Problemen met de sensor oplossen

In dit artikel worden basishulpprogramma's voor probleemoplossing voor de sensor beschreven. Naast de items die hier worden beschreven, kunt u de status van uw systeem op de volgende manieren controleren:

• Waarschuwingen: er wordt een waarschuwing gemaakt wanneer de sensorinterface die het verkeer bewaakt, niet beschikbaar is.
• SNMP: De sensorstatus wordt bewaakt via SNMP. Microsoft Defender for IoT reageert op SNMP-query's die zijn verzonden vanaf een geautoriseerde bewakingsserver.
• Systeemmeldingen: Wanneer een beheerconsole de sensor beheert, kunt u waarschuwingen over mislukte sensorback-ups en niet-verbonden sensoren doorsturen.

Neem voor andere problemen contact op met Microsoft Ondersteuning.

Vereisten

Als u de procedures in dit artikel wilt uitvoeren, moet u het volgende doen:

• Toegang tot de OT-netwerksensor als de standaardbeheerder. Zie Voor meer informatie standaard bevoegde on-premises gebruikers.

Sensor controleren - problemen met cloudconnectiviteit

OT-sensoren voeren automatisch connectiviteitscontroles uit om ervoor te zorgen dat uw sensor toegang heeft tot alle vereiste eindpunten. Als een sensor niet is verbonden, wordt een fout aangegeven in Azure Portal, op de pagina Sites en sensoren en op de overzichtspagina van de sensor. Voorbeeld:

```

Gebruik de pagina voor het oplossen van problemen met cloudconnectiviteit in uw OT-sensor voor meer informatie over de fout die is opgetreden en aanbevolen oplossingen die u kunt ondernemen.

Als u connectiviteitsfouten wilt oplossen, meldt u zich aan bij uw OT-sensor en voert u een van de volgende handelingen uit:

• Selecteer op de pagina Overzicht van de sensor de koppeling Problemen oplossen* in de fout boven aan de pagina
• Systeeminstellingen > Sensorbeheerstatus selecteren > en problemen met cloudconnectiviteit oplossen >

Het deelvenster Problemen met cloudconnectiviteit wordt aan de rechterkant geopend. Als de sensor is verbonden met Azure Portal, geeft het deelvenster aan dat de sensor is verbonden met de cloud. Als de sensor niet is verbonden, worden in plaats daarvan een beschrijving van het probleem en eventuele risicobeperkingsinstructies vermeld. Voorbeeld:

In het deelvenster Problemen met cloudconnectiviteit worden de volgende typen problemen behandeld:

Probleem	Beschrijving
Fouten bij het tot stand brengen van beveiligde verbindingen	Treedt op bij SSL-fouten, wat meestal betekent dat de sensor het gevonden certificaat niet vertrouwt. Dit kan gebeuren vanwege een onjuiste configuratie van de sensortijd of door een SSL-inspectieservice te gebruiken. SSL-inspectieservices worden vaak gevonden in proxy's en kunnen leiden tot mogelijke certificaatfouten. Zie SSL/TLS-certificaten beheren en tijdzones synchroniseren op een OT-sensor voor meer informatie.
Algemene verbindingsfouten	Treedt op wanneer de sensor geen verbinding kan maken met een of meer vereiste eindpunten. Zorg er in dergelijke gevallen voor dat alle vereiste eindpunten toegankelijk zijn vanuit uw sensor en overweeg om meer eindpunten in uw firewall te configureren. Zie Sensoren inrichten voor cloudbeheer voor meer informatie.
Onbereikbare DNS-serverfouten	Treedt op wanneer de sensor geen naamomzetting kan uitvoeren vanwege een onbereikbare DNS-server. Controleer in dergelijke gevallen of uw sensor toegang heeft tot de DNS-server. Zie De configuratie van het OT-sensornetwerk bijwerken voor meer informatie
Problemen met proxyverificatie	Treedt op wanneer een proxy verificatie vereist, maar er geen referenties of onjuiste referenties worden opgegeven. Zorg er in dergelijke gevallen voor dat u de proxyreferenties juist hebt geconfigureerd. Zie De configuratie van het OT-sensornetwerk bijwerken voor meer informatie.
Naamomzettingsfouten	Treedt op wanneer de sensor geen naamomzetting voor een specifiek eindpunt kan uitvoeren. Als uw DNS-server bereikbaar is, controleert u in dergelijke gevallen of de DNS-server juist is geconfigureerd op uw sensor. Als de configuratie juist is, wordt u aangeraden contact op te vragen met uw DNS-beheerder. Zie De configuratie van het OT-sensornetwerk bijwerken voor meer informatie.
Onbereikbare proxyserverfouten	Treedt op wanneer de sensor geen verbinding kan maken met de proxyserver. In dergelijke gevallen bevestigt u de bereikbaarheid van uw proxyserver met uw netwerkteam. Zie De configuratie van het OT-sensornetwerk bijwerken voor meer informatie.
Tijdsdrift gedetecteerd	Treedt op wanneer de UTC-tijd van de sensor niet wordt gesynchroniseerd met Defender for IoT in Azure Portal. In dit geval configureert u een NTP-server (Network Time Protocol) om de sensor in UTC-tijd te synchroniseren. Zie OT-sensorinstellingen configureren vanuit Azure Portal voor meer informatie.

Systeemstatus controleren

Controleer de systeemstatus van de sensor.

Toegang krijgen tot het systeemstatushulpprogramma:

1. Meld u aan bij de sensor met de gebruikersreferenties van de beheerder en selecteer Systeem Instellingen> Systeemstatuscontrole.

2. Selecteer in het deelvenster Systeemstatuscontrole een opdracht in het menu om meer details in het vak weer te geven. Voorbeeld:

   

Systeemstatuscontroles omvatten het volgende:

Name	Beschrijving
Sanity
-Toestel	Voert de sanitycontrole van het apparaat uit. U kunt dezelfde controle uitvoeren met behulp van de CLI-opdracht system-sanity.
-Versie	Geeft de apparaatversie weer.
- Netwerkeigenschappen	Geeft de sensornetwerkparameters weer.
Redis
- Geheugen	Geeft het algemene beeld van het geheugengebruik, zoals hoeveel geheugen is gebruikt en hoeveel er bleef.
- Langste sleutel	Geeft de langste sleutels weer die een uitgebreid geheugengebruik kunnen veroorzaken.
Systeem
- Kernlogboek	Biedt de laatste 500 rijen van het kernlogboek, zodat u de recente logboekrijen kunt bekijken zonder het hele systeemlogboek te exporteren.
-Taakbeheer	Vertaalt de taken die worden weergegeven in de tabel met processen naar de volgende lagen: - Permanente laag (Redis) - Cachelaag (SQL)
- Netwerkstatistieken	Geeft uw netwerkstatistieken weer.
-BOVEN	Toont de tabel met processen. Het is een Linux-opdracht die een dynamische realtime weergave van het actieve systeem biedt.
- Back-upgeheugencontrole	Biedt de status van het back-upgeheugen en controleert het volgende: - De locatie van de back-upmap - De grootte van de back-upmap - De beperkingen van de back-upmap - Wanneer de laatste back-up is gebeurd - Hoeveel ruimte er is voor de extra back-upbestanden
-Ifconfig	Geeft de parameters weer voor de fysieke interfaces van het apparaat.
- CyberX nload	Geeft netwerkverkeer en bandbreedte weer met behulp van de tests van zes seconden.
- Fouten uit het kernlogboek	Geeft fouten weer uit het kernlogboekbestand.

Systeemstatus controleren met behulp van de CLI

Controleer of het systeem actief is voordat u de saniteit van het systeem test.

Zie de CLI-opdrachtreferentie van OT-netwerksensoren voor meer informatie.

De saniteit van het systeem testen:

1. Verbinding maken naar de CLI met de Linux-terminal (bijvoorbeeld PuTTY) en de gebruikersbeheerder.

2. Voer system sanity in.

3. Controleer of alle services groen zijn (actief).

   

4. Controleer of het systeem UP is. (prod) wordt onderaan weergegeven.

Controleer of de juiste versie wordt gebruikt:

Ga als volgt te werk om de versie van het systeem te controleren:

1. Verbinding maken naar de CLI met de Linux-terminal (bijvoorbeeld PuTTY) en de gebruikersbeheerder.

2. Voer system version in.

3. Controleer of de juiste versie wordt weergegeven.

Controleer of alle invoerinterfaces die tijdens het installatieproces zijn geconfigureerd, worden uitgevoerd:

De netwerkstatus van het systeem valideren:

1. Verbinding maken naar de CLI met de Linux-terminal (bijvoorbeeld PuTTY) en de gebruiker met beheerdersrechten.

2. Enter network list (het equivalent van de Linux-opdracht ifconfig).

3. Controleer of de vereiste invoerinterfaces worden weergegeven. Als er bijvoorbeeld twee quad Copper NIC's zijn geïnstalleerd, moeten er 10 interfaces in de lijst staan.

   

Controleer of u toegang hebt tot de web-GUI van de console:

Controleren of het beheer toegang heeft tot de gebruikersinterface:

1. Verbinding maken een laptop met een Ethernet-kabel naar de beheerpoort (Gb1).

2. Definieer het NIC-adres van de laptop dat zich in hetzelfde bereik bevindt als het apparaat.

   

3. Ping het IP-adres van het apparaat vanaf de laptop om de connectiviteit te controleren (standaard: 10.100.10.1).

4. Open de Chrome-browser op de laptop en voer het IP-adres van het apparaat in.

5. Selecteer Geavanceerd in het venster Uw verbinding is niet privé en ga verder.

6. De test is geslaagd wanneer het aanmeldingsscherm van Defender for IoT wordt weergegeven.

   

Een diagnostisch logboek voor ondersteuning downloaden

In deze procedure wordt beschreven hoe u een diagnostisch logboek downloadt dat moet worden verzonden naar ondersteuning in verband met een specifiek ondersteuningsticket.

Deze functie wordt ondersteund voor de volgende sensorversies:

• 22.1.1 - Download een diagnostisch logboek vanuit de sensorconsole.
• 22.1.3 en hoger: upload een diagnostisch logboek van de pagina Sites en sensoren in Azure Portal voor lokaal beheerde sensoren. Dit bestand wordt automatisch naar ondersteuning verzonden wanneer u een ticket opent op een met de cloud verbonden sensor.

Alle bestanden die vanuit Azure Portal worden gedownload, worden ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.

Een diagnostisch logboek downloaden:

1. Selecteer in de sensorconsole systeeminstellingen > Sensorbeheerstatus > en probleemoplossing > voor back-up en herstelback-up>.

2. Selecteer onder Logboeken diagnostische gegevens voor ondersteuningstickets en selecteer vervolgens Exporteren.

   

3. Voor een lokaal beheerde sensor, versie 22.1.3 of hoger, gaat u verder met het uploaden van een diagnostisch logboek voor ondersteuning.

Forensische gegevens ophalen

De volgende typen forensische gegevens worden lokaal opgeslagen op OT-sensoren voor apparaten die door die sensor worden gedetecteerd:

• Apparaatgegevens
• Waarschuwingsgegevens
• PCAP-bestanden waarschuwen
• Tijdlijngegevens voor gebeurtenissen
• Logboekbestanden

Gebruik de gegevensanalyserapporten van de OT-sensor of Azure Monitor-werkmappen op een OT-netwerksensor om forensische gegevens op te halen uit de opslag van die sensor. Elk type gegevens heeft een andere bewaarperiode en maximale capaciteit.

Zie Gegevensretentie in Microsoft Defender for IoT voor meer informatie.

U kunt geen verbinding maken met behulp van een webinterface

1. Controleer of de computer waarmee u verbinding probeert te maken zich op hetzelfde netwerk bevindt als het apparaat.

2. Controleer of het GUI-netwerk is verbonden met de beheerpoort.

3. Ping het IP-adres van het apparaat. Als er geen ping is:

   1. Verbinding maken een monitor en een toetsenbord naar het apparaat.

   2. Gebruik de gebruiker en het wachtwoord van de beheerder om u aan te melden.

   3. Gebruik de opdracht network list om het huidige IP-adres weer te geven.

4. Als de netwerkparameters onjuist zijn geconfigureerd, gebruikt u de volgende procedure om deze te wijzigen:

   1. Gebruik de opdracht network edit-settings.

   2. Als u het IP-adres van het beheernetwerk wilt wijzigen, selecteert u Y.

   3. Als u het subnetmasker wilt wijzigen, selecteert u Y.

   4. Als u de DNS wilt wijzigen, selecteert u Y.

   5. Als u het standaard-IP-adres van de gateway wilt wijzigen, selecteert u Y.

   6. Selecteer N voor de wijziging van de invoerinterface (alleen sensor).

   7. Als u de instellingen wilt toepassen, selecteert u Y.

5. Maak na het opnieuw opstarten verbinding met de gebruikersreferenties van de beheerder en gebruik de network list opdracht om te controleren of de parameters zijn gewijzigd.

6. Ping en maak opnieuw verbinding vanuit de GUI.

Het apparaat reageert niet

1. Verbinding maken een monitor en toetsenbord op het apparaat, of gebruik PuTTY om extern verbinding te maken met de CLI.

2. Gebruik de gebruikersreferenties van de beheerder om u aan te melden.

3. Gebruik de system sanity opdracht en controleer of alle processen worden uitgevoerd. Voorbeeld:

   

Neem voor andere problemen contact op met Microsoft Ondersteuning.

Wachtwoordfout onderzoeken bij initiële aanmelding

Wanneer u zich voor de eerste keer aanmeldt bij een vooraf geconfigureerde sensor, moet u wachtwoordherstel als volgt uitvoeren:

1. Selecteer wachtwoordherstel in het aanmeldingsscherm van Defender for IoT. Het scherm Wachtwoordherstel wordt geopend.

2. Selecteer Beheer of CyberX en kopieer de unieke id.

3. Navigeer naar Azure Portal en selecteer Sites en sensoren.

4. Selecteer de vervolgkeuzelijst Meer acties en selecteer Het wachtwoord van de on-premises beheerconsole herstellen.

   

5. Voer de unieke id in die u hebt ontvangen op het scherm Wachtwoordherstel en selecteer Herstellen. Het password_recovery.zip bestand wordt gedownload. Pak het zip-bestand niet uit of wijzig het niet.

   

6. Selecteer Uploaden in het scherm Wachtwoordherstel. Het venster Wachtwoordherstelbestand uploaden wordt geopend.

7. Selecteer Bladeren om het password_recovery.zip bestand te zoeken of sleep het password_recovery.zip naar het venster.

8. Selecteer Volgende en uw gebruiker en er wordt vervolgens een door het systeem gegenereerd wachtwoord voor uw beheerconsole weergegeven.

   Notitie

   Wanneer u zich voor het eerst aanmeldt bij een sensor, wordt deze gekoppeld aan uw Azure-abonnement. U hebt dit nodig als u het wachtwoord voor de gebruiker met beheerdersrechten moet herstellen. Zie Bevoegde toegang tot een sensor herstellen voor meer informatie.

Een gebrek aan verkeer onderzoeken

Boven aan de console wordt een indicator weergegeven wanneer de sensor herkent dat er geen verkeer is op een van de geconfigureerde poorten. Deze indicator is zichtbaar voor alle gebruikers. Wanneer dit bericht wordt weergegeven, kunt u onderzoeken waar er geen verkeer is. Zorg ervoor dat de spankabel is aangesloten en dat de spanarchitectuur niet is gewijzigd.

Systeemprestaties controleren

Wanneer een nieuwe sensor wordt geïmplementeerd of een sensor langzaam werkt of geen waarschuwingen weergeeft, kunt u de systeemprestaties controleren.

1. Meld u aan bij de sensor en selecteer Overzicht. Zorg ervoor dat PPS groter is dan 0 en dat apparaten worden gedetecteerd.
2. Genereer een rapport op de pagina Gegevensanalyse .
3. Maak een dashboard op de pagina Trends & Statistieken .
4. Controleer op de pagina Waarschuwingen of de waarschuwing is gemaakt.

Een gebrek aan verwachte waarschuwingen onderzoeken

Als in het venster Waarschuwingen geen waarschuwing wordt weergegeven die u had verwacht, controleert u het volgende:

1. Controleer of dezelfde waarschuwing al wordt weergegeven in het venster Waarschuwingen als reactie op een ander beveiligingsexemplaren. Zo ja, en deze waarschuwing is nog niet verwerkt, wordt in de sensorconsole geen nieuwe waarschuwing weergegeven.
2. Zorg ervoor dat u deze waarschuwing niet hebt uitgesloten met behulp van de regels voor het uitsluiten van waarschuwingen in de beheerconsole.

Dashboard onderzoeken waarin geen gegevens worden weergegeven

Wanneer de dashboards in het venster Trends & Statistieken geen gegevens weergeven, gaat u als volgt te werk:

1. Controleer de systeemprestaties.
2. Zorg ervoor dat de tijd- en regio-instellingen juist zijn geconfigureerd en niet zijn ingesteld op een toekomstige tijd.

Een apparaatoverzicht onderzoeken waarin alleen uitzendapparaten worden weergegeven

Wanneer apparaten die worden weergegeven op de apparaattoewijzing niet met elkaar zijn verbonden, is er mogelijk iets mis met de spanpoortconfiguratie. Dat wil gezegd dat u mogelijk alleen apparaten ziet uitzenden en geen unicastverkeer.

1. Controleer of u alleen het broadcast-verkeer ziet. Hiervoor selecteert u in Data Mining het rapport maken. Geef in Nieuw rapport maken de rapportvelden op. Kies alles selecteren in Categorie kiezen.
2. Sla het rapport op en bekijk het om te zien of alleen broadcast- en multicast-verkeer (en geen unicastverkeer) wordt weergegeven. Zo ja, neem dan contact op met uw netwerkteam om de SPAN-poortconfiguratie op te lossen, zodat u ook het unicastverkeer kunt zien. U kunt ook een PCAP rechtstreeks vanaf de switch opnemen of een laptop aansluiten met behulp van Wireshark.

Zie voor meer informatie:

• Verkeerspiegeling configureren
• PCAP-bestanden uploaden en afspelen

Verbinding maken de sensor naar NTP

U kunt een zelfstandige sensor en een beheerconsole configureren, met de sensoren die eraan zijn gerelateerd, om verbinding te maken met NTP.

Tip

Wanneer u klaar bent om uw OT-sensorinstellingen op schaal te beheren, definieert u NTP-instellingen vanuit Azure Portal. Nadat u instellingen vanuit Azure Portal hebt toegepast, zijn instellingen op de sensorconsole alleen-lezen. Zie INSTELLINGEN voor OT-sensor configureren vanuit Azure Portal (openbare preview) voor meer informatie.

Een zelfstandige sensor verbinden met NTP:

• Raadpleeg de CLI-documentatie.

Een sensor verbinden die wordt beheerd door de beheerconsole met NTP:

• De verbinding met NTP is geconfigureerd in de beheerconsole. Alle sensoren die door de beheerconsole worden beheerd, krijgen de NTP-verbinding automatisch.

Onderzoeken wanneer apparaten niet op de kaart worden weergegeven of als u meerdere internetwaarschuwingen hebt

Soms worden ICS-apparaten geconfigureerd met externe IP-adressen. Deze ICS-apparaten worden niet weergegeven op de kaart. In plaats van de apparaten wordt er een internetcloud weergegeven op de kaart. De IP-adressen van deze apparaten zijn opgenomen in de cloudinstallatiekopie. Een andere indicatie van hetzelfde probleem is wanneer er meerdere internetgerelateerde waarschuwingen worden weergegeven. Los het probleem als volgt op:

1. Klik met de rechtermuisknop op het cloudpictogram op de apparaattoewijzing en selecteer IP-adressen exporteren.
2. Kopieer de openbare bereiken die privé zijn en voeg ze toe aan de subnetlijst. Zie Uw subnetlijst verfijnen voor meer informatie.
3. Genereer een nieuw rapport voor gegevensanalyse voor internetverbinding.
4. Voer in het rapport gegevensanalyse de beheerdersmodus in en verwijder de IP-adressen van uw ICS-apparaten.

Sensorgegevens wissen

In gevallen waarin de sensor moet worden verplaatst of gewist, kunnen alle geleerde gegevens van de sensor worden gewist.

Zie Ot-sensorgegevens wissen voor meer informatie over het wissen van systeemgegevens.

Logboeken exporteren vanuit de sensorconsole voor probleemoplossing

Voor verdere probleemoplossing kunt u logboeken exporteren die naar het ondersteuningsteam worden verzonden, zoals database- of besturingssysteemlogboeken.

Logboekgegevens exporteren:

1. Ga in de sensorconsole naar Systeeminstellingen>Sensorbeheer>Back-up en back-up herstellen.>

2. In het dialoogvenster Informatie over het exporteren van problemen oplossen:

   1. Voer in het veld Bestandsnaam een betekenisvolle naam in voor het geëxporteerde logboek. De standaardbestandsnaam gebruikt de huidige datum, zoals 13:10-June-14-2022.tar.gz.

   2. Selecteer de logboeken die u wilt exporteren.

   3. Selecteer Exporteren.

   Het bestand wordt geëxporteerd en is gekoppeld vanuit de lijst Gearchiveerde bestanden onder aan het dialoogvenster Informatie over het exporteren van probleemoplossing.

   Voorbeeld:

   

3. Selecteer de bestandskoppeling om het geëxporteerde logboek te downloaden en selecteer ook de knop om het eenmalige wachtwoord weer te geven.

4. Als u de geëxporteerde logboeken wilt openen, stuurt u het gedownloade bestand en het eenmalige wachtwoord door naar het ondersteuningsteam. Geëxporteerde logboeken kunnen alleen samen met het Microsoft-ondersteuningsteam worden geopend.

   Als u uw logboeken veilig wilt houden, moet u het wachtwoord afzonderlijk van het gedownloade logboek doorsturen.

Notitie

Diagnostische gegevens over ondersteuningstickets kunnen worden gedownload vanuit de sensorconsole en vervolgens rechtstreeks worden geüpload naar het ondersteuningsteam in Azure Portal. Zie Een diagnostisch logboek downloaden voor ondersteuning voor meer informatie over het downloaden van diagnostische logboeken.

Volgende stappen

• Waarschuwingen weergeven

• SNMP MIB-statuscontrole instellen op een OT-sensor

• Niet-verbonden OT-sensoren bewaken