Zarządzanie czujnikami za pomocą usługi Defender for IoT w witrynie Azure Portal
W tym artykule opisano sposób wyświetlania czujników i zarządzania nimi za pomocą usługi Microsoft Defender dla IoT w witrynie Azure Portal.
Wymagania wstępne
Przed rozpoczęciem korzystania z procedur opisanych w tym artykule należy dołączyć czujniki sieciowe do usługi Defender for IoT. Aby uzyskać więcej informacji, zobacz:
- Dołączanie czujników OT do usługi Defender dla IoT
- Ulepszanie monitorowania zabezpieczeń IoT za pomocą czujnika sieci IoT przedsiębiorstwa (publiczna wersja zapoznawcza)
Wyświetlanie czujników
Wszystkie aktualnie połączone z chmurą czujniki, w tym czujniki OT i Enterprise IoT, są wymienione na stronie Witryny i czujniki . Na przykład:
Szczegółowe informacje o poszczególnych czujnikach znajdują się w następujących kolumnach:
Nazwa kolumny | opis |
---|---|
Nazwa czujnika | Wyświetla nazwę przypisaną do czujnika podczas rejestracji. |
Typ czujnika | Wyświetla, czy czujnik jest połączony lokalnie, połączony z chmurą OT, czy też czujnik IoT przedsiębiorstwa. |
Strefa | Wyświetla strefę zawierającą ten czujnik. |
Nazwa subskrypcji | Wyświetla nazwę subskrypcji konta platformy Microsoft Azure, do którego należy ten czujnik. |
Wersja czujnika | Wyświetla wersję oprogramowania do monitorowania OT zainstalowaną na czujniku. |
Kondycja czujnika | Wyświetla komunikat o kondycji czujnika. Aby uzyskać więcej informacji, zobacz Omówienie kondycji czujnika. |
Ostatnie połączenie (UTC) | Przedstawia czas ostatniego połączenia czujnika. |
Wersja analizy zagrożeń | Wyświetla wersję analizy zagrożeń zainstalowaną na czujniku OT. Nazwa wersji jest oparta na dniu tworzenia pakietu przez usługę Defender dla IoT. |
Tryb analizy zagrożeń | Wyświetla, czy tryb aktualizacji analizy zagrożeń jest ręczny , czy automatyczny. Ręczne oznacza, że nowo wydane pakiety można wypchnąć bezpośrednio do czujników zgodnie z potrzebami . W przeciwnym razie nowe pakiety są automatycznie instalowane na wszystkich czujnikach połączonych z chmurą. |
Stan aktualizacji analizy zagrożeń | Wyświetla stan aktualizacji pakietu analizy zagrożeń na czujniku OT. Stan może mieć wartość Niepowodzenie, W toku, Dostępna aktualizacja lub Ok. |
Opcje zarządzania witrynami w witrynie Azure Portal
Podczas dołączania nowego czujnika OT do usługi Defender for IoT można dodać go do nowej lub istniejącej lokacji. Podczas pracy z sieciami OT organizowanie czujników w lokacjach pozwala wydajniej zarządzać czujnikami i dostosowywać je do strategii Zero Trust w sieci.
Czujniki IoT przedsiębiorstwa są automatycznie dodawane do tej samej lokacji o nazwie Sieć przedsiębiorstwa.
Aby edytować witrynę w witrynie Azure Portal:
Wybierz nazwę witryny na stronie Witryny i czujniki . W okienku Edytuj witrynę po prawej stronie zmodyfikuj dowolną z następujących wartości:
Opcja Opis Nazwa wyświetlana Wprowadź zrozumiałą nazwę witryny. Właściciel Tylko w przypadku witryn OT. Wprowadź co najmniej jeden adres e-mail użytkownika, który chcesz wyznaczyć jako właściciel urządzeń w tej witrynie. Właściciel witryny jest dziedziczony przez wszystkie urządzenia w lokacji i jest wyświetlany na stronach jednostki urządzenia IoT oraz w szczegółach zdarzenia w usłudze Microsoft Sentinel.
W usłudze Microsoft Sentinel użyj podręczników AD4IoT-SendEmailtoIoTOwner i AD4IoT-CVEAutoWorkflow , aby automatycznie powiadamiać właścicieli urządzeń o ważnych alertach lub zdarzeniach. Aby uzyskać więcej informacji, zobacz Badanie i wykrywanie zagrożeń dla urządzeń IoT.Tagi (Opcjonalnie) Wprowadź wartości pól Klucz i Wartość dla każdego nowego tagu, który chcesz dodać do witryny. Wybierz pozycję + Dodaj , aby dodać nowy tag. Tylko w przypadku witryn OT: aby zdefiniować określone uprawnienia dla witryny, wybierz pozycję Zarządzaj kontrolą dostępu do witryny (wersja zapoznawcza).
Na przykład możesz to zrobić w ramach strategii zabezpieczeń Zero Trust, aby dodać poziom szczegółowości do zasad dostępu platformy Azure. Witryny usługi Defender dla IoT zwykle odzwierciedlają wiele urządzeń pogrupowanych w określonej lokalizacji geograficznej, takich jak urządzenia w budynku biurowym pod określonym adresem.
Aby uzyskać więcej informacji, zobacz Zarządzanie kontrolą dostępu opartą na lokacji.
Gdy wszystko będzie gotowe, wybierz pozycję Zapisz , aby zapisać zmiany.
Opcje zarządzania czujnikami w witrynie Azure Portal
Czujniki, które zostały włączone do usługi Defender dla IoT, są wyświetlane na stronie Witryny i czujniki usługi Defender for IoT. Wybierz określoną nazwę czujnika, aby przejść do szczegółów dla tego czujnika.
Użyj opcji na stronie Witryny i czujnik oraz szczegóły czujnika, aby wykonać dowolne z poniższych zadań. Jeśli jesteś na stronie Witryny i czujniki , wybierz wiele czujników, aby zbiorczo zastosować akcje przy użyciu opcji paska narzędzi. W przypadku poszczególnych czujników użyj opcji paska narzędzi Lokacje i czujniki, menu opcji ... po prawej stronie wiersza czujnika lub opcji na stronie szczegółów czujnika.
Aktualizacje czujnika OT
Zadanie | Opis |
---|---|
Aktualizacja czujnika (wersja zapoznawcza) | Tylko czujniki OT. Uruchamianie aktualizacji zdalnych na czujnikach OT bezpośrednio z witryny Azure Portal lub pobieranie pakietów aktualizacji w celu ręcznego aktualizowania. Aby uzyskać więcej informacji, zobacz Update Defender for IoT OT monitoring software (Aktualizowanie oprogramowania do monitorowania funkcji IoT OT w usłudze Defender). |
Aktualizacja analizy zagrożeń (wersja zapoznawcza) | Tylko czujniki OT. Dostępne dla akcji zbiorczych z paska narzędzi Witryny i czujniki , dla poszczególnych czujników z menu opcji ... lub na stronie szczegółów czujnika. Aby uzyskać więcej informacji, zobacz Analiza zagrożeń i pakiety. |
Edytowanie automatycznych aktualizacji analizy zagrożeń | Tylko pojedyncze czujniki OT. Dostępne w menu opcji ... lub na stronie szczegółów czujnika. Wybierz pozycję Edytuj , a następnie włącz lub wyłącz opcję Automatyczne aktualizacje analizy zagrożeń (wersja zapoznawcza) zgodnie z potrzebami. Wybierz pozycję Prześlij , aby zapisać zmiany. |
Wdrażanie czujników i dostęp
Zadanie | Opis |
---|---|
Odzyskiwanie hasła czujnika OT | Tylko pojedyncze czujniki OT. Dostępne w menu opcji ... lub na stronie szczegółów czujnika. Wprowadź identyfikator wpisu tajnego uzyskanego na ekranie logowania czujnika. |
Odzyskiwanie lokalnego hasła konsoli zarządzania | Dostępne na pasku narzędzi Witryny i czujniki Menu Więcej akcji. Aby uzyskać więcej informacji, zobacz Zarządzanie lokalną konsolą zarządzania. |
Pobieranie pliku aktywacji | Tylko pojedyncze czujniki OT. Dostępne w menu opcji ... lub na stronie szczegółów czujnika. |
Edytowanie strefy czujnika | Tylko w przypadku poszczególnych czujników z menu opcji ... lub na stronie szczegółów czujnika. Wybierz pozycję Edytuj, a następnie wybierz nową strefę z menu Strefa lub wybierz pozycję Utwórz nową strefę. Wybierz pozycję Prześlij , aby zapisać zmiany. |
