Sensör konsolundan OT ağ algılayıcılarını koruma

Bu makalede, daha büyük bir dağıtım işlemi dışında gerçekleştirebileceğiniz ek OT algılayıcı bakım etkinlikleri açıklanmaktadır.

OT algılayıcıları OT algılayıcı CLI'sından, Azure portalından ve şirket içi yönetim konsolundan da korunabilir.

Dikkat

Müşteri yapılandırması için yalnızca OT ağ algılayıcısı ve şirket içi yönetim konsolunda belgelenmiş yapılandırma parametreleri desteklenir. Değişiklikler beklenmeyen davranışlara ve sistem hatalarına neden olabileceğinden, belgelenmemiş yapılandırma parametrelerini veya sistem özelliklerini değiştirmeyin.

Microsoft onayı olmadan algılayıcınızdan paketlerin kaldırılması beklenmeyen sonuçlara neden olabilir. Algılayıcıya yüklenen tüm paketler doğru algılayıcı işlevselliği için gereklidir.

Önkoşullar

Bu makaledeki yordamları gerçekleştirmeden önce şunlara sahip olduğunuzdan emin olun:

• Azure portalında IoT için Defender'a yüklenen, yapılandırılan ve etkinleştirilen ve eklenen bir OT ağ algılayıcısı.

• Yönetici kullanıcı olarak OT algılayıcısına erişim. Seçilen yordamlar ve CLI erişimi de ayrıcalıklı bir kullanıcı gerektirir. Daha fazla bilgi için bkz . IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.

• OT algılayıcıları için yazılım indirmek için Azure portalına Güvenlik Yönetici, Katkıda Bulunan veya Sahip kullanıcısı olarak erişmeniz gerekir.

• Algılayıcınızın sertifikasını güncelleştirmeniz gerekiyorsa hazırlanmış bir SSL/TLS sertifikası.

Genel OT algılayıcı durumunu görüntüleme

OT algılayıcınızda oturum açtığınızda, gösterilen ilk sayfa Genel Bakış sayfasıdır.

Örneğin:

Genel Bakış sayfasında aşağıdaki pencere öğeleri gösterilir:

Veri Akışı Adı	Açıklama
Genel Ayarlar	Algılayıcının temel yapılandırma ayarlarının ve bağlantı durumunun listesini görüntüler.
Trafik İzleme	Algılayıcıdaki trafiğin ayrıntılarını gösteren bir grafik görüntüler. Grafikte trafik, görüntüleme gününde saatte mb/sn birim olarak gösterilir.
İlk 5 OT Protokolü	En çok kullanılan ilk beş OT protokollerinin ayrıntılarını gösteren bir çubuk grafik görüntüler. Çubuk grafik, bu protokollerin her birini kullanan cihaz sayısını da sağlar.
Bağlantı Noktasına Göre Trafik	Ağınızdaki bağlantı noktası türlerini ve her bağlantı noktası türünde algılanan trafik miktarını gösteren bir pasta grafik görüntüler.
En iyi açık uyarılar	Her uyarıyla ilgili kritik ayrıntılar da dahil olmak üzere yüksek önem düzeyine sahip açık uyarıları listeleyen bir tablo görüntüler.

Algılayıcınızda daha fazla bilgi için detaya gitmek için her pencere öğesindeki bağlantıyı seçin.

Bağlantı durumunu doğrulama

OT algılayıcınızın doğrudan OT algılayıcısının Genel Bakış sayfasından Azure portalına başarıyla bağlandığını doğrulayın.

Bağlantı sorunları varsa, Genel Bakış sayfasının Genel Ayarlar alanında bir bağlantı kesme iletisi gösterilir ve Sistem İletileri alanındaki sayfanın en üstünde bir Hizmet bağlantısı hatası uyarısı görüntülenir. Örneğin:

Bilgi simgesinin üzerine gelerek sorun hakkında daha fazla bilgi bulabilirsiniz. Örneğin:

Sistem İletileri altındaki Daha fazla bilgi edinin seçeneğini belirleyerek işlem yapın. Örneğin:

OT algılayıcıları için yazılım indirme

IoT için Defender yazılımını kendi gereçlerinize yüklüyorsanız veya yazılım sürümlerini güncelleştiriyorsanız OT algılayıcınız için yazılım indirmeniz gerekebilir.

Azure portalında IoT için Defender'da aşağıdaki seçeneklerden birini kullanın:

• Yeni bir yükleme için Başlarken>Algılayıcı'yı seçin. Alet satın al ve yazılım yükle alanında bir sürüm seçin ve ardından İndir'i seçin.

