你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过 Azure 门户配置 OT 传感器设置(公共预览版)

  • 项目

将新的 OT 网络传感器加入到 Microsoft Defender for IoT 后,可能需要直接在 OT 传感器控制台上定义多个设置,例如“添加本地用户”。

本文中列出的 OT 传感器设置也可直接从 Azure 门户获取。 使用 Azure 门户一次在多个云连接的 OT 传感器上批量应用这些设置,或在特定站点或区域的所有云连接的 OT 传感器上批量应用这些设置。 本文介绍如何从 Azure 门户查看和配置 OT 网络传感器设置。

备注

Defender for IoT 中的“传感器设置”页处于预览状态。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

若要定义 OT 传感器设置,请确保具有以下各项:

定义新的传感器设置

每当要为一个或多个 OT 网络传感器定义特定配置时,请定义一个新设置。 例如,如果你想为特定站点或区域的所有 OT 传感器定义带宽上限,或为网络中特定位置的单个 OT 传感器定义带宽上限。

若要定义新设置

  1. 在 Azure 门户的 Defender for IoT 中,选择“站点和传感器”>“传感器设置(预览版)”。

  2. 在“传感器设置(预览版)”页上,选择“+ 添加”,然后使用向导为你的设置定义以下值。 完成向导中的每个选项卡后,选择“下一步”转到下一步。

    选项卡名称 说明
    基础知识 选择要应用你的设置的订阅和设置类型

    为你的设置输入一个有意义的名称和一段说明(可选)
    设置 定义所选设置类型的值。
    有关每种设置类型的可用选项的详细信息,请在下面的传感器设置参考中找到所选设置类型。
    应用 使用“选择站点”、“选择区域”和“选择传感器”下拉菜单定义要应用设置的位置。

    重要说明:选择站点或区域后,会将设置应用于所有连接的 OT 传感器,包括以后添加到站点或区域的任何 OT 传感器。
    如果选择将设置应用于整个站点,则无需选择其区域或传感器。
    查看 + 创建 检查为设置所做的选择。

    如果你的新设置替换了现有设置,则会显示 警告以指示现有设置。

    当你对设置的配置感到满意时,请选择“创建”。

现在,你的新设置将列在“传感器设置(预览版)”页面的设置类型下,以及任何相关 OT 传感器的传感器详细信息页上。 传感器设置在传感器详细信息页上显示为只读。 例如:

Screenshot of a sensor details page showing a setting applied.

提示

你可能要为特定 OT 传感器或区域配置例外设置。 在这种情况下,请为例外创建额外设置。

设置会以分层方式相互替代,因此,如果将你的设置应用于特定的 OT 传感器,它将替代应用于整个区域或站点的任何相关设置。 若要为整个区域创建例外,请为该区域添加一个设置,以替代应用于整个站点的任何相关设置。

查看和编辑当前 OT 传感器设置

若要查看已为你的订阅定义的当前设置

  1. 在 Azure 门户的 Defender for IoT 中,选择“站点和传感器”>“传感器设置(预览版)

    传感器设置(预览版)页显示了已为你的订阅定义的任何设置,按设置类型列出。 展开或折叠每种类型以查看详细配置。 例如:

    Screenshot of OT sensor settings on the Azure portal.

  2. 选择特定设置以查看其确切配置以及应用了该设置的站点、区域或单个传感器。

  3. 若要编辑设置的配置,请选择“编辑”,然后使用用于创建设置的同一向导进行所需的更新。 完成后,选择“应用”保存更改。

删除现有的 OT 传感器设置

若要完全删除 OT 传感器设置:

  1. 在“传感器设置(预览版)”页上,找到要删除的设置。
  2. 选择设置卡片右上角的 ... 选项菜单,然后选择“删除”。

例如:

Screenshot of the Delete setting option.

编辑断开连接的 OT 传感器的设置

此过程介绍了如果 OT 传感器当前与 Azure 断开连接(例如在发生安全事件期间),可如何编辑 OT 传感器设置。

默认情况下,如果你已配置 Azure 门户中的任何设置,则可从 Azure 门户和 OT 传感器配置的所有设置都会在 OT 传感器本身上设置为只读。 例如,如果你已从 Azure 门户配置 VLAN,则带宽上限、子网和 VLAN 设置设为只读,并阻止在 OT 传感器上修改它们。

如果 OT 传感器与 Azure 断开连接,并且你需要修改其中一个设置,则必须首先获取对这些设置的写入访问权限。

若要获取对被阻止的 OT 传感器设置的写入访问权限

  1. 在 Azure 门户中,在“传感器设置(预览版)”页上,找到要编辑的设置并将其打开进行编辑。 有关详细信息,请参阅上面的查看和编辑当前 OT 传感器设置

    编辑设置的范围,使其不再包含 OT 传感器,且当你将 OT 传感器连接回 Azure 时,在 OT 传感器断开连接期间所做的任何更改都不会被覆盖。

    重要

    Azure 门户上定义的设置会始终替代 OT 传感器上定义的设置。

  2. 登录到受影响的 OT 传感器控制台,然后选择“设置 > 高级配置”>“Azure 远程配置”。

  3. 在代码框中,将 1 中的值 block_local_config 修改为 0,然后选择“关闭”。 例如:

    Screenshot of the Azure Remote Config option.

直接在 OT 网络传感器上更新相关设置以继续。 有关详细信息,请参阅管理单个传感器

传感器设置参考

使用以下部分详细了解 Azure 门户中提供的单个 OT 传感器设置:

Active Directory

要从 Azure 门户配置 Active Directory 设置,请为以下选项定义值:

名称 说明
域控制器 FQDN 完全限定的域名 (FQDN),与 LDAP 服务器上显示的完全一致。 例如,输入 host1.subdomain.contoso.com

如果在使用 FQDN 集成时遇到问题,请检查 DNS 配置。 设置集成时,还可以输入 LDAP 服务器的显式 IP,而不是 FQDN。
域控制器端口 配置 LDAP 的端口。 例如,将端口 636 用于 LDAPS (SSL) 连接。
主域 域名(例如 subdomain.contoso.com),然后选择 LDAP 配置的连接类型。

支持的连接类型包括:“LDAPS/NTLMv3 (推荐)”、“LDAP/NTLMv3”或“LDAP/SASL-MD5”
Active Directory 组 选择“+ 添加”,根据需要将 Active Directory 组添加到列出的每个权限级别。

输入组名称时,确保输入的组名称与 LDAP 服务器上的 Active Directory 配置中定义的组名称完全相同。 通过 Active Directory 添加新传感器用户时,你需要使用这些组名称。

支持的权限级别包括“只读”、“安全分析师”、“管理员”和“受信任的域”。

重要

输入 LDAP 参数时:

  • 定义与 Active Directory 中显示的值完全一样的值,但大小写除外。
  • 仅使用小写字符,即使 Active Directory 中的配置使用的是大写也是如此。
  • 不能为同一域同时配置 LDAP 和 LDAPS。 但是,可以在不同的域中配置这两者,然后同时使用它们。

要添加另一个 Active Directory 服务器,请选择“+ 添加服务器”并定义这些服务器值。

带宽上限

对于带宽上限,请定义希望传感器用于从传感器到云的传出通信的最大带宽,以 Kbps 或 Mbps 为单位。

默认值:1500 Kbps

与 Azure 建立稳定连接所需的最低要求:350 Kbps。 在此最低设置下,与传感器控制台的连接可能比平时慢。

NTP

要从 Azure 门户为传感器配置 NTP 服务器,请使用端口 123 定义有效 IPv4 NTP 服务器的 IP/域地址。

本地子网

若要将 Azure 设备清单集中在 OT 范围内的设备上,需要手动编辑子网列表,以仅包含 OT 范围内的本地受监视子网。

子网列表中的子网会自动配置为 ICS 子网,这意味着 Defender for IoT 会将这些子网识别为 OT 网络。 配置子网时,可以编辑此设置。

配置子网后,设备的网络位置将显示在 Azure 设备清单的“网络位置(公共预览版)”列中。 与列出的子网关联的所有设备都将显示为本地设备,而与检测到的未包含在列表中的子网关联的设备将显示为路由设备。

在 Azure 门户中配置子网

  1. 在Azure 门户中,转到“站点和传感器>传感器设置”。

  2. 在“本地子网”下,查看配置的子网。 若要集中设备清单并查看清单中的本地设备,请选择要删除的任何子网上的选项菜单(...),删除不在 IoT/OT 范围内的任何子网。

  3. 若要修改其他设置,请选择任何子网,然后针对以下选项选择 “编辑”:

    • 选择“导入子网”以导入以逗号分隔的子网 IP 地址和掩码列表。 选择“导出子网”以导出当前配置的数据列表,或选择“全部清除”从头开始。

    • 在“IP 地址”、“掩码”和“名称”字段中输入值,以手动添加子网详细信息。 选择“添加子网”,根据需要添加其他子网。

    • 默认情况下,“ICS 子网”处于打开状态,这意味着 Defender for IoT 会将子网识别为 OT 网络。 若要将子网标记为非 ICS,请关闭“ICS 子网”

VLAN 命名

若要为你的 OT 传感器定义 VLAN,请输入 VLAN ID 和有意义的名称。

选择“添加 VLAN”,根据需要添加更多 VLAN。

后续步骤

在 Azure 门户中管理传感器

从传感器控制台管理 OT 传感器