Pobieranie pliku MIB PROTOKOŁU SNMP | Dostępne na pasku narzędzi Witryny i czujniki Menu Więcej akcji. Aby uzyskać więcej informacji, zobacz Konfigurowanie monitorowania kondycji PROTOKOŁU SNMP MIB na czujniku OT. |
Tworzenie polecenia aktywacji | Tylko pojedyncze czujniki IoT przedsiębiorstwa. Dostępne w menu opcji ... lub na stronie szczegółów czujnika. Wybierz pozycję Edytuj , a następnie wybierz polecenie Utwórz aktywację. Aby uzyskać więcej informacji, zobacz Instalowanie oprogramowania czujników IoT dla przedsiębiorstw. |
Pobieranie szczegółów punktu końcowego | Tylko czujniki OT. Dostępne na pasku narzędzi Witryny i czujniki Menu Więcej akcji. Pobierz listę punktów końcowych, które muszą być włączone jako bezpieczne punkty końcowe z czujników sieci OT. Upewnij się, że ruch HTTPS jest włączony za pośrednictwem portu 443 do wymienionych punktów końcowych czujnika w celu nawiązania połączenia z platformą Azure. Reguły zezwalania na ruch wychodzący są definiowane raz dla wszystkich czujników OT dołączonych do tej samej subskrypcji. Aby włączyć tę opcję, wybierz czujnik z obsługiwaną wersją oprogramowania lub lokację z co najmniej jednym czujnikiem z obsługiwanymi wersjami. |
Konserwacja czujnika i rozwiązywanie problemów
Zadanie | Opis |
---|---|
Ustawienia czujnika (wersja zapoznawcza) | Tylko czujniki OT. Zdefiniuj wybrane ustawienia czujnika dla co najmniej jednego czujnika sieci OT połączonego z chmurą. Aby uzyskać więcej informacji, zobacz Definiowanie i wyświetlanie ustawień czujnika OT w witrynie Azure Portal (publiczna wersja zapoznawcza). Inne ustawienia są również dostępne bezpośrednio z konsoli czujnika OT lub lokalnej konsoli zarządzania. |
Eksportowanie danych czujnika | Dostępne tylko na pasku narzędzi Witryny i czujniki , aby pobrać plik CSV ze szczegółowymi informacjami o wszystkich wymienionych czujnikach. |
Usuwanie czujnika | Tylko w przypadku poszczególnych czujników z menu opcji ... lub na stronie szczegółów czujnika. |
Wysyłanie plików diagnostycznych do obsługi | Tylko czujniki OT zarządzane lokalnie. Dostępne w menu ... opcje. Aby uzyskać więcej informacji, zobacz Przekazywanie dziennika diagnostycznego w celu uzyskania pomocy technicznej. |
Pobieranie danych kryminalistycznych przechowywanych w czujniku
Użyj skoroszytów usługi Azure Monitor w czujniku sieci OT, aby pobrać dane śledcze z magazynu tego czujnika. Następujące typy danych kryminalistycznych są przechowywane lokalnie na czujnikach OT dla urządzeń wykrytych przez ten czujnik:
- Dane urządzenia
- Dane alertu
- Alerty dotyczące plików PCAP
- Dane osi czasu zdarzenia
- Plik dzienników
Każdy typ danych ma inny okres przechowywania i maksymalną pojemność. Aby uzyskać więcej informacji, zobacz Visualize Microsoft Defender for IoT data with Azure Monitor workbooks and Data retention across Microsoft Defender for IoT (Wizualizowanie danych usługi Microsoft Defender dla IoT przy użyciu skoroszytów usługi Azure Monitor i przechowywania danych w usłudze Microsoft Defender dla IoT).
Ponowne aktywowanie czujnika OT
Może być konieczne ponowne aktywowanie czujnika OT, ponieważ chcesz:
Praca w trybie połączonym z chmurą zamiast trybu zarządzanego lokalnie: po ponownym uaktywnieniu istniejące wykrycia czujników są wyświetlane w konsoli czujnika, a nowo wykryte informacje o alertach są dostarczane za pośrednictwem usługi Defender for IoT w witrynie Azure Portal. Te informacje mogą być udostępniane innym usługom platformy Azure, takim jak Microsoft Sentinel.
