Sensoren beheren met Defender for IoT in de Azure Portal

In dit artikel wordt beschreven hoe u sensoren kunt weergeven en beheren met Microsoft Defender voor IoT in de Azure Portal.

Vereisten

Voordat u de procedures in dit artikel kunt gebruiken, moet u beschikken over de onboarding van netwerksensoren voor Defender for IoT. Zie voor meer informatie:

Uw sensoren weergeven

Al uw momenteel met de cloud verbonden sensoren, inclusief OT- en Enterprise IoT-sensoren, worden weergegeven op de pagina Sites en sensoren . Bijvoorbeeld:

Schermopname van de pagina Sites en sensoren.

Details over elke sensor worden weergegeven in de volgende kolommen:

Kolomnaam Beschrijving
Sensornaam Geeft de naam weer die u tijdens de registratie aan de sensor hebt toegewezen.
Sensortype Geeft aan of de sensor een lokaal verbonden OT, OT-cloud verbonden of een Enterprise IoT-sensor is.
Zone Geeft de zone weer die deze sensor bevat.
Abonnementsnaam Geeft de naam weer van het Microsoft Azure-accountabonnement waartoe deze sensor behoort.
Sensorversie Geeft de versie van de OT-bewakingssoftware weer die op uw sensor is geïnstalleerd.
Sensorstatus Geeft een sensorstatusbericht weer. Zie Sensorstatus begrijpen voor meer informatie.
Laatst verbonden (UTC) Geeft aan hoe lang geleden de sensor voor het laatst is aangesloten.
Versie van bedreigingsinformatie Geeft de versie van bedreigingsinformatie weer die is geïnstalleerd op een OT-sensor. De naam van de versie is gebaseerd op de dag waarop het pakket is gebouwd door Defender for IoT.
Bedreigingsinformatiemodus Geeft aan of de updatemodus Bedreigingsinformatie handmatig of automatisch is. Als het handmatig is, betekent dit dat u zo nodig nieuwe pakketten rechtstreeks naar sensoren kunt pushen . Anders worden de nieuwe pakketten automatisch geïnstalleerd op alle OT-sensoren in de cloud.
Updatestatus van bedreigingsinformatie Geeft de updatestatus weer van het bedreigingsinformatiepakket op een OT-sensor. De status kan Zijn mislukt, Wordt uitgevoerd, Update beschikbaar of OK.

Opties voor sitebeheer in de Azure Portal

Wanneer u een nieuwe OT-sensor onboardt voor Defender for IoT, kunt u deze toevoegen aan een nieuwe of bestaande site. Wanneer u met OT-netwerken werkt, kunt u uw sensoren op sites ordenen om uw sensoren efficiënter te beheren.

Enterprise IoT-sensoren worden allemaal automatisch toegevoegd aan dezelfde site, met de naam Enterprise-netwerk.

Als u de details van een site wilt bewerken, selecteert u de naam van de site op de pagina Sites en sensoren . Wijzig in het deelvenster Site bewerken aan de rechterkant een van de volgende waarden:

  • Weergavenaam: Voer een beschrijvende naam in voor uw site.

  • Tags: (Optioneel) Voer waarden in voor de velden Sleutel en Waarde voor elke nieuwe tag die u aan uw site wilt toevoegen. Selecteer + Toevoegen om een nieuwe tag toe te voegen.

  • Eigenaar: Alleen voor sites met OT-sensoren. Voer een of meer e-mailadressen in voor de gebruiker die u wilt aanwijzen als de eigenaar van de apparaten op deze site. De site-eigenaar wordt overgenomen door alle apparaten op de site en wordt weergegeven op de entiteitspagina's van het IoT-apparaat en in incidentdetails in Microsoft Sentinel.

    Gebruik in Microsoft Sentinel de playbooks AD4IoT-SendEmailtoIoTOwner en AD4IoT-CVEAutoWorkflow om apparaateigenaren automatisch op de hoogte te stellen van belangrijke waarschuwingen of incidenten. Zie Bedreigingen voor IoT-apparaten onderzoeken en detecteren voor meer informatie.

Wanneer u klaar bent, selecteert u Opslaan om uw wijzigingen op te slaan.

Opties voor sensorbeheer van de Azure Portal

Sensoren die u hebt toegevoegd aan Defender for IoT, worden weergegeven op de pagina Defender for IoT-sites en -sensoren . Selecteer een specifieke sensornaam om in te zoomen op meer details voor die sensor.

Gebruik de opties op de pagina Sites en sensor en een pagina met sensordetails om een van de volgende taken uit te voeren. Als u zich op de pagina Sites en sensoren bevindt, selecteert u meerdere sensoren om uw acties bulksgewijs toe te passen met behulp van werkbalkopties. Voor afzonderlijke sensoren gebruikt u de werkbalkopties Sites en sensoren , het menu ... opties rechts van een sensorrij of de opties op een pagina met sensorgegevens.

Taak Beschrijving
Updates voor bedreigingsinformatie pushen Alleen OT-sensoren.

Beschikbaar voor bulkacties op de werkbalk Sites en sensoren , voor afzonderlijke sensoren in het menu ... opties of vanaf een pagina met sensorgegevens.

Zie Onderzoek en pakketten voor bedreigingsinformatie voor meer informatie.
Een OT-sensor voorbereiden om bij te werken naar softwareversie 22.x of hoger Alleen individuele, OT-sensoren.

Beschikbaar via de werkbalk Sites en sensoren , het menu met opties ... of een pagina met sensorgegevens.

Zie voor meer informatie:
- Een sensor opnieuw activeren voor upgrades naar versie 22.x vanaf een oudere versie
- Defender for IoT OT-bewakingssoftware bijwerken
Een wachtwoord herstellen Alleen individuele, OT-sensoren.

Beschikbaar via het menu ... opties of een pagina met sensordetails. Voer de geheime id in die is verkregen op het aanmeldingsscherm van de sensor.
Sensorgegevens exporteren Alleen beschikbaar via de werkbalk Sites en sensoren om een CSV-bestand te downloaden met details over alle vermelde sensoren.
Een activeringsbestand downloaden Alleen individuele, OT-sensoren.

Beschikbaar via het menu ... opties of een pagina met sensordetails.
Een sensorzone bewerken Alleen voor afzonderlijke sensoren, via het menu ... opties of een pagina met sensordetails.

Selecteer Bewerken en selecteer vervolgens een nieuwe zone in het menu Zone of selecteer Nieuwe zone maken. Selecteer Verzenden om uw wijzigingen op te slaan.
Een activeringsopdracht maken Alleen individuele, Enterprise IoT-sensoren.

Beschikbaar via het menu ... opties of een pagina met sensordetails. Selecteer Bewerken en selecteer vervolgens Activeringsopdracht maken.

Zie Enterprise IoT-sensorsoftware installeren voor meer informatie.
Automatische updates voor bedreigingsinformatie bewerken Alleen individuele, OT-sensoren.

Beschikbaar via het menu ... opties of een pagina met sensordetails.

Selecteer Bewerken en schakel de optie Automatische bedreigingsinformatie Updates (preview) indien nodig in of uit. Selecteer Verzenden om uw wijzigingen op te slaan.
Een sensor verwijderen Alleen voor afzonderlijke sensoren, via het menu ... opties of een pagina met sensordetails.
Diagnostische bestanden verzenden naar ondersteuning Alleen afzonderlijke, lokaal beheerde OT-sensoren.

Beschikbaar via het menu ... met opties.

Zie Een diagnostisch logboek uploaden voor ondersteuning voor meer informatie.
SNMP MIB-bestand downloaden Beschikbaar via het menu Meer acties op de werkbalk Sites en sensoren.

Zie SNMP MIB-bewaking instellen voor meer informatie.
Een wachtwoord voor een on-premises beheerconsole herstellen Beschikbaar via het menu Meer acties op de werkbalk Sites en sensoren.

Zie De on-premises beheerconsole beheren voor meer informatie.
Eindpuntdetails downloaden (openbare preview) Beschikbaar via de werkbalk Sites en sensorenmenu Meer acties , alleen voor OT-sensorversies 22.x.

Download de lijst met eindpunten die moeten worden ingeschakeld als beveiligde eindpunten van OT-netwerksensoren. Zorg ervoor dat HTTPS-verkeer is ingeschakeld via poort 443 naar de vermelde eindpunten voor uw sensor om verbinding te maken met Azure. Regels voor uitgaand toestaan worden eenmaal gedefinieerd voor alle OT-sensoren die zijn toegevoegd aan hetzelfde abonnement.

Als u deze optie wilt inschakelen, selecteert u een sensor met een ondersteunde softwareversie of een site met een of meer sensoren met ondersteunde versies.

Forensische gegevens ophalen die zijn opgeslagen op de sensor

Gebruik Azure Monitor-werkmappen op een OT-netwerksensor om forensische gegevens op te halen uit de opslag van die sensor. De volgende typen forensische gegevens worden lokaal opgeslagen op OT-sensoren, voor apparaten die door die sensor worden gedetecteerd:

  • Apparaatgegevens
  • Waarschuwingsgegevens
  • PCAP-bestanden waarschuwen
  • Tijdlijngegevens voor gebeurtenissen
  • Logboekbestanden

Elk type gegevens heeft een andere bewaarperiode en maximale capaciteit. Zie Visualiseer Microsoft Defender voor IoT-gegevens met Azure Monitor-werkmappen voor meer informatie.

Een OT-sensor opnieuw activeren

Mogelijk moet u een OT-sensor opnieuw activeren omdat u het volgende wilt doen:

  • Werken in de cloud verbonden modus in plaats van de lokaal beheerde modus: na opnieuw activeren worden bestaande sensordetecties weergegeven in de sensorconsole en worden nieuw gedetecteerde waarschuwingsinformatie geleverd via Defender for IoT in de Azure Portal. Deze informatie kan worden gedeeld met andere Azure-services, zoals Microsoft Sentinel.