• OT algılayıcınızı güncelleştiriyorsanız Siteler ve algılayıcılar sayfası >Algılayıcı güncelleştirmesi (Önizleme) menüsündeki seçenekleri kullanın.

Azure portalından indirilen tüm dosyalar güven kökü tarafından imzalanarak makinelerinizin yalnızca imzalı varlıkları kullanması sağlanır.

Daha fazla bilgi için bkz . IoT OT izleme yazılımı için Defender'ı güncelleştirme.

Yeni etkinleştirme dosyasını karşıya yükleme

Her OT algılayıcısı buluta bağlı veya yerel olarak yönetilen bir OT algılayıcısı olarak eklenir ve benzersiz bir etkinleştirme dosyası kullanılarak etkinleştirilir. Buluta bağlı algılayıcılar için etkinleştirme dosyası, algılayıcı ile Azure arasındaki bağlantıyı sağlamak için kullanılır.

Yerel olarak yönetilen bir algılayıcıdan buluta bağlı bir algılayıcıya geçiş gibi algılayıcı yönetim modlarını değiştirmek veya yeni bir yazılım sürümünden güncelleştirme yapmak istiyorsanız algılayıcınıza yeni bir etkinleştirme dosyası yüklemeniz gerekir. Algılayıcınıza yeni bir etkinleştirme dosyası yüklemek, algılayıcınızı Azure portalından silmeyi ve yeniden eklemeyi içerir.

Yeni bir etkinleştirme dosyası eklemek için:

1. Aşağıdakilerden birini yapın:

   • Algılayıcınızı sıfırdan ekleme:

     1. Azure portalı>siteler ve algılayıcılar üzerindeki IoT için Defender'da OT algılayıcınızı bulun ve silin.

     2. Algılayıcıyı sıfırdan yeniden eklemek ve yeni etkinleştirme dosyasını indirmek için Ot algılayıcı > ot ekle'yi seçin. Daha fazla bilgi için bkz . Ot algılayıcılarını ekleme.

   • Geçerli algılayıcının etkinleştirme dosyasını indirin: Siteler ve algılayıcılar sayfasında yeni eklediğiniz algılayıcıyı bulun. Algılayıcının satırındaki üç noktayı (...) seçin ve Etkinleştirme dosyasını indir'i seçin. Dosyayı algılayıcınızın erişebileceği bir konuma kaydedin.

   Azure portalından indirilen tüm dosyalar güven kökü tarafından imzalanarak makinelerinizin yalnızca imzalı varlıkları kullanması sağlanır.

2. IoT için Defender algılayıcı konsolunda oturum açın ve Sistem Ayarlar> Sor yönetimi>Aboneliği ve Etkinleştirme Modu'nu seçin.

3. Karşıya yükle'yi seçin ve Azure portalından indirdiğiniz dosyaya göz atın.

4. Yeni etkinleştirme dosyanızı karşıya yüklemek için Etkinleştir'i seçin.

Etkinleştirme dosyasını karşıya yükleme sorunlarını giderme

Etkinleştirme dosyası karşıya yüklenemediyse bir hata iletisi alırsınız. Aşağıdaki olaylar gerçekleşmiş olabilir:

• Algılayıcı İnternet'e bağlanamıyor: Algılayıcının ağ yapılandırmasını denetleyin. Algılayıcınızın İnternet'e erişmek için bir web ara sunucusu üzerinden bağlanması gerekiyorsa, Algılayıcı Ağ Yapılandırması ekranında proxy sunucunuzun doğru yapılandırıldığını doğrulayın. Güvenlik duvarında ve/veya ara sunucuda gerekli uç noktalara izin verilip verilmediğini doğrulayın.

  OT algılayıcıları sürüm 22.x için Azure portalındaki Siteler ve algılayıcılar sayfasından gerekli uç noktaların listesini indirin. Desteklenen yazılım sürümüne sahip bir OT algılayıcısı veya bir veya daha fazla desteklenen algılayıcıya sahip bir site seçin. Ardından Diğer eylemler>Uç nokta ayrıntılarını indir'i seçin. Önceki sürümlere sahip algılayıcılar için bkz . Azure portalına algılayıcı erişimi.

• Etkinleştirme dosyası geçerli ancak IoT için Defender dosyayı reddetti: Bu sorunu çözemiyorsanız, Azure portalındaki Siteler ve algılayıcılar sayfasından başka bir etkinleştirme indirebilirsiniz. Bu işe yaramazsa Microsoft Desteği ile iletişime geçin.

Not

Etkinleştirme dosyalarının süresi oluşturulduktan 14 gün sonra dolar. Algılayıcınızı eklediyseniz ancak süresi dolmadan etkinleştirme dosyasını karşıya yüklemediyseniz yeni bir etkinleştirme dosyası indirin.

SSL/TLS sertifikalarını yönetme

Üretim ortamıyla çalışıyorsanız OT algılayıcı dağıtımınızın bir parçası olarak CA imzalı bir SSL/TLS sertifikası dağıtmış olursunuz. Otomatik olarak imzalanan sertifikaları yalnızca test amacıyla kullanmanızı öneririz.

Aşağıdaki yordamlarda, sertifikanın süresi dolmuş olması gibi güncelleştirilmiş SSL/TLS sertifikalarının nasıl dağıtılacağı açıklanmaktadır.

İpucu

Cli komutlarını kullanarak sertifikayı OT algılayıcınıza da aktarabilirsiniz.

CA imzalı sertifika dağıtma

CA imzalı SSL/TLS sertifikası dağıtmak için:

1. OT algılayıcınızda oturum açın ve Sistem Ayarlar> Basic>SSL/TLS Sertifikası'ni seçin.

2. SSL/TLS Sertifikaları bölmesinde Güvenilen CA sertifikasını içeri aktar (önerilen) seçeneğini belirleyin. Örneğin:

   

3. Aşağıdaki parametreleri girin:

   Parametre	Açıklama
   Sertifika Adı	Sertifika adınızı girin.
   - Parola İsteğe Bağlı	Parola girin.
   Özel Anahtar (KEY dosyası)	Özel Anahtar (KEY dosyası) karşıya yükleyin.
   Sertifika (CRT dosyası)	Sertifikayı (CRT dosyası) karşıya yükleyin.
   Sertifika Zinciri (PEM dosyası) - İsteğe bağlı	Sertifika Zincirini (PEM dosyası) karşıya yükleyin.

   Sertifikayı CRL sunucusuna karşı doğrulamak üzere sertifika durumunu denetlemek için CRL Kullan (Sertifika İptal Listesi) seçeneğini belirleyin. İçeri aktarma işlemi sırasında sertifika bir kez denetlenir.

   Karşıya yükleme başarısız olursa, güvenliğinize veya BT yöneticinize başvurun. Daha fazla bilgi için bkz . Şirket içi kaynaklar için SSL/TLS sertifika gereksinimleri ve OT gereçleri için SSL/TLS sertifikaları oluşturma.

4. Şirket içi yönetim konsolu sertifika doğrulaması alanında SSL/TLS sertifika doğrulaması gerekiyorsa Zorunlu'ya tıklayın. Aksi durumda Hiçbiri seçeneğini belirleyin.

   Zorunlu'yu seçtiyseniz ve doğrulama başarısız olursa, ilgili bileşenler arasındaki iletişim durdurulmuş olur ve algılayıcıda doğrulama hatası gösterilir. Daha fazla bilgi için bkz . CRT dosya gereksinimleri.

5. Sertifika ayarlarınızı kaydetmek için Kaydet'i seçin.

Otomatik olarak imzalanan sertifika oluşturma ve dağıtma

Her OT algılayıcısı, yalnızca test amacıyla kullanmanızı önerdiğimiz otomatik olarak imzalanan bir sertifikayla birlikte yüklenir. Üretim ortamlarında her zaman CA ile imzalanan bir sertifika kullanmanızı öneririz.

Otomatik olarak imzalanan sertifikalar daha az güvenli bir ortama yol açar, çünkü sertifikanın sahibi doğrulanamaz ve sisteminizin güvenliği korunamaz.

Otomatik olarak imzalanan bir sertifika oluşturmak için OT algılayıcınızdan sertifika dosyasını indirin ve ardından ot algılayıcısına geri yüklemeniz gereken sertifika dosyalarını oluşturmak için bir sertifika yönetim platformu kullanın.

Otomatik olarak imzalanan bir sertifika oluşturmak için:

Tarayıcıda OT algılayıcısının IP adresine gidin ve ardından:

1. Web tarayıcınızın adres çubuğunda Güvenli değil uyarısını seçin ve ardından "Bu siteye bağlantınız güvenli değil" uyarı iletisinin yanındaki simgeyi seçin.> Örneğin:

   

2. Bu web sitesinin güvenlik sertifikasını görüntülemek için Sertifikayı göster simgesini seçin.

3. Sertifika görüntüleyici bölmesinde Ayrıntılar sekmesini seçin ve dışarı aktarılan dosyanız için bir ad girip yerel makinenize kaydetmek için Dışarı Aktar'ı seçin.

4. Aşağıdaki ssl/TLS sertifika dosyası türlerini oluşturmak için bir sertifika yönetim platformu kullanın:

   Dosya türü	Açıklama
   .crt – sertifika kapsayıcı dosyası	.pemWindows Gezgini'nde destek için farklı bir uzantıya sahip bir , veya .der dosyası.
   .key – Özel anahtar dosyası	Anahtar dosyası, Windows Gezgini'nde destek için farklı bir uzantıya sahip bir dosyayla aynı biçimdedir .pem .
   .pem – sertifika kapsayıcı dosyası (isteğe bağlı)	isteğe bağlı. Sertifika metninin Base64 kodlamasına sahip bir metin dosyası ve sertifikanın başlangıcını ve sonunu işaretlemek için düz metin üst bilgisi ve alt bilgisi.

   Örneğin:

   1. İndirilen sertifika dosyasını açın ve Sertifika Dışarı Aktarma Sihirbazı'nı çalıştırmak için Ayrıntılar sekmesini> Dosyaya kopyala'yı seçin.

   2. Sertifika Dışarı Aktarma Sihirbazı'nda Sonraki>DER kodlanmış ikili X.509 ( öğesini seçin. CER)> ve ardından yeniden İleri'yi seçin.

   3. Dışarı Aktaracak Dosya ekranında Gözat'ı seçin, sertifikayı depolamak için bir konum seçin ve ardından İleri'yi seçin.

   4. Sertifikayı dışarı aktarmak için Son'u seçin.

Not

Mevcut dosya türlerini desteklenen türlere dönüştürmeniz gerekebilir.

İşiniz bittiğinde, sertifika dosyalarınızı doğrulamak için aşağıdaki yordamları kullanın:

• CRL sunucusu erişimini doğrulama
• SSL/TLS sertifikasını güvenilen bir depoya aktarma
• SSL/TLS sertifikalarınızı test edin

Otomatik olarak imzalanan bir sertifika dağıtmak için:

1. OT algılayıcınızda oturum açın ve Sistem Ayarlar> Basic>SSL/TLS Sertifikası'ni seçin.

2. SSL/TLS Sertifikaları bölmesinde, varsayılan Yerel olarak oluşturulan otomatik olarak imzalanan sertifikayı kullan (Önerilmez) seçeneğinin seçili kalmasını sağlayın.

3. Uyarıyı onaylamak için Onayla seçeneğini belirleyin.

4. Şirket içi yönetim konsolu sertifika doğrulaması alanında SSL/TLS sertifika doğrulaması gerekiyorsa Zorunlu'ya tıklayın. Aksi durumda Hiçbiri seçeneğini belirleyin.

   Bu seçenek açıksa ve doğrulama başarısız olursa, ilgili bileşenler arasındaki iletişim durdurulmuş olur ve algılayıcıda doğrulama hatası gösterilir. Daha fazla bilgi için bkz . CRT dosya gereksinimleri.

5. Sertifika ayarlarınızı kaydetmek için Kaydet'i seçin.

Sertifika karşıya yükleme hatalarını giderme

Sertifikalar düzgün oluşturulmadıysa veya geçersizse OT algılayıcılarınıza veya şirket içi yönetim konsollarınıza sertifika yükleyemezsiniz. Sertifikanızın karşıya yüklenmesi başarısız olursa ve bir hata iletisi gösterildiğinde nasıl işlem yapılacağını anlamak için aşağıdaki tabloyu kullanın:

Sertifika doğrulama hatası	Öneri
Parola anahtarla eşleşmiyor	Doğru parolaya sahip olduğunuzdan emin olun. Sorun devam ederse, doğru parolayı kullanarak sertifikayı yeniden oluşturmayı deneyin. Daha fazla bilgi için bkz . Anahtarlar ve parolalar için desteklenen karakterler.
Güven zinciri doğrulanamıyor. Sağlanan Sertifika ve Kök CA eşleşmiyor.	Bir .pem dosyanın dosyayla bağıntılı .crt olduğundan emin olun. Sorun devam ederse, dosya tarafından tanımlandığı gibi doğru güven zincirini kullanarak sertifikayı .pem yeniden oluşturmayı deneyin.
Bu SSL sertifikasının süresi doldu ve geçerli kabul edilmez.	Geçerli tarihlere sahip yeni bir sertifika oluşturun.
Bu sertifika CRL tarafından iptal edildi ve güvenli bir bağlantı için güvenilir değil	Yeni bir desteklenmeyen sertifika oluşturun.
CRL (Sertifika İptal Listesi) konumuna ulaşılamıyor. URL'ye bu aletten erişilebildiğini doğrulayın	Ağ yapılandırmanızın algılayıcının veya şirket içi yönetim konsolunun sertifikada tanımlanan CRL sunucusuna erişmesine izin verdiğinden emin olun. Daha fazla bilgi için bkz . CRL sunucu erişimini doğrulama.
Sertifika doğrulaması başarısız oldu	Bu, alette genel bir hata olduğunu gösterir. Microsoft Desteği ile iletişime geçin.

OT algılayıcı ağ yapılandırmasını güncelleştirme

Yükleme sırasında OT algılayıcı ağınızı yapılandırmıştınız. Ot algılayıcı bakımının bir parçası olarak, örneğin ağ değerlerini değiştirmek veya bir ara sunucu yapılandırması ayarlamak için değişiklikler yapmanız gerekebilir.

OT algılayıcısı yapılandırmasını güncelleştirmek için:

1. OT algılayıcıda oturum açın ve Sistem Ayarlar> Basic>Algılayıcı ağ ayarları'nı seçin.

2. Algılayıcı ağ ayarları bölmesinde OT algılayıcınız için aşağıdaki ayrıntıları gerektiği gibi güncelleştirin:

   • IP adresi. IP adresini değiştirmek, kullanıcıların OT algılayıcınızda yeniden oturum açmasını gerektirebilir.
   • Alt ağ maskesi
   • Varsayılan ağ geçidi
   • DNS. Kuruluşunuzun DNS sunucusunda yapılandırılan ana bilgisayar adını kullandığınızdan emin olun.
   • Ana bilgisayar adı (isteğe bağlı)

3. Gerekirse Ara Sunucuyu Etkinleştir seçeneğini açın veya kapatın. Ara sunucu kullanıyorsanız aşağıdaki değerleri girin:

   • Ara sunucu konağı
   • Proxy bağlantı noktası
   • Proxy kullanıcı adı (isteğe bağlı)
   • Proxy parolası (isteğe bağlı)

4. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

Öğrenme modunu el ile kapatma

IoT için Microsoft Defender OT ağ algılayıcısı ağınıza bağlanıp oturum açtığınız anda ağınızı otomatik olarak izlemeye başlar. Ağ cihazları cihaz envanterinizde görünmeye başlar ve ağınızda gerçekleşen güvenlik veya işlem olayları için uyarılar tetiklenir.

Başlangıçta bu etkinlik, OT algılayıcınıza ağınızdaki cihazlar ve protokoller ve belirli cihazlar arasında gerçekleşen normal dosya aktarımları dahil olmak üzere ağınızın olağan etkinliğini öğrenmesini sağlayan öğrenme modunda gerçekleşir. Düzenli olarak algılanan tüm etkinlikler ağınızın temel trafiği olur.

Bu yordam, geçerli uyarıların ağ etkinliğinizi doğru yansıttığını düşünüyorsanız öğrenme modunu el ile nasıl kapatabileceğinizi açıklar.

Öğrenme modunu kapatmak için:

1. OT ağ algılayıcınızda oturum açın ve Sistem ayarları > Ağ izleme > Algılama altyapıları ve ağ modelleme'yi seçin.

2. Aşağıdaki seçeneklerden birini veya her ikisini de kapatın:

   • Öğrenme. Ot algılayıcısı algılamalarının ağ etkinliğinizi doğru yansıttığını hissettiğinizde algılayıcınızı dağıttıktan yaklaşık iki-altı hafta sonra bu seçeneği kapatın.

   • Akıllı BT Öğrenmesi. Belirsiz uyarı ve bildirim sayısını düşük tutmak için bu seçeneği açık tutun.

   Belirsiz olmayan davranış, DNS ve HTTP istekleri gibi normal BT etkinliğinin sonucu olan değişiklikleri içerir. Akıllı BT Öğrenmesi seçeneğini kapatmak birçok hatalı pozitif ilke ihlali uyarısını tetikleyebilir.

3. Onay iletisinde Tamam'ı ve ardından Kapat'ı seçerek değişikliklerinizi kaydedin.

Algılayıcının izleme arabirimlerini güncelleştirme (ERSPAN'ı yapılandırma)

Algılayıcınız tarafından trafiği izlemek için kullanılan arabirimleri değiştirmek isteyebilirsiniz. Başlangıçta bu ayrıntıları ilk algılayıcı kurulumunuzun bir parçası olarak yapılandırmıştınız, ancak ERSPAN izlemesini yapılandırma gibi sistem bakımı kapsamında ayarları değiştirmeniz gerekebilir.

Daha fazla bilgi için bkz . ERSPAN bağlantı noktaları.

Not

Bu yordam, yapılan değişiklikleri uygulamak için algılayıcı yazılımınızı yeniden başlatır.

Algılayıcınızın izleme arabirimlerini güncelleştirmek için:

1. OT algılayıcınızda oturum açın ve Sistem ayarları>Temel>Arabirim bağlantıları'nı seçin.

2. Kılavuzda, yapılandırmak istediğiniz arabirimi bulun. Aşağıdakilerden birini yapın:

   • Algılayıcının izlemesini istediğiniz arabirimler için Etkinleştir/Devre Dışı Bırak düğmesini seçin. Her algılayıcı için en az bir arabirim etkinleştirmiş olmanız gerekir.

     Hangi arabirimi kullanacağınızdan emin değilseniz, seçili bağlantı noktasının makinenizde yanıp sönmesi için Fiziksel arabirim LED'ini yanıp sönme düğmesini seçin.

     İpucu

     Ayarlarınızı yalnızca etkin olarak kullanımda olan arabirimleri izleyecek şekilde yapılandırarak algılayıcınızın performansını iyileştirmenizi öneririz.

   • İzlemeyi seçtiğiniz her arabirim için Gelişmiş ayarlar düğmesini seçerek aşağıdaki ayarlardan herhangi birini değiştirin:

     Veri Akışı Adı	Açıklama
     Modu	Aşağıdakilerden birini seçin: - Varsayılan SPAN bağlantı noktası yansıtmasını kullanmak için SPAN Trafiği (kapsülleme yok). - ERSPAN yansıtma kullanıyorsanız ERSPAN. Daha fazla bilgi için bkz . OT algılayıcıları için trafik yansıtma yöntemi seçme.
     Açıklama	Arabirim için isteğe bağlı bir açıklama girin. Bunu daha sonra algılayıcının Sistem ayarları > Arabirim yapılandırmaları sayfasında göreceksiniz ve bu açıklamalar her arabirimin amacını anlamanıza yardımcı olabilir.
     Otomatik anlaşma	Yalnızca fiziksel makineler için geçerlidir. Hangi tür iletişim yöntemlerinin kullanıldığını veya iletişim yöntemlerinin bileşenler arasında otomatik olarak tanımlandığını belirlemek için bu seçeneği kullanın. Önemli: Bu ayarı yalnızca ağ ekibinizin tavsiyesi üzerine değiştirmenizi öneririz.

   Örneğin:

   

3. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin. Algılayıcı yazılımınız değişikliklerinizi uygulamak için yeniden başlatılır.

OT sensöründe saat dilimlerini eşitleme

Ot algılayıcınızı belirli bir saat dilimiyle yapılandırmak isteyebilirsiniz; böylece tüm kullanıcılar, kullanıcının konumundan bağımsız olarak aynı saatleri görebilir.

Saat dilimleri uyarılarda, eğilimlerde ve istatistik pencere öğelerinde, veri madenciliği raporlarında, risk değerlendirme raporlarında ve saldırı vektör raporlarında kullanılır.

Ot algılayıcının saat dilimini yapılandırmak için:

1. OT algılayıcınızda oturum açın ve Sistem ayarları>Temel>Saat ve Bölge'yi seçin.

2. Saat ve Bölge bölmesine aşağıdaki ayrıntıları girin:

   • Saat Dilimi: Kullanmak istediğiniz saat dilimini seçin

   • Tarih Biçimi: Kullanmak istediğiniz saat ve tarih biçimini seçin. Desteklenen biçimler şunlardır:

     • dd/MM/yyyy HH:mm:ss
     • MM/dd/yyyy HH:mm:ss
     • yyyy/MM/dd HH:mm:ss

   Tarih ve Saat alanı, seçtiğiniz biçimde geçerli saatle otomatik olarak güncelleştirilir.

3. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

SMTP posta sunucusu ayarlarını yapılandırma

OT algılayıcınızda SMTP posta sunucusu ayarlarını tanımlayarak OT algılayıcısını diğer sunuculara ve iş ortağı hizmetlerine veri gönderecek şekilde yapılandırın.

Şirket içi yönetim konsolundan bağlantısı kesilmiş algılayıcılar, başarısız algılayıcı yedekleme almaları ve SPAN izleme bağlantı noktası hataları hakkında e-posta uyarılarını etkinleştirmek ve posta iletmeyi ayarlamak ve iletme uyarı kurallarını yapılandırmak için yapılandırılmış bir SMTP posta sunucusuna ihtiyacınız vardır.

Ön koşullar:

SMTP sunucusuna algılayıcının yönetim bağlantı noktasından ulaşabildiğinizden emin olun.

OT algılayıcınızda bir SMTP sunucusu yapılandırmak için:

1. OT algılayıcısında oturum açın ve Sistem ayarları>Tümleştirmeler>Posta sunucusu'nu seçin.

2. Görüntülenen Posta Sunucusu Yapılandırmasını Düzenle bölmesinde SMTP sunucunuzun değerlerini aşağıdaki gibi tanımlayın:

   Parametre	Açıklama
   SMTP Sunucusu Adresi	SMTP sunucunuzun IP adresini veya etki alanı adresini girin.
   SMTP Sunucusu Bağlantı Noktası	Varsayılan = 25. Değeri gerektiği gibi ayarlayın.
   Giden Posta Hesabı	Algılayıcınızdan giden posta hesabı olarak kullanılacak bir e-posta adresi girin.
   SSL	Algılayıcınızdan güvenli bağlantılar için açın.
   Kimlik Doğrulaması	Açın ve ardından e-posta hesabınız için bir kullanıcı adı ve parola girin.
   NTLM kullanma	NTLM'yi etkinleştirmek için açık konuma getirin. Bu seçenek yalnızca Kimlik Doğrulama seçeneğinin açık olduğu durumlarda görünür.

3. Bitirdiğinizde Kaydet'i seçin.

PCAP dosyalarını karşıya yükleme ve yürütme

OT algılayıcınızın sorunlarını giderirken, belirli bir PCAP dosyası tarafından kaydedilen verileri incelemek isteyebilirsiniz. Bunu yapmak için OT algılayıcınıza bir PCAP dosyası yükleyebilir ve kaydedilen verileri yeniden yürütebilirsiniz.

Algılayıcı konsolunun ayarlarında PCAP Oynat seçeneği varsayılan olarak etkindir.

Karşıya yüklenen dosyalar için boyut üst sınırı 2 GB'tır.

PCAP oynatıcısını algılayıcı konsolunuzda göstermek için:

1. Algılayıcı konsolunuzda Sistem ayarları > Algılayıcı yönetimi > Gelişmiş Yapılandırmalar'a gidin.

2. Gelişmiş yapılandırmalar bölmesinde Pcaps kategorisini seçin.

3. Görüntülenen yapılandırmalarda olarak değiştirin enabled=0enabled=1ve Kaydet'i seçin.

PCAP'yi Yürüt seçeneği artık algılayıcı konsolunun ayarlarında şu şekilde kullanılabilir: Sistem ayarları > Basic > Play PCAP.

Bir PCAP dosyasını karşıya yüklemek ve yürütmek için:

1. Algılayıcı konsolunuzda Sistem ayarları > Temel > Yürütme PCAP'yi seçin.

2. PCAP PLAYER bölmesinde Karşıya yükle'yi seçin ve karşıya yüklemek istediğiniz dosyaya veya birden çok dosyaya gidin ve seçin.

   

3. PCAP dosyanızı yürütmek için Yürüt'e veya yüklü olan tüm PCAP dosyalarını yürütmek için Tümünü Oynat'a tıklayın.

İpucu

Yüklenen tüm PCAP dosyalarının sensörünü temizlemek için Tümünü Temizle'yi seçin.

Belirli analiz altyapılarını kapatma

Varsayılan olarak, her OT ağ algılayıcısı yerleşik analiz altyapılarını kullanarak alınan verileri analiz eder ve hem gerçek zamanlı hem de önceden kaydedilmiş trafiğe göre uyarılar tetikler.

Tüm analiz motorlarını açık tutmanızı önersek de, ot algılayıcısı tarafından izlenen anomali ve risk türlerini sınırlamak için OT algılayıcılarınızdaki belirli analiz motorlarını kapatmak isteyebilirsiniz.

Önemli

İlke altyapısını devre dışı bırakırsanız, altyapının oluşturduğu bilgiler algılayıcı tarafından kullanılamaz. Örneğin Anomali altyapısını devre dışı bırakırsanız ağ anomalileriyle ilgili uyarılar almazsınız. bir iletme uyarısı kuralı oluşturduysanız, altyapının öğrendiği anomaliler gönderilmez.

Ot algılayıcının analiz altyapılarını yönetmek için:

1. OT algılayıcınızda oturum açın ve Sistem ayarları > Ağ izleme > Özelleştirme > Algılama altyapıları ve ağ modelleme'yi seçin.

2. Algılama altyapıları ve ağ modelleme bölmesindeki Altyapılar alanında aşağıdaki altyapılardan birini veya birkaçını kapatın:

   • Protokol İhlali
   • İlke İhlali
   • Kötü amaçlı yazılım
   • Anomali
   • Operasyonel

   İlgili anomalileri ve etkinlikleri yeniden izlemeye başlamak için altyapıyı yeniden açın.

   Daha fazla bilgi için bkz . IoT için Defender analiz altyapıları.

3. Değişikliklerinizi kaydetmek için Kapat'ı seçin.

Analiz altyapılarını şirket içi yönetim konsolundan yönetmek için:

1. Şirket içi yönetim konsolunuzda oturum açın ve Sistem Ayarlar'ı seçin.

2. Algılayıcı Altyapısı Yapılandırması bölümünde, ayarları uygulamak istediğiniz bir veya daha fazla OT algılayıcısını seçin ve aşağıdaki seçeneklerden herhangi birini temizleyin:

   • Protokol İhlali
   • İlke İhlali
   • Kötü amaçlı yazılım
   • Anomali
   • Operasyonel

3. Değişikliklerinizi kaydetmek için DEĞIŞIKLIKLERI KAYDET'i seçin.

OT algılayıcı verilerini temizleme

OT algılayıcınızı yeniden taşımanız veya silmeniz gerekiyorsa, OT algılayıcısı üzerinde algılanan veya öğrenilen tüm verileri temizlemek için bu algılayıcıyı sıfırlayın.

Buluta bağlı bir algılayıcıdaki verileri temizledikten sonra:

• Azure portalındaki cihaz envanteri paralel olarak güncelleştirilir.
• Azure portalında ilgili uyarılarla ilgili bazı eylemler artık desteklenmemektedir; örneğin PCAP dosyalarını indirme veya uyarıları öğrenme.

Not

IP/DNS/GATEWAY gibi ağ ayarları sistem verileri temizlenerek değiştirilmez.

Sistem verilerini temizlemek için:

1. OT algılayıcısında yönetici kullanıcı olarak oturum açın. Daha fazla bilgi için bkz . Varsayılan ayrıcalıklı şirket içi kullanıcılar.

2. Destek Verileri>temizle'yi seçin.

3. Onay iletişim kutusunda, algılayıcıdaki tüm verileri temizlemek ve sıfırlamak istediğinizi onaylamak için Evet'i seçin. Örneğin:

   

Eylemin başarılı olduğunu belirten bir onay iletisi görüntülenir. Tüm öğrenilen veriler, izin verilenler, ilkeler ve yapılandırma ayarları algılayıcıdan temizlenir.

Algılayıcı eklentilerini yönetme ve eklenti performansını izleme

Algılayıcı konsolundaki Protokoller DPI (Horizon Eklentileri) sayfasını kullanarak algılayıcınız tarafından izlenen her protokolün verilerini görüntüleyin.

1. OT algılayıcı konsolunuzda oturum açın ve Sistem ayarları Ağ izleme > Protokolleri DPI'sı (Horizon Eklentileri)'i seçin.>

2. Aşağıdakilerden birini yapın:

   • Algılayıcınız tarafından izlenen protokolleri sınırlamak için, gerektiğinde her eklenti için Etkinleştir/Devre Dışı Bırak iki durumlu düğmesini seçin.

   • Eklenti performansını izlemek için, her eklentinin Protokoller DPI (Horizon Eklentileri) sayfasında gösterilen verileri görüntüleyin. Belirli bir eklentiyi bulmaya yardımcı olmak için, eklenti adının bir bölümünü veya tamamını girmek için Arama kutusunu kullanın.

Protokoller DPI'sı (Horizon Eklentileri) eklenti başına aşağıdaki verileri listeler:

Sütun adı	Açıklama
Eklenti	Eklenti adını tanımlar.
Tür	APPLICATION veya INFRASTRUCTURE dahil olmak üzere eklenti türü.
Time	Eklenti kullanılarak verilerin en son analiz edildiği zaman. Zaman damgası beş saniyede bir güncelleştirilir.
PPS	Eklenti tarafından saniye başına analiz edilen paket sayısı.
Bant genişliği	Eklenti tarafından son beş saniye içinde algılanan ortalama bant genişliği.
Malforms	Son beş saniye içinde algılanan hatalı form hatalarının sayısı. Hatalı biçimlendirilmiş doğrulamalar, protokol pozitif olarak doğrulandıktan sonra kullanılır. Paketleri protokole göre işlemede bir hata varsa, bir hata yanıtı döndürülür.
Uyarılar	Paketlerin yapı ve belirtimlerle eşleşmesi gibi algılanan uyarı sayısı, ancak eklenti uyarı yapılandırmasına bağlı olarak beklenmeyen davranış algılanır.
Hatalar	Protokol tanımlarıyla eşleşen paketler için temel protokol doğrulamalarında başarısız olan paketler için son beş saniyede algılanan hata sayısı.

Günlük verileri, Dissection istatistiklerinde ve Dissection Günlüklerinde, günlük dosyalarında dışarı aktarabilirsiniz. Daha fazla bilgi için bkz . Sorun giderme günlüklerini dışarı aktarma.

Sonraki adımlar

Daha fazla bilgi için bkz.

• Algılayıcıları şirket içi yönetim konsolundan yönetme
• Algılayıcı etkinliğini izleme
• Algılayıcı sorunlarını giderme