de sleutel	Zorg ervoor dat u de juiste wachtwoordzin hebt. Als het probleem zich blijft voordoen, probeert u het certificaat opnieuw te maken met behulp van de juiste wachtwoordzin. Zie Ondersteunde tekens voor sleutels en wachtwoordzinnen voor meer informatie.
Kan de vertrouwensketen niet valideren. Het opgegeven certificaat en de basis-CA komen niet overeen.	Zorg ervoor dat een .pem bestand overeenkomt met het .crt bestand. Als het probleem zich blijft voordoen, probeert u het certificaat opnieuw te maken met behulp van de juiste vertrouwensketen, zoals gedefinieerd door het .pem bestand.
Dit SSL-certificaat is verlopen en wordt niet als geldig beschouwd.	Maak een nieuw certificaat met geldige datums.
Dit certificaat is ingetrokken door de CRL en kan niet worden vertrouwd voor een beveiligde verbinding	Maak een nieuw niet-aangetrokken certificaat.
De locatie CRL (Certificaatintrekkingslijst) is niet bereikbaar. Controleer of de URL toegankelijk is vanaf dit apparaat	Zorg ervoor dat de netwerkconfiguratie de sensor of on-premises beheerconsole toestaat om de CRL-server te bereiken die is gedefinieerd in het certificaat. Zie CRL-servertoegang controleren voor meer informatie.
Certificaatvalidatie is mislukt	Dit duidt op een algemene fout in het apparaat. Neem contact op met Microsoft Ondersteuning.

De netwerkconfiguratie van de OT-sensor bijwerken

U hebt uw OT-sensornetwerk geconfigureerd tijdens de installatie. Mogelijk moet u wijzigingen aanbrengen als onderdeel van OT-sensoronderhoud, zoals het wijzigen van netwerkwaarden of het instellen van een proxyconfiguratie.

De OT-sensorconfiguratie bijwerken:

1. Meld u aan bij de OT-sensor en selecteer System Instellingen> Basic>Sensor-netwerkinstellingen.

2. Werk in het deelvenster Sensornetwerkinstellingen de volgende details bij voor uw OT-sensor, indien nodig:

   • IP-adres. Als u het IP-adres wijzigt, moeten gebruikers zich mogelijk opnieuw aanmelden bij uw OT-sensor.
   • Subnetmasker
   • Standaardgateway
   • DNS. Zorg ervoor dat u dezelfde hostnaam gebruikt die is geconfigureerd op de DNS-server van uw organisatie.
   • Hostnaam (optioneel)

3. Schakel indien nodig de optie Proxy in- of uitschakelen. Als u een proxy gebruikt, voert u de volgende waarden in:

   • Proxyhost
   • Proxypoort
   • Proxy-gebruikersnaam (optioneel)
   • Proxywachtwoord (optioneel)

4. Selecteer Opslaan om uw wijzigingen op te slaan.

Leermodus handmatig uitschakelen

Een Microsoft Defender for IoT OT-netwerksensor begint met het automatisch bewaken van uw netwerk zodra het is verbonden met uw netwerk en u zich hebt aangemeld. Netwerkapparaten worden weergegeven in uw apparaatinventaris en waarschuwingen worden geactiveerd voor eventuele beveiligings- of operationele incidenten die zich in uw netwerk voordoen.

In eerste instantie vindt deze activiteit plaats in de leermodus , die uw OT-sensor instrueert om de gebruikelijke activiteit van uw netwerk te leren, inclusief de apparaten en protocollen in uw netwerk, en de reguliere bestandsoverdrachten die plaatsvinden tussen specifieke apparaten. Eventuele regelmatig gedetecteerde activiteiten worden het basislijnverkeer van uw netwerk.

In deze procedure wordt beschreven hoe u de leermodus handmatig uitschakelt als u denkt dat de huidige waarschuwingen uw netwerkactiviteit nauwkeurig weerspiegelen.

Leermodus uitschakelen:

1. Meld u aan bij uw OT-netwerksensor en selecteer Systeeminstellingen > Netwerkbewaking > detectie-engines en netwerkmodellering.

2. Schakel een of beide van de volgende opties uit:

   • Leren. Schakel deze optie ongeveer twee zes weken nadat u uw sensor hebt geïmplementeerd uit wanneer u denkt dat de OT-sensordetecties uw netwerkactiviteit nauwkeurig weerspiegelen.

   • Slimme IT Learning. Houd deze optie ingeschakeld om het aantal niet-deterministische waarschuwingen en meldingen laag te houden.

   Niet-deterministisch gedrag omvat wijzigingen die het resultaat zijn van normale IT-activiteit, zoals DNS- en HTTP-aanvragen. Als u de optie Slim IT-leren uitschakelt, kunnen veel waarschuwingen voor fout-positieve beleidsschending worden geactiveerd.

3. Selecteer OK in het bevestigingsbericht en selecteer Vervolgens Sluiten om uw wijzigingen op te slaan.

De bewakingsinterfaces van een sensor bijwerken (ERSPAN configureren)

Mogelijk wilt u de interfaces wijzigen die door uw sensor worden gebruikt om het verkeer te bewaken. U hebt deze gegevens oorspronkelijk geconfigureerd als onderdeel van uw eerste sensorinstallatie, maar mogelijk moet u de instellingen wijzigen als onderdeel van systeemonderhoud, zoals het configureren van ERSPAN-bewaking.

Zie ERSPAN-poorten voor meer informatie.

Notitie

Met deze procedure start u de sensorsoftware opnieuw op om wijzigingen te implementeren.

De bewakingsinterfaces van uw sensor bijwerken:

1. Meld u aan bij uw OT-sensor en selecteer Systeeminstellingen>Basic>Interface-verbindingen.

2. Zoek in het raster de interface die u wilt configureren. Doe een van de volgende:

   • Selecteer de wisselknop In-/uitschakelen voor alle interfaces die u wilt bewaken door de sensor. Voor elke sensor moet ten minste één interface zijn ingeschakeld.

     Als u niet zeker weet welke interface u moet gebruiken, selecteert u de knop Van de fysieke interface-LED van Blink om de geselecteerde poort knipperen op uw computer.

     Tip

     U wordt aangeraden de prestaties van uw sensor te optimaliseren door uw instellingen zo te configureren dat alleen de interfaces worden bewaakt die actief worden gebruikt.

   • Voor elke interface die u selecteert om te controleren, selecteert u de knop Geavanceerde instellingen om een van de volgende instellingen te wijzigen:

     Name	Beschrijving
     Modus	Selecteer een van de volgende opties: - SPAN-verkeer (geen inkapseling) voor het gebruik van de standaard SPAN-poortspiegeling. - ERSPAN als u ERSPAN-spiegeling gebruikt. Zie Een methode voor verkeersspiegeling kiezen voor OT-sensoren voor meer informatie.
     Beschrijving	Voer een optionele beschrijving in voor de interface. U ziet dit later op de pagina systeeminstellingeninterfaceconfiguraties > van de sensor. Deze beschrijvingen zijn mogelijk handig bij het begrijpen van het doel van elke interface.
     Automatische onderhandeling	Alleen relevant voor fysieke machines. Gebruik deze optie om te bepalen welke soorten communicatiemethoden worden gebruikt of als de communicatiemethoden automatisch tussen onderdelen worden gedefinieerd. Belangrijk: U wordt aangeraden deze instelling alleen te wijzigen op basis van het advies van uw netwerkteam.

   Voorbeeld:

   

3. Selecteer Opslaan om uw wijzigingen op te slaan. Uw sensorsoftware wordt opnieuw opgestart om uw wijzigingen te implementeren.

Tijdzones synchroniseren op een OT-sensor

Mogelijk wilt u uw OT-sensor configureren met een specifieke tijdzone, zodat alle gebruikers dezelfde tijden zien, ongeacht de locatie van de gebruiker.

Tijdzones worden gebruikt in waarschuwingen, trends en statistiekenwidgets, data mining-rapporten, risicoanalyserapporten en aanvalsvectorrapporten.

De tijdzone van een OT-sensor configureren:

1. Meld u aan bij uw OT-sensor en selecteer Systeeminstellingen>Basic>Time & Region.

2. Voer in het deelvenster Tijd en regio de volgende details in:

   • Tijdzone: selecteer de tijdzone die u wilt gebruiken

   • Datumnotatie: selecteer de tijd- en datumnotatie die u wilt gebruiken. Ondersteunde indelingen zijn onder andere:

     • dd/MM/yyyy HH:mm:ss
     • MM/dd/yyyy HH:mm:ss
     • yyyy/MM/dd HH:mm:ss

   Het veld Datum en tijd wordt automatisch bijgewerkt met de huidige tijd in de indeling die u hebt geselecteerd.

3. Selecteer Opslaan om uw wijzigingen op te slaan.

Instellingen voor SMTP-e-mailserver configureren

Definieer de SMTP-e-mailserverinstellingen op uw OT-sensor, zodat u de OT-sensor configureert voor het verzenden van gegevens naar andere servers en partnerservices.

U hebt een SMTP-e-mailserver nodig die is geconfigureerd voor het inschakelen van e-mailwaarschuwingen over niet-verbonden sensoren, mislukte back-up van sensorback-ups en het controleren van poortfouten in SPAN vanuit de on-premises beheerconsole, en om waarschuwingsregels voor het doorsturen van e-mail in te stellen en te configureren.

Vereisten:

Zorg ervoor dat u de SMTP-server kunt bereiken via de beheerpoort van de sensor.

Een SMTP-server configureren op uw OT-sensor:

1. Meld u aan bij de OT-sensor en selecteer Systeeminstellingen>Integrations>Mail-server.

2. Definieer in het deelvenster Configuratie van e-mailserver bewerken dat wordt weergegeven de waarden voor uw SMTP-server als volgt:

   Parameter	Description
   SMTP-serveradres	Voer het IP-adres of domeinadres van uw SMTP-server in.
   SMTP-serverpoort	Standaard = 25. Pas de waarde indien nodig aan.
   Uitgaande e-mailaccount	Voer een e-mailadres in dat u wilt gebruiken als het uitgaande e-mailaccount van uw sensor.
   SSL	Schakel de wisselknop in voor beveiligde verbindingen vanaf uw sensor.
   Verificatie	Schakel deze optie in en voer een gebruikersnaam en wachtwoord in voor uw e-mailaccount.
   NTLM gebruiken	Schakel de wisselknop in om NTLM in te schakelen. Deze optie wordt alleen weergegeven wanneer u de optie Verificatie hebt ingeschakeld.

3. Kies Opslaan wanneer u klaar bent.

PCAP-bestanden uploaden en afspelen

Bij het oplossen van problemen met uw OT-sensor wilt u mogelijk gegevens onderzoeken die zijn vastgelegd door een specifiek PCAP-bestand. Hiervoor kunt u een PCAP-bestand uploaden naar uw OT-sensor en de opgenomen gegevens opnieuw afspelen.

De optie PcAP afspelen is standaard ingeschakeld in de instellingen van de sensorconsole.

De maximale grootte voor geüploade bestanden is 2 GB.

De PCAP-speler weergeven in de sensorconsole:

1. Ga in de sensorconsole naar Systeeminstellingen > Sensorbeheer > Geavanceerde configuraties.

2. Selecteer in het deelvenster Geavanceerde configuraties de categorie Pcaps .

3. Ga in de weergegeven configuraties naar enabled=0enabled=1en selecteer Opslaan.

De optie PcAP afspelen is nu beschikbaar in de instellingen van de sensorconsole, onder: Systeeminstellingen > Basic > Play PCAP.

Een PCAP-bestand uploaden en afspelen:

1. Selecteer in de sensorconsole systeeminstellingen > Basic > Play PCAP.

2. Selecteer Uploaden in het deelvenster PCAP PLAYER en navigeer naar het bestand of meerdere bestanden die u wilt uploaden.

   

3. Selecteer Afspelen om uw PCAP-bestand af te spelen of Alles afspelen om alle PCAP-bestanden af te spelen die momenteel zijn geladen.

Tip

Selecteer Alles wissen om de sensor van alle PCAP-bestanden te wissen die zijn geladen.

Specifieke analyse-engines uitschakelen

Standaard analyseert elke OT-netwerksensor opgenomen gegevens met behulp van ingebouwde analyse-engines en activeert waarschuwingen op basis van zowel realtime als vooraf opgenomen verkeer.

Hoewel we u aanraden om alle analyse-engines ingeschakeld te houden, kunt u specifieke analyse-engines op uw OT-sensoren uitschakelen om het type afwijkingen en risico's te beperken dat door die OT-sensor wordt bewaakt.

Belangrijk

Wanneer u een beleidsengine uitschakelt, zijn de gegevens die de engine genereert niet beschikbaar voor de sensor. Als u bijvoorbeeld de anomalie-engine uitschakelt, ontvangt u geen waarschuwingen over netwerkafwijkingen. Als u een waarschuwingsregel voor doorsturen hebt gemaakt, worden afwijkingen die de engine leert niet verzonden.

De analyse-engines van een OT-sensor beheren:

1. Meld u aan bij uw OT-sensor en selecteer Systeeminstellingen > Netwerkbewaking > Detectie-engines > en netwerkmodellering.

2. Schakel in het deelvenster Detectie-engines en netwerkmodellering in het gebied Engines een of meer van de volgende engines uit:

   • Protocolschending
   • Beleidsschending
   • Malware
   • Anomalie
   • Operationeel

   Schakel de engine weer in om gerelateerde afwijkingen en activiteiten opnieuw bij te houden.

   Zie Defender for IoT-analyse-engines voor meer informatie.

3. Selecteer Sluiten om uw wijzigingen op te slaan.

Analyse-engines beheren vanuit een on-premises beheerconsole:

1. Meld u aan bij uw on-premises beheerconsole en selecteer System Instellingen.

2. Selecteer in de sectie Sensor Engine Configuration een of meer OT-sensoren waarop u instellingen wilt toepassen en schakel een van de volgende opties uit:

   • Protocolschending
   • Beleidsschending
   • Malware
   • Anomalie
   • Operationeel

3. Selecteer WIJZIGINGEN OPSLAAN om uw wijzigingen op te slaan.

OT-sensorgegevens wissen

Als u uw OT-sensor wilt verplaatsen of wissen, stelt u deze opnieuw in om alle gedetecteerde of geleerde gegevens op de OT-sensor te wissen.

Nadat u gegevens hebt gewist op een met de cloud verbonden sensor:

• De apparaatinventaris in Azure Portal wordt parallel bijgewerkt.
• Sommige acties voor bijbehorende waarschuwingen in Azure Portal worden niet meer ondersteund, zoals het downloaden van PCAP-bestanden of leerwaarschuwingen.

Notitie

Netwerkinstellingen zoals IP/DNS/GATEWAY worden niet gewijzigd door systeemgegevens te wissen.

Systeemgegevens wissen:

1. Meld u als beheerder aan bij de OT-sensor. Zie Voor meer informatie standaard bevoegde on-premises gebruikers.

2. Selecteer Ondersteuning >gegevens wissen.

3. Selecteer in het bevestigingsdialoogvenster Ja om te bevestigen dat u alle gegevens van de sensor wilt wissen en opnieuw wilt instellen. Voorbeeld:

   

Er wordt een bevestigingsbericht weergegeven dat de actie is geslaagd. Alle geleerde gegevens, acceptatielijsten, beleidsregels en configuratie-instellingen worden gewist van de sensor.

Sensorinvoegtoepassingen beheren en prestaties van invoegtoepassingen bewaken

Bekijk gegevens voor elk protocol dat door uw sensor wordt bewaakt met behulp van de pagina DPI (Horizon Plugins) van protocollen in de sensorconsole.

1. Meld u aan bij de OT-sensorconsole en selecteer Systeeminstellingen > DPI (Horizon Plugins) voor netwerkbewakingsprotocollen>.

2. Voer een van de volgende stappen uit:

   • Als u de protocollen wilt beperken die door uw sensor worden bewaakt, selecteert u de wisselknop In- en uitschakelen voor elke invoegtoepassing, indien nodig.

   • Als u de prestaties van de invoegtoepassing wilt bewaken, bekijkt u de gegevens die worden weergegeven op de pagina Dpi (Horizon Plugins) van protocollen voor elke invoegtoepassing. Als u een specifieke invoegtoepassing wilt vinden, gebruikt u het zoekvak om een deel of alle naam van een invoegtoepassing in te voeren.

De Protocols DPI (Horizon Plugins) bevat de volgende gegevens per invoegtoepassing:

Kolomnaam	Beschrijving
Plugin	Definieert de naam van de invoegtoepassing.
Type	Het type invoegtoepassing, inclusief APPLICATION of INFRASTRUCTURE.
Tijd	Het tijdstip waarop de gegevens voor het laatst zijn geanalyseerd met behulp van de invoegtoepassing. De tijdstempel wordt elke vijf seconden bijgewerkt.
KKS	Het aantal pakketten dat per seconde door de invoegtoepassing wordt geanalyseerd.
Bandbreedte	De gemiddelde bandbreedte die door de invoegtoepassing is gedetecteerd in de afgelopen vijf seconden.
Onjuiste indelingen	Het aantal foutfouten dat in de afgelopen vijf seconden is gedetecteerd. Ongeldige validaties worden gebruikt nadat het protocol positief is gevalideerd. Als er een fout optreedt bij het verwerken van de pakketten op basis van het protocol, wordt er een foutreactie geretourneerd.
Waarschuwingen	Het aantal gedetecteerde waarschuwingen, zoals wanneer pakketten overeenkomen met de structuur en specificaties, maar onverwacht gedrag wordt gedetecteerd op basis van de waarschuwingsconfiguratie van de invoegtoepassing.
Fouten	Het aantal fouten dat in de afgelopen vijf seconden is gedetecteerd voor pakketten waarvoor standaardprotocolvalidaties zijn mislukt voor de pakketten die overeenkomen met protocoldefinities.

Logboekgegevens zijn beschikbaar voor export in de Dissection statistics and Dissection Logs, log files. Zie Logboeken voor probleemoplossing exporteren voor meer informatie.

Volgende stappen

Zie voor meer informatie:

• Sensoren beheren vanuit de on-premises beheerconsole
• Sensoractiviteit bijhouden
• Problemen met de sensor oplossen