Udostępnij za pośrednictwem


Obsługa czujników sieciowych OT z poziomu konsoli czujnika

W tym artykule opisano dodatkowe działania konserwacyjne czujnika OT, które można wykonać poza większym procesem wdrażania.

Czujniki OT można również utrzymywać z poziomu interfejsu wiersza polecenia czujnika OT, witryny Azure Portal i lokalnej konsoli zarządzania.

Uwaga

Tylko udokumentowane parametry konfiguracji w czujniku sieci OT i lokalnej konsoli zarządzania są obsługiwane w przypadku konfiguracji klienta. Nie zmieniaj żadnych nieudokumentowanych parametrów konfiguracji ani właściwości systemu, ponieważ zmiany mogą powodować nieoczekiwane zachowanie i błędy systemu.

Usunięcie pakietów z czujnika bez zatwierdzenia przez firmę Microsoft może spowodować nieoczekiwane wyniki. Wszystkie pakiety zainstalowane na czujniku są wymagane do poprawnej funkcjonalności czujnika.

Wymagania wstępne

Przed wykonaniem procedur opisanych w tym artykule upewnij się, że masz następujące elementy:

Wyświetlanie ogólnego stanu czujnika OT

Po zalogowaniu się do czujnika OT pierwsza strona to strona Przegląd .

Na przykład:

Zrzut ekranu przedstawiający stronę przeglądu.

Na stronie Przegląd są wyświetlane następujące widżety:

Nazwa/nazwisko opis
Ustawienia ogólne Wyświetla listę podstawowych ustawień konfiguracji i stanu łączności czujnika.
Monitorowanie ruchu Wyświetla wykres przedstawiający szczegółowy ruch w czujniku. Wykres przedstawia ruch jako jednostki Mb/s na godzinę w dniu wyświetlania.
5 pierwszych protokołów OT Wyświetla wykres słupkowy, który zawiera szczegóły pięciu najczęściej używanych protokołów OT. Wykres słupkowy zawiera również liczbę urządzeń korzystających z każdego z tych protokołów.
Ruch według portu Przedstawia wykres kołowy przedstawiający typy portów w sieci z ruchem wykrytym w każdym typie portu.
Najważniejsze otwarte alerty Przedstawia tabelę zawierającą wszystkie aktualnie otwarte alerty z wysokim poziomem ważności, w tym krytycznymi szczegółami dotyczącymi każdego alertu.

Wybierz link w każdym widżecie, aby przejść do szczegółów, aby uzyskać więcej informacji w czujniku.

Weryfikowanie stanu łączności

Sprawdź, czy czujnik OT został pomyślnie połączony z witryną Azure Portal bezpośrednio ze strony Przegląd czujnika OT.

Jeśli występują jakiekolwiek problemy z połączeniem, w obszarze Ustawienia ogólne na stronie Przegląd zostanie wyświetlony komunikat o rozłączeniu, a w górnej części strony w obszarze Komunikaty systemowe zostanie wyświetlone ostrzeżenie o błędzie połączenia z usługą. Na przykład:

Zrzut ekranu przedstawiający stronę czujnika przedstawiającą stan łączności jako rozłączony.

Aby uzyskać więcej informacji na temat problemu, umieść wskaźnik myszy na ikonie informacji. Na przykład:

Zrzut ekranu przedstawiający komunikat o błędzie łączności.

Wykonaj akcję, wybierając opcję Dowiedz się więcej w obszarze Komunikaty systemowe. Na przykład:

Zrzut ekranu przedstawiający okienko komunikatów systemowych.

Pobieranie oprogramowania dla czujników OT

Może być konieczne pobranie oprogramowania dla czujnika OT, jeśli instalujesz oprogramowanie Defender for IoT na własnych urządzeniach lub aktualizujesz wersje oprogramowania.

W usłudze Defender for IoT w witrynie Azure Portal użyj jednej z następujących opcji:

  • W przypadku nowej instalacji wybierz pozycję Wprowadzenie>Czujnik. Wybierz wersję w obszarze Zakup urządzenia i zainstaluj oprogramowanie , a następnie wybierz pozycję Pobierz.

  • Jeśli aktualizujesz czujnik OT, użyj opcji na stronie Witryny i czujniki w >menu Aktualizacja czujnika (wersja zapoznawcza).

Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

Aby uzyskać więcej informacji, zobacz Update Defender for IoT OT monitoring software (Aktualizowanie oprogramowania do monitorowania funkcji IoT OT w usłudze Defender).

Przekazywanie nowego pliku aktywacji

Każdy czujnik OT jest dołączany jako czujnik OT połączony z chmurą lub lokalnie zarządzany i aktywowany przy użyciu unikatowego pliku aktywacji. W przypadku czujników połączonych z chmurą plik aktywacji jest używany do zapewnienia połączenia między czujnikiem a platformą Azure.

Musisz przekazać nowy plik aktywacji do czujnika, jeśli chcesz przełączyć tryby zarządzania czujnikami, takie jak przejście z czujnika zarządzanego lokalnie do czujnika połączonego z chmurą lub aktualizacja z najnowszej wersji oprogramowania. Przekazanie nowego pliku aktywacji do czujnika obejmuje usunięcie czujnika z witryny Azure Portal i ponowne dołączanie go.

Aby dodać nowy plik aktywacji:

  1. Wykonaj jedną z następujących czynności:

    • Dołącz czujnik od podstaw:

      1. W usłudze Defender for IoT w witrynach i czujnikach witryny Azure Portal>znajdź i usuń czujnik OT.

      2. Wybierz pozycję Dołącz czujnik OT, aby ponownie dołączyć czujnik > od podstaw i pobrać nowy plik aktywacji. Aby uzyskać więcej informacji, zobacz Dołączanie czujników OT.

    • Pobierz plik aktywacji bieżącego czujnika: na stronie Witryny i czujniki znajdź właśnie dodany czujnik. Wybierz trzy kropki (...) w wierszu czujnika i wybierz pozycję Pobierz plik aktywacji. Zapisz plik w lokalizacji dostępnej dla czujnika.

    Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

  2. Zaloguj się do konsoli czujnika usługi Defender for IoT i wybierz pozycję Ustawienia>systemowe Subskrypcja i tryb aktywacji czujnika.>

  3. Wybierz pozycję Przekaż i przejdź do pliku pobranego z witryny Azure Portal.

  4. Wybierz pozycję Aktywuj , aby przekazać nowy plik aktywacji.

Rozwiązywanie problemów z przekazywaniem pliku aktywacji

Jeśli nie można przekazać pliku aktywacji, zostanie wyświetlony komunikat o błędzie. Mogły wystąpić następujące zdarzenia:

  • Czujnik nie może nawiązać połączenia z Internetem: sprawdź konfigurację sieci czujnika. Jeśli czujnik musi nawiązać połączenie za pośrednictwem internetowego serwera proxy w celu uzyskania dostępu do Internetu, sprawdź, czy serwer proxy jest poprawnie skonfigurowany na ekranie Konfiguracja sieci czujnika. Sprawdź, czy wymagane punkty końcowe są dozwolone w zaporze i/lub serwerze proxy.

    W przypadku czujników OT w wersji 22.x pobierz listę wymaganych punktów końcowych ze strony Witryny i czujniki w witrynie Azure Portal. Wybierz czujnik OT z obsługiwaną wersją oprogramowania lub lokację z co najmniej jednym obsługiwanym czujnikiem. Następnie wybierz pozycję Więcej akcji>Pobierz szczegóły punktu końcowego. Aby zapoznać się z czujnikami z wcześniejszymi wersjami, zobacz Sensor access to Azure Portal (Dostęp czujnika do witryny Azure Portal).

  • Plik aktywacji jest prawidłowy, ale usługa Defender dla IoT ją odrzuciła: Jeśli nie możesz rozwiązać tego problemu, możesz pobrać inną aktywację ze strony Witryny i czujniki w witrynie Azure Portal. Jeśli to nie zadziała, skontaktuj się z pomoc techniczna firmy Microsoft.

Uwaga

Pliki aktywacji wygasają 14 dni po utworzeniu. Jeśli dołączono czujnik, ale nie przekazano pliku aktywacji przed jego wygaśnięciem, pobierz nowy plik aktywacji.

Zarządzanie certyfikatami SSL/TLS

Jeśli pracujesz ze środowiskiem produkcyjnym, wdrożono certyfikat SSL/TLS z podpisem urzędu certyfikacji w ramach wdrożenia czujnika OT. Zalecamy używanie certyfikatów z podpisem własnym tylko do celów testowych.

Poniższe procedury opisują sposób wdrażania zaktualizowanych certyfikatów SSL/TLS, takich jak wygaśnięcie certyfikatu.

Aby wdrożyć certyfikat SSL/TLS z podpisem urzędu certyfikacji:

  1. Zaloguj się do czujnika OT i wybierz pozycję Ustawienia>systemowe Podstawowy>certyfikat SSL/TLS.

  2. W okienku Certyfikaty SSL/TLS wybierz opcję Importuj zaufany certyfikat urzędu certyfikacji (zalecane). Na przykład:

    Zrzut ekranu przedstawiający importowanie zaufanego certyfikatu urzędu certyfikacji.

  3. Wprowadź następujące parametry:

    Parametr Opis
    Nazwa certyfikatu Wprowadź nazwę certyfikatu.
    - Hasło opcjonalne Wprowadź hasło.
    Klucz prywatny (plik KEY) Przekaż klucz prywatny (plik KEY).
    Certyfikat (plik CRT) Przekaż certyfikat (plik CRT).
    Łańcuch certyfikatów (plik PEM) - Opcjonalny Przekaż łańcuch certyfikatów (plik PEM).

    Wybierz pozycję Użyj listy CRL (lista odwołania certyfikatów), aby sprawdzić stan certyfikatu w celu zweryfikowania certyfikatu na serwerze listy CRL. Certyfikat jest sprawdzany raz podczas procesu importowania.

    Jeśli przekazywanie nie powiedzie się, skontaktuj się z administratorem zabezpieczeń lub IT. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych i Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

  4. W obszarze Walidacja lokalnego certyfikatu konsoli zarządzania wybierz pozycję Obowiązkowe , jeśli wymagana jest weryfikacja certyfikatu SSL/TLS. W przeciwnym razie należy zaznaczyć pole Brak.

    Jeśli wybrano opcję Obowiązkowe i walidacja nie powiedzie się, komunikacja między odpowiednimi składnikami zostanie zatrzymana, a na czujniku zostanie wyświetlony błąd weryfikacji. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące plików CRT.

  5. Wybierz pozycję Zapisz , aby zapisać ustawienia certyfikatu.

Rozwiązywanie problemów z błędami przekazywania certyfikatów

Nie będzie można przekazać certyfikatów do czujników OT ani lokalnych konsol zarządzania, jeśli certyfikaty nie zostały prawidłowo utworzone lub są nieprawidłowe. Skorzystaj z poniższej tabeli, aby dowiedzieć się, jak podjąć działania, jeśli przekazywanie certyfikatu zakończy się niepowodzeniem i zostanie wyświetlony komunikat o błędzie:

Błąd weryfikacji certyfikatu Zalecenie
Hasło nie jest zgodne z kluczem Upewnij się, że masz poprawne hasło. Jeśli problem będzie nadal występować, spróbuj ponownie utworzyć certyfikat przy użyciu poprawnego hasła. Aby uzyskać więcej informacji, zobacz Obsługiwane znaki dla kluczy i haseł.
Nie można zweryfikować łańcucha zaufania. Podany certyfikat i główny urząd certyfikacji nie są zgodne. Upewnij się, że .pem plik jest skorelowany z plikiem .crt .
Jeśli problem będzie się powtarzać, spróbuj ponownie utworzyć certyfikat przy użyciu poprawnego łańcucha zaufania, zgodnie z definicją w .pem pliku.
Ten certyfikat SSL wygasł i nie jest uznawany za prawidłowy. Utwórz nowy certyfikat z prawidłowymi datami.
Ten certyfikat został odwołany przez listę CRL i nie może być zaufany dla bezpiecznego połączenia Utwórz nowy niezwołany certyfikat.
Lokalizacja listy CRL (lista odwołania certyfikatów) nie jest osiągalna. Sprawdź, czy adres URL można uzyskać z tego urządzenia Upewnij się, że konfiguracja sieci umożliwia czujnikowi lub lokalnej konsoli zarządzania dotarcie do serwera listy CRL zdefiniowanego w certyfikacie.
Aby uzyskać więcej informacji, zobacz Weryfikowanie dostępu do serwera listy CRL.
Sprawdzanie poprawności certyfikatu nie powiodło się Oznacza to ogólny błąd w urządzeniu.
Skontaktuj się z pomoc techniczna firmy Microsoft.

Aktualizowanie konfiguracji sieci czujnika OT

Sieć czujników OT została skonfigurowana podczas instalacji. Może być konieczne wprowadzenie zmian w ramach konserwacji czujnika OT, na przykład w celu zmodyfikowania wartości sieciowych lub skonfigurowania konfiguracji serwera proxy.

Aby zaktualizować konfigurację czujnika OT:

  1. Zaloguj się do czujnika OT i wybierz pozycję Ustawienia>systemowe Podstawowe>ustawienia sieciowe czujnika.

  2. W okienku Ustawienia sieci czujnika zaktualizuj następujące informacje dotyczące czujnika OT zgodnie z potrzebami:

    • Adres IP. Zmiana adresu IP może wymagać od użytkowników ponownego zalogowania się do czujnika OT.
    • Maska podsieci
    • Brama domyślna
    • DNS. Upewnij się, że używasz tej samej nazwy hosta, która jest skonfigurowana na serwerze DNS organizacji.
    • Nazwa hosta (opcjonalnie)
  3. W razie potrzeby przełącz opcję Włącz serwer proxy . Jeśli używasz serwera proxy, wprowadź następujące wartości:

    • Host serwera proxy
    • Port serwera proxy
    • Nazwa użytkownika serwera proxy (opcjonalnie)
    • Hasło serwera proxy (opcjonalnie)
  4. Wybierz Zapisz, aby zapisać zmiany.

Ręczne wyłączanie trybu uczenia

Czujnik sieciowy usługi Microsoft Defender for IoT OT automatycznie monitoruje sieć natychmiast po nawiązaniu połączenia z siecią i zalogowaniu. Urządzenia sieciowe zaczynają pojawiać się w spisie urządzeń, a alerty są wyzwalane dla wszelkich zdarzeń zabezpieczeń lub operacji występujących w sieci.

Początkowo to działanie odbywa się w trybie uczenia , który nakazuje czujnikowi OT poznanie zwykłej aktywności sieci, w tym urządzeń i protokołów w sieci, oraz zwykłych transferów plików występujących między określonymi urządzeniami. Wszelkie regularnie wykrywane działania stają się ruchem bazowym sieci.

W tej procedurze opisano sposób ręcznego wyłączania trybu uczenia, jeśli uważasz, że bieżące alerty dokładnie odzwierciedlają aktywność sieci.

Aby wyłączyć tryb uczenia:

  1. Zaloguj się do czujnika sieciowego OT i wybierz pozycję Ustawienia > > systemu Aparaty wykrywania monitorowania sieci i modelowanie sieci.

  2. Przełącz jedną lub obie następujące opcje:

    • Nauka. Wyłącz tę opcję około dwóch sześciu tygodni po wdrożeniu czujnika, gdy czujesz, że wykrywanie czujnika OT dokładnie odzwierciedla aktywność sieci.

    • Inteligentne uczenie IT. Pozostaw tę opcję włączoną, aby zachować niską liczbę nieokreślonych alertów i powiadomień.

    Nieokreślone zachowanie obejmuje zmiany, które są wynikiem normalnej aktywności IT, takich jak dns i żądania HTTP. Przełączenie opcji Inteligentne uczenie IT może wyzwolić wiele alertów naruszenia zasad fałszywie dodatnich.

  3. W komunikacie potwierdzającym wybierz przycisk OK, a następnie wybierz pozycję Zamknij , aby zapisać zmiany.

Aktualizowanie interfejsów monitorowania czujnika (konfigurowanie funkcji ERSPAN)

Możesz zmienić interfejsy używane przez czujnik w celu monitorowania ruchu. Te szczegóły zostały pierwotnie skonfigurowane w ramach początkowej konfiguracji czujnika, ale może być konieczne zmodyfikowanie ustawień w ramach konserwacji systemu, takiej jak konfigurowanie monitorowania ERSPAN.

Aby uzyskać więcej informacji, zobacz porty ERSPAN.

Uwaga

Ta procedura powoduje ponowne uruchomienie oprogramowania czujnika w celu zaimplementowania wprowadzonych zmian.

Aby zaktualizować interfejsy monitorowania czujnika:

  1. Zaloguj się do czujnika OT i wybierz pozycję Ustawienia>systemowe Podstawowe>połączenia interfejsu.

  2. W siatce znajdź interfejs, który chcesz skonfigurować. Czy którekolwiek z poniższych:

    • Wybierz przełącznik Włącz/Wyłącz dla wszystkich interfejsów, które mają być monitorowane przez czujnik. Dla każdego czujnika musi być włączony co najmniej jeden interfejs.

      Jeśli nie masz pewności, którego interfejsu użyć, wybierz przycisk LED interfejsu fizycznego Blink, aby wybrać portu na maszynie.

      Napiwek

      Zalecamy zoptymalizowanie wydajności czujnika przez skonfigurowanie ustawień w celu monitorowania tylko interfejsów, które są aktywnie używane.

    • Dla każdego interfejsu wybranego do monitorowania wybierz przycisk Ustawienia zaawansowane, aby zmodyfikować dowolne z następujących ustawień:

      Nazwa/nazwisko opis
      Tryb Wybierz jedną z następujących pozycji:

      - Ruch SPAN (bez hermetyzacji) do korzystania z domyślnego dublowania portów SPAN.
      - ERSPAN , jeśli używasz dublowania ERSPAN.

      Aby uzyskać więcej informacji, zobacz Wybieranie metody dublowania ruchu dla czujników OT.
      Opis Wprowadź opcjonalny opis interfejsu. Zobaczysz to później na stronie Konfiguracji interfejsu ustawień systemowych > czujnika, a te opisy mogą być pomocne w zrozumieniu przeznaczenia każdego interfejsu.
      Automatyczne negocjowanie Dotyczy tylko maszyn fizycznych. Użyj tej opcji, aby określić, jakiego rodzaju metody komunikacji są używane, lub jeśli metody komunikacji są automatycznie definiowane między składnikami.

      Ważne: zalecamy zmianę tego ustawienia tylko na porady zespołu ds. sieci.

    Na przykład:

    Zrzut ekranu przedstawiający sposób konfigurowania funkcji ERSPAN na stronie Konfiguracje interfejsu.

  3. Wybierz Zapisz, aby zapisać zmiany. Oprogramowanie czujnika zostanie uruchomione ponownie, aby zaimplementować zmiany.

Synchronizowanie stref czasowych z czujnikiem OT

Możesz skonfigurować czujnik OT z określoną strefą czasową, aby wszyscy użytkownicy widzieli te same czasy niezależnie od lokalizacji użytkownika.

Strefy czasowe są używane w alertach, widżetach trendów i statystykach, raportach wyszukiwania danych, raportach oceny ryzyka i raportach wektorów ataków.

Aby skonfigurować strefę czasową czujnika OT:

  1. Zaloguj się do czujnika OT i wybierz pozycję Ustawienia>systemowe Czas podstawowy>i region.

  2. W okienku Czas i region wprowadź następujące szczegóły:

    • Strefa czasowa: wybierz strefę czasową, której chcesz użyć

    • Format daty: wybierz format godziny i daty, którego chcesz użyć. Obsługiwane formaty obejmują:

      • dd/MM/yyyy HH:mm:ss
      • MM/dd/yyyy HH:mm:ss
      • yyyy/MM/dd HH:mm:ss

    Pole Data i godzina jest automatycznie aktualizowane przy użyciu bieżącej godziny w wybranym formacie.

  3. Wybierz Zapisz, aby zapisać zmiany.

Konfigurowanie ustawień serwera poczty SMTP

Zdefiniuj ustawienia serwera poczty SMTP na czujniku OT, aby skonfigurować czujnik OT do wysyłania danych do innych serwerów i usług partnerskich.

Potrzebny jest serwer poczty SMTP skonfigurowany do włączania alertów e-mail dotyczących rozłączonych czujników, nieudanych prób pobierania kopii zapasowych czujników oraz monitorowania błędów portów SPAN z lokalnej konsoli zarządzania oraz konfigurowania reguł przekazywania dalej poczty i przesyłania dalej.

Wymagania wstępne:

Upewnij się, że możesz uzyskać dostęp do serwera SMTP z portu zarządzania czujnika.

Aby skonfigurować serwer SMTP na czujniku OT:

  1. Zaloguj się do czujnika OT i wybierz pozycję Ustawienia>systemowe Integracja>serwera poczty.

  2. W wyświetlonym okienku Edytowanie konfiguracji serwera poczty zdefiniuj wartości serwera SMTP w następujący sposób:

    Parametr Opis
    Adres serwera SMTP Wprowadź adres IP lub adres domeny serwera SMTP.
    Port serwera SMTP Wartość domyślna : 25. Dostosuj wartość zgodnie z potrzebami.
    Wychodzące konto poczty Wprowadź adres e-mail, który ma być używany jako konto poczty wychodzącej z czujnika.
    Protokół SSL Włącz opcję zabezpieczania połączeń z czujnika.
    Authentication Włącz, a następnie wprowadź nazwę użytkownika i hasło dla swojego konta e-mail.
    Korzystanie z protokołu NTLM Przełącz się, aby włączyć protokół NTLM. Ta opcja jest wyświetlana tylko wtedy, gdy opcja Uwierzytelnianie jest włączona.
  3. Wybierz Zapisz, gdy skończysz.

Przekazywanie i odtwarzanie plików PCAP

Podczas rozwiązywania problemów z czujnikiem OT warto sprawdzić dane zarejestrowane przez określony plik PCAP. W tym celu można przekazać plik PCAP do czujnika OT i odtworzyć zarejestrowane dane.

Opcja Play PCAP jest domyślnie włączona w ustawieniach konsoli czujnika.

Maksymalny rozmiar przekazanych plików wynosi 2 GB.

Aby wyświetlić odtwarzacz PCAP w konsoli czujnika:

  1. W konsoli czujnika przejdź do pozycji Ustawienia > systemowe Zaawansowane konfiguracje zarządzania czujnikami>.

  2. W okienku Konfiguracje zaawansowane wybierz kategorię Pcaps .

  3. W wyświetlonych konfiguracjach zmień wartość enabled=0 na enabled=1, a następnie wybierz pozycję Zapisz.

Opcja Play PCAP jest teraz dostępna w ustawieniach konsoli czujnika w obszarze: Ustawienia > systemu Podstawowa > wersja PCAP.

Aby przekazać i odtworzyć plik PCAP:

  1. W konsoli czujnika wybierz pozycję Ustawienia systemowe Podstawowe > play PCAP>.

  2. W okienku PCAP PLAYER wybierz pozycję Przekaż , a następnie przejdź do i wybierz plik lub wiele plików, które chcesz przekazać.

    Zrzut ekranu przedstawiający przekazywanie plików PCAP w okienku PCAP PLAYER w konsoli czujnika.

  3. Wybierz pozycję Odtwórz , aby odtworzyć plik PCAP, lub Odtwórz wszystko , aby odtworzyć wszystkie aktualnie załadowane pliki PCAP.

Napiwek

Wybierz pozycję Wyczyść wszystko , aby wyczyścić czujnik wszystkich załadowanych plików PCAP.

Wyłączanie określonych aparatów analitycznych

Domyślnie każdy czujnik sieci OT analizuje pozyskane dane przy użyciu wbudowanych aparatów analitycznych i wyzwala alerty na podstawie zarówno ruchu w czasie rzeczywistym, jak i wstępnie utworzonego.

Chociaż zalecamy, aby wszystkie aparaty analityczne były włączone, warto wyłączyć określone aparaty analityczne na czujnikach OT, aby ograniczyć typ anomalii i zagrożeń monitorowanych przez ten czujnik OT.

Ważne

Po wyłączeniu aparatu zasad informacje generowane przez aparat nie będą dostępne dla czujnika. Jeśli na przykład wyłączysz aparat anomalii, nie będziesz otrzymywać alertów dotyczących anomalii sieciowych. Jeśli utworzono regułę alertu przekazującego, anomalie, które aparat dowie się, nie zostaną wysłane.

Aby zarządzać aparatami analitycznymi czujnika OT:

  1. Zaloguj się do czujnika OT i wybierz pozycję Ustawienia > > systemowe Aparaty wykrywania dostosowywania > monitorowania sieci i modelowanie sieci.

  2. W okienku Aparaty wykrywania i modelowanie sieciowe w obszarze Aparaty wyłącz co najmniej jeden z następujących aparatów:

    • Naruszenie protokołu
    • Naruszenie zasad
    • Złośliwe oprogramowanie
    • Anomalia
    • Operacyjne

    Przełącz ponownie aparat, aby rozpocząć śledzenie powiązanych anomalii i działań.

    Aby uzyskać więcej informacji, zobacz Aparaty analityczne usługi Defender for IoT.

  3. Wybierz pozycję Zamknij , aby zapisać zmiany.

Aby zarządzać aparatami analitycznymi z lokalnej konsoli zarządzania:

  1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Ustawienia systemowe.

  2. W sekcji Konfiguracja aparatu czujnika wybierz co najmniej jeden czujnik OT, w którym chcesz zastosować ustawienia, i wyczyść dowolną z następujących opcji:

    • Naruszenie protokołu
    • Naruszenie zasad
    • Złośliwe oprogramowanie
    • Anomalia
    • Operacyjne
  3. Wybierz pozycję ZAPISZ ZMIANY , aby zapisać zmiany.

Czyszczenie danych czujnika OT

Jeśli musisz przenieść lub usunąć czujnik OT, zresetuj go, aby wyczyścić wszystkie wykryte lub poznane dane na czujniku OT.

Po wyczyszczeniu danych z czujnika połączonego z chmurą:

  • Spis urządzeń w witrynie Azure Portal jest aktualizowany równolegle.
  • Niektóre akcje dotyczące odpowiednich alertów w witrynie Azure Portal nie są już obsługiwane, takie jak pobieranie plików PCAP lub alertów szkoleniowych.

Uwaga

Ustawienia sieci, takie jak IP/DNS/GATEWAY, nie zostaną zmienione przez wyczyszczenie danych systemowych.

Aby wyczyścić dane systemowe:

  1. Zaloguj się do czujnika OT jako administrator. Aby uzyskać więcej informacji, zobacz Domyślne uprzywilejowane użytkowników lokalnych.

  2. Wybierz pozycję Obsługa>wyczyść dane.

  3. W oknie dialogowym potwierdzenia wybierz pozycję Tak , aby potwierdzić, że chcesz wyczyścić wszystkie dane z czujnika i zresetować je. Na przykład:

    Zrzut ekranu przedstawiający czyszczenie danych systemowych na stronie pomocy technicznej w konsoli czujnika.

Zostanie wyświetlony komunikat potwierdzający, że akcja zakończyła się pomyślnie. Wszystkie poznane dane, listy dozwolonych, zasady i ustawienia konfiguracji są czyszczone z czujnika.

Zarządzanie wtyczkami czujników i monitorowanie wydajności wtyczek

Wyświetlanie danych dla każdego protokołu monitorowanego przez czujnik przy użyciu strony Protokoły DPI (Horizon Plugins) w konsoli czujnika.

  1. Zaloguj się do konsoli czujnika OT i wybierz pozycję Ustawienia > systemu Protokoły monitorowania > sieci DPI (wtyczki Horizon).

  2. Wykonaj jedną z następujących czynności:

    • Aby ograniczyć protokoły monitorowane przez czujnik, wybierz przełącznik Włącz/Wyłącz dla każdej wtyczki zgodnie z potrzebami.

    • Aby monitorować wydajność wtyczek, wyświetl dane wyświetlane na stronie Dpi protokołów (wtyczki Horyzont) dla każdej wtyczki. Aby ułatwić zlokalizowanie określonej wtyczki, użyj pola Wyszukiwania , aby wprowadzić część lub całą nazwę wtyczki.

Protokół DPI (wtyczki Horizon) zawiera następujące dane na wtyczkę:

Nazwa kolumny opis
Wtyczka Definiuje nazwę wtyczki.
Type Typ wtyczki, w tym APLIKACJA lub INFRASTRUKTURA.
Czas Czas ostatniej analizy danych przy użyciu wtyczki. Sygnatura czasowa jest aktualizowana co pięć sekund.
PPS Liczba pakietów analizowanych na sekundę przez wtyczkę.
Przepustowość Średnia przepustowość wykryta przez wtyczkę w ciągu ostatnich pięciu sekund.
Źle sformułowane Liczba błędów źle sformułowanych wykrytych w ciągu ostatnich pięciu sekund. Źle sformułowane walidacje są używane po pozytywnej weryfikacji protokołu. Jeśli wystąpi błąd przetwarzania pakietów na podstawie protokołu, zostanie zwrócona odpowiedź na błąd.
Ostrzeżenia Liczba wykrytych ostrzeżeń, takich jak w przypadku dopasowania pakietów do struktury i specyfikacji, ale wykryto nieoczekiwane zachowanie na podstawie konfiguracji ostrzeżenia o wtyczce.
błędy Liczba błędów wykrytych w ciągu ostatnich pięciu sekund dla pakietów, które zakończyły się niepowodzeniem podstawowej weryfikacji protokołu dla pakietów pasujących do definicji protokołu.

Dane dziennika są dostępne do eksportowania w statystykach dissection i dziennikach dissection, plikach dziennika. Aby uzyskać więcej informacji, zobacz Eksportowanie dzienników rozwiązywania problemów.

Następne kroki

Aby uzyskać więcej informacji, zobacz: