Управление датчиками с помощью Defender для Интернета вещей на портале Azure
В этой статье описывается, как просматривать датчики и управлять ими с помощью Microsoft Defender для Интернета вещей в портал Azure.
Необходимые компоненты
Прежде чем использовать процедуры в этой статье, необходимо подключить сетевые датчики к Defender для Интернета вещей. Дополнительные сведения см. в разделе:
- Подключение датчиков OT к Defender для Интернета вещей
- Улучшение мониторинга безопасности Интернета вещей с помощью сетевого датчика Enterprise IoT (общедоступная предварительная версия)
Просмотр датчиков
Все подключенные к облаку датчики, включая датчики OT и Enterprise IoT, перечислены на странице "Сайты и датчики ". Например:
Сведения о каждом датчике перечислены в следующих столбцах:
| Имя столбца | Description |
|---|---|
| Имя датчика | Отображает имя, назначенное датчику во время регистрации. |
| Тип датчика | Отображает, подключен ли датчик OT локально, подключен к облаку OT или датчик Корпоративного Интернета вещей. |
| Зона | Отображает зону, содержащую этот датчик. |
| Имя подписки | Отображает имя подписки учетной записи Microsoft Azure, к которой принадлежит этот датчик. |
| Версия датчика | Отображает версию программного обеспечения для мониторинга OT, установленную на датчике. |
| Работоспособности датчика | Отображает сообщение о работоспособности датчика. Дополнительные сведения см. в разделе "Общие сведения о работоспособности датчика". |
| Последнее подключение (UTC) | Отображает время последнего подключения датчика. |
| Версия аналитики угроз | Отображает версию аналитики угроз, установленную на датчике OT. Имя версии основано на день создания пакета Defender для Интернета вещей. |
| Режим аналитики угроз | Отображает режим обновления аналитики угроз вручную или автоматически. Вручную означает, что при необходимости можно отправлять недавно выпущенные пакеты непосредственно в датчики . В противном случае новые пакеты автоматически устанавливаются на все датчики, подключенные к облаку. |
| Состояние обновления аналитики угроз | Отображает состояние обновления пакета аналитики угроз на датчике OT. Состояние может быть выполнено сбоем, "Выполняется", "Обновление доступно" или "ОК". |
Параметры управления сайтами из портал Azure
При подключении нового датчика OT к Defender для Интернета вещей его можно добавить на новый или существующий сайт. При работе с сетями OT упорядочение датчиков на сайты позволяет эффективнее управлять датчиками и выравнивать стратегию нулевого доверия в сети.
Все датчики корпоративного Интернета вещей автоматически добавляются на один и тот же сайт с именем Корпоративная сеть.
Чтобы изменить сайт из портал Azure, выполните следующие действия.
Выберите имя сайта на странице "Сайты и датчики ". В области "Изменение сайта", открывающейся справа, измените любое из следующих значений:
Вариант Описание Отображаемое имя Введите понятное имя сайта. Ответственное лицо Только для сайтов OT. Введите один или несколько адресов электронной почты для пользователя, которого вы хотите назначить владельцем устройств на этом сайте. Владелец сайта наследуется всеми устройствами на сайте и отображается на страницах сущностей устройства Интернета вещей и в сведениях об инциденте в Microsoft Sentinel.
В Microsoft Sentinel используйте сборники схем AD4IoT-SendEmailtoIoTOwner и AD4IoT-CVEAutoWorkflow , чтобы автоматически уведомлять владельцев устройств о важных оповещениях или инцидентах. Дополнительные сведения см. в статье "Изучение и обнаружение угроз для устройств Интернета вещей".Теги (Необязательно) Введите значения полей "Ключ и значение" для каждого нового тега, который вы хотите добавить на сайт. Нажмите кнопку +Добавить, чтобы добавить новый тег. Только для сайтов OT: чтобы определить указанные разрешения для каждого сайта, выберите "Управление доступом сайта" (предварительная версия).
Например, это можно сделать в рамках стратегии безопасности нулевого доверия, чтобы добавить уровень детализации в политики доступа Azure. Сайты Defender для Интернета вещей обычно отражают множество устройств, сгруппированных в определенном географическом расположении, таких как устройства в офисном здании по определенному адресу.
Дополнительные сведения см. в разделе "Управление доступом на основе сайта".
Когда все будет готово, нажмите кнопку Сохранить, чтобы сохранить изменения.
Параметры управления датчиками на портале Azure
Датчики, которые вы подключили к Defender для Интернета вещей, перечислены на страницеSites and sensors (Сайты и датчики) в Defender для Интернета вещей. Выберите конкретное имя датчика, чтобы перейти к более подробным сведениям об этом датчике.
Используйте параметры на странице Sites and sensor (Сайты и датчики) и на странице сведений о датчиках для выполнения любой из следующих задач. Если вы находитесь на странице Sites and sensors (Сайты и датчики), выберите несколько датчиков, чтобы применить ваши действия массово с помощью параметров панели инструментов. Для отдельных датчиков используйте параметры панели инструментов Sites and sensors (Сайты и датчики), меню параметров ... справа от записи датчика или параметры на странице сведений о датчике.
Обновления датчика OT
| Задача | Description |
|---|---|
 Обновление датчика (предварительная версия) |
Только датчики ОТ. Запустите удаленные обновления на датчиках OT непосредственно из портал Azure или скачайте пакеты обновления для обновления вручную. Дополнительные сведения см. в статье Обновление программного обеспечения для мониторинга Defender для Интернета вещей. |
 Обновление аналитики угроз (предварительная версия) |
Только датчики ОТ. Доступно для массовых действий на панели инструментов Sites and sensors (Сайты и датчики), для отдельных датчиков в меню параметров ... или на странице сведений о датчике. Дополнительную информацию см. в разделе Исследования и пакеты аналитики угроз. |
 Изменение автоматических обновлений аналитики угроз |
Только отдельные датчики OT. Доступно в меню параметров ... или на странице сведений о датчике. Выберите Изменить, а затем при необходимости включите или отключите параметр Automatic Threat Intelligence Updates (Preview) (Автоматические обновления аналитики угроз (предварительная версия)). Нажмите кнопку Отправить, чтобы сохранить изменения. |
Развертывание датчика и доступ
| Задача | Description |
|---|---|
 Восстановление пароля датчика OT |
Только отдельные датчики OT. Доступно в меню параметров ... или на странице сведений о датчике. Введите секретный идентификатор, полученный на экране данных для входа датчика. |
| Восстановление пароля локальной консоли управления | Доступно на панели инструментов Sites and sensors (Сайты и датчики) в меню Дополнительные действия. Дополнительные сведения см. в статье Подключение датчиков к локальной консоли управления. |
 Скачивание файла активации |
Только отдельные датчики OT. Доступно в меню параметров ... или на странице сведений о датчике. |
| Редактирование сенсорной зоны |
Только для отдельных датчиков: в меню параметров ... или на странице сведений о датчике. Выберите "Изменить", а затем выберите новую зону в меню "Зона " или выберите "Создать новую зону". Нажмите кнопку Отправить, чтобы сохранить изменения. |
| Скачивание MIB-файла SNMP | Доступно на панели инструментов Sites and sensors (Сайты и датчики) в меню Дополнительные действия. Дополнительные сведения см. в статье Настройка мониторинга работоспособности SNMP MIB на датчике OT. |
| Создание команды активации |
Только отдельные корпоративные датчики Интернет вещей. Доступно в меню параметров ... или на странице сведений о датчике. Выберите Изменить, а затем выберите Создание команды активации. Дополнительные сведения см. в разделе "Установка программного обеспечения датчика Enterprise IoT". |
| Скачивание сведений о конечной точке | Только датчики ОТ. Доступно на панели инструментов Sites and sensors (Сайты и датчики) в меню Дополнительные действия. Скачайте список конечных точек, которые должны быть включены в качестве безопасных конечных точек с сетевых датчиков OT. Убедитесь, что трафик HTTPS включен через порт 443 в перечисленные конечные точки для подключения датчика к Azure. Правила исходящего разрешения определяются один раз для всех датчиков OT, подключенных к одной подписке. Чтобы включить этот параметр, выберите датчик с поддерживаемой версией программного обеспечения или сайт с одним или несколькими датчиками с поддерживаемыми версиями. |
Обслуживание датчиков и устранение неполадок
| Задача | Description |
|---|---|
 Параметры датчика (предварительная версия) |
Только датчики ОТ. Определите выбранные параметры датчика для одного или нескольких сетевых датчиков, подключенных к облаку. Дополнительные сведения см. в разделе "Определение и просмотр параметров датчика OT" из портал Azure (общедоступная предварительная версия). Другие параметры также доступны непосредственно из консоли датчика OT или локальной консоль управления. |
| Экспорт данных датчика |
Доступно только на панели инструментов Sites and sensors (Сайты и датчики) для загрузки CSV-файла со сведениями обо всех перечисленных датчиках. |
 Удаление датчика |
Только для отдельных датчиков: в меню параметров ... или на странице сведений о датчике. |
 Отправка диагностических файлов в службу поддержки |
Только отдельные, локально управляемые датчики OT. Доступно в меню параметров .... Дополнительные сведения см. в статье "Отправка журнала диагностика для поддержки". |
Получение данных судебной экспертизы, хранящихся на датчике
Используйте книги Azure Monitor на сетевом датчике OT для получения судебно-медицинских данных из хранилища этого датчика. Следующие типы судебно-медицинских данных хранятся локально на датчиках OT для устройств, обнаруженных этим датчиком:
- Данные устройства
- Данные оповещений
- Файлы PCAP оповещений
- Данные о событиях временная шкала
- Файлы журналов
Каждый тип данных имеет разные срок хранения и максимальную емкость. Дополнительные сведения см. в статье Визуализация данных Microsoft Defender для Интернета вещей с помощью книг Azure Monitor и хранения данных в Microsoft Defender для Интернета вещей.
Повторная активация датчика OT
Возможно, потребуется повторно активировать датчик OT в ситуациях, перечисленных ниже.
Работа в режиме подключения к облаку вместо режима локального управления. После повторной активации имеющиеся обнаружения датчиков отображаются в консоли датчиков, а новые обнаруженные сведения об оповещении доставляются через Defender для Интернета вещей на портале Azure. Эти сведения можно использовать совместно с другими службами Azure, такими как Microsoft Sentinel.
Работа в локально управляемом режиме вместо режима подключения к облаку. После повторной активации информация об обнаружении датчиков отображается только в консоли датчиков.
Свяжите датчик с новым сайтом: повторно зарегистрируйте датчик с новыми определениями сайта и используйте новый файл активации для активации.
Измените обязательство плана: если вы вносите изменения в план, например изменение плана цен с пробной версии на ежемесячное обязательство, необходимо повторно активировать датчики, чтобы отразить новые изменения.
В таких случаях выполните следующие действия.
- Удалите имеющийся датчик.
- Подключите датчик повторно, зарегистрировав его с новыми параметрами.
- Загрузите новый файл активации.
Общие сведения о работоспособности датчика
В этой процедуре описывается, как просмотреть данные о работоспособности датчика на портале Azure. Сведения о работоспособности датчика включают такие данные, как стабильность трафика, перегрузка датчика, уведомления о версиях программного обеспечения датчика и многое другое.
Чтобы просмотреть общее состояние датчика, сделайте следующее:
В Defender для Интернета вещей на портале Azure выберите Sites and sensors (Сайты и датчики), а затем проверьте общую оценку работоспособности в мини-приложении над сеткой. Например:
Неподдерживаемое означает, что датчик имеет версию программного обеспечения, которая больше не поддерживается.
Состояние Неработоспособный указывает на один из следующих сценариев:
- Трафик датчиков в Azure нестабилен
- Сенсор не проходит регулярные тесты на работоспособность
- Датчик не фиксирует трафик
- Версия программного обеспечения датчика больше не поддерживается
- Удаленное обновление датчика с портала Azure завершается ошибкой
Дополнительные сведения см. в нашем справочнике по сообщениям о работоспособности датчика.
Чтобы проверить конкретные проблемы с датчиками, отфильтруйте сетку по работоспособности датчиков и выберите одну или несколько проблем для проверки. Например:
Разверните отфильтрованные сайты и датчики, которые теперь отображаются в сетке, и используйте столбец Работоспособность датчика, чтобы узнать больше в общих чертах.
Для более детального изучения и понимания рекомендуемых действий выберите имя датчика, чтобы открыть страницу сведений о датчике.
Например:
На странице сведений о датчике Обзор разверните раздел Работоспособность и любые перечисленные там сообщения, чтобы узнать больше. В столбце Рекомендация справа перечислены рекомендуемые действия по устранению проблемы с работоспособностью.
Дополнительные сведения см. в нашем справочнике по сообщениям о работоспособности датчика.
Отправка журнала диагностики для службы поддержки
Если требуется открыть запрос в службу поддержки для локально управляемого датчика, отправьте журнал диагностики на портал Azure для службы поддержки.
Совет
Для подключенных к облаку датчиков журнал диагностики автоматически предоставляется службе поддержки при создании запроса.
Чтобы отправить отчет диагностики, выполните следующие действия.
Убедитесь, что у вас есть отчет о диагностике, доступный для отправки. Дополнительные сведения см. в разделе Скачивание журнала диагностики для службы поддержки.
В Defender для Интернета вещей в портал Azure перейдите на страницу "Сайты и датчики" и выберите локально управляемый датчик, связанный с запросом в службу поддержки.
Для выбранного датчика выберите меню параметров ... в правой >строке "Отправить диагностические файлы для поддержки". Например:
