在 OT 感應器上設定 SNMP MIB 健康情況監視
本文說明如何設定 OT 感應器以透過授權的 SNMP 監視伺服器進行健康情況監視。 SNMP 查詢會透過連接埠 161 使用 UDP 每秒傳送最多 50 次。
SNMP 監視的設定包括在您的 OT 感應器和 SNMP 伺服器上進行設定。 若要在 SNMP 伺服器上定義適用於 IoT 的 Defender 感應器,請手動定義您的設定,或是使用從 Azure 入口網站下載的預先定義 SNMP MIB 檔案。
SNMP 查詢會透過連接埠 161 使用 UDP 每秒傳送最多 50 次。
必要條件
執行本文中的程序前,請確定您具備下列事項:
SNMP 監視伺服器,使用 SNMP 第 2 版和第 3 版。 如果您使用 SNMP 第 3 版,而且想要使用 AES 和 3-DES 加密,您必須也具備:
- 支援 SNMP 第 3 版的網路管理站 (NMS)
- 了解 SNMP 術語和您組織中的 SNMP 結構
- 在您的防火牆中開啟 UDP 連接埠 161
備妥下列 SNMP 伺服器的詳細資料:
- IP 位址
- 使用者名稱與密碼
- 驗證類型:MD5 或 SHA
- 加密類型:DES 或 AES
- 祕密金鑰
- SNMP v2 社群字串
已安裝且已啟動的 OT 感應器,具備如同管理員使用者的存取權。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
若要從 Azure 入口網站下載預先定義的 SNMP MIB 檔案,您必須以安全性管理員、參與者或擁有者使用者存取 Azure 入口網站。 如需詳細資訊,請參閱適用於 IoT 的 Defender 的 Azure 使用者角色和權限。
在 OT 感應器上設定 SNMP 監視設定
登入您的 OT 感應器,然後選取 [系統設定] > [感應器管理] > [健康情況與疑難排解] > [SNMP MIB 監視]。
在 [SNMP MIB 監視設定] 窗格中,選取 [+ 新增主機],然後輸入下列詳細資料:
主機 1:輸入 SNMP 監視伺服器的 IP 位址。 如果您有多部伺服器,請視需要多次選取 [+ 新增主機]。
SNMP V2:如果使用 SNMP 第 2 版,請選取此選項,然後輸入您的 SNMP V2 社群字串。 社群字串最多可以有 32 個英數字元,不能有空格。
SNMP V3:如果使用 SNMP 第 3 版,請選取此選項,然後輸入下列詳細資料:
名稱 描述 使用者名稱和密碼 輸入用來存取 SNMP 伺服器的 SNMP v3 認證。 OT 感應器和 SNMP 伺服器上都必須設定使用者名稱和密碼。
使用者名稱最多可以包含 32 個英數字元,不能有空格。
密碼有區分大小寫,而且可以包含 8-12 個英數字元。驗證類型 選取用來存取 SNMP 伺服器的驗證類型:MD5 或 SHA 加密 選取與 SNMP 伺服器通訊時使用的加密:
- DES (56 位元金鑰大小):RFC3414 使用者型安全性模型 (USM),適用於第 3 版的簡易網路管理通訊協定 (SNMPv3)。
- AES (支援 AES 128 位元):RFC3826 SNMP 使用者型安全性模型中的進階加密標準 (AES) 加密演算法。祕密金鑰 輸入與 SNMP 伺服器通訊時使用的祕密金鑰。 秘密金鑰只有八個英數字元。
選取儲存以儲存變更。
下載適用於 IoT 的 Defender SNMP MIB 檔案
在 Azure 入口網站中,適用於 IoT 的 Defender 提供可下載的 MIB 檔案,可讓您載入至 SNMP 監視系統以預先定義適用於 IoT的 Defender 感應器。
若要下載 SNMP MIB 檔案,在 Azure 入口網站上適用於 IoT 的 Defender,選取 [網站和感應器] > [更多動作] > [下載 SNMP MIB 檔案]。
從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署,讓您的機器只使用已簽署的資產。
手動 SNMP 設定的 OT 感應器 OID
如果您要在 SNMP 監視系統上手動設定適用於 IoT 的 Defender 感測器,請使用下表做為感應器物件識別碼值 (OID) 的參考:
| 管理主控台和感應器 | OID | 格式 | 描述 |
|---|---|---|---|
| 設備名稱 | 1.3.6.1.2.1.1.5.0 | 字串 | 內部部署管理主控台的設備名稱 |
| 廠商 | 1.3.6.1.2.1.1.4.0 | 字串 | Microsoft 支援服務 (support.microsoft.com) |
| 平台 | 1.3.6.1.2.1.1.1.0 | 字串 | 感應器或內部部署管理主控台 |
| 序號 | 1.3.6.1.4.1.53313.1 | 字串 | 授權使用的字串 |
| 軟體版本 | 1.3.6.1.4.1.53313.2 | 字串 | Xsense 完整版本字串和管理完整版本字串 |
| CPU 使用量 | 1.3.6.1.4.1.53313.3.1 | GAUGE32 | 零到 100 的指示 |
| CPU 溫度 | 1.3.6.1.4.1.53313.3.2 | 字串 | 以 Linux 輸入為基礎的零到 100 的攝氏指示。 任何沒有實際實體溫度感應器 (例如 VM) 的機器會傳回「找不到感應器」 |
| 記憶體使用量 | 1.3.6.1.4.1.53313.3.3 | GAUGE32 | 零到 100 的指示 |
| 磁碟使用量 | 1.3.6.1.4.1.53313.3.4 | GAUGE32 | 零到 100 的指示 |
| 服務狀態 | 1.3.6.1.4.1.53313.5 | 字串 | 如果四個重要元件之一已關閉,則為線上或離線 |
| 本地/雲端連線 | 1.3.6.1.4.1.53313.6 | 字串 | 此設備的啟用模式:雲端連線 / 本地連線 |
| 授權狀態 | 1.3.6.1.4.1.53313.7 | 字串 | 此設備的啟用期間:作用中 / 到期日 / 已過期 |
請注意:
- 非現有金鑰會以 Null、HTTP 200 回應。
- 應該在所有結構和實體感應器上測試硬體相關的 MIB (CPU 使用方式、CPU 溫度、記憶體使用方式、磁碟使用方式)。 虛擬機器上的 CPU 溫度應該不適用。
下一步
如需詳細資訊,請參閱 從 GUI 維護 OT 網路感應器。