Kurz: Konfigurace agentů zabezpečení
Tento článek vysvětluje agenty zabezpečení Služby Defender for IoT a podrobně popisuje, jak je změnit a nakonfigurovat.
- Konfigurace agentů zabezpečení
- Změna chování agenta úpravou vlastností dvojčete
- Zjištění výchozí konfigurace
Agenti
Agenti zabezpečení Defender for IoT shromažďují data ze zařízení IoT a provádějí akce zabezpečení, které zmírňují zjištěná ohrožení zabezpečení. Konfigurace agenta zabezpečení je možné řídit pomocí sady vlastností dvojčete modulu, které můžete přizpůsobit. Obecně platí, že sekundární aktualizace těchto vlastností nejsou časté.
Objekt konfigurace dvojčete agenta zabezpečení defenderu pro IoT je objekt formátu JSON. Konfigurační objekt je sada ovládacích vlastností, které můžete definovat pro řízení chování agenta.
Tyto konfigurace vám pomůžou přizpůsobit agenta pro každý požadovaný scénář. Například automatické vyloučení některých událostí nebo udržování spotřeby energie na minimální úrovni je možné konfigurací těchto vlastností.
Ke změnám použijte schéma konfigurace agenta zabezpečení Defenderu for IoT.
Objekty konfigurace
Vlastnosti související s každým agentem zabezpečení Defenderu pro IoT se nacházejí v objektu konfigurace agenta v části požadovaných vlastností modulu azureiotsecurity .
Chcete-li upravit konfiguraci, vytvořte a upravte tento objekt uvnitř identity dvojčete modulu azureiotsecurity .
Pokud objekt konfigurace agenta ve dvojčeti modulu azureiotsecurity neexistuje, nastaví se všechny hodnoty vlastností agenta zabezpečení na výchozí hodnotu.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Schéma konfigurace a ověřování
Nezapomeňte ověřit konfiguraci agenta proti tomuto schématu. Agent se nespustí, pokud objekt konfigurace neodpovídá schématu.
Pokud se během spuštění agenta změní objekt konfigurace na neplatnou konfiguraci (konfigurace neodpovídá schématu), agent bude ignorovat neplatnou konfiguraci a bude dál používat aktuální konfiguraci.
Ověření konfigurace
Agent zabezpečení Defender for IoT hlásí aktuální konfiguraci v části ohlášených vlastností identity dvojčete modulu azureiotsecurity . Agent hlásí všechny dostupné vlastnosti, pokud uživatel vlastnost nenastavil, agent hlásí výchozí konfiguraci.
Pokud chcete ověřit konfiguraci, porovnejte hodnoty nastavené v požadované části s hodnotami hlášenými v ohlášené části.
Pokud došlo k neshodě mezi požadovanými a ohlášenými vlastnostmi, agent nemohl analyzovat konfiguraci.
Ověřte požadované vlastnosti ve schématu, opravte chyby a znovu nastavte požadované vlastnosti.
Poznámka:
Z agenta se aktivuje upozornění na chybu konfigurace v případě, že agent nemohl analyzovat požadovanou konfiguraci. Porovnejte nahlášenou a požadovanou část, abyste pochopili, jestli upozornění stále platí.
Úprava vlastnosti
Všechny vlastní vlastnosti musí být nastaveny uvnitř objektu konfigurace agenta v rámci dvojčete modulu azureiotsecurity . Chcete-li použít výchozí hodnotu vlastnosti, odeberte vlastnost z objektu konfigurace.
Nastavení vlastnosti
Ve službě IoT Hub vyhledejte a vyberte zařízení, které chcete změnit.
Klikněte na své zařízení a pak na modul azureiotsecurity .
Klikněte na dvojče identity modulu.
Upravte vlastnosti, které chcete změnit v agentu Defender-IoT-micro-agent.
Pokud chcete například nakonfigurovat události připojení jako vysokou prioritu a každých 7 minut shromažďovat události s vysokou prioritou, použijte následující konfiguraci.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Klikněte na Uložit.
Použití výchozí hodnoty
Chcete-li použít výchozí hodnotu vlastnosti, odeberte vlastnost z objektu konfigurace.
Výchozí vlastnosti
Následující tabulka obsahuje říditelné vlastnosti agentů zabezpečení Defenderu pro IoT.
Výchozí hodnoty jsou dostupné ve správném schématu v GitHubu.
| Název | Stav | Platné hodnoty | Výchozí hodnoty | Popis |
|---|---|---|---|---|
| highPriorityMessageFrequency | Povinné: false | Platné hodnoty: Doba trvání ve formátu ISO 8601 | Výchozí hodnota: PT7M | Maximální časový interval před odesláním zpráv s vysokou prioritou |
| lowPriorityMessageFrequency | Povinné: false | Platné hodnoty: Doba trvání ve formátu ISO 8601 | Výchozí hodnota: PT5H | Maximální doba před odesláním zpráv s nízkou prioritou |
| snapshotFrequency | Vyžadovat: false | Platné hodnoty: Doba trvání ve formátu ISO 8601 | Výchozí hodnota PT13H | Časový interval pro vytvoření snímků stavu zařízení |
| maxLocalCacheSizeInBytes | Povinné: false | Platné hodnoty: | Výchozí hodnota: 2560000, větší než 8192 | Maximální velikost úložiště (v bajtech) povolená pro mezipaměť zpráv agenta Maximální velikost místa povoleného ukládání zpráv do zařízení před odesláním zpráv. |
| maxMessageSizeInBytes | Povinné: false | Platné hodnoty: Kladné číslo větší než 8192, menší než 262144 | Výchozí hodnota: 204800 | Maximální povolená velikost agenta do cloudové zprávy Toto nastavení určuje množství maximálních dat odesílaných v každé zprávě. |
| eventPriority${EventName} | Povinné: false | Platné hodnoty: Vysoká, Nízká, Vypnuto | Výchozí hodnoty: | Priorita každé události generované agentem |
Podporované události zabezpečení
| Název události | PropertyName | Výchozí hodnota | Událost snímku | Stav podrobností |
|---|---|---|---|---|
| Diagnostická událost | eventPriorityDiagnostic | Vypnout | False | Diagnostické události související s agenty Tuto událost použijte pro podrobné protokolování. |
| Chyba konfigurace | eventPriorityConfigurationError | Nízká | False | Agent se nepodařilo analyzovat konfiguraci. Ověřte konfiguraci schématu. |
| Statistiky vynechaných událostí | eventPriorityDroppedEventsStatistics | Nízká | True | Statistika událostí souvisejících s agenty |
| Připojený hardware | eventPriorityConnectedHardware | Nízká | True | Snímek veškerého hardwaru připojeného k zařízení |
| Naslouchající porty | eventPriorityListeningPorts | Vysoká | True | Snímek všech otevřených naslouchajících portů v zařízení |
| Vytvoření procesu | eventPriorityProcessCreate | Nízká | False | Audituje vytváření procesů v zařízení. |
| Ukončení procesu | eventPriorityProcessTerminate | Nízká | False | Audituje ukončení procesu v zařízení. |
| Systémové informace | eventPrioritySystemInformation | Nízká | True | Snímek informací o systému (například operační systém nebo procesor). |
| Místní uživatelé | eventPriorityLocalUsers | Vysoká | True | Snímek registrovaných místních uživatelů v systému |
| Přihlásit | eventPriorityLogin | Vysoká | False | Auditujte události přihlášení do zařízení (místní a vzdálená přihlášení). |
| Vytvoření připojení | eventPriorityConnectionCreate | Nízká | False | Audituje připojení TCP vytvořená ze zařízení a z zařízení. |
| Konfigurace brány firewall | eventPriorityFirewallConfiguration | Nízká | True | Snímek konfigurace brány firewall zařízení (pravidla brány firewall). |
| Směrný plán operačního systému | eventPriorityOSBaseline | Nízká | True | Snímek kontroly standardních hodnot operačního systému zařízení |