Tutorial: Configurar os agentes de segurança
Este artigo explica os agentes de segurança do Defender para IoT e detalha como alterá-los e configurá-los.
- Configurar agentes de segurança
- Alterar o comportamento do agente editando propriedades do gêmeo
- Descobrir a configuração padrão
Agentes
Os agentes de segurança do Defender para IoT coletam dados de dispositivos IoT e executam ações de segurança para atenuar as vulnerabilidades detectadas. A configuração do agente de segurança é controlável usando um conjunto de propriedades do módulo gêmeo que você pode personalizar. Em geral, as atualizações secundárias para essas propriedades são pouco frequentes.
O objeto de configuração do agente gêmeo do Defender para IoT é um objeto de formato JSON. O objeto de configuração é um conjunto de propriedades controláveis que você pode definir para controlar o comportamento do agente.
Essas configurações ajudam você a personalizar o agente para cada cenário necessário. Por exemplo, excluir automaticamente alguns eventos ou manter o consumo de energia em um nível mínimo é possível configurando essas propriedades.
Use o esquema de configuração do agente de segurança do Defender para IoT para fazer alterações.
Objetos de configuração
As propriedades relacionadas a cada agente de segurança do Defender para IoT estão localizadas no objeto de configuração do agente, na seção de propriedades desejadas, do módulo azureiotsecurity.
Para modificar a configuração, crie e modifique esse objeto dentro da identidade do módulo gêmeo azureiotsecurity.
Se o objeto de configuração do agente não existir no módulo gêmeo azureiotsecurity, todos os valores de propriedade do agente de segurança serão definidos como padrão.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Validação e esquema da configuração
Valide a configuração do agente em relação a este esquema. Um agente não será inicializado se o objeto de configuração não corresponder ao esquema.
Se, enquanto o agente estiver em execução, o objeto de configuração for alterado para uma configuração inválida (a configuração não corresponder ao esquema), o agente ignorará a configuração inválida e continuará usando a configuração atual.
Validação da configuração
O agente de segurança do Defender para IoT relata sua configuração atual na seção de propriedades relatadas da identidade do módulo gêmeo azureiotsecurity. O agente relata todas as propriedades disponíveis, se uma propriedade não tiver sido definida pelo usuário, o agente relatará a configuração padrão.
Para validar a configuração, compare os valores definidos na seção desejada com os valores relatados na seção informada.
Se houver uma incompatibilidade entre as propriedades desejadas e as relatadas, o agente não conseguirá analisar a configuração.
Valide as propriedades desejadas no esquema, corrija os erros e defina as propriedades desejadas novamente.
Observação
Um alerta de erro de configuração será acionado a partir do agente caso ele não possa analisar a configuração desejada. Comparar a seção relatada e a desejada para entender se o alerta ainda se aplica
Editar uma propriedade
Todas as propriedades personalizadas devem ser definidas dentro do objeto de configuração do agente no módulo gêmeo azureiotsecurity. Para usar um valor de propriedade padrão, remova a propriedade do objeto de configuração.
Definir uma propriedade
No Hub IoT, localize e selecione o dispositivo que você deseja alterar.
Clique no dispositivo e, em seguida, no módulo azureiotsecurity.
Clique em Identidade do Módulo Gêmeo.
Edite as propriedades que você deseja alterar no Defender-IoT-micro-agent.
Por exemplo, para configurar eventos de conexão como prioridade alta e coletar eventos de alta prioridade a cada 7 minutos, use a configuração a seguir.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Clique em Salvar.
Usar um valor padrão
Para usar um valor de propriedade padrão, remova a propriedade do objeto de configuração.
Propriedades padrão
A tabela a seguir contém as propriedades controláveis dos agentes de segurança do Defender para IoT.
Os valores padrão estão disponíveis no esquema adequado no GitHub.
| Nome | Status | Valores válidos | Valores padrão | Descrição |
|---|---|---|---|---|
| highPriorityMessageFrequency | Obrigatório: falso | Valores válidos: duração no formato ISO 8601 | Valor padrão: PT7M | Intervalo de tempo máximo antes que as mensagens de alta prioridade sejam enviadas. |
| lowPriorityMessageFrequency | Obrigatório: falso | Valores válidos: duração no formato ISO 8601 | Valor padrão: PT5H | Tempo máximo antes que as mensagens de baixa prioridade sejam enviadas. |
| snapshotFrequency | Obrigatório: falso | Valores válidos: duração no formato ISO 8601 | Valor padrão: PT13H | Intervalo de tempo para a criação de instantâneos de status do dispositivo. |
| maxLocalCacheSizeInBytes | Obrigatório: falso | Valores válidos: | Valor padrão: 2560000, maior que 8192 | Armazenamento máximo (em bytes) permitido para o cache de mensagens de um agente. Quantidade máxima de espaço permitida para armazenar mensagens no dispositivo, antes que as mensagens sejam enviadas. |
| maxMessageSizeInBytes | Obrigatório: falso | Valores válidos: um número positivo, maior que 8192, menor que 262144 | Valor padrão: 204800 | Tamanho máximo permitido de um agente para a mensagem na nuvem. Essa configuração controla a quantidade de dados máximos enviados em cada mensagem. |
| eventPriority${EventName} | Obrigatório: falso | Valores válidos: alto, baixo, desativado | Valores padrão: | Prioridade de cada evento gerado por agente |
Eventos de segurança com suporte
| Nome do evento | PropertyName | Valor padrão | Evento de instantâneo | Status de detalhes |
|---|---|---|---|---|
| Evento de diagnóstico | eventPriorityDiagnostic | Desativado | Falso | Eventos de diagnóstico relacionados ao agente. Use esse evento para registro em log detalhado. |
| Erro de configuração | eventPriorityConfigurationError | Baixo | Falso | Falha no agente ao analisar a configuração. Verifique a configuração em relação ao esquema. |
| Estatísticas de eventos descartados | eventPriorityDroppedEventsStatistics | Baixo | True | Estatísticas de evento relacionadas ao agente. |
| Hardware conectado | eventPriorityConnectedHardware | Baixo | True | Instantâneo de todo o hardware conectado ao dispositivo. |
| Portas de escuta | eventPriorityListeningPorts | Alto | True | Instantâneo de todas as portas de escuta abertas no dispositivo. |
| Criação de processo | eventPriorityProcessCreate | Baixo | Falso | Audita a criação do processo no dispositivo. |
| Processo encerrado | eventPriorityProcessTerminate | Baixo | Falso | Audita o fim do processo no dispositivo. |
| Informações do sistema | eventPrioritySystemInformation | Baixo | True | Um instantâneo das informações do sistema (por exemplo: SO ou CPU). |
| Usuários locais | eventPriorityLocalUsers | Alto | True | Um instantâneo dos usuários locais registrados no sistema. |
| Logon | eventPriorityLogin | Alto | Falso | Audita os eventos de logon no dispositivo (logons locais e remotos). |
| Criação de conexão | eventPriorityConnectionCreate | Baixo | Falso | Audita as conexões TCP criadas de e para o dispositivo. |
| Configuração do firewall | eventPriorityFirewallConfiguration | Baixo | True | Instantâneo da configuração do firewall do dispositivo (regras de firewall). |
| Linha de base do SO | eventPriorityOSBaseline | Baixo | True | Instantâneo da verificação de linha de base do SO do dispositivo. |