本文說明如何透過授權的簡單網路管理協定 (SNMP) 監控伺服器,配置您的 OT 感測器進行健康監控。 SNMP 查詢可以 UDP 透過 161 埠每秒輪詢 50 次。
設定 SNMP 監控包括在你的 OT 感測器和 SNMP 伺服器上設定。 要在你的 SNMP 伺服器上定義 Defender for IoT 感測器,可以手動設定,或使用從 Azure 入口網站下載的預設 SNMP MIB 檔案。
必要條件
在執行本文所述程序前,請確保你具備:
- 一台使用 SNMP 版本 2 或 3 的 SNMP 監控伺服器。
- 如果你使用 SNMP 版本 3 搭配 AES 和 3-DES 加密,還需要:
- 一個 (NMS) 支援 SNMP 版本 3 的網路管理站
- 了解 SNMP 術語及貴組織中的 SNMP 架構
- 防火牆的 UDP 161 埠必須開啟。
- 如果你使用 SNMP 版本 3 搭配 AES 和 3-DES 加密,還需要:
以下 SNMP 伺服器詳情:
IP 位址
使用者名稱及密碼
認證類型:MD5 或 SHA
加密類型:DES 或 AES
秘密金鑰
SNMP v2 社群字串
安裝並啟用了 OT 感測器,並以管理員身份存取。 欲了解更多資訊,請參閱 使用 Defender for IoT 進行 OT 監控的本地用戶與角色。
要從 Azure 入口網站下載預先定義的 SNMP MIB 檔案,你需要以安全管理員、貢獻者或擁有者使用者身份存取 Azure 入口網站。 欲了解更多資訊,請參閱 Defender for IoT 的 Azure 用戶角色與權限。
在你的 OT 感測器上設定 SNMP 監控設定
登入你的 OT 感測器,選擇 系統設定 > 、感測器管理 > 、健康狀況以及排除 > SNMP MIB 監控問題。
在 SNMP MIB 監控設定 窗格中,選擇 + 新增主機 並輸入以下細節:
主機 1:輸入你的 SNMP 監控伺服器的 IP 位址。 如果你有多台伺服器,請再次選擇 + 新增主機 ,次數多到需要為止。
SNMP V2:選擇是否使用 SNMP 版本 2,然後輸入你的 SNMP V2 社群字串。 一個社群字串最多可包含 32 個字母數字,且沒有空格。
SNMP V3:選擇是否使用 SNMP 版本 3,然後輸入以下細節:
名稱 描述 使用者名稱 與 密碼 輸入用於存取 SNMP 伺服器的 SNMP v3 憑證。 使用者名稱和密碼都必須在 OT 感測器和 SNMP 伺服器上設定。
使用者名稱最多可包含 32 個字母數字,且不得有空格。
密碼具有大小寫區分,且可包含8至12個字母數字。認證類型 選擇用於存取 SNMP 伺服器的認證類型: MD5 或 SHA 加密 選擇與 SNMP 伺服器通訊時所使用的加密方式:
- DES (56 位元金鑰大小) :RFC3414 基於使用者的安全模型 (USM) ,適用於 SNMPv3) 的簡單網路管理協定第三版 (。
- AES (AES 128 位元支援) :RFC3826 先進加密 Standard (AES) 密碼演算法,採用 SNMP 使用者基礎安全模型。祕密鑰匙 輸入一組用於與 SNMP 伺服器通訊的秘密金鑰。 秘密金鑰必須有正好八個字母數字。
選取 [儲存] 以儲存變更。
下載 Defender for IoT 的 SNMP MIB 檔案
Azure 入口網站中的 Defender for IoT 提供可下載的 MIB 檔案,讓你載入 SNMP 監控系統,預先定義 Defender for IoT 感測器。
要在 Azure 入口網站下載 Defender for IoT 的 SNMP MIB 檔案,請選擇「Sites and sensors>」 更多操作>下載 SNMP MIB 檔案。
查詢感測器上的 SNMP 設定
注意事項
- 你可以查詢 25.2.1 或更新版本感測器的 SNMP 設定。
要驗證並查詢 OT 感測器中的 SNMP MIB 監控設定:
- 在 OT 感應器中,請前往 系統設定 > 的感應器管理
- 要 存取 Defender for IoT CLI,請以 cyberx 使用者身份登入你的 OT 或企業物聯網感測器,使用終端模擬器與 SSH。
- 根據設定的 SNMP 版本執行以下查詢,並相應更新變數:
- 針對版本 2 類型:
snmpwalk -v 2c -c<community-string> <sensor-ip> isa - 針對版本 3 類型:
snmpwalk -v 3 -aMD5|SHA -xDES|AES -A<password> -X<secret-key> -u<username> -|autoPriv <sensor-ip> isa
手動 SNMP 配置的 OT 感測器 OID
如果您手動在 SNMP 監控系統上設定 Defender for IoT 感測器,請參考以下表格,參考感測器物件識別碼值 (OID) :
| OT 感測器 | OID | 格式 | 描述 |
|---|---|---|---|
| sysDescriptionr | 1.3.6.1.2.1.1.1 | 顯示字串 | 回歸 適用於 IoT 的 Microsoft Defender |
| 平台 | 1.3.6.1.2.1.1.1.0 | STRING | 感測器 |
| sysObjectID | 1.3.6.1.2.1.1.2 | 顯示字串 | 回傳私有 MIB 配置,例如 1.3.6.1.4.1.53313.1.1 1.3.6.1.4.1.53313 的私有 OID 根 |
| sysUpTime | 1.3.6.1.2.1.1.3 | 顯示字串 | 能在百分之一秒內恢復感測器運作時間 |
| 系統聯絡 | 1.3.6.1.2.1.1.4 | 顯示字串 | 回傳該感測器管理員使用者的文字名稱 |
| 廠商 | 1.3.6.1.2.1.1.4.0 | STRING | Microsoft 支援服務 (support.microsoft.com) |
| sysName | 1.3.6.1.2.1.1.5 | 顯示字串 | 回傳裝置名稱 |
| 家電名稱 | 1.3.6.1.2.1.1.5.0 | STRING | 感測器的設備名稱 |
| sysLocation | 1.3.6.1.2.1.1.6 | 顯示字串 | 會回傳預設位置 Portal.azure.com |
| 系統服務 | 1.3.6.1.2.1.1.7 | 整數 | 回傳一個表示該實體所提供服務的值,例如, 7 表示「應用程式」 |
| ifIndex | 1.3.6.1.2.1.2.2.1.1 | GAUGE32 | 回傳每張網路卡的連續識別碼 |
| ifDescription | 1.3.6.1.2.1.2.2.1.2 | 顯示字串 | 回傳每個網路介面卡的硬體描述字串 |
| ifType | 1.3.6.1.2.1.2.2.1.3 | 整數 | 回傳網路介面卡類型,例如 1.3.6.1.2.1.2.2.1.3.117 表示千吉位乙太網路 |
| 如果Mtu | 1.3.6.1.2.1.2.2.1.4 | GAUGE32 | 回傳此網路介面卡的 MTU 值。 注意 監控介面不會顯示 MTU 值 |
| 如果速度 | 1.3.6.1.2.1.2.2.1.5 | GAUGE32 | 回傳此網路介面卡的介面速度 |
| 序號 | 1.3.6.1.4.1.53313.1 | STRING | 授權所使用的字串 |
| 軟體版本 | 1.3.6.1.4.1.53313.2 | STRING | Xsense 完整版字串與管理全版字串 |
| CPU 使用量 | 1.3.6.1.4.1.53313.3.1 | GAUGE32 | 0到100的適應症 |
| CPU 溫度 | 1.3.6.1.4.1.53313.3.2 | STRING | 根據 Linux 輸入,0 到 100 的攝氏度指示。 任何沒有實體溫度感測器的機器 (例如虛擬機) 都會回傳「找不到感測器」。 |
| 記憶體使用情況 | 1.3.6.1.4.1.53313.3.3 | GAUGE32 | 0到100的適應症 |
| 磁碟使用 | 1.3.6.1.4.1.53313.3.4 | GAUGE32 | 0到100的適應症 |
| 服役狀況 | 1.3.6.1.4.1.53313.5 | STRING | 如果四個關鍵元件之一失效,線上或線下 |
| 本地/雲端連接 | 1.3.6.1.4.1.53313.6 | STRING | 此裝置的啟動模式:雲端連接/本地連接 |
| 授權狀態 | 1.3.6.1.4.1.53313.7 | STRING | 此裝置啟用期間:有效/過期日期/已過期 |
注意事項
- 不存在的金鑰回應為空,HTTP 200。
- 硬體相關的 MIB (CPU 使用率、CPU 溫度、記憶體使用率、磁碟使用率) 應在所有架構與物理感測器上進行測試。 虛擬機的 CPU 溫度預期不適用。
後續步驟
欲了解更多資訊,請參閱「 維護圖形介面中的OT網路感測器」。