  • Werken in de lokaal beheerde modus in plaats van in de cloud verbonden modus: na het opnieuw activeren worden sensordetectiegegevens alleen weergegeven in de sensorconsole.

  • Koppel de sensor aan een nieuwe site: registreer de sensor opnieuw met nieuwe sitedefinities en gebruik het nieuwe activeringsbestand om te activeren.

  • Uw abonnementstoezegging wijzigen: als u wijzigingen aanbrengt in uw abonnement, zoals het wijzigen van uw prijsplan van een proefabonnement naar een maandelijkse toezegging, moet u uw sensoren opnieuw activeren om de nieuwe wijzigingen weer te geven.

Voer in dergelijke gevallen de volgende stappen uit:

  1. Verwijder de bestaande sensor.
  2. Onboard de sensor opnieuw en registreer deze met eventuele nieuwe instellingen.
  3. Upload het nieuwe activeringsbestand.

Een OT-sensor opnieuw activeren voor upgrades naar versie 22.x vanaf een oudere versie

Als u uw OT-sensorversie bijwerkt van een oudere versie naar 22.1.x of hoger, hebt u een andere activeringsprocedure nodig dan voor eerdere versies.

Zorg ervoor dat u bent begonnen met de relevante updatestappen voor deze update. Zie Update OT system software (OT-systeemsoftware bijwerken) voor meer informatie.

Notitie

Na een upgrade naar versie 22.1.x is het nieuwe upgradelogboek toegankelijk voor de cyberx_host gebruiker op de sensor op het volgende pad: /opt/sensor/logs/legacy-upgrade.log. Als u toegang wilt krijgen tot het updatelogboek, meldt u zich via SSH aan bij de sensor met de cyberx_host gebruiker.

Zie Standaard bevoegde on-premises gebruikers voor meer informatie.

Sensorstatus begrijpen

In deze procedure wordt beschreven hoe u sensorstatusgegevens van de Azure Portal kunt bekijken. Sensorstatus omvat gegevens zoals of verkeer stabiel is, of de sensor overbelast is, meldingen over softwareversies van de sensor en meer.

Ga als volgende te werk om de algehele sensorstatus weer te geven:

  1. Selecteer vanuit Defender for IoT in de Azure Portal Sites en sensoren en controleer vervolgens de algehele statusscore in de widget boven het raster. Bijvoorbeeld:

    Schermopname van de sensorstatuswidgets.

    Niet-ondersteund betekent dat op de sensor een softwareversie is geïnstalleerd die niet meer wordt ondersteund.

    Niet in orde geeft een van de volgende scenario's aan:

    • Sensorverkeer naar Azure is niet stabiel
    • Sensor mislukt normale saniteitstests
    • Geen verkeer gedetecteerd door de sensor
    • De softwareversie van de sensor wordt niet meer ondersteund
    • Een externe sensorupgrade van de Azure Portal mislukt

    Zie de naslaginformatie over sensorstatusberichten voor meer informatie.

  2. Als u specifieke sensorproblemen wilt controleren, filtert u het raster op sensorstatus en selecteert u een of meer problemen om te controleren. Bijvoorbeeld:

    Schermopname van het sensorstatusfilter.

  3. Vouw de gefilterde sites en sensoren uit die nu in het raster worden weergegeven en gebruik de kolom Sensorstatus voor meer informatie op hoog niveau.

  4. Als u verder wilt inzoomen en de aanbevolen acties wilt begrijpen, selecteert u een sensornaam om de pagina met sensordetails te openen.

    Bijvoorbeeld:

    Schermopname van de pagina met sensorgegevens met statusinformatie.

    Vouw op de pagina Overzicht van sensordetails de sectie Status en eventuele daar vermelde berichten uit voor meer informatie. De kolom Aanbeveling aan de rechterkant bevat aanbevolen acties voor het afhandelen van het statusprobleem.

Zie de naslaginformatie over sensorstatusberichten voor meer informatie.

Een diagnostisch logboek uploaden voor ondersteuning

Als u een ondersteuningsticket voor een lokaal beheerde sensor wilt openen, uploadt u een diagnostisch logboek naar de Azure Portal voor het ondersteuningsteam.

Tip

Voor met de cloud verbonden sensoren is het diagnostische logboek automatisch beschikbaar voor uw ondersteuningsteam wanneer u een ondersteuningsticket opent.

Een diagnostisch rapport uploaden:

  1. Zorg ervoor dat het diagnostische rapport beschikbaar is voor uploaden. Zie Een diagnostisch logboek downloaden voor ondersteuning voor meer informatie.

  2. Ga in Defender for IoT in de Azure Portal naar de pagina Sites en sensoren en selecteer de lokaal beheerde sensor die is gerelateerd aan uw ondersteuningsticket.

  3. Selecteer voor de geselecteerde sensor het menu ... opties aan de rechterkant >Diagnostische bestanden verzenden naar ondersteuning. Bijvoorbeeld:

    Schermopname van de optie Diagnostische bestanden verzenden naar ondersteuning.

Volgende stappen

Waarschuwingen weergeven en beheren in de Defender for IoT-portal (preview)