Verwalten von OT-Netzwerksensoren über die Sensorkonsole
In diesem Artikel werden zusätzliche OT-Sensorwartungsaktivitäten beschrieben, die Sie außerhalb eines größeren Bereitstellungsprozesses ausführen können.
OT-Sensoren können auch über die OT-Sensor-CLI, das Azure-Portal und eine lokale Verwaltungskonsole verwaltet werden.
Achtung
Für die Kundenkonfiguration werden nur dokumentierte Konfigurationsparameter für den OT-Netzwerksensor unterstützt. Nehmen Sie keine Änderungen an nicht dokumentierten Konfigurationsparametern oder Systemeigenschaften vor, da Änderungen zu unerwartetem Verhalten und zu Systemfehlern führen können.
Das Entfernen von Paketen aus Ihrem Sensor ohne Microsoft-Genehmigung kann zu unerwarteten Ergebnissen führen. Alle auf dem Sensor installierten Pakete sind für die korrekte Sensorfunktionalität erforderlich.
Voraussetzungen
Bevor Sie die Verfahren in diesem Artikel ausführen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Ein OT-Netzwerksensor, der im Azure-Portal installiert, konfiguriert, aktiviert und in Defender for IoT integriert ist.
Zugriff auf den OT-Sensor als Administratorbenutzer*in. Für ausgewählte Prozeduren und CLI-Zugriff ist außerdem ein privilegierter Benutzer/eine privilegierte Benutzerin erforderlich. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
Zum Herunterladen von Software für OT-Sensoren benötigen Sie Zugriff auf das Azure-Portal als Benutzer mit der Rolle Sicherheitsadministrator, Mitwirkender oder Besitzer.
Ein vorbereitetes SSL/TLS-Zertifikat, falls Sie das Zertifikat Ihres Sensors aktualisieren müssen.
Anzeigen des Gesamtstatus des OT-Sensors
Wenn Sie sich bei Ihrem OT-Sensor anmelden, wird zuerst die Seite Übersicht angezeigt.
Beispiel:
Auf der Seite Übersicht werden die folgenden Widgets angezeigt:
name | BESCHREIBUNG |
---|---|
Allgemeine Einstellungen | Zeigt eine Liste der grundlegenden Konfigurationseinstellungen und des Konnektivitätsstatus für den Sensor an. |
Datenverkehrsüberwachung | Zeigt ein Diagramm mit einer detaillierten Darstellung des Datenverkehrs im Sensor an. Das Diagramm zeigt den Datenverkehr als Einheiten von MBit/s pro Stunde am Tag der Anzeige. |
Top 5 OT-Protokolle | Zeigt ein Balkendiagramm mit einer detaillierten Darstellung der fünf am häufigsten verwendeten OT-Protokolle an. Außerdem gibt das Balkendiagramm die Anzahl von Geräten an, die jedes dieser Protokolle verwenden. |
Datenverkehr nach Port | Zeigt ein Kreisdiagramm an, das die Porttypen in Ihrem Netzwerk mit der Menge an Datenverkehr zeigt, die in jedem Porttyp erkannt wurde. |
Wichtigste offene Benachrichtigungen | Zeigt eine Tabelle mit einer Auflistung aller zurzeit geöffneten Warnungen mit hohen Schweregraden an, einschließlich wichtiger Details zu jeder Warnung. |
Wählen Sie den Link in jedem Widget aus, um weitere Informationen in Ihrem Sensor anzuzeigen.
Überprüfen des Konnektivitätsstatus
Vergewissern Sie sich direkt auf der Seite Übersicht des OT-Sensors, dass Ihr OT-Sensor erfolgreich mit dem Azure-Portal verbunden wurde.
Wenn Verbindungsprobleme auftreten, wird auf der Seite Übersicht im Bereich Allgemeine Einstellungen eine Meldung zur Verbindungstrennung angezeigt, und im Bereich Systemmeldungen wird oben auf der Seite ein Dienstverbindungsfehler angezeigt. Beispiel:
Weitere Informationen zu diesem Problem erhalten Sie, wenn Sie mit dem Mauszeiger auf das Informationssymbol zeigen. Beispiel:
Ergreifen Sie die erforderlichen Maßnahmen, indem Sie unter Systemmeldungen die Option Weitere Informationen auswählen. Beispiel:
Herunterladen der Software für OT-Sensoren
Möglicherweise müssen Sie Software für Ihren OT-Sensor herunterladen, wenn Sie auf Ihren eigenen Geräten Defender for IoT-Software installieren oder Softwareversionen aktualisieren.
Verwenden Sie in Defender for IoT im Azure-Portal eine der folgenden Optionen:
Wählen Sie für eine neue Installation Erste Schritte>Sensor aus. Wählen Sie für im Bereich Appliance erwerben und Software installieren eine Version und dann Herunterladen aus.
Wenn Sie Ihren OT-Sensor aktualisieren, verwenden Sie die Optionen im Menü Sensorupdate (Vorschau) auf der Seite Standorte und Sensoren.
Alle aus dem Azure-Portal heruntergeladenen Dateien sind vom Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.
Weitere Informationen finden Sie unter Aktualisieren der Defender für IoT OT-Überwachungssoftware.
Upload einer neuen Aktivierungsdatei
Das Onboarding wird für jeden OT-Sensor als mit der Cloud verbundener oder lokal verwalteter OT-Sensor durchgeführt, und die Aktivierung erfolgt unter Verwendung einer eindeutigen Aktivierungsdatei. Bei mit der Cloud verbundenen Sensoren wird die Aktivierungsdatei verwendet, um die Verbindung zwischen dem Sensor und Azure sicherzustellen.
Sie müssen eine neue Aktivierungsdatei auf Ihren Sensor hochladen, wenn Sie den Sensorverwaltungsmodus wechseln möchten, z. B. von einem lokal verwalteten Sensor zu einem mit der Cloud verbundenen Sensor, oder wenn Sie ein Update von einer älteren Softwareversion durchführen möchten. Wenn Sie eine neue Aktivierungsdatei auf Ihren Sensor hochladen, müssen Sie Ihren Sensor aus der Azure-Portal löschen und das Onboarding erneut durchführen.
Zum Hinzufügen einer neuen Aktivierungsdateien gehen Sie folgendermaßen vor:
Führen Sie eines der folgenden Verfahren aus:
Führen Sie ein ganz neues Onboarding Ihres Sensors durch:
Suchen und löschen Sie ihren OT-Sensor unter Defender for IoT im Azure-Portal>Standorte und Sensoren.
Wählen Sie OT-Sensor onboarden > OT aus, um den Sensor erneut von Grund auf zu integrieren und die neue Aktivierungsdatei herunterzuladen. Weitere Informationen finden Sie unter Durchführen des Onboardings von OT-Sensoren.
Laden Sie die Aktivierungsdatei des aktuellen Sensors herunter: Suchen Sie auf der Seite Standorte und Sensoren den soeben hinzugefügten Sensor. Wählen Sie die drei Punkte (...) in der Zeile des Sensors und dann Aktivierungsdatei herunterladen aus. Speichern Sie die Datei an einem Ort, auf den Ihr Sensor zugreifen kann.
Alle aus dem Azure-Portal heruntergeladenen Dateien sind durch den Vertrauensanker signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.
Melden Sie sich bei der Defender for IoT-Sensorkonsole an, und wählen Sie Systemeinstellungen>Sensorverwaltung>Abonnement- und Aktivierungsmodus aus.
Wählen Sie Hochladen aus, und navigieren Sie zu der Datei, die Sie aus dem Azure-Portal heruntergeladen haben.
Wählen Sie Aktivieren aus, um Ihre neue Aktivierungsdatei hochzuladen.
Problembehandlung beim Hochladen der Aktivierungsdatei
Sie erhalten eine Fehlermeldung, wenn die Aktivierungsdatei nicht hochgeladen werden konnte. Es können die folgenden Ereignisse aufgetreten sein:
Der Sensor kann keine Verbindung mit dem Internet herstellen: Überprüfen Sie die Netzwerkkonfiguration des Sensors. Wenn der Sensor für den Zugriff auf das Internet eine Verbindung über einen Webproxy herstellen muss, vergewissern Sie sich auf dem Bildschirm Sensornetzwerkkonfiguration, dass der Proxyserver ordnungsgemäß konfiguriert ist. Vergewissern Sie sich, dass die erforderlichen Endpunkte in der Firewall und/oder dem Proxy zugelassen sind.
Laden Sie für OT-Sensoren, Version 22.x, die Liste der erforderlichen Endpunkte von der Seite Standorte und Sensoren im Azure-Portal herunter. Wählen Sie einen OT-Sensor mit einer unterstützten Softwareversion oder einen Standort mit einem oder mehreren unterstützten Sensoren aus. Wählen Sie dann Weitere Aktionen>Endpunktdetails herunterladen aus. Informationen zu Sensoren mit früheren Versionen finden Sie unter Sensorzugriff auf das Azure-Portal.
Die Aktivierungsdatei ist gültig, aber sie wurde von Defender for IoT abgelehnt: Wenn Sie dieses Problem nicht beheben können, laden Sie eine weitere Aktivierung von der Seite Standorte und Sensoren im Azure-Portal herunter. Wenn das nicht funktioniert, wenden Sie sich an den Microsoft-Support.
Hinweis
Aktivierungsdateien laufen 14 Tage nach der Erstellung ab. Wenn Sie ein Onboarding für Ihren Sensor durchführt haben, die Aktivierungsdatei jedoch nicht vor ihrem Ablauf hochgeladen haben, laden Sie eine neue Aktivierungsdatei herunter.
Verwalten von SSL-/TLS-Zertifikaten
Wenn Sie mit einer Produktionsumgebung arbeiten, haben Sie ein von der Zertifizierungsstelle signiertes SSL/TLS-Zertifikat als Teil Ihrer OT-Sensorbereitstellung bereitgestellt. Es empfiehlt sich, selbstsignierte Zertifikate nur zu Testzwecken zu verwenden.
In den folgenden Verfahren wird beschrieben, wie aktualisierte SSL/TLS-Zertifikate bereitgestellt werden, z. B. wenn das Zertifikat abgelaufen ist.
- Bereitstellen eines von der Zertifizierungsstelle signierten Zertifikats
- Erstellen und Bereitstellen eines selbstsignierten Zertifikats
So stellen Sie ein von der Zertifizierungsstelle signiertes SSL/TLS-Zertifikat bereit
Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie Systemeinstellungen>Grundeinstellungen>SSL/TLS-Zertifikat aus.
Wählen Sie im Bereich SSL/TLS-Zertifikate die Option Vertrauenswürdiges ZS-Zertifikat importieren (empfohlen) aus. Beispiel:
Legen Sie die folgenden Parameter fest:
Parameter BESCHREIBUNG Zertifikatname Geben Sie den Namen Ihres Zertifikats ein. Passphrase - Optional Geben Sie eine Passphrase ein. Privater Schlüssel (SCHLÜSSEL-Datei) Laden Sie einen privaten Schlüssel (SCHLÜSSEL-Datei) hoch. Zertifikat (CRT-Datei) Laden Sie ein Zertifikat (CRT-Datei) hoch. Zertifikatkette (PEM-Datei) - Optional Laden Sie eine Zertifikatkette (PEM-Datei) hoch. Wählen SieZertifikatsperrliste (Certificate Revocation List, CRL) verwenden aus, um den Zertifikatstatus zu überprüfen, um das Zertifikat durch einen CRL-Server zu überprüfen. Das Zertifikat wird während des Importvorgangs einmal überprüft.
Wenn ein Upload fehlschlägt, wenden Sie sich an Ihren Sicherheits- oder IT-Administrator bzw. an Ihre Administratorin. Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.
Wählen Sie im Bereich Validierung des SSL-Zertifikats für die lokale Verwaltungskonsole die Option Obligatorisch aus, wenn die SSL/TLS-Zertifikatüberprüfung erforderlich ist. Andernfalls wählen Sie Schließen aus.
Wenn Sie Obligatorisch ausgewählt haben und die Validierung fehlschlägt, wird die Kommunikation zwischen den relevanten Komponenten angehalten, und ein Validierungsfehler wird auf dem Sensor angezeigt. Weitere Informationen finden Sie unter Anforderungen an die CRT-Datei.
Wählen Sie Speichern aus, um Ihre Zertifikateinstellungen zu speichern.
Problembehandlung beim Upload von Zertifikaten
Sie können keine Zertifikate auf Ihre OT-Sensoren hochladen, wenn die Zertifikate nicht ordnungsgemäß erstellt wurden oder ungültig sind. Verwenden Sie die folgende Tabelle, um zu verstehen, wie Sie Maßnahmen ergreifen, wenn beim Hochladen Ihres Zertifikats ein Fehler auftritt und eine Fehlermeldung angezeigt wird:
Fehler bei Zertifikatüberprüfung | Empfehlung |
---|---|
Passphrase stimmt nicht mit dem Schlüssel überein. | Vergewissern Sie sich, dass Sie die richtige Passphrase verwenden. Falls das Problem weiterhin besteht, sollten Sie versuchen, das Zertifikat mit der richtigen Passphrase neu zu erstellen. Weitere Informationen finden Sie unter Unterstützte Zeichen für Schlüssel und Passphrasen. |
Die Vertrauenskette kann nicht überprüft werden. Das bereitgestellte Zertifikat und die Stammzertifizierungsstelle stimmen nicht überein. | Vergewissern Sie sich, dass die .pem -Datei zur .crt -Datei passt. Falls das Problem weiterhin besteht, sollten Sie versuchen, das Zertifikat mit der richtigen Vertrauenskette (wie in der .pem -Datei definiert) neu zu erstellen. |
Dieses SSL-Zertifikat ist abgelaufen und wird nicht als gültig angesehen. | Erstellen Sie ein neues Zertifikat mit gültigen Datumsangaben. |
Dieses Zertifikat wurde von der Zertifikatssperrliste widerrufen und kann nicht als vertrauenswürdig für eine sichere Verbindung eingestuft werden. | Erstellen Sie ein neues Zertifikat, das nicht widerrufen wird. |
Der Speicherort der Zertifikatssperrliste ist nicht erreichbar. Überprüfen Sie, ob von dieser Appliance aus auf die URL zugegriffen werden kann. | Vergewissern Sie sich, dass in Ihrer Netzwerkkonfiguration für den Server das Erreichen des Zertifikatssperrlisten-Servers, der im Zertifikat definiert ist, zulässig ist. Weitere Informationen finden Sie unter Überprüfen des Zugriffs auf den CRL-Server. |
Fehler bei der Zertifikatüberprüfung. | Dies ist ein Hinweis auf einen allgemeinen Fehler in der Appliance. Wenden Sie sich an den Microsoft-Support. |
Aktualisieren der OT-Sensornetzwerkkonfiguration
Sie haben Ihr OT-Sensornetzwerk während der Installation konfiguriert. Möglicherweise müssen Sie Änderungen im Rahmen der OT-Sensorwartung vornehmen, z. B. um Netzwerkwerte zu ändern oder eine Proxykonfiguration einzurichten.
So aktualisieren Sie die Konfiguration des OT-Sensors
Melden Sie sich beim OT-Sensor an, und wählen Sie Systemeinstellungen>Grundeinstellungen>Sensornetzwerkeinstellungen aus.
Aktualisieren Sie im Bereich Sensornetzwerkeinstellungen nach Bedarf die folgenden Details für Ihren OT-Sensor:
- IP-Adresse. Wenn Sie die IP-Adresse ändern, müssen sich Benutzer*innen möglicherweise erneut bei Ihrem OT-Sensor anmelden.
- Subnetzmaske
- Standardgateway
- DNS. Stellen Sie sicher, dass Sie den gleichen Hostnamen verwenden, der auf dem DNS-Server Ihrer Organisation konfiguriert ist.
- Hostname (optional)
Aktivieren oder deaktivieren Sie bei Bedarf die Option Proxy aktivieren. Wenn Sie einen Proxy verwenden, geben Sie die folgenden Werte ein:
- Proxyhost
- Proxyport
- Proxybenutzername (optional)
- Proxykennwort (optional)
Wählen Sie Speichern, um Ihre Änderungen zu speichern.
Manuelles Deaktivieren des Lernmodus
Ein OT-Netzwerksensor in Microsoft Defender for IoT beginnt automatisch mit der Überwachung Ihres Netzwerks, sobald er mit Ihrem Netzwerk verbunden ist und Sie sich angemeldet haben. Netzwerkgeräte werden in Ihrem Gerätebestand angezeigt, und es werden Warnungen für Sicherheits- oder Betriebsvorfälle ausgelöst, die in Ihrem Netzwerk auftreten.
Zunächst erfolgt diese Aktivität im Lernmodus. Dieser weist Ihren OT-Sensor an, die übliche Aktivität Ihres Netzwerks zu erlernen. Dazu zählen die Geräte und Protokolle in Ihrem Netzwerk und die regulären Dateiübertragungen zwischen bestimmten Geräten. Jede regelmäßig erkannte Aktivität wird zum Baselinedatenverkehr Ihres Netzwerks.
In diesem Verfahren wird beschrieben, wie Sie den Lernmodus manuell deaktivieren, wenn die aktuellen Warnungen Ihre Netzwerkaktivität genau widerspiegeln.
So deaktivieren Sie den Lernmodus manuell
Melden Sie sich bei Ihrem OT-Netzwerksensor an, und wählen Sie Systemeinstellungen > Netzwerküberwachung > Erkennungsmodule und Netzwerkmodellierung aus.
Deaktivieren Sie eine oder beide der folgenden Optionen:
Lernen. Deaktivieren Sie diese Option etwa zwei bis sechs Wochen nach der Bereitstellung Ihres Sensors, wenn Sie den Eindruck haben, dass die OT-Sensorerkennung Ihre Netzwerkaktivität genau widerspiegelt.
Intelligente Erfassung von IT-Aktivität. Lassen Sie diese Option aktiviert, um die Anzahl nicht deterministischer Warnungen und Benachrichtigungen gering zu halten.
Nicht deterministisches Verhalten umfasst Änderungen, die das Ergebnis normaler IT-Aktivitäten sind, z. B. DNS- und HTTP-Anforderungen. Das Deaktivieren der Option Intelligente Erfassung von IT-Aktivität kann viele falsch positive Warnungen zu Richtlinienverletzungen auslösen.
Wählen Sie in der Bestätigungsmeldung OK und dann Schließen aus, um Ihre Änderungen zu speichern.
Aktualisieren der Überwachungsschnittstellen eines Sensors (Konfigurieren von ERSPAN)
Möglicherweise möchten Sie die Schnittstellen ändern, die von Ihrem Sensor zum Überwachen des Datenverkehrs verwendet werden. Sie haben diese Details ursprünglich im Rahmen der Ersteinrichtung Ihres Sensors konfiguriert, müssen die Einstellungen jedoch möglicherweise im Rahmen der Systemwartung ändern, z. B. beim Konfigurieren der ERSPAN-Überwachung.
Weitere Informationen finden Sie unter ERSPAN-Ports.
Hinweis
Mit diesem Verfahren wird die Sensorsoftware neu gestartet, um alle vorgenommenen Änderungen zu implementieren.
So aktualisieren Sie die Überwachungsschnittstellen Ihres Sensors:
Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie Systemeinstellungen>Grundeinstellungen>Schnittstellenverbindungen aus.
Suchen Sie im Raster nach der Schnittstelle, die Sie konfigurieren möchten. Führen Sie einen der folgenden Schritte aus:
Wählen Sie die Umschaltfläche Aktivieren/Deaktivieren für alle Schnittstellen aus, die vom Sensor überwacht werden sollen. Für jeden Sensor muss mindestens eine Schnittstelle aktiviert sein.
Wenn Sie nicht sicher sind, welche Schnittstelle verwendet werden soll, wählen Sie LED der physischen Schnittstelle blinken lassen aus, damit der ausgewählte Port auf Ihrem Computer blinkt.
Tipp
Es wird empfohlen, die Leistung ihres Sensors zu optimieren, indem Sie Ihre Einstellungen so konfigurieren, dass nur die aktiv verwendeten Schnittstellen überwacht werden.
Wählen Sie für jede zu überwachende Schnittstelle die Schaltfläche Erweiterte Einstellungen aus, um eine der folgenden Einstellungen zu ändern:
Name Beschreibung Mode Wählen Sie eines der folgenden Szenarien aus:
- SPAN-Datenverkehr (keine Kapselung), um die standardmäßige SPAN-Portspiegelung zu verwenden.
- ERSPAN, wenn Sie die ERSPAN-Spiegelung verwenden.
Weitere Informationen finden Sie unter Auswählen einer Methode zur Verkehrsspiegelung für OT-Sensoren.Beschreibung Geben Sie eine optionale Beschreibung für die Schnittstelle ein. Diese wird später auf der Seite Systemeinstellungen > Schnittstellenkonfigurationen des Sensors angezeigt und kann hilfreich sein, um den Zweck der einzelnen Schnittstellen zu verstehen. Automatische Aushandlung Nur für physische Computer relevant. Verwenden Sie diese Option, um zu bestimmen, welche Art von Kommunikationsmethoden verwendet wird oder ob die Kommunikationsmethoden automatisch zwischen Komponenten definiert werden.
Wichtig: Es wird empfohlen, diese Einstellung nur auf Anraten Ihres Netzwerkteams zu ändern.
Zum Beispiel:
Wählen Sie Speichern aus, um die Änderungen zu speichern. Ihre Sensorsoftware wird neu gestartet, um Ihre Änderungen zu implementieren.
Synchronisieren von Zeitzonen auf einem OT-Sensor
Sie können Ihren OT-Sensor mit einer bestimmten Zeitzone konfigurieren, damit alle Benutzer*innen unabhängig vom jeweiligen Standort die gleichen Zeiten sehen.
Zeitzonen werden in Warnungen, Widgets für Trends und Statistiken, Data Mining-Berichten, Risikobewertungsberichten und Angriffsvektorberichten verwendet.
So konfigurieren Sie die Zeitzone eines OT-Sensors
Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie Systemeinstellungen>Basic>Uhrzeit & Region aus.
Geben Sie im Bereich Zeit & Region die folgenden Details ein:
Zeitzone: Wählen Sie die Zeitzone aus, die Sie verwenden möchten.
Datumsformat: Wählen Sie das gewünschte Uhrzeit- und Datumsformat aus. Folgende Formate werden unterstützt:
dd/MM/yyyy HH:mm:ss
MM/dd/yyyy HH:mm:ss
yyyy/MM/dd HH:mm:ss
Das Feld Datum & Uhrzeit wird automatisch mit der aktuellen Uhrzeit im ausgewählten Format aktualisiert.
Wählen Sie Speichern aus, um die Änderungen zu speichern.
Konfigurieren von SMTP-E-Mail-Servereinstellungen
Definieren Sie SMTP-E-Mail-Servereinstellungen auf Ihrem OT-Sensor, damit Sie den OT-Sensor so konfigurieren, dass Daten an andere Server und Partnerdienste gesendet werden.
Sie benötigen einen SMTP-Mailserver, der so konfiguriert wurde, dass E-Mail-Warnungen zu getrennten Sensoren, fehlgeschlagenen Sensorsicherungsabrufen und SPAN-Überwachungsportfehlern über die lokale Verwaltungskonsole aktiviert werden, die E-Mail-Weiterleitung eingerichtet wird und Regeln für Weiterleitungswarnungen konfiguriert werden.
Voraussetzungen:
Stellen Sie sicher, dass Sie den SMTP-Server über den Verwaltungsport des Sensors erreichen können.
So konfigurieren Sie einen SMTP-Server auf Ihrem OT-Sensor
Melden Sie sich beim OT-Sensor an, und wählen Sie Systemeinstellungen>Integrationen>E-Mail-Server aus.
Definieren Sie in dem daraufhin angezeigten Bereich E-Mail-Serverkonfiguration bearbeiten die Werte für Ihren SMTP-Server wie folgt:
Parameter BESCHREIBUNG SMTP-Serveradresse Geben Sie die IP-Adresse oder Domänenadresse Ihres SMTP-Servers ein. SMTP-Serverport Standard = 25. Passen Sie den Wert nach Bedarf an. Postausgangskonto Geben Sie eine E-Mail-Adresse ein, die als Postausgangskonto Ihres Sensors verwendet werden soll. SSL Schalten Sie um auf „ein“ für sichere Verbindungen aus Ihrem Sensor. Authentifizierung Schalten Sie um auf „ein“, und geben Sie einen Benutzernamen und ein Kennwort für Ihr E-Mail-Konto ein. Verwenden von NTLM Schalten Sie um auf „ein“, um NTLM zu aktivieren. Diese Option wird nur angezeigt, wenn Sie die Option Authentifizierung aktiviert haben. Wählen Sie Speichern aus, wenn Sie fertig sind.
Hochladen und Wiedergeben von PCAP-Dateien
Bei der Problembehandlung auf Ihrem OT-Sensor möchten Sie möglicherweise Daten untersuchen, die von einer bestimmten PCAP-Datei aufgezeichnet wurden. Dazu können Sie eine PCAP-Datei auf Ihren OT-Sensor hochladen und die aufgezeichneten Daten wiedergeben.
Die Option PCAP wiedergeben ist in den Einstellungen der Sensorkonsole standardmäßig aktiviert.
Die maximale Größe für hochgeladene Dateien beträgt 2 GB.
So zeigen Sie den PCAP-Player in Ihrer Sensorkonsole an:
Wechseln Sie in Ihrer Sensorkonsole zu Systemeinstellungen > Sensorverwaltung > Erweiterte Konfigurationen.
Wählen Sie im Bereich Erweiterte Konfigurationen die Kategorie Pcaps aus.
Ändern Sie in den angezeigten Konfigurationen
enabled=0
inenabled=1
, und wählen Sie Speichern aus.
Die Option Play PCAP (PCAP wiedergeben) ist jetzt in den Einstellungen der Sensorkonsole verfügbar unter: Systemeinstellungen > Basic > Play PCAP.
So laden Sie eine PCAP-Datei hoch und geben sie wieder:
Wählen Sie in Ihrer Sensorkonsole Systemeinstellungen > Basic > Play PCAP aus.
Wählen Sie im Bereich PCAP-PLAYER die Option Hochladen aus. Navigieren Sie dann zu den Dateien, die Sie hochladen möchten, und wählen Sie sie aus.
Wählen Sie Play (Wiedergeben), um Ihre PCAP-Datei wiederzugeben, oder Play All (Alle wiedergeben) aus, um alle zurzeit geladenen PCAP-Dateien wiederzugeben.
Tipp
Wählen Sie Alle löschen aus, um den Sensor aller geladenen PCAP-Dateien zu löschen.
Deaktivieren bestimmter Analyse-Engines
OT-Netzwerksensoren analysieren standardmäßig erfasste Daten mithilfe integrierter Analyse-Engines und lösen Warnungen sowohl auf der Grundlage von Echtzeit- als auch von vorab aufgezeichnetem Datenverkehr aus.
Es wird zwar empfohlen, alle Analyse-Engines aktiviert zu lassen, sie könnten jedoch bestimmte Analyse-Engines auf Ihren OT-Sensoren deaktivieren, um die Art der Anomalien und Risiken zu begrenzen, die von diesen OT-Sensoren überwacht werden.
Wichtig
Wenn Sie eine Richtlinienengine deaktivieren, stehen die von der Engine generierten Informationen dem Sensor nicht zur Verfügung. Wenn Sie beispielsweise die Anomalie-Engine deaktivieren, erhalten Sie keine Warnungen zu Netzwerkanomalien. Wenn Sie eine Weiterleitungsregel für Warnungen erstellt haben, werden keine Anomalien gesendet, die von der Engine gelernt werden.
So verwalten Sie die Analyse-Engines eines OT-Sensors
Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie Systemeinstellungen > Netzwerküberwachung > Anpassung > Erkennungsmodule und Netzwerkmodellierung aus.
Deaktivieren Sie im Bereich Erkennungsmodule und Netzwerkmodellierung im Bereich Engines eine oder mehrere der folgenden Engines:
- Protokollverstoß
- Richtlinienverletzung
- Malware
- Anomalie
- Bei Betrieb
Aktivieren Sie die Engine wieder, um die Nachverfolgung verknüpfter Anomalien und Aktivitäten erneut zu starten.
Weitere Informationen finden Sie unter Defender for IoT-Analyse-Engines.
Wählen Sie Schließen aus, um Ihre Änderungen zu speichern.
So verwalten Sie Analyse-Engines über eine lokale Verwaltungskonsole
Melden Sie sich bei Ihrer lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungen aus.
Wählen Sie im Abschnitt Engine-Konfiguration für Sensoren einen oder mehrere OT-Sensoren aus, auf die Sie Einstellungen anwenden möchten, und deaktivieren Sie beliebige der folgenden Optionen:
- Protokollverstoß
- Richtlinienverletzung
- Malware
- Anomalie
- Bei Betrieb
Wählen Sie zum Speichern der Änderungen ÄNDERUNGEN SPEICHERN aus.
Löschen von OT-Sensordaten
Wenn Sie Ihren OT-Sensor verschieben oder löschen müssen, setzen Sie ihn zurück, um alle erkannten oder gelernten Daten auf dem OT-Sensor zu löschen.
Nach dem Löschen von Daten auf einem mit der Cloud verbundenen Sensor:
- Der Gerätebestand im Azure-Portal wird parallel aktualisiert.
- Einige Aktionen für entsprechende Warnungen im Azure-Portal werden nicht mehr unterstützt, z. B. Herunterladen von PCAP-Dateien oder Erlernen von Warnungen.
Hinweis
Netzwerkeinstellungen wie IP/DNS/GATEWAY werden durch das Löschen von Systemdaten nicht geändert.
So löschen Sie Systemdaten:
Melden Sie sich beim OT-Sensor mit dem Benutzernamen Administrator an. Weitere Informationen finden Sie unter Standardmäßig berechtigte, lokale Benutzer.
Wählen Sie Support>Daten löschen aus.
Wählen Sie im Bestätigungsdialogfeld Ja aus, um zu bestätigen, dass Sie alle Daten vom Sensor löschen und ihn zurücksetzen möchten. Beispiel:
Eine Bestätigungsmeldung, dass die Aktion erfolgreich war, wird angezeigt. Alle erlernten Daten, Positivlisten, Richtlinien und Konfigurationseinstellungen werden vom Sensor gelöscht.
Verwalten von Sensor-Plug-Ins und Überwachen der Plug-In-Leistung
Zeigen Sie Daten für jedes Protokoll, das von Ihrem Sensor überwacht wird, mithilfe der Seite Protokolle DPI (Horizon Plugins) in der Sensorkonsole an.
Melden Sie sich bei Ihrer OT-Sensorkonsole an, und wählen Sie Systemeinstellungen > Netzwerküberwachungsprotokolle > DPI (Horizon Plugins) aus.
Führen Sie eines der folgenden Verfahren aus:
Wenn Sie die vom Sensor überwachten Protokolle einschränken möchten, wählen Sie Aktivieren/Deaktivieren bei Bedarf für jedes Plug-In aus.
Um die Plug-In-Leistung zu überwachen, zeigen Sie die Daten an, die auf der Seite Protokoll-DPI (Horizon Plugins) für jedes Plug-In angezeigt werden. Um ein bestimmtes Plug-in zu finden, verwenden Sie das Feld Suchen, um einen Teil des gesamten Plug-in-Namens einzugeben.
Der Protokolle-DPI (Horizon Plugins) listet die folgenden Daten pro Plugin auf:
Spaltenname | BESCHREIBUNG |
---|---|
Plug-In | Definiert den Namen des Plugins |
Typ | Der Plugin-Typ, einschließlich ANWENDUNG oder INFRASTRUKTUR. |
Time | Der Zeitpunkt, zu dem die Daten zuletzt mit dem Plugin analysiert wurden. Der Zeitstempel wird alle fünf Sekunden aktualisiert. |
PPS | Die Anzahl der vom Plug-in pro Sekunde analysierten Pakete. |
Bandbreite | Die durchschnittliche Bandbreite, die das Plugin innerhalb der letzten fünf Sekunden erkannt hat. |
Malforms | Die Anzahl der in den letzten fünf Sekunden erkannten fehlerhaften Fehler. Falsch formatierte Prüfungen werden verwendet, nachdem das Protokoll positiv geprüft wurde. Wenn bei der Verarbeitung der Pakete, basierend auf dem Protokoll, ein Fehler auftritt, wird eine Fehlerantwort zurückgegeben. |
Warnungen | Die Anzahl der erkannten Warnungen, z. B. wenn Pakete der Struktur und den Spezifikationen entsprechen, aber unerwartetes Verhalten erkannt wird, basierend auf der Plugin-Warnkonfiguration. |
Fehler | Die Anzahl der Fehler, die in den letzten fünf Sekunden für Pakete erkannt wurden, die die grundlegenden Protokollvalidierungen für die Pakete, die den Protokolldefinitionen entsprechen, nicht bestanden haben. |
Protokolldaten sind für den Export in den Protokolldateien Dissektionsstatistiken und Dissektionsprotokolle verfügbar. Weitere Informationen finden Sie unter Exportieren von Problembehandlungsprotokollen.
Nächste Schritte
Weitere Informationen finden Sie unter: