Configurazioni micro-agente
Questo articolo descrive i diversi tipi di configurazione supportati dal micro agente. I clienti possono configurare il micro agente in base alle esigenze dei dispositivi e degli ambienti di rete.
Nota
Defender per IoT prevede di ritirare il micro agente il 1° agosto 2025.
Il comportamento del micro agente è configurato da un set di proprietà del modulo gemello. È possibile configurare il micro agente in base alle proprie esigenze. Ad esempio, è possibile disabilitare determinati eventi per ridurre al minimo il consumo di energia e ridurre l'utilizzo di altre risorse.
Dopo qualsiasi modifica della configurazione, l'agente di raccolta invierà immediatamente tutti i dati degli eventi non inviati. Dopo l'invio dei dati, le modifiche verranno applicate e gli agenti di raccolta verranno riavviati in base alle esigenze.
General configuration
Definire la frequenza con cui i messaggi vengono inviati per ogni livello di priorità. Tutti i valori sono obbligatori.
I valori predefiniti sono i seguenti:
| Frequenza | Periodo di tempo (in minuti) |
|---|---|
| Basso | 1440 (24 ore) |
| Medium | 120 (2 ore) |
| Alto | 30 (5 ore) |
Per ridurre il consumo di risorse nel dispositivo, ogni priorità deve essere impostata come multiplo di quella sottostante. Ad esempio, Alta: 60 minuti, Media: 120 minuti, Bassa: 480 minuti.
La sintassi per la configurazione delle frequenze è la seguente:
"CollectorsCore_PriorityIntervals" : "<High>,<Medium>,<Low>"
Ad esempio:
"CollectorsCore_PriorityIntervals" : "30,120,1440"
Tipi e proprietà dell'agente di raccolta
Configurare il micro agente usando le proprietà e le seguenti impostazioni specifiche dell'agente di raccolta:
Impostazioni specifiche dell'agente di raccolta di base
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| Baseline_Disabled | True/False |
Disabilita l'agente di raccolta Baseline. | False |
| Baseline_MessageFrequency | Low/Medium/High |
Definisce la frequenza in cui inviare gli eventi Baseline. | Low |
| Baseline_GroupsDisabled | Elenco dei nomi dei gruppi Baseline, separati da una virgola. Ad esempio: Time Synchronization, Network Parameters Host |
Definisce l'elenco completo dei nomi dei gruppi Baseline che devono essere disabilitati. | Null |
| Baseline_ChecksDisabled | Elenco di ID di controllo Baseline, separati da una virgola. Ad esempio: 3.3.5,2.2.1.1 |
Definisce l'elenco completo degli ID controllo Baseline che devono essere disabilitati. | Null |
Impostazioni specifiche dell'agente di raccolta delle informazioni di sistema
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| SystemInformation_Disabled | True/False |
Disabilita l'agente di raccolta delle informazioni di sistema. | False |
| SystemInformation_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare eventi delle informazioni di sistema. | Low |
| SystemInformation_HardwareVendor | string | Impostare le informazioni sul fornitore di hardware. | None |
| SystemInformation_HardwareModel | string | Impostare le informazioni sul modello hardware. | None |
| SystemInformation_HardwareSerialNumber | string | Impostare le informazioni sul numero di serie hardware. | None |
| SystemInformation_FirmwareVendor | string | Impostare le informazioni sul fornitore del firmware. | None |
| SystemInformation_FirmwareVersion | string | Impostare le informazioni sulla versione del firmware. | None |
Impostazioni specifiche dell'agente di raccolta SBoM
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| SBoM_Disabled | True/False |
Disabilita l'agente di raccolta SBoM. | False |
| SBoM_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare eventi SBoM. | Low |
Impostazioni specifiche dell'agente di raccolta heartbeat
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| Heartbeat_Disabled | True/False |
Disabilita l'invio dell'evento heartbeat. | False |
| Heartbeat_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare eventi heartbeat. | Low |
Impostazioni specifiche dell'agente di raccolta dell’accesso
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| Login_Disabled | True/False |
Disabilita l'agente di raccolta dell’accesso. | False |
| Login_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare gli eventi di accesso. | Medium |
| Login_UsePAM | True/False |
Usare un modulo PAM per raccogliere gli eventi di accesso. Senza PAM, l'agente usa una combinazione di lettura di UTMP e Syslog per raccogliere gli eventi di accesso. Se il sistema non ha abilitato UTMP o Syslog, l'uso di PAM è una possibile opzione, ma richiederà una configurazione aggiuntiva per funzionare correttamente. Per altre informazioni, vedere Configurare moduli di autenticazione plug-in (PAM) per controllare gli eventi di accesso | False |
Impostazioni specifiche del modulo dell'hub IoT
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| IothubModule_MessageTimeout | Numero intero positivo, inclusi i limiti | Definisce il numero di minuti durante i quali conservare i messaggi nella coda in uscita verso l'hub IoT, dopo il quale i messaggi vengono eliminati. | 2880 (=2 giorni) |
Impostazioni specifiche dell'agente di raccolta dell’attività di rete
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| NetworkActivity_Disabled | True/False |
Disabilita l'agente di raccolta dell’attività di rete. | False |
| NetworkActivity_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare gli eventi dell'attività di rete. | Medium |
| NetworkActivity_Devices | Elenco dei dispositivi di rete separati da una virgola. Ad esempio: eth0,eth1 |
Definisce l'elenco dei dispositivi di rete (interfacce) che verranno usati dall'agente per monitorare il traffico. Se un dispositivo di rete non è elencato, gli eventi di rete non elaborati non verranno registrati per il dispositivo mancante. |
eth0 |
| NetworkActivity_CacheSize | Intero positivo | Numero di eventi dell'attività di rete (dopo l'aggregazione) da mantenere nella cache tra gli intervalli di invio. Oltre a tale numero, gli eventi meno recenti verranno eliminati (persi). | 256 |
| NetworkActivity_PacketBufferSize | Intero positivo | Configurare le dimensioni del buffer (in byte) che verranno usate per acquisire pacchetti per un singolo dispositivo per direzione (traffico in ingresso o in uscita). | 2097152 (=2MB) |
Impostazioni specifiche dell'agente di raccolta processi
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| Process_Disabled | True/False |
Disabilita l'agente di raccolta processi. | False |
| Process_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare eventi processi. | Medium |
| Process_PollingInterval | Numero intero positivo | Definisce l'intervallo di polling in microsecondi. Questo valore viene usato quando il Process_Mode è in modalità Polling. |
100000 (=0.1 secondi) |
| Process_Mode | 1 = Auto 2 = Netlink 3= Polling |
Determina la modalità dell’agente di raccolta processi. In modalità Auto, l'agente tenta prima di