Praca w trybie zarządzanym lokalnie zamiast trybu połączonego z chmurą: po ponownym uaktywnieniu informacje o wykrywaniu czujnika są wyświetlane tylko w konsoli czujnika.
Skojarz czujnik z nową lokacją: zarejestruj ponownie czujnik przy użyciu nowych definicji lokacji i użyj nowego pliku aktywacji do aktywowania.
Zmień zobowiązanie dotyczące planu: jeśli wprowadzisz zmiany w planie, takie jak zmiana planu cenowego z wersji próbnej na miesięczne zobowiązanie, musisz ponownie aktywować czujniki, aby odzwierciedlić nowe zmiany.
W takich przypadkach wykonaj następujące czynności:
- Usuń istniejący czujnik.
- Ponownie dołącz czujnik, rejestrując go przy użyciu nowych ustawień.
- Przekaż nowy plik aktywacji.
Omówienie kondycji czujnika
W tej procedurze opisano sposób wyświetlania danych kondycji czujnika w witrynie Azure Portal. Kondycja czujnika obejmuje dane, takie jak to, czy ruch jest stabilny, czujnik jest przeciążony, powiadomienia o wersjach oprogramowania czujników i nie tylko.
Aby wyświetlić ogólną kondycję czujnika:
W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki , a następnie sprawdź ogólny wynik kondycji w widżecie powyżej siatki. Na przykład:
Nieobsługiwane oznacza, że czujnik ma zainstalowaną wersję oprogramowania, która nie jest już obsługiwana.
W złej kondycji wskazuje jeden z następujących scenariuszy:
- Ruch czujnika do platformy Azure nie jest stabilny
- Czujnik kończy się niepowodzeniem regularnych testów kondycji
- Brak ruchu wykrytego przez czujnik
- Wersja oprogramowania czujnika nie jest już obsługiwana
- Uaktualnianie czujnika zdalnego z witryny Azure Portal kończy się niepowodzeniem
Aby uzyskać więcej informacji, zobacz nasze informacje o kondycji czujnika.
Aby sprawdzić konkretne problemy z czujnikami, przefiltruj siatkę według kondycji czujnika i wybierz co najmniej jeden problem, który chcesz zweryfikować. Na przykład:
Rozwiń filtrowane lokacje i czujniki wyświetlane teraz w siatce, a następnie użyj kolumny Kondycja czujnika, aby dowiedzieć się więcej na wysokim poziomie.
Aby przejść do szczegółów i zapoznać się z zalecanymi akcjami, wybierz nazwę czujnika, aby otworzyć stronę szczegółów czujnika.
Na przykład:
Na stronie Przegląd szczegółów czujnika rozwiń sekcję Kondycja i wszystkie komunikaty wymienione tam, aby dowiedzieć się więcej. Kolumna Zalecenie po prawej stronie zawiera listę zalecanych akcji do obsługi problemu z kondycją.
Aby uzyskać więcej informacji, zobacz nasze informacje o kondycji czujnika.
Przekazywanie dziennika diagnostycznego w celu uzyskania pomocy technicznej
Jeśli musisz otworzyć bilet pomocy technicznej dla czujnika zarządzanego lokalnie, przekaż dziennik diagnostyczny do witryny Azure Portal dla zespołu pomocy technicznej.
Napiwek
W przypadku czujników połączonych z chmurą dziennik diagnostyczny jest automatycznie dostępny dla zespołu pomocy technicznej po otwarciu biletu pomocy technicznej.
Aby przekazać raport diagnostyczny:
Upewnij się, że masz dostępny raport diagnostyczny do przekazania. Aby uzyskać więcej informacji, zobacz Pobieranie dziennika diagnostycznego w celu uzyskania pomocy technicznej.
W usłudze Defender for IoT w witrynie Azure Portal przejdź do strony Witryny i czujniki i wybierz lokalnie zarządzany czujnik powiązany z biletem pomocy technicznej.
Dla wybranego czujnika wybierz menu opcji ... po prawej stronie >Wyślij pliki diagnostyczne do obsługi. Na przykład: