Konfigurace nastavení senzoru OT na webu Azure Portal (Public Preview)

Po připojení nového síťového senzoru OT do programu Microsoft Defender for IoT můžete chtít definovat několik nastavení přímo na konzole senzoru OT, jako je přidání místních uživatelů.

Nastavení senzoru OT uvedené v tomto článku jsou také k dispozici přímo na webu Azure Portal. Pomocí webu Azure Portal můžete tato nastavení hromadně použít napříč několika senzory OT připojenými ke cloudu najednou nebo napříč všemi senzory OT připojenými ke cloudu v konkrétní lokalitě nebo zóně. Tento článek popisuje, jak zobrazit a nakonfigurovat nastavení síťového senzoru OT z webu Azure Portal.

Poznámka:

Stránka nastavení senzoru v Defenderu pro IoT je ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Požadavky

Pokud chcete definovat nastavení senzoru OT, ujistěte se, že máte následující:

• Předplatné Azure nasazené do Defenderu pro IoT Pokud potřebujete, zaregistrujte si bezplatný účet a pak použijte rychlý start: Začínáme s Defenderem pro IoT a začněte s bezplatnou zkušební verzí.

• Oprávnění:

  • Pokud chcete zobrazit nastavení, která definovali ostatní, přihlaste se pomocí role Čtenář zabezpečení, Správce zabezpečení, Přispěvatel nebo Vlastník předplatného.

  • Pokud chcete definovat nebo aktualizovat nastavení, přihlaste se pomocí role Správce zabezpečení, Přispěvatel nebo Vlastník .

  Další informace najdete v tématu Role a oprávnění uživatelů Azure pro Defender for IoT.

• Jeden nebo více síťových senzorů OT připojených ke cloudu. Další informace najdete v tématu Onboarding senzorů OT do Defenderu pro IoT.

Definování nového nastavení senzoru

Definujte nové nastavení vždy, když chcete definovat konkrétní konfiguraci pro jeden nebo více síťových senzorů OT. Pokud například chcete definovat limity šířky pásma pro všechny senzory OT v určité lokalitě nebo zóně, nebo je definujte pro jeden senzor OT v určitém umístění ve vaší síti.

Definování nového nastavení:

1. V defenderu pro IoT na webu Azure Portal vyberte Nastavení snímačů webů a senzorů>(Preview).

2. Na stránce Nastavení senzoru (Preview) vyberte + Přidat a pak pomocí průvodce definujte následující hodnoty pro vaše nastavení. Po dokončení každé karty v průvodci vyberte Další a přejděte k dalšímu kroku.

   Název karty	Popis
   Základy	Vyberte předplatné, ve kterém chcete nastavení použít, a typ nastavení. Zadejte smysluplný název a volitelný popis nastavení.
   Nastavení	Definujte hodnoty pro vybraný typ nastavení. Podrobnosti o možnostech dostupných pro každý typ nastavení najdete v níže uvedeném odkazu na nastavení senzoru.
   Použít	Pomocí rozevíracích nabídek Vybrat weby, Vybrat zóny a Výběr senzorů definujte, kam chcete nastavení použít. Důležité: Výběr lokality nebo zóny použije nastavení pro všechny připojené senzory OT, včetně všech senzorů OT přidaných do lokality nebo zóny později. Pokud vyberete možnost použít nastavení na celý web, nemusíte také vybírat její zóny nebo senzory.
   Kontrola a vytvoření	Zkontrolujte vybrané možnosti nastavení. Pokud nové nastavení nahradí stávající nastavení, zobrazí se upozornění označující stávající nastavení. Až budete s konfigurací nastavení spokojeni, vyberte Vytvořit.

Vaše nové nastavení je teď uvedené na stránce Nastavení snímače (Náhled) pod typem nastavení a na stránce podrobností senzoru pro všechny související senzory OT. Nastavení senzoru se na stránce podrobností senzoru zobrazuje jako jen pro čtení. Příklad:

Tip

Možná budete chtít nakonfigurovat výjimky pro konkrétní senzor OT nebo zónu. V takových případech vytvořte další nastavení výjimky.

Nastavení navzájem přepsat hierarchickým způsobem, takže pokud se vaše nastavení použije na konkrétní senzor OT, přepíše všechna související nastavení, která se použijí na celou zónu nebo lokalitu. Pokud chcete vytvořit výjimku pro celou zónu, přidejte pro danou zónu nastavení, které přepíše všechna související nastavení použitá na celý web.

Zobrazení a úprava aktuálního nastavení senzoru OT

Pokud chcete zobrazit aktuální nastavení, která už jsou pro vaše předplatné definovaná:

1. V programu Defender for IoT na webu Azure Portal vyberte Nastavení snímačů webů a senzorů>(Preview).

   Na stránce Nastavení senzoru (Preview) se zobrazí všechna nastavení, která jsou pro vaše předplatná definovaná podle typu nastavení. Rozbalením nebo sbalením jednotlivých typů zobrazíte podrobné konfigurace. Příklad:

   

2. Výběrem konkrétního nastavení zobrazíte přesnou konfiguraci a lokalitu, zóny nebo jednotlivé senzory, ve kterých se nastavení použije.

3. Pokud chcete upravit konfiguraci nastavení, vyberte Upravit a potom použijte stejného průvodce, který jste použili k vytvoření nastavení, aby se aktualizovaly, které potřebujete. Až budete hotovi, vyberte Použít , aby se změny uložily.

Odstranění existujícího nastavení senzoru OT

Úplné odstranění nastavení senzoru OT:

1. Na stránce Nastavení snímače (Preview) vyhledejte nastavení, které chcete odstranit.
2. Vyberte nabídku možností ... v pravém horním rohu karty nastavení a pak vyberte Odstranit.

Příklad:

Úprava nastavení pro odpojené senzory OT

Tento postup popisuje, jak upravit nastavení senzoru OT, pokud je senzor OT aktuálně odpojený od Azure, například během probíhajícího incidentu zabezpečení.

Pokud na webu Azure Portal nakonfigurujete nějaká nastavení, všechna nastavení konfigurovatelná z webu Azure Portal i senzor OT se nastaví na samotný senzor OT jen pro čtení. Pokud například nakonfigurujete síť VLAN z webu Azure Portal, pak se nastavení šířky pásma, podsítě a sítě VLAN nastaví jen pro čtení a zablokuje úpravy senzoru OT.

Pokud jste v situaci, kdy je senzor OT odpojený od Azure a potřebujete upravit jedno z těchto nastavení, musíte nejprve získat přístup k zápisu k těmto nastavením.

Získání přístupu k zápisu k zablokovaným nastavením senzoru OT:

1. Na webu Azure Portal na stránce Nastavení snímače (Preview) vyhledejte nastavení, které chcete upravit, a otevřete ho pro úpravy. Další informace najdete v tématu Zobrazení a úprava aktuálního nastavení senzoru OT výše.

   Upravte rozsah nastavení tak, aby už nezahrnoval senzor OT a všechny změny, které provedete, když je senzor OT odpojený, se při připojení zpět k Azure nepřepíšou.

   Důležité

   Nastavení definované na webu Azure Portal vždy přepsat nastavení definovaná na senzoru OT.

2. Přihlaste se ke konzole ovlivněného senzoru OT a vyberte Nastavení > Pokročilá konfigurace>Azure Remote Config.

3. V poli kódu upravte block_local_config hodnotu od 1 do 0a vyberte Zavřít. Příklad:

   

Pokračujte aktualizací příslušného nastavení přímo na síťovém senzoru OT. Další informace najdete v tématu Správa jednotlivých senzorů.

Referenční informace k nastavení senzoru

Další informace o jednotlivých nastaveních senzoru OT dostupných na webu Azure Portal najdete v následujících částech:

Active Directory

Pokud chcete konfigurovat nastavení služby Active Directory z webu Azure Portal, definujte hodnoty pro následující možnosti:

Název	Popis
Plně kvalifikovaný název domény řadiče domény	Plně kvalifikovaný název domény (FQDN) přesně tak, jak se zobrazuje na serveru LDAP. Například zadejte host1.subdomain.contoso.com. Pokud narazíte na problém s integrací pomocí plně kvalifikovaného názvu domény, zkontrolujte konfiguraci DNS. Při nastavování integrace můžete také zadat explicitní IP adresu serveru LDAP místo plně kvalifikovaného názvu domény.
Port řadiče domény	Port, na kterém je nakonfigurovaný protokol LDAP. Například pro připojení LDAPS (SSL) použijte port 636.
Primární doména	Název domény, například subdomain.contoso.com, a pak vyberte typ připojení pro vaši konfiguraci LDAP. Mezi podporované typy připojení patří: LDAPS/NTLMv3 (doporučeno), LDAP/NTLMv3 nebo LDAP/SASL-MD5
Skupiny služby Active Directory	Podle potřeby vyberte + Přidat a přidejte do každé úrovně oprávnění skupinu Active Directory. Při zadávání názvu skupiny se ujistěte, že jste zadali název skupiny přesně tak, jak je definován v konfiguraci služby Active Directory na serveru LDAP. Tyto názvy skupin použijete při přidávání nových uživatelů snímačů se službou Active Directory. Mezi podporované úrovně oprávnění patří jen pro čtení, analytik zabezpečení, Správa a důvěryhodné domény.

Důležité

Při zadávání parametrů PROTOKOLU LDAP:

• Definujte hodnoty přesně tak, jak se zobrazují ve službě Active Directory, s výjimkou případu.
• Pouze malá písmena uživatele, i když konfigurace ve službě Active Directory používá velká písmena.
• Ldap a LDAPS nelze nakonfigurovat pro stejnou doménu. Můžete je ale nakonfigurovat v různých doménách a pak je používat současně.

Pokud chcete přidat další server služby Active Directory, vyberte + Přidat server a definujte tyto hodnoty serveru.

Limit šířky pásma

V případě limitu šířky pásma definujte maximální šířku pásma, kterou má senzor použít pro odchozí komunikaci ze senzoru do cloudu, a to buď v kb/s, nebo Mb/s.

Výchozí: 1500 kb/s

Minimální požadovaná pro stabilní připojení k Azure: 350 kB/s. Při tomto minimálním nastavení může být připojení ke konzole senzoru pomalejší než obvykle.

NTP

Pokud chcete nakonfigurovat server NTP pro senzor z webu Azure Portal, definujte IP adresu nebo adresu domény platného serveru IPv4 NTP pomocí portu 123.

Místní podsítě

Pokud chcete zaměřit inventář zařízení Azure na zařízeních, která jsou v oboru OT, musíte seznam podsítí ručně upravit tak, aby zahrnoval pouze místně monitorované podsítě, které jsou ve vašem oboru OT.

Podsítě v seznamu podsítí se automaticky konfigurují jako podsítě ICS, což znamená, že Defender pro IoT tyto podsítě rozpozná jako sítě OT. Toto nastavení můžete upravit při konfiguraci podsítí.

Po nakonfigurování podsítí se síťové umístění zařízení zobrazí ve sloupci Síťové umístění (Public Preview) v inventáři zařízení Azure. Všechna zařízení přidružená k uvedeným podsítím se zobrazí jako místní, zatímco zařízení přidružená k detekovaným podsítím, která nejsou součástí seznamu, se zobrazí jako směrovaná.

Konfigurace podsítí na webu Azure Portal

1. Na webu Azure Portal přejděte na Nastavení senzorů>a webů.

2. V části Místní podsítě zkontrolujte nakonfigurované podsítě. Pokud se chcete zaměřit na inventář zařízení a zobrazit místní zařízení v inventáři, odstraňte všechny podsítě, které nejsou v oboru IoT/OT, výběrem nabídky možností (...) v libovolné podsíti, kterou chcete odstranit.

3. Pokud chcete upravit další nastavení, vyberte libovolnou podsíť a pak vyberte Upravit pro následující možnosti:

   • Výběrem možnosti Importovat podsítě importujete čárkami oddělený seznam IP adres a masek podsítě. Pokud chcete exportovat seznam aktuálně nakonfigurovaných dat, vyberte Exportovat podsítě . Pokud chcete začít úplně od začátku, zrušte zaškrtnutí políčka Vymazat vše .

   • Do polí IP adresa, maska a název zadejte hodnoty pro ruční přidání podrobností podsítě. Vyberte Přidat podsíť a podle potřeby přidejte další podsítě.

   • Podsíť ICS je ve výchozím nastavení zapnutá, což znamená, že Defender pro IoT rozpozná podsíť jako síť OT. Pokud chcete podsíť označit jako jiné než ICS, vypněte podsíť ICS.

Pojmenování sítě VLAN

Pokud chcete definovat síť VLAN pro senzor OT, zadejte ID sítě VLAN a smysluplný název.

Pokud chcete podle potřeby přidat další sítě VLAN, vyberte Přidat síť VLAN .

Další kroky

Správa senzorů z webu Azure Portal

Správa snímačů OT z konzoly snímačů