Обслуживание сетевых датчиков OT из консоли датчиков

В этой статье описаны дополнительные действия по обслуживанию датчика OT, которые могут выполняться за пределами более крупного процесса развертывания.

Датчики OT также можно поддерживать из интерфейса командной строки датчика OT, портал Azure и локального консоль управления.

Внимание

Для настройки клиента поддерживаются только задокументированные параметры конфигурации на сетевом датчике OT и локальных консоль управления. Не изменяйте никакие незадокументированные параметры конфигурации или системные свойства, так как изменения могут вызвать непредвиденные сбои поведения и системы.

Удаление пакетов с датчика без утверждения Майкрософт может привести к непредвиденным результатам. Для правильной функциональности датчика требуются все пакеты, установленные на датчике.

Необходимые компоненты

Прежде чем выполнять процедуры в этой статье, убедитесь, что у вас есть:

Просмотр общего состояния датчика OT

При входе в датчик OT отображается первая страница обзора .

Например:

Screenshot of the overview page.

На странице "Обзор" показаны следующие мини-приложения:

Имя Описание
Общие параметры Отображает список основных параметров конфигурации датчика и состояния подключения.
Мониторинг трафика Отображает график детализации трафика в датчике. На графике отображается трафик в виде единиц Мбит/с в час в день просмотра.
Топ-5 OT-протоколов Отображает линейчатую диаграмму, которая содержит сведения о пяти наиболее используемых протоколах OT. Диаграмма линейчатой диаграммы также предоставляет количество устройств, использующих каждый из этих протоколов.
Трафик по порту Отображает круговую диаграмму с типами портов в сети с количеством трафика, обнаруженным в каждом типе порта.
Основные открытые оповещения Отображает таблицу с описанием всех открытых оповещений с высоким уровнем серьезности, включая критически важные сведения о каждом оповещении.

Выберите ссылку в каждом мини-приложении, чтобы получить дополнительные сведения в датчике.

Проверка состояния подключения

Убедитесь, что датчик OT успешно подключен к портал Azure непосредственно на странице обзора датчика OT.

Если возникли проблемы с подключением, в области "Общие Параметры" на странице "Обзор" отображается сообщение об отключении, а в верхней части страницы в области "Системные сообщения" появится предупреждение об ошибке подключения службы. Например:

Screenshot of a sensor page showing the connectivity status as disconnected.

Найдите дополнительные сведения о проблеме, наведите указатель мыши на значок сведений . Например:

Screenshot of a connectivity error message.

Выполните действия, выбрав пункт "Дополнительные сведения" в разделе "Системные сообщения". Например:

Screenshot of the system messages pane.

Скачивание программного обеспечения для датчиков OT

Возможно, вам потребуется скачать программное обеспечение для датчика OT, если вы устанавливаете программное обеспечение Defender для Интернета вещей на собственных (модуль) или обновляете версии программного обеспечения.

В Defender для Интернета вещей в портал Azure используйте один из следующих вариантов:

  • Для новой установки выберите "Приступая к работе>с датчиком". Выберите версию в области покупки (модуль) и установите программное обеспечение, а затем нажмите кнопку "Скачать".

  • Если вы обновляете датчик OT, используйте параметры в меню "Сайты и датчики" (обновление датчика>(предварительная версия).

Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

Дополнительные сведения см. в статье Обновление программного обеспечения для мониторинга Defender для Интернета вещей.

Отправка нового файла активации

Каждый датчик OT подключается в виде облачного или локально управляемого датчика OT и активируется с помощью уникального файла активации. Для подключенных к облаку датчиков файл активации используется для обеспечения подключения между датчиком и Azure.

Чтобы переключить режимы управления датчиком, необходимо передать новый файл активации, например переход с локально управляемого датчика на подключенный к облаку датчик или обновление с устаревшей версии программного обеспечения. Отправка нового файла активации в датчик включает удаление датчика из портал Azure и его повторное подключение.

Чтобы добавить новый файл активации, выполните следующие действия.

  1. Выполните одно из следующих действий:

    • Подключение датчика с нуля:

      1. В Defender для Интернета вещей на портал Azure> Sites и датчиках найдите и удалите датчик OT.

      2. Выберите onboard OT датчик > OT , чтобы снова подключить датчик с нуля и скачать новый файл активации. Дополнительные сведения см. в разделе "Подключение датчиков OT".

    • Скачайте файл активации текущего датчика: на странице "Сайты и датчики " найдите только что добавленный датчик. Выберите три точки (...) в строке датчика и нажмите кнопку "Скачать файл активации". Сохраните файл в расположении, доступном датчику.

    Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

  2. Войдите в консоль датчика Defender для Интернета вещей и выберите режим управления System Параметры> Sensor и>режим активации.

  3. Выберите "Отправить" и перейдите к файлу, который вы скачали из портал Azure.

  4. Выберите "Активировать" , чтобы отправить новый файл активации.

Устранение неполадок при отправке файла активации

Если не удалось отправить файл активации, появится сообщение об ошибке. Ниже перечислены события, которые могли произойти.

  • Датчик не может подключиться к Интернету: проверьте конфигурацию сети датчика. Если датчику для доступа в Интернет требуется веб-прокси, проверьте правильность настройки прокси-сервера на экране Конфигурация сети датчика. Убедитесь, что необходимые конечные точки разрешены в брандмауэре и /или прокси-сервере.

    Для датчиков OT версии 22.x скачайте список необходимых конечных точек на странице "Сайты и датчики" на портал Azure. Выберите датчик OT с поддерживаемой версией программного обеспечения или сайт с одним или несколькими поддерживаемыми датчиками. А затем выберите "Дополнительные действия>", чтобы скачать сведения о конечной точке. Сведения о датчиках с более ранними версиями см. в разделе "Доступ датчика к портал Azure".

  • Файл активации действителен, но Defender для Интернета вещей отклонил его: если вы не можете устранить эту проблему, вы можете скачать другую активацию на странице "Сайты и датчики" в портал Azure. Если это не поможет, обратитесь в службу поддержки Майкрософт.

Примечание.

Срок действия файлов активации истекает через 14 дней после создания. Если вы подключены датчик, но не отправили файл активации до истечения срока его действия, скачайте новый файл активации.

Управление сертификатами SSL/TLS.

Если вы работаете с рабочей средой, вы развернули сертификат SSL/TLS с подписью ЦС в рамках развертывания датчика OT. Мы рекомендуем использовать самозаверяемые сертификаты только для тестирования.

В следующих процедурах описывается, как развернуть обновленные СЕРТИФИКАТЫ SSL/TLS, например, если срок действия сертификата истек.

Чтобы развернуть сертификат SSL/TLS, подписанный ЦС, выполните приведенные действия.

  1. Войдите в датчик OT и выберите System Параметры> Basic>SSL/TLS Certificate.

  2. В области сертификатов SSL/TLS выберите параметр импорта доверенного сертификата ЦС (рекомендуется). Например:

    Screenshot of importing a trusted CA certificate.

  3. Задайте следующие параметры:

    Параметр Описание
    Имя сертификата Введите имя сертификата.
    Парольная фраза - необязательный Введите парольную фразу.
    Закрытый ключ (ФАЙЛ KEY) Отправка закрытого ключа (KEY-файл).
    Сертификат (CRT-файл) Отправка сертификата (CRT-файл).
    Цепочка сертификатов (PEM-файл) - Необязательно Отправка цепочки сертификатов (PEM-файл).

    Выберите команду CRL (список отзыва сертификатов), чтобы проверка состояние сертификата для проверки сертификата на сервере CRL. Сертификат проверка один раз во время импорта.

    Если отправка завершается ошибкой, обратитесь к администратору безопасности или ИТ-администратору. Дополнительные сведения см. в статье о требованиях к сертификату SSL/TLS для локальных ресурсов и создании сертификатов SSL/TLS для (модуль) OT.

  4. В области локального консоль управления сертификата выберите обязательный, если требуется проверка сертификата SSL/TLS. В противном случае выберите Нет.

    Если выбрана обязательность и проверка завершается ошибкой, обмен данными между соответствующими компонентами останавливается, а на датчике отображается ошибка проверки. Дополнительные сведения см. в разделе "Требования к файлам CRT".

  5. Нажмите кнопку "Сохранить", чтобы сохранить параметры сертификата.

Устранение ошибок отправки сертификата

Вы не сможете отправлять сертификаты на датчики OT или локальные консоль управления, если сертификаты не созданы должным образом или недопустимы. Используйте следующую таблицу, чтобы понять, как выполнить действия, если отправка сертификата завершается ошибкой, и отображается сообщение об ошибке:

Ошибки при проверке сертификата Рекомендация
Парольная фраза не соответствует ключу Убедитесь, что у вас есть правильная парольная фраза. Если устранить проблему не удается, попробуйте повторно создать сертификат с помощью правильной парольной фразы. Дополнительные сведения см. в разделе "Поддерживаемые символы" для ключей и парольной фразы.
Не удается проверить цепочку доверия. Указанный сертификат и корневой ЦС не соответствуют. Убедитесь, .pem что файл коррелирует с файлом .crt .
Если проблема продолжается, попробуйте восстановить сертификат с помощью правильной цепочки доверия, как определено .pem в файле.
Срок действия SSL-сертификата истек и не считается допустимым. Создайте новый сертификат с допустимыми датами.
Этот сертификат был отозван списком отзыва сертификатов и не может быть доверенным для безопасного подключения Создайте новый сертификат, который не был отозван.
Расположение списка отзыва сертификатов (CRL) недоступно. Проверьте возможность доступа к URL-адресу с этого устройства. Убедитесь, что конфигурация сети позволяет датчику или локальному консоль управления связаться с сервером CRL, определенным в сертификате.
Дополнительные сведения см. в разделе "Проверка доступа к серверу CRL".
Сбой проверки сертификата Указывает на общую ошибку на устройстве.
Обратитесь в службу поддержки Майкрософт.

Обновление конфигурации сети датчика OT

Вы настроили сеть датчиков OT во время установки. Может потребоваться внести изменения в рамках обслуживания датчика OT, например изменить сетевые значения или настроить конфигурацию прокси-сервера.

Чтобы обновить конфигурацию датчика OT, выполните следующие действия.

  1. Войдите в датчик OT и выберите параметры сети system Параметры> Basic>Sensor.

  2. В области параметров сети датчика обновите следующие сведения для датчика OT по мере необходимости:

    • IP-адрес . Изменение IP-адреса может потребовать повторного входа пользователей в датчик OT.
    • Маска подсети
    • Шлюз по умолчанию
    • DNS. Обязательно используйте то же имя узла, которое настроено на DNS-сервере вашей организации.
    • Имя узла (необязательно)
  3. При необходимости переключите параметр "Включить прокси-сервер " или "Включить". Если вы используете прокси-сервер, введите следующие значения:

    • Узел прокси-сервера
    • Порт прокси-сервера
    • Имя пользователя прокси-сервера (необязательно)
    • Пароль прокси-сервера (необязательно)
  4. Выберите Сохранить, чтобы сохранить изменения.

Отключение режима обучения вручную

Сетевой датчик Microsoft Defender для Интернета вещей OT автоматически отслеживает сеть, как только он подключен к сети, и вы вошли в систему. Сетевые устройства начинают отображаться в инвентаризации устройств, а оповещения активируются для любых инцидентов безопасности или операционных инцидентов, происходящих в вашей сети.

Изначально это действие происходит в режиме обучения , который предписывает датчику OT узнать обычное действие вашей сети, включая устройства и протоколы в сети, а также обычные передачи файлов между определенными устройствами. Любое регулярно обнаруженное действие становится базовым трафиком вашей сети.

В этой процедуре описывается, как отключить режим обучения вручную, если вы считаете, что текущие оповещения точно отражают ваше сетевое действие.

Чтобы отключить режим обучения:

  1. Войдите в сетевой датчик OT и выберите подсистемы обнаружения сетевых > мониторинга > параметров системы и сетевого моделирования.

  2. Переключите один или оба из следующих параметров:

    • Обучение. Переключите этот параметр примерно через две шесть недель после развертывания датчика, когда вы чувствуете, что обнаружение датчика OT точно отражает вашу сетевую активность.

    • Смарт-ИТ-Обучение. Сохраните этот параметр, чтобы сохранить количество недетерминированных оповещений и уведомлений с низким уровнем.

    Недетерминированное поведение включает изменения, которые являются результатом нормального ИТ-действия, например DNS и HTTP-запросов. Отключение параметра Smart IT Обучение может активировать множество оповещений о нарушении политики ложноположительных срабатываний.

  3. В сообщении подтверждения нажмите кнопку "ОК" и нажмите кнопку "Закрыть ", чтобы сохранить изменения.

Обновление интерфейсов мониторинга датчика (настройка ERSPAN)

Вы можете изменить интерфейсы, используемые датчиком для мониторинга трафика. Вы изначально настроили эти сведения в рамках начальной настройки датчика, но может потребоваться изменить параметры в рамках обслуживания системы, например настройку мониторинга ERSPAN.

Дополнительные сведения см. в разделе "Порты ERSPAN".

Примечание.

Эта процедура перезагрузит программное обеспечение датчика, чтобы реализовать все внесенные изменения.

Чтобы обновить интерфейсы мониторинга датчика, выполните следующее:

  1. Войдите в датчик OT и выберите подключения "Базовый>>интерфейс" для параметров системы.

  2. В сетке найдите интерфейс, который требуется настроить. Выполните одно из следующих действий.

    • Выберите переключатель включения и отключения для любых интерфейсов, которые требуется отслеживать датчиком. Для каждого датчика должен быть включен хотя бы один интерфейс.

      Если вы не уверены, какой интерфейс следует использовать, нажмите кнопку индикатора индикатора физического интерфейса Blink, чтобы на компьютере был выбран порт.

      Совет

      Рекомендуется оптимизировать производительность датчика, настроив параметры для отслеживания только используемых интерфейсов.

    • Для каждого выбранного интерфейса нажмите кнопку "Дополнительные параметры ", чтобы изменить любой из следующих параметров:

      Имя Описание
      Режим Выберите один из следующих вариантов:

      - Трафик SPAN (без инкапсуляции) для использования порта SPAN по умолчанию зеркало.
      - ERSPAN, если вы используете зеркало ERSPAN.

      Дополнительные сведения см. в разделе "Выбор метода зеркало трафика" для датчиков OT.
      Description Введите необязательное описание интерфейса. Вы увидите это позже на странице конфигураций интерфейса системных параметров > датчика, и эти описания могут быть полезны для понимания цели каждого интерфейса.
      Автоматическое согласование Относится только к физическим компьютерам. Используйте этот параметр для определения типа используемых методов связи или автоматического определения методов связи между компонентами.

      Важно. Мы рекомендуем изменить этот параметр только по советам вашей сетевой команды.

    Например:

    Screenshot of how to configure ERSPAN on the Interface configurations page.

  3. Выберите Сохранить, чтобы сохранить изменения. Программное обеспечение датчика перезапускается для реализации изменений.

Синхронизация часовых поясов на датчике OT

Возможно, вы хотите настроить датчик OT с определенным часовой поясом, чтобы все пользователи могли видеть одно и то же время независимо от расположения пользователя.

Часовые пояса используются в оповещениях, тенденциях и мини-приложениях статистики, отчетах интеллектуального анализа данных, отчетах об оценке рисков и векторных отчетах о атаках.

Чтобы настроить часовой пояс датчика OT, выполните следующее:

  1. Войдите в датчик OT и выберите параметры системы>"Базовый>время" и "Регион".

  2. В области "Время и регион" введите следующие сведения:

    • Часовой пояс: выберите часовой пояс, который вы хотите использовать

    • Формат даты: выберите формат времени и даты, который вы хотите использовать. Поддерживаемые форматы включают:

      • dd/MM/yyyy HH:mm:ss
      • MM/dd/yyyy HH:mm:ss
      • yyyy/MM/dd HH:mm:ss

    Поле даты и времени автоматически обновляется с текущим временем в выбранном формате.

  3. Выберите Сохранить, чтобы сохранить изменения.

Настройка параметров почтового сервера SMTP

Определите параметры почтового сервера SMTP на датчике OT, чтобы настроить датчик OT для отправки данных на другие серверы и партнерские службы.

Вам нужен почтовый сервер SMTP, настроенный для включения оповещений электронной почты об отключенных датчиках, извлечения резервных копий датчиков и сбоев портов мониторинга SPAN из локальной консоль управления, а также настройки правил пересылки почты и настройки правил генерации оповещений.

Необходимые условия:

Убедитесь, что вы можете связаться с SMTP-сервером из порта управления датчика.

Чтобы настроить SMTP-сервер на датчике OT, выполните следующие действия.

  1. Войдите на датчик OT и выберите сервер>integrations Integrations>Mail.

  2. В появившейся области "Изменение конфигурации почтового сервера" определите значения для SMTP-сервера следующим образом:

    Параметр Описание
    Адрес SMTP-сервера Введите IP-адрес или домен SMTP-сервера.
    Порт SMTP-сервера По умолчанию = 25. Измените значение по мере необходимости.
    Учетная запись исходящей почты Введите адрес электронной почты, используемый в качестве исходящей почтовой учетной записи с датчика.
    SSL Переключение для безопасных подключений с датчика.
    Аутентификация Установите переключатель и введите имя пользователя и пароль для учетной записи электронной почты.
    Использование NTLM Установите переключатель для включения NTLM. Этот параметр отображается только при включении параметра проверки подлинности .
  3. Выберите Сохранить, когда вы закончите.

Отправка и воспроизведение файлов PCAP

При устранении неполадок с датчиком OT может потребоваться проверить данные, записанные определенным PCAP-файлом. Для этого можно отправить PCAP-файл на датчик OT и воспроизвести записанные данные.

Параметр Play PCAP включен по умолчанию в параметрах консоли датчика.

Максимальный размер отправляемых файлов составляет 2 ГБ.

Чтобы отобразить проигрыватель PCAP в консоли датчика:

  1. В консоли датчика выберите Параметры системы> Управление датчиком> Расширенные конфигурации.

  2. В области Расширенные конфигурации выберите категорию Pcaps.

  3. В отображаемых конфигурациях поменяйте enabled=0 на enabled=1 и нажмите кнопку Сохранить.

Параметр Play PCAP теперь доступен в параметрах консоли датчика в разделе Системные параметры > Основные > Play PCAP.

Чтобы отправить и воспроизвести файл PCAP:

  1. В консоли датчика выберите Системные параметры > Основные > Play PCAP.

  2. В области PCAP PLAYER выберите "Отправить", а затем перейдите к файлу или нескольким файлам, которые нужно отправить.

    Screenshot of uploading PCAP files on the PCAP PLAYER pane in the sensor console.

  3. Выберите Воспроизвести, чтобы воспроизвести файл PCAP, или Воспроизвести все, чтобы воспроизвести все загруженные PCAP-файлы.

Совет

Выберите Очистить все, чтобы удалить все загруженные файлы PCAP на датчике.

Отключение конкретных обработчиков аналитики

По умолчанию каждый датчик сети OT анализирует прием данных с помощью встроенных обработчиков аналитики и активирует оповещения на основе предварительного и реального трафика.

Хотя мы рекомендуем сохранить все подсистемы аналитики, вы можете отключить определенные подсистемы аналитики на датчиках OT, чтобы ограничить тип аномалий и рисков, отслеживаемых этим датчиком OT.

Важно!

При отключении той или иной подсистемы сгенерированные ею сведения становятся недоступны датчику. Например, если отключить подсистему обнаружения аномалий, вы не будете получать оповещений о сетевых аномалиях. Если вы создали правило генерации оповещений пересылки, аномалии, которые модуль узнает, не будет отправлен.

Для управления подсистемами аналитики датчика OT:

  1. Войдите в датчик OT и выберите подсистемы > обнаружения настроек мониторинга > сети > и сетевого моделирования.

  2. В области "Подсистемы обнаружения" и области сетевого моделирования в области "Обработчики" переключите один или несколько следующих подсистем:

    • Нарушение протокола
    • Нарушение политики
    • Вредоносные программы
    • Аномалия
    • Операционные

    Переключите подсистему обратно, чтобы начать отслеживание связанных аномалий и действий снова.

    Дополнительные сведения см. в разделе Defender для аналитики Интернета вещей.

  3. Нажмите кнопку "Закрыть" , чтобы сохранить изменения.

Управление подсистемами аналитики из локального консоль управления:

  1. Войдите в локальную консоль управления и выберите System Параметры.

  2. В разделе "Конфигурация обработчика датчиков" выберите один или несколько датчиков OT, в которых требуется применить параметры, и снимите любой из следующих параметров:

    • Нарушение протокола
    • Нарушение политики
    • Вредоносные программы
    • Аномалия
    • Операционные
  3. Нажмите кнопку "СОХРАНИТЬ ИЗМЕНЕНИЯ", чтобы сохранить изменения.

Очистка данных датчика OT

Если вам нужно переместить или удалить датчик OT, снимите его, чтобы очистить все обнаруженные или извлеченные данные на датчике OT.

После очистки данных на подключенном к облаку датчике:

  • Инвентаризация устройств на портал Azure обновляется параллельно.
  • Некоторые действия по соответствующим оповещениям в портал Azure больше не поддерживаются, например скачивание PCAP-файлов или оповещений об обучении.

Примечание.

Параметры сети, такие как IP/DNS/GATEWAY, не будут изменены при очистке системных данных.

Чтобы очистить системные данные, сделайте следующее:

  1. Войдите в датчик OT от имени пользователя администратора . Дополнительные сведения см. в разделе "Привилегированные пользователи по умолчанию".

  2. Выберите "Поддержка очистки>данных".

  3. В диалоговом окне подтверждения нажмите кнопку "Да" , чтобы убедиться, что вы хотите очистить все данные из датчика и сбросить его. Например:

    Screenshot of clearing system data on the support page in the sensor console.

Появится сообщение подтверждения о том, что действие выполнено успешно. Все полученные данные, списки разрешений, политики и параметры конфигурации удаляются с датчика.

Управление подключаемыми модулями датчиков и мониторинг производительности подключаемого модуля

Просмотрите данные для каждого протокола, отслеживаемого датчиком, с помощью страницы "Протоколы DPI" (Подключаемые модули Horizon) в консоли датчика.

  1. Войдите в консоль датчика OT и выберите "Параметры > системы" (DPI протоколов мониторинга сети>) (подключаемые модули Horizon).

  2. Выполните одно из следующих действий:

    • Чтобы ограничить протоколы, отслеживаемые датчиком, выберите переключатель "Включить или отключить " для каждого подключаемого модуля по мере необходимости.

    • Чтобы отслеживать производительность подключаемого модуля, просмотрите данные, отображаемые на странице протоколов DPI (Подключаемые модули Horizon) для каждого подключаемого модуля. Чтобы найти конкретный подключаемый модуль, используйте поле поиска , чтобы ввести часть или все имя подключаемого модуля.

На странице DPI протоколов (подключаемые модули Horizon) для каждого подключаемого модуля указаны следующие данные:

Имя столбца Description
Плагин Определяет имя подключаемого модуля.
Тип Тип подключаемого модуля, включая APPLICATION или INFRASTRUCTURE.
Time Время последнего анализа данных с помощью этого подключаемого модуля. Метка времени обновляется каждые пять секунд.
PPS Количество пакетов, проанализированных подключаемым модулем в секунду.
Пропускная способность Средняя пропускная способность, определенная подключаемым модулем в течение последних пяти секунд.
Неправильные формы Количество ошибок, связанных с неправильным форматом, которые были обнаружены за последние пять секунд. Проверки на неправильный формат используются после успешного завершения проверки протокола. Если не удалось обработать пакеты на основе протокола, возвращается ответ на сбой.
Предупреждения Количество обнаруженных предупреждений, например, когда пакеты соответствуют структуре и спецификациям, но выявлено непредвиденное поведение на основе конфигурации предупреждений подключаемого модуля.
ошибки Количество ошибок, обнаруженных за последние пять секунд для пакетов, которые не прошли базовые проверки протокола для пакетов, соответствующих определениям протокола.

Данные журнала доступны для экспорта в статистике dissection и журналах dissection, файлах журналов. Дополнительные сведения см. в статье об экспорт журналов устранения неполадок.

Дальнейшие действия

Дополнительные сведения см. в разделе: