Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT
Při práci se sítěmi OT jsou kromě Azure k dispozici i služby Defender for IoT a data z místních síťových senzorů OT.
Tento článek obsahuje:
- Popis výchozích privilegovaných uživatelů, kteří jsou součástí instalace softwaru Defender for IoT
- Referenční informace o akcích dostupných pro každou místní roli uživatele na obou síťových senzorech OT
Důležité
Defender pro IoT teď doporučuje používat cloudové služby Microsoftu nebo stávající IT infrastrukturu pro centrální monitorování a správu senzorů a plánuje vyřadit místní konzolu pro správu 1. ledna 2025.
Další informace naleznete v tématu Nasazení hybridního nebo vzduchově mezerovaného řízení snímačů OT.
Výchozí privilegovaní místní uživatelé
Ve výchozím nastavení se každý senzor instaluje s výchozím uživatelem s privilegovaným správcem s přístupem k pokročilým nástrojům pro řešení potíží a nastavení, jako je rozhraní příkazového řádku.
Při prvním nastavení senzoru se přihlaste s uživatelem správce , vytvořte počátečního uživatele s rolí správce a pak ho použijte k vytvoření dalších uživatelů s jinými rolemi.
Další informace naleznete v tématu:
- Instalace monitorovacího softwaru OT na senzory OT
- Konfigurace a aktivace senzoru OT
- Vytváření a správa uživatelů na síťovém senzoru OT
Starší uživatelé
| Starší verze scénáře | Popis |
|---|---|
| Verze snímače starší než 23.2.0 | Ve verzích snímačů starších než 23.2.0 se jmenuje podpora výchozího uživatele správce. Uživatel podpory je k dispozici a podporován pouze ve verzích starších než 23.2.0. Dokumentace odkazuje na uživatele s rolí správce , aby odpovídal nejnovější verzi softwaru. |
| Verze softwaru snímače starší než 23.1.x | Ve verzích softwaru snímačů starších než 23.1.x se také používají kyberzločinci a cyberx_host privilegovaní uživatelé. V nově nainstalovaných verzích 23.1.x a novějších jsou k dispozici cyberx a cyberx_host uživatelé, ale ve výchozím nastavení nejsou povoleni. Pokud chcete těmto dalším privilegovaným uživatelům povolit, například použít Defender for IoT CLI, změňte svá hesla. Další informace najdete v tématu Obnovení privilegovaného přístupu k senzoru. |
Přístup na privilegovaného uživatele
Následující tabulka popisuje přístup dostupný jednotlivým privilegovaným uživatelům, včetně starších verzí uživatelů.
| Název | Připojí se k | Oprávnění |
|---|---|---|
| Admin | Senzor OT configuration shell |
Výkonný účet pro správu s přístupem k: – Všechny příkazy rozhraní příkazového řádku - Schopnost spravovat soubory protokolu - Spuštění a zastavení služeb Tento uživatel nemá přístup k systému souborů. Ve starších verzích softwaru má tento uživatel název podpory. |
| kyberzločinek | Senzor OT terminal (root) |
Slouží jako uživatel root a má na zařízení neomezená oprávnění. Používá se pouze pro následující úlohy: - Změna výchozích hesel -Řešení problémů - Přístup k systému souborů |
| cyberx_host | Hostitelský operační systém senzoru OT terminal (root) |
Slouží jako uživatel root a má neomezená oprávnění k hostitelskému operačnímu systému zařízení. Používá se pro: – Konfigurace sítě – Řízení kontejneru aplikací - Přístup k systému souborů |
Role místních uživatelů
V síťových senzorech OT jsou k dispozici následující role:
| Role | Popis |
|---|---|
| Správa | Uživatelé správců mají přístup ke všem nástrojům, včetně konfigurací systému, vytváření a správy uživatelů a dalších. |
| Analytik zabezpečení | Analytici zabezpečení nemají oprávnění na úrovni správce pro konfigurace, ale můžou provádět akce na zařízeních, potvrdit výstrahy a používat nástroje pro šetření. Analytici zabezpečení mají přístup k možnostem na senzoru zobrazeném v nabídkách Discover and Analyze (Zjistit a analyzovat ) na senzoru. |
| Jen pro čtení | Uživatelé jen pro čtení provádějí úlohy, jako je zobrazení upozornění a zařízení na mapě zařízení. Uživatelé jen pro čtení mají přístup k možnostem zobrazeným v nabídkách Zjistit a analyzovat v senzoru v režimu jen pro čtení. |
Při prvním nasazení monitorovacího systému OT se přihlaste ke senzorům pomocí některého z výchozích privilegovaných uživatelů popsaných výše. Vytvořte svého prvního uživatele správce a pak ho použijte k vytvoření dalších uživatelů a jejich přiřazení k rolím.
V následujících tabulkách najdete oprávnění dostupná pro každou roli na senzoru.
Oprávnění založená na rolích pro síťové senzory OT
| Oprávnění | Jen pro čtení | Bezpečnostní analytik | Správce |
|---|---|---|---|
| Zobrazení řídicího panelu | ✔ | ✔ | ✔ |
| Řízení zobrazení lupy mapy | - | - | ✔ |
| Zobrazení upozornění | ✔ | ✔ | ✔ |
| Správa upozornění: potvrzení, učení a ztlumení | - | ✔ | ✔ |
| Zobrazení událostí na časové ose | ✔ | ✔ | ✔ |
| Autorizace zařízení, známá skenovací zařízení, programovací zařízení | - | ✔ | ✔ |
| Sloučení a odstranění zařízení | - | - | ✔ |
| Zobrazení dat šetření | ✔ | ✔ | ✔ |
| Správa nastavení systému | - | - | ✔ |
| Spravovat uživatele | - | - | ✔ |
| Změna hesel | - | - | ✔* |
| Servery DNS pro reverzní vyhledávání | - | - | ✔ |
| Odeslání dat upozornění partnerům | - | ✔ | ✔ |
| Vytváření komentářů k upozorněním | - | ✔ | ✔ |
| Zobrazení historie změn programování | ✔ | ✔ | ✔ |
| Vytvoření přizpůsobených pravidel upozornění | - | ✔ | ✔ |
| Správa více oznámení současně | - | ✔ | ✔ |
| Správa certifikátů | - | - | ✔ |
Poznámka:
Uživatelé s oprávněními správce můžou měnit hesla jenom pro sebe nebo pro jiné uživatele s rolemi Analytik zabezpečení a jen pro čtení.
Další kroky
Další informace naleznete v tématu: