Tutorial: Configurar agentes de segurança
Este artigo explica os agentes de segurança do Defender para IoT e detalhes sobre como alterá-los e configurá-los.
- Configurar agentes de segurança
- Alterar o comportamento do agente ao editar as propriedades dos duplos
- Detetar configuração predefinida
Agentes
Os agentes de segurança do Defender para IoT recolhem dados de dispositivos IoT e realizam ações de segurança para mitigar as vulnerabilidades detetadas. A configuração do agente de segurança é controlável com um conjunto de propriedades do módulo duplo que pode personalizar. Em geral, as atualizações secundárias a estas propriedades são pouco frequentes.
O objeto de configuração do agente de segurança duplo do Defender para IoT é um objeto de formato JSON. O objeto de configuração é um conjunto de propriedades controláveis que pode definir para controlar o comportamento do agente.
Estas configurações ajudam-no a personalizar o agente para cada cenário necessário. Por exemplo, é possível excluir automaticamente alguns eventos ou manter o consumo de energia num nível mínimo ao configurar estas propriedades.
Utilize o esquema de configuração do agente de segurança do Defender para IoT para fazer alterações.
Objetos de configuração
As propriedades relacionadas com cada agente de segurança do Defender para IoT estão localizadas no objeto de configuração do agente, na secção de propriedades pretendidas, do módulo azureiotsecurity .
Para modificar a configuração, crie e modifique este objeto dentro da identidade do módulo duplo azureiotsecurity .
Se o objeto de configuração do agente não existir no módulo duplo azureiotsecurity , todos os valores de propriedade do agente de segurança estão definidos como predefinidos.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Esquema de configuração e validação
Confirme que valida a configuração do agente relativamente a este esquema. Um agente não será iniciado se o objeto de configuração não corresponder ao esquema.
Se, enquanto o agente estiver em execução, o objeto de configuração for alterado para uma configuração não válida (a configuração não corresponde ao esquema), o agente ignorará a configuração inválida e continuará a utilizar a configuração atual.
Validação da configuração
O agente de segurança do Defender para IoT comunica a configuração atual dentro da secção de propriedades reportadas da identidade do módulo duplo azureiotsecurity . O agente comunica todas as propriedades disponíveis, se uma propriedade não tiver sido definida pelo utilizador, o agente comunica a configuração predefinida.
Para validar a configuração, compare os valores definidos na secção pretendida com os valores comunicados na secção reportada.
Se existir um erro de correspondência entre as propriedades pretendidas e reportadas, o agente não conseguiu analisar a configuração.
Valide as propriedades pretendidas em relação ao esquema, corrija os erros e defina novamente as propriedades pretendidas!
Nota
Será acionado um alerta de erro de configuração do agente caso o agente não tenha conseguido analisar a configuração pretendida. Compare a secção reportada e pretendida para compreender se o alerta ainda se aplica
Editar uma propriedade
Todas as propriedades personalizadas têm de ser definidas dentro do objeto de configuração do agente no módulo duplo azureiotsecurity . Para utilizar um valor de propriedade predefinido, remova a propriedade do objeto de configuração.
Definir uma propriedade
Na sua Hub IoT, localize e selecione o dispositivo que pretende alterar.
Clique no seu dispositivo e, em seguida, no módulo azureiotsecurity .
Clique em Módulo Identidade Gémea.
Edite as propriedades que pretende alterar no Defender-IoT-micro-agent.
Por exemplo, para configurar eventos de ligação como de alta prioridade e recolher eventos de alta prioridade a cada 7 minutos, utilize a seguinte configuração.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }
Clique em Guardar.
Utilizar um valor predefinido
Para utilizar um valor de propriedade predefinido, remova a propriedade do objeto de configuração.
Propriedades predefinidas
A tabela seguinte contém as propriedades controláveis dos agentes de segurança do Defender para IoT.
Os valores predefinidos estão disponíveis no esquema adequado no GitHub.
Name | Estado | Valores válidos | Valores predefinidos | Descrição |
---|---|---|---|---|
highPriorityMessageFrequency | Obrigatório: falso | Valores válidos: Duração no Formato ISO 8601 | Valor predefinido: PT7M | Intervalo de tempo máximo antes de as mensagens de alta prioridade serem enviadas. |
lowPriorityMessageFrequency | Obrigatório: falso | Valores válidos: Duração no Formato ISO 8601 | Valor predefinido: PT5H | Tempo máximo antes de as mensagens de baixa prioridade serem enviadas. |
snapshotFrequency | Exigir: falso | Valores válidos: Duração no Formato ISO 8601 | Valor predefinido PT13H | Intervalo de tempo para a criação de instantâneos de estado do dispositivo. |
maxLocalCacheSizeInBytes | Obrigatório: falso | Valores válidos: | Valor predefinido: 2560000, maior que 8192 | Armazenamento máximo (em bytes) permitido para a cache de mensagens de um agente. Quantidade máxima de espaço permitido para armazenar mensagens no dispositivo, antes de as mensagens serem enviadas. |
maxMessageSizeInBytes | Obrigatório: falso | Valores válidos: um número positivo, superior a 8192, menor que 262144 | Valor predefinido: 204800 | Tamanho máximo permitido de uma mensagem de agente para a cloud. Esta definição controla a quantidade máxima de dados enviados em cada mensagem. |
eventPriority${EventName} | Obrigatório: falso | Valores válidos: Alto, Baixo, Desativado | Valores predefinidos: | Prioridade de todos os eventos gerados pelo agente |
Eventos de segurança suportados
Nome do evento | PropertyName | Valor Predefinido | Evento de Instantâneo | Estado dos Detalhes |
---|---|---|---|---|
Evento de diagnóstico | eventPriorityDiagnostic | Desativado | Falso | Eventos de diagnóstico relacionados com o agente. Utilize este evento para registo verboso. |
Erro de configuração | eventPriorityConfigurationError | Baixo | Falso | Falha do agente ao analisar a configuração. Verifique a configuração em relação ao esquema. |
Estatísticas de eventos removidos | eventPriorityDroppedEventsStatistics | Baixo | Verdadeiro | Estatísticas de eventos relacionados com o agente. |
Hardware ligado | eventPriorityConnectedHardware | Baixo | Verdadeiro | Instantâneo de todo o hardware ligado ao dispositivo. |
Portas de escuta | eventPriorityListeningPorts | Alto | Verdadeiro | Instantâneo de todas as portas de escuta abertas no dispositivo. |
Criação de processos | eventPriorityProcessCriate | Baixo | Falso | Audita a criação do processo no dispositivo. |
Terminar processo | eventPriorityProcessTerminate | Baixo | Falso | Audita a terminação do processo no dispositivo. |
Informações do sistema | eventPrioritySystemInformation | Baixo | Verdadeiro | Um instantâneo das informações do sistema (por exemplo: SO ou CPU). |
Utilizadores locais | eventPriorityLocalUsers | Alto | Verdadeiro | Um instantâneo dos utilizadores locais registados no sistema. |
Iniciar sessão | eventPriorityLogin | Alto | Falso | Audite os eventos de início de sessão no dispositivo (inícios de sessão locais e remotos). |
Criar ligação | eventPriorityConnectionCreate | Baixo | Falso | Audita as ligações TCP criadas de e para o dispositivo. |
Configuração da firewall | eventPriorityFirewallConfiguration | Baixo | Verdadeiro | Instantâneo da configuração da firewall do dispositivo (regras de firewall). |
Linha de base do SO | eventPriorityOSBaseline | Baixo | Verdadeiro | Instantâneo da verificação da linha de base do SO do dispositivo. |