從內部部署管理主控台管理感應器 (舊版)

  • 發行項

重要

適用於 IoT 的 Defender 現在建議使用 Microsoft 雲端服務或現有的 IT 基礎結構進行集中監視和感應器管理,並計劃於 2025 年 1 月 1 日淘汰內部部署管理主控台

如需詳細資訊,請參閱部署混合式或實體隔離斷網 OT 感應器管理

本文說明如何從內部部署管理主控台管理 OT 感應器,例如將系統設定推送至網路上的 OT 感應器。

必要條件

若要執行本文中的程序,請確定您:

從內部部署管理主控台更新感應器

此程序描述如何同時從舊版內部部署管理主控台更新數個 OT 感應器。

重要

如果您要更新多個本機管理的 OT 感應器,請務必先更新內部部署管理主控台,再更新任何連線的感應器。

內部部署管理主控台上的軟體版本必須等於最新感應器版本的軟體版本。 每個內部部署管理主控台版本與舊版支援的感應器版本之間都有回溯相容性,但無法連線至較新的感應器版本。

從 Azure 入口網站下載更新套件

  1. 在 Azure 入口網站的適用於 IoT 的 Defender 中,選取的 [網站與感應器]>[感應器更新 (預覽)]

  2. 在 [本機更新] 窗格中,選取目前安裝在感應器上的軟體版本。

  3. 選取 [是否透過本機管理員更新] 選項,然後選取目前安裝在內部部署管理主控台上的軟體版本。

  4. 在 [本機更新] 窗格的 [可用版本] 區域中,選取您要下載的軟體更新版本。

    [可用版本] 區域會列出適用於您的特定更新案例的所有更新套件。 您可能有多個選項,但一律會有一個標示為您 [建議] 的特定版本。 例如:

    Screenshot highlighting the recommended update version for the selected update scenario.

  5. 在 [本機更新] 窗格中向下捲動,然後選取 [下載] 下載軟體檔案。

    如果您已選取 [是否透過本機管理員更新] 選項,則會同時列出內部部署管理主控台和感應器的檔案。 例如:

    Screenshot of the Local update pane with two download files showing, for an on-premises management console and a sensor.

    下載的更新套件會包含下列檔案語法名稱:

    • 針對 OT 感應器更新為 sensor-secured-patcher-<Version number>.tar
    • 針對內部部署管理主控台更新為 management-secured-patcher-<Version number>.tar

    其中 <version number> 是您更新的軟體版本號碼。

從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署,讓您的機器只使用已簽署的資產。

更新內部部署管理主控台

  1. 登入內部部署管理主控台,並選取 [系統設定]>[版本更新]

  2. 在 [上傳檔案] 對話方塊中,選取 [瀏覽檔案],然後瀏覽至您要從 Azure 入口網站下載的更新檔案並選取該更新套件。

    更新程序隨即啟動,可能需要大約 30 分鐘的時間。 升級期間,系統會重新開機兩次。

    出現提示時登入,並檢查左下角所列的版本號碼,以確認已列出新版本。

從內部部署管理主控台更新 OT 感應器

  1. 登入內部部署管理主控台,選取 [系統設定],並識別您想要更新的感應器。

  2. 針對您想要更新的任何感應器,確定已選取 [Automatic Version Updates] \(自動版本更新\) 選項。

    也請確定「未」選取您「不」想更新的感應器。

    完成選取要更新的感應器時,請儲存您的變更。 例如:

    Screenshot of on-premises management console with Automatic Version Updates selected.

    重要

    若您的 [自動版本更新] 選項為紅色,則表示有更新衝突。 若您有多個感應器標記為自動更新,但感應器目前已安裝不同的軟體版本,就可能會發生更新衝突。 選取 [自動版本更新] 選項來解決衝突。

  3. 向下捲動,然後在右側的 [Sensor version update] \(感應器版本更新\) 方塊中選取 +。 瀏覽您想要從 Azure 入口網站下載的更新檔案並選取該更新檔案。

    開始在每個已選取要自動更新的感應器上執行更新。

  4. 移至 [網站管理] 頁面,以檢視每個感應器的更新狀態與進度。

    若更新失敗,重試選項會隨即出現,其中包含下載失敗記錄的選項。 請重試更新程序,或使用下載的記錄檔開啟支援票證以取得協助。

將系統設定推送至 OT 感應器

如果您已設定 OT 感應器的系統設定,且想要將這些設定與其他 OT 感應器共用,請從內部部署管理主控台推送這些設定。 跨 OT 感應器共用系統設定可以節省時間,並簡化整個系統的設定。

支援的設定包括:

  • 郵件伺服器設定
  • SNMP MIB 監視設定
  • Active Directory 設定
  • DNS 反向對應設定
  • 子網路設定
  • 連接埠別名

跨 OT 感應器推送系統設定

  1. 登入內部部署管理主控台,並選取 [系統設定]

  2. 向下卷動以檢視 [設定感應器] 區域,然後選取您想要跨 OT 感應器推送的設定。

  3. 在 [編輯...設定] 對話方塊中,選取想要共用設定的 OT 感應器。 對話方塊會顯示為所選感應器定義的目前設定。

  4. 確認目前的設定是您要跨系統共用的設定,然後選取 [複製]

  5. 選取儲存以儲存變更。

選取的設定會套用至所有連線的 OT 感應器。

監視中斷連線的 OT 感應器

如果您正在使用本機管理的 OT 網路感應器和內部部署管理主控台,建議您將與內部部署管理主控台中斷連線的 OT 感應器警示轉送至合作夥伴服務。

檢視 OT 感應器連線狀態

登入內部部署管理主控台,然後選取 [網站管理] 以檢查是否有任何中斷連線的感應器。

例如,您可能會看到下列其中一個中斷連線訊息:

  • 內部部署管理主控台無法處理從感應器接收的資料。

  • 偵測到時間漂移。 內部部署管理主控台已與感應器中斷連線。

  • 感應器未與內部部署管理主控台通訊。 檢查網路連線或憑證驗證。

提示

您可能想要將內部部署管理主控台上 OT 感應連線狀態的相關警示傳送給合作夥伴服務。

若要這樣做,請在內部部署管理主控台上建立轉送警示規則。 在 [建立轉送規則] 對話方塊中,請務必選取 [報告系統通知]

擷取儲存在感應器上的鑑識資料

使用 OT 網路感應器上適用於 IoT 的 Defender 資料採礦報告,從該感應器的儲存體擷取鑑識資料。 針對該感應器偵測到的裝置,以下類型的鑑識資料會儲存在 OT 感應器本機上:

  • 裝置資料
  • 警示資料
  • 警示 PCAP 檔案
  • 事件時間表資料
  • 記錄檔

每種資料類型都有不同的保留期間和最大容量。 如需詳細資訊,請參閱建立資料採礦查詢在適用於 IoT 的 Microsoft Defender 中的資料保留

從內部部署管理主控台關閉學習模式

適用於 IoT 的 Microsoft Defender OT 網路感應器一旦連線到您的網路,且您已登入,就會開始自動監視您的網路。 網路裝置開始出現在您的裝置詳細目錄中,並針對您網路中發生的任何安全性或作業事件觸發警示

一開始,此活動會以學習模式進行,這會指示您的 OT 感應器了解您網路的一般活動,包括網路中的裝置和通訊協定,以及特定裝置之間發生的一般檔案傳輸。 任何定期偵測到的活動都會變成您網路的基準流量

此程序描述當您認為目前的警示正確地反映您的網路活動時,如何手動關閉所有連線感應器的學習模式。

若要關閉學習模式

  1. 登入內部部署管理主控台,並選取 [系統設定]

  2. 在 [感應器引擎設定] 區段中,選取您要套用設定的一或多個 OT 感應器,並清除 [學習模式] 選項。

  3. 選取 [儲存變更] 以儲存變更。

下一步

如需詳細資訊,請參閱