你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure 门户中使用 Defender for IoT 管理传感器
本文介绍如何使用 Azure 门户中的 Microsoft Defender for IoT 查看和管理传感器。
先决条件
在可使用本文中的流程之前,需要将网络传感器加入到 Defender for IoT。 有关详细信息,请参阅:
查看传感器
所有当前连接到云的传感器(包括 OT 和企业 IoT 传感器)都列在“站点和传感器”页面中。 例如:
每个传感器的详细信息列在以下列中:
| 列名称 | 说明 |
|---|---|
| 传感器名称 | 显示注册期间分配给传感器的名称。 |
| 传感器类型 | 显示传感器是在本地连接的 OT 传感器、云连接的 OT 传感器还是企业 IoT 传感器。 |
| 区域 | 显示包含此传感器的区域。 |
| 订阅名称 | 显示此传感器所属的 Microsoft Azure 帐户订阅的名称。 |
| 传感器版本 | 显示传感器上安装的 OT 监视软件版本。 |
| 传感器运行状况 | 显示传感器运行状况消息。 有关详细信息,请参阅了解传感器运行状况。 |
| 上次连接时间 (UTC) | 显示上次连接传感器的时间。 |
| 威胁智能版本 | 显示 OT 传感器上安装的威胁情报版本。 版本名称基于 Defender for IoT 构建包的日期。 |
| 威胁智能模式 | 显示威胁情报更新模式是手动模式还是自动模式。 手动模式意味着你可以根据需要将新发布的包直接推送到传感器。 否则,新的包将自动安装在所有 OT 云连接的传感器上。 |
| 威胁智能更新状态 | 显示 OT 传感器上的威胁情报包的更新状态。 状态可以为“失败”、“正在进行”、“更新可用”或“正常”。 |
Azure 门户中的站点管理选项
将新的 OT 传感器加入 Defender for IoT 时,你可以将其添加到新站点或现有站点。 使用 OT 网络时,将传感器组织到站点可以更有效地管理传感器,并在整个网络中与零信任策略保持一致。
企业 IoT 传感器全都会自动添加到同一站点,即名为“企业网络”的站点。
若要从 Azure 门户编辑站点,请输入以下操作:
在“站点和传感器”页上选择该站点的名称。 在右侧打开的“编辑站点”窗格中,修改以下任意值:
选项 说明 显示名称 为站点输入一个有意义的名称。 所有者 仅适用于 OT 站点。 为要指定为此站点上设备所有者的用户输入一个或多个电子邮件地址。 站点所有者由站点上的所有设备继承,并显示在 IoT 设备实体页面和 Microsoft Sentinel 的事件详细信息中。
在 Microsoft Sentinel 中,使用 AD4IoT-SendEmailtoIoTOwner 和 AD4IoT-CVEAutoWorkflow playbook 自动通知设备所有者有关重要警报或事件的信息。 有关详细信息,请参阅调查和检测 IoT 设备的威胁。标记 (可选)为要添加到站点的每个新标签的“键”和“值”字段输入值。 选择“+ 添加”以添加新标记。 仅适用于 OT 站点:若要按站点来定义指定权限,请选择“管理站点访问控制(预览版)”。
例如,可以将此作为零信任安全策略的一部分,以向 Azure 访问策略添加粒度级别。 Defender for IoT 站点通常反映分组在特定地理位置的许多设备,例如位于特定地址的办公大楼中的设备。
有关详细信息,请参阅管理基于站点的访问控制。
完成后,选择“保存”以保存更改。
Azure 门户中的传感器管理选项
你已载入 Defender for IoT 的传感器列在 Defender for IoT 的“站点和传感器”页上。 选择特定传感器名称,深入了解该传感器的更多详细信息。
使用“站点和传感器”页以及传感器详细信息页上的选项执行以下任何任务。 如果位于“站点和传感器”页,请选择多个传感器以使用工具栏选项批量应用操作。 对于单个传感器,请使用“站点和传感器”工具栏选项、传感器行右侧的“...”选项菜单或传感器详细信息页上的选项。
OT 传感器更新
| 任务 | 说明 |
|---|---|
 传感器更新(预览) |
仅限 OT 传感器。 直接从 Azure 门户在 OT 传感器上运行远程更新,或下载更新包以手动更新。 有关详细信息,请参阅更新 Defender for IoT OT 监视软件。 |
 威胁智能更新(预览) |
仅限 OT 传感器。 可从“站点和传感器”工具栏用于批量操作,从“…”选项菜单或传感器详细信息页用于单个传感器。 有关详细信息,请参阅威胁情报研究和包。 |
 编辑自动威胁智能更新 |
仅限单个 OT 传感器。 可从“...”选项菜单或传感器详细信息页访问。 选择“编辑”,然后根据需要打开或关闭“自动威胁智能更新(预览版)”选项。 选择“提交”以保存更改。 |
传感器部署和访问
| 任务 | 说明 |
|---|---|
 恢复 OT 传感器密码 |
仅限单个 OT 传感器。 可从“...”选项菜单或传感器详细信息页访问。 输入在传感器登录屏幕获取的机密标识符。 |
| 恢复本地管理控制台密码 | 可从“站点和传感器”工具栏“更多操作”菜单访问。 有关详细信息,请参阅管理本地管理控制台。 |
 下载激活文件 |
仅限单个 OT 传感器。 可从“...”选项菜单或传感器详细信息页访问。 |
| 编辑传感器区域 |
仅针对单个传感器,从“...”选项菜单或传感器详细信息页访问。 选择“编辑”,然后从“区域”菜单中选择一个新区域,或选择“创建新区域”。 选择“提交”以保存更改。 |
| 下载 SNMP MIB 文件 | 可从“站点和传感器”工具栏“更多操作”菜单访问。 有关详细信息,请参阅在 OT 传感器上设置 SNMP MIB 运行状况监视。 |
| 创建激活命令 |
仅限单个企业 IoT 传感器。 可从“...”选项菜单或传感器详细信息页访问。 选择“编辑”,然后选择“创建激活命令”。 有关详细信息,请参阅安装企业 IoT 传感器软件。 |
| 下载终结点详细信息 | 仅限 OT 传感器。 可从“站点和传感器”工具栏“更多操作”菜单访问。 从 OT 网络传感器下载必须作为安全终结点的终结点列表。 确保通过端口 443 启用到所列终结点的 HTTPS 流量,以便传感器连接到 Azure。 一次性为加入同一订阅的所有 OT 传感器定义出站允许规则。 要启用此选项,请选择具有受支持软件版本的传感器,或者选择具有一个或多个具有受支持版本的传感器的站点。 |
传感器维护和故障排除
| 任务 | 说明 |
|---|---|
 传感器设置(预览) |
仅限 OT 传感器。 为一个或多个连接到云的 OT 网络传感器定义所选传感器设置。 有关详细信息,请参阅通过 Azure 门户定义和查看 OT 传感器设置(公共预览版)。 其他设置也可直接通过 OT 传感器控制台或本地管理控制台获得。 |
| 导出传感器数据 |
仅可从“站点和传感器”工具栏访问,以下载包含所有列出的传感器详细信息的 CSV 文件。 |
 删除传感器 |
仅针对单个传感器,从“...”选项菜单或传感器详细信息页访问。 |
 发送要支持的诊断文件 |
仅限本地管理的单个 OT 传感器。 可从“...”选项菜单访问。 有关详细信息,请参阅上传诊断日志以获得支持。 |
检索存储在传感器上的取证数据
在 OT 网络传感器上使用 Azure Monitor 工作簿从该传感器的存储中检索取证数据。 对于该传感器检测到的设备,以下类型的取证数据以本地方式存储在 OT 传感器上:
- 设备数据
- 警报数据
- 警报 PCAP 文件
- 事件时间线数据
- 日志文件
每种类型的数据都有不同的保留期和最大容量。 有关详细信息,请参阅《使用 Azure Monitor 工作簿可视化 Microsoft Defender for IoT 数据》和《跨 Microsoft Defender for IoT 保留数据》。
重新激活 OT 传感器
你可能需要重新激活 OT 传感器,因为你希望实现以下目的:
在连接到云的模式下而非本地管理模式下工作:重新激活后,现有传感器检测结果将显示在传感器控制塔中,新检测到的警报信息将通过 Azure 门户中的 Defender for IoT 传送。 可以与其他 Azure 服务(例如 Microsoft Sentinel)共享此信息。
在本地管理模式下而非连接到云的模式下工作:重新激活后,传感器检测信息将仅显示在传感器控制台中。
将传感器关联到新站点:请使用新的站点定义重新注册传感器,然后使用新的激活文件进行激活。
更改计划承诺:如果更改计划(例如将价格计划从试用版更改为每月承诺),则需要重新激活传感器以反映新更改。
在这种情况下,请执行以下步骤:
- 删除现有传感器。
- 再次载入传感器,使用任何新设置将其注册。
- 上传新的激活文件。
了解传感器运行状况
此过程介绍如何从 Azure 门户查看传感器运行状况数据。 传感器运行状况包括流量是否稳定、传感器是否过载、传感器软件版本通知等数据。
查看整体传感器运行状况:
在 Azure 门户中的 Defender for IoT 中,选择“站点和传感器”,然后在网格上方的小部件中查看整体运行状况评分。 例如:
“不支持”表示传感器安装了不再受支持的软件版本。
“运行不正常”表示以下情况之一:
- 到 Azure 的传感器流量不稳定
- 传感器未能通过定期健全性测试
- 传感器未检测到流量
- 不再支持传感器软件版本
- 从 Azure 门户升级远程传感器失败
有关详细信息,请参阅传感器运行状况消息参考。
若要检查特定传感器问题,请按传感器运行状况筛选网格,然后选择一个或多个问题进行验证。 例如:
展开现在显示在网格中的已筛选站点和传感器,使用“传感器运行状况”列了解详细信息。
若要进一步深入了解建议的操作,请选择传感器名称以打开传感器详细信息页。
例如:
在传感器详细信息“概述”页上,展开“运行状况”部分和其中列出的所有消息,了解详细信息。 右侧的“建议”列列出了处理运行状况问题的建议操作。
有关详细信息,请参阅传感器运行状况消息参考。
上传诊断日志以获取支持
如果需要为本地管理的传感器开具支持票证,请将诊断日志上传到支持团队的 Azure 门户。
提示
对于云连接的传感器,当你开具支持票证时,诊断日志会自动提供给支持团队。
上传诊断报告:
确保你有可供上传的诊断报告。 有关详细信息,请参阅下载诊断日志以获得支持。
在 Azure 门户的 Defender for IoT 中,转到“站点和传感器”页,然后选择与支持票证相关的本地托管传感器。
对于所选传感器,请选择>“发送要支持的诊断文件”右侧的“...”选项菜单。 例如:
