Учебник. Настройка решения Microsoft Defender для Интернета вещей на основе агента
Этот учебник поможет вам узнать, как настроить решение Microsoft Defender для Интернета вещей на основе агента
Из этого руководства вы узнаете, как:
- Включение сбора данных
- Создание рабочей области Log Analytics
- Настройка обработки IP-адресов и геолокации
Предварительные требования
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
У вас должен быть включен Microsoft Defender для Интернета вещей в Центре Интернета вещей Azure.
Необходимо добавить группу ресурсов в решение "Интернет вещей".
Необходимо создать двойник модуля микроагента Defender для Интернета вещей.
Необходимо установить микроагент Defender для Интернета вещей
Включение сбора данных
Чтобы включить сбор данных, выполните следующее.
Войдите на портал Azure.
Перейдите к разделуЦентр Интернета вещей>
Your hub>Defender для Интернета вещей>Параметры>Сбор данных.
В разделе Microsoft Defender для Интернета вещей убедитесь, что включен параметр Включить Microsoft Defender для Интернета вещей.
Щелкните Сохранить.
Создание рабочей области Log Analytics
Defender для Интернета вещей позволяет хранить оповещения системы безопасности, рекомендации и необработанные данные системы безопасности в рабочей области Log Analytics. Прием данных Log Analytics в Центре Интернета вещей Azure по умолчанию отключен в решении Defender для Интернета вещей. Вы можете подключить Defender для Интернета вещей к рабочей области Log Analytic, а также сохранить данные системы безопасности.
По умолчанию служба Defender для Интернета вещей хранит в рабочей области Log Analytics сведения двух типов:
оповещения системы безопасности;
рекомендации.
Вы можете добавить хранение сведений другого типа в качестве raw events.
Примечание
Хранение raw events в Log Analytics приведет к дополнительным затратам на хранилище.
Чтобы разрешить Log Analytics работать с микроагентом, выполните указанные ниже действия.
Войдите на портал Azure.
Перейдите к разделуЦентр Интернета вещей>
Your hub>Defender для Интернета вещей>Параметры>Сбор данных.В разделе Конфигурация рабочей области установите переключатель Log Analytics в положение Вкл.
Выберите подписку в раскрывающемся меню.
Выберите рабочую область в раскрывающемся меню. Если у вас еще нет существующей рабочей области Log Analytics, можно выбрать действие Создать рабочую область.
Убедитесь, что установлен флажок Access to raw security data (Доступ к необработанным данным безопасности).
Щелкните Сохранить.
Каждый месяц первые 5 гигабайт данных, принятых службой Azure Log Analytics (на одного пользователя), предоставляются бесплатно. Каждый гигабайт данных, принятых в вашей рабочей области Azure Log Analytics, бесплатно сохраняется в течение первых 31 дня. Дополнительные сведения о расценках см. на странице расценок Log Analytics.
Настройка обработки IP-адресов и геолокации
Для защиты вашего решения в сфере Интернета вещей IP-адреса входящих и исходящих подключений устройств Интернета вещей, IoT Edge и Центра Интернета вещей Azure собираются и сохраняются по умолчанию. Эти сведения необходимы для обнаружения нетипичных подключений источников с подозрительными IP-адресами. Например, когда предпринимаются попытки установить соединения с IP-адреса известного ботнета или IP-адреса за пределами вашей геолокации. Служба Defender для Интернета вещей позволяет включать и отключать сбор данных IP-адресов в любое время.
Чтобы включить сбор данных IP-адресов, выполните указанные ниже действия.
Войдите на портал Azure.
Перейдите к разделуЦентр Интернета вещей>
Your hub>Defender для Интернета вещей>Параметры>Сбор данных.Убедитесь, что установлен флажок "Сбор данных IP-адресов".
Щелкните Сохранить.
Очистка ресурсов
Ресурсы для очистки отсутствуют.