Sensoren beheren met Defender for IoT in Azure Portal

In dit artikel wordt beschreven hoe u sensoren kunt weergeven en beheren met Microsoft Defender for IoT in Azure Portal.

Vereisten

Voordat u de procedures in dit artikel kunt gebruiken, moet u netwerksensoren onboarden bij Defender for IoT. Zie voor meer informatie:

Uw sensoren weergeven

Al uw momenteel in de cloud verbonden sensoren, inclusief OT- en Enterprise IoT-sensoren, worden weergegeven op de pagina Sites en sensoren . Voorbeeld:

Screenshot showing the Sites and sensors page.

Details over elke sensor worden weergegeven in de volgende kolommen:

Kolomnaam Beschrijving
Sensornaam Geeft de naam weer die u tijdens de registratie aan de sensor hebt toegewezen.
Sensortype Geeft weer of de sensor een lokaal verbonden OT, OT-cloudconnect of een Enterprise IoT-sensor is.
Zone Geeft de zone weer die deze sensor bevat.
Abonnementsnaam Geeft de naam weer van het Microsoft Azure-accountabonnement waartoe deze sensor behoort.
Sensorversie Geeft de versie van de OT-bewakingssoftware weer die op uw sensor is geïnstalleerd.
Sensorstatus Geeft een sensorstatusbericht weer. Zie Sensorstatus begrijpen voor meer informatie.
Laatst verbonden (UTC) Geeft weer hoe lang geleden de sensor voor het laatst is verbonden.
Bedreigingsinformatieversie Geeft de versie bedreigingsinformatie weer die is geïnstalleerd op een OT-sensor. De naam van de versie is gebaseerd op de dag dat het pakket is gebouwd door Defender for IoT.
Bedreigingsinformatiemodus Geeft weer of de updatemodus voor bedreigingsinformatie handmatig of automatisch is. Handmatig betekent dat u zo nodig nieuwe pakketten rechtstreeks naar sensoren kunt pushen. Anders worden de nieuwe pakketten automatisch geïnstalleerd op alle OT-sensoren die zijn verbonden met de cloud.
Updatestatus bedreigingsinformatie Geeft de updatestatus van het Threat Intelligence-pakket weer op een OT-sensor. De status kan mislukt, in uitvoering, beschikbaar zijn of ok.

Opties voor sitebeheer vanuit Azure Portal

Wanneer u een nieuwe OT-sensor onboardt voor Defender for IoT, kunt u deze toevoegen aan een nieuwe of bestaande site. Wanneer u met OT-netwerken werkt, kunt u uw sensoren efficiënter ordenen op sites, zodat u uw sensoren efficiënter kunt beheren en kunt uitlijnen op een Zero Trust-strategie in uw netwerk.

Bedrijfs-IoT-sensoren worden allemaal automatisch toegevoegd aan dezelfde site, met de naam Enterprise-netwerk.

Een site bewerken vanuit Azure Portal:

  1. Selecteer de naam van de site op de pagina Sites en sensoren . Wijzig een van de volgende waarden in het deelvenster Site bewerken dat aan de rechterkant wordt geopend:

    Optie Omschrijving
    Weergavenaam Voer een betekenisvolle naam in voor uw site.
    Eigenaar Alleen voor OT-sites. Voer een of meer e-mailadressen in voor de gebruiker die u wilt aanwijzen als eigenaar van de apparaten op deze site. De site-eigenaar wordt overgenomen door alle apparaten op de site en wordt weergegeven op de entiteitspagina's van het IoT-apparaat en in incidentdetails in Microsoft Sentinel.

    Gebruik in Microsoft Sentinel de playbooks AD4IoT-SendEmailtoIoTOwner en AD4IoT-CVEAutoWorkflow om apparaateigenaren automatisch op de hoogte te stellen van belangrijke waarschuwingen of incidenten. Zie Bedreigingen voor IoT-apparaten onderzoeken en detecteren voor meer informatie.
    Tags (Optioneel) Voer waarden in voor de velden Sleutel en Waarde voor elke nieuwe tag die u aan uw site wilt toevoegen. Selecteer + Toevoegen om een nieuwe tag toe te voegen.
  2. Alleen voor OT-sites: als u opgegeven machtigingen per site wilt definiëren, selecteert u Sitetoegangsbeheer beheren (preview).

    U kunt dit bijvoorbeeld doen als onderdeel van een Zero Trust-beveiligingsstrategie om een granulariteitsniveau toe te voegen aan uw Azure-toegangsbeleid. Defender for IoT-sites weerspiegelen over het algemeen veel apparaten die zijn gegroepeerd op een specifieke geografische locatie, zoals de apparaten in een kantoorgebouw op een specifiek adres.

    Zie Toegangsbeheer op basis van sites beheren voor meer informatie.

  3. Wanneer u klaar bent, selecteert u Opslaan om uw wijzigingen op te slaan.

Opties voor sensorbeheer vanuit Azure Portal

Sensoren die u hebt toegevoegd aan Defender for IoT, worden weergegeven op de pagina Defender for IoT-sites en -sensoren . Selecteer een specifieke sensornaam om in te zoomen op meer details voor die sensor.

Gebruik de opties op de pagina Sites en sensor en een sensorgegevenspagina om een van de volgende taken uit te voeren. Als u zich op de pagina Sites en sensoren bevindt, selecteert u meerdere sensoren om uw acties bulksgewijs toe te passen met behulp van werkbalkopties. Voor afzonderlijke sensoren gebruikt u de werkbalkopties Sites en sensoren , het menu met opties aan de rechterkant van een sensorrij of de opties op een pagina met sensordetails.

OT-sensorupdates

Opdracht Beschrijving
Sensorupdate (preview) Alleen OT-sensoren.

Voer externe updates uit op OT-sensoren rechtstreeks vanuit Azure Portal of download updatepakketten om handmatig bij te werken.

Zie Update Defender for IoT OT-bewakingssoftware voor meer informatie.
Update voor bedreigingsinformatie (preview) Alleen OT-sensoren.

Beschikbaar voor bulkacties op de werkbalk Sites en sensoren , voor afzonderlijke sensoren in het menu opties van ... of op een pagina met sensordetails.

Zie Onderzoek en pakketten voor bedreigingsinformatie voor meer informatie.
Automatische updates voor bedreigingsinformatie bewerken Alleen individuele, OT-sensoren.

Beschikbaar via het menu ... opties of een pagina met sensordetails.

Selecteer Bewerken en schakel vervolgens de optie Automatische bedreigingsinformatie-updates (preview) in of uit indien nodig. Selecteer Verzenden om uw wijzigingen op te slaan.
Een OT-sensor voorbereiden om bij te werken naar softwareversie 22.x of hoger Alleen individuele, OT-sensoren.

Beschikbaar via de werkbalk Sites en sensoren , het menu opties ... of een pagina met sensordetails.

Zie Verouderde OT-sensorsoftware bijwerken voor meer informatie.

Sensorimplementatie en -toegang

Opdracht Beschrijving
Een OT-sensorwachtwoord herstellen Alleen individuele, OT-sensoren.

Beschikbaar via het menu ... opties of een pagina met sensordetails. Voer de geheime id in die is verkregen op het aanmeldingsscherm van de sensor.
Een wachtwoord voor een on-premises beheerconsole herstellen Beschikbaar via de werkbalk Sites en sensoren Meer acties.

Zie De on-premises beheerconsole beheren voor meer informatie.
Een activeringsbestand downloaden Alleen individuele, OT-sensoren.

Beschikbaar via het menu ... opties of een pagina met sensordetails.
Een sensorzone bewerken Alleen voor afzonderlijke sensoren vindt u in het menu ... opties of een pagina met sensordetails.

Selecteer Bewerken en selecteer vervolgens een nieuwe zone in het menu Zone of selecteer Nieuwe zone maken. Selecteer Verzenden om uw wijzigingen op te slaan.
SNMP MIB-bestand downloaden Beschikbaar via de werkbalk Sites en sensoren Meer acties.

Zie SNMP MIB-statuscontrole instellen op een OT-sensor voor meer informatie.
Een activeringsopdracht maken Alleen afzonderlijke, Enterprise IoT-sensoren.

Beschikbaar via het menu ... opties of een pagina met sensordetails. Selecteer Bewerken en selecteer vervolgens de opdracht Activering maken.

Zie Enterprise IoT-sensorsoftware installeren voor meer informatie.
Details van eindpunt downloaden (openbare preview) Alleen OT-sensoren, met alleen versies 22.x en hoger.

Beschikbaar via de werkbalk Sites en sensoren Meer acties.

Download de lijst met eindpunten die moeten worden ingeschakeld als beveiligde eindpunten van OT-netwerksensoren. Zorg ervoor dat HTTPS-verkeer is ingeschakeld via poort 443 naar de vermelde eindpunten voor uw sensor om verbinding te maken met Azure. Regels voor uitgaand toestaan worden eenmaal gedefinieerd voor alle OT-sensoren die zijn toegevoegd aan hetzelfde abonnement.

Als u deze optie wilt inschakelen, selecteert u een sensor met een ondersteunde softwareversie of een site met een of meer sensoren met ondersteunde versies.

Sensoronderhoud en probleemoplossing

Opdracht Beschrijving
Sensorinstellingen (preview) Alleen OT-sensoren.

Definieer geselecteerde sensorinstellingen voor een of meer met de cloud verbonden OT-netwerksensoren. Zie Instellingen voor OT-sensor definiëren en weergeven in Azure Portal (openbare preview) voor meer informatie.

Andere instellingen zijn ook rechtstreeks beschikbaar via de OT-sensorconsole of de on-premises beheerconsole.
Sensorgegevens exporteren Alleen beschikbaar via de werkbalk Sites en sensoren om een CSV-bestand te downloaden met details over alle vermelde sensoren.
Een sensor verwijderen Alleen voor afzonderlijke sensoren vindt u in het menu ... opties of een pagina met sensordetails.
Diagnostische bestanden verzenden ter ondersteuning Alleen afzonderlijke, lokaal beheerde OT-sensoren.

Beschikbaar in het menu ... opties.

Zie Een diagnostisch logboek uploaden voor ondersteuning voor meer informatie.

Forensische gegevens ophalen die zijn opgeslagen op de sensor

Gebruik Azure Monitor-werkmappen op een OT-netwerksensor om forensische gegevens op te halen uit de opslag van die sensor. De volgende typen forensische gegevens worden lokaal opgeslagen op OT-sensoren voor apparaten die door die sensor worden gedetecteerd:

  • Apparaatgegevens
  • Waarschuwingsgegevens
  • PCAP-bestanden waarschuwen
  • Tijdlijngegevens voor gebeurtenissen
  • Logboekbestanden

Elk type gegevens heeft een andere bewaarperiode en maximale capaciteit. Zie Microsoft Defender for IoT-gegevens visualiseren met Azure Monitor-werkmappen en gegevensretentie in Microsoft Defender voor IoT voor meer informatie.

Een OT-sensor opnieuw activeren

Mogelijk moet u een OT-sensor opnieuw activeren omdat u het volgende wilt doen:

  • Werken in de cloudmodus in plaats van de lokaal beheerde modus: na opnieuw activeren worden bestaande sensordetecties weergegeven in de sensorconsole en worden nieuw gedetecteerde waarschuwingsgegevens bezorgd via Defender for IoT in Azure Portal. Deze informatie kan worden gedeeld met andere Azure-services, zoals Microsoft Sentinel.

  • Werken in de lokaal beheerde modus in plaats van in de cloud verbonden modus: na opnieuw activeren wordt sensordetectiegegevens alleen weergegeven in de sensorconsole.

  • Koppel de sensor aan een nieuwe site: registreer de sensor opnieuw met nieuwe sitedefinities en gebruik het nieuwe activeringsbestand om te activeren.

  • Uw abonnementsverzegging wijzigen: als u wijzigingen aanbrengt in uw abonnement, zoals het wijzigen van uw prijsplan van een proefabonnement naar een maandelijkse toezegging, moet u uw sensoren opnieuw activeren om de nieuwe wijzigingen weer te geven.

Voer in dergelijke gevallen de volgende stappen uit:

  1. Verwijder uw bestaande sensor.
  2. Onboarding van de sensor opnieuw, registreren bij eventuele nieuwe instellingen.
  3. Upload het nieuwe activeringsbestand.

Een OT-sensor opnieuw activeren voor upgrades naar versie 22.x van een oudere versie

Als u de OT-sensorversie bijwerkt van een oudere versie naar 22.1.x of hoger, hebt u een andere activeringsprocedure nodig dan voor eerdere versies.

Zorg ervoor dat u bent begonnen met de relevante updatestappen voor deze update. Zie Update OT-systeemsoftware voor meer informatie.

Notitie

Na een upgrade naar versie 22.1.x is het nieuwe upgradelogboek toegankelijk voor de ondersteuningsgebruiker op de sensor op het volgende pad: /opt/sensor/logs/legacy-upgrade.log Meld u met de ondersteuningsgebruiker aan bij de sensor om toegang te krijgen tot het updatelogboek.

Zie Voor meer informatie standaard bevoegde on-premises gebruikers.

Inzicht in sensorstatus

In deze procedure wordt beschreven hoe u sensorstatusgegevens kunt weergeven vanuit Azure Portal. Sensorstatus omvat gegevens zoals of verkeer stabiel is, de sensor overbelast is, meldingen over sensorsoftwareversies en meer.

De algehele sensorstatus weergeven:

  1. Vanuit Defender for IoT in Azure Portal selecteert u Sites en sensoren en controleert u vervolgens de algehele statusscore in de widget boven het raster. Voorbeeld:

    Screenshot showing the sensor health widgets.

    Niet ondersteund betekent dat de sensor een softwareversie heeft geïnstalleerd die niet meer wordt ondersteund.

    Niet in orde geeft een van de volgende scenario's aan:

    • Sensorverkeer naar Azure is niet stabiel
    • Sensor mislukt normale saniteitstests
    • Geen verkeer gedetecteerd door de sensor
    • De softwareversie van sensor wordt niet meer ondersteund
    • Een upgrade van een externe sensor vanuit Azure Portal mislukt

    Zie de naslaginformatie over de sensorstatus voor meer informatie.

  2. Als u specifieke sensorproblemen wilt controleren, filtert u het raster op sensorstatus en selecteert u een of meer problemen die u wilt controleren. Voorbeeld:

    Screenshot of the sensor health filter.

  3. Vouw de gefilterde sites en sensoren uit die nu in het raster worden weergegeven en gebruik de kolom Sensorstatus voor meer informatie op hoog niveau.

  4. Als u meer wilt inzoomen en aanbevolen acties wilt begrijpen, selecteert u een sensornaam om de pagina met sensordetails te openen.

    Voorbeeld:

    Screenshot of the sensor details page showing health information.

    Vouw op de pagina Overzicht van sensordetails de sectie Status en eventuele berichten uit die daar worden vermeld voor meer informatie. De kolom Aanbeveling aan de rechterkant bevat aanbevolen acties voor het afhandelen van het statusprobleem.

Zie de naslaginformatie over de sensorstatus voor meer informatie.

Een diagnostisch logboek uploaden voor ondersteuning

Als u een ondersteuningsticket voor een lokaal beheerde sensor moet openen, uploadt u een diagnostisch logboek naar Azure Portal voor het ondersteuningsteam.

Tip

Voor sensoren in de cloud is het diagnostische logboek automatisch beschikbaar voor uw ondersteuningsteam wanneer u een ondersteuningsticket opent.

Een diagnostisch rapport uploaden:

  1. Zorg ervoor dat het diagnostische rapport beschikbaar is voor uploaden. Zie Een diagnostisch logboek downloaden voor ondersteuning voor meer informatie.

  2. Ga in Defender for IoT in Azure Portal naar de pagina Sites en sensoren en selecteer de lokaal beheerde sensor die is gerelateerd aan uw ondersteuningsticket.

  3. Selecteer voor de geselecteerde sensor het menu ... opties in het rechtermenu >Diagnostische bestanden verzenden ter ondersteuning. Voorbeeld:

    Screenshot of the send diagnostic files to support option.

Volgende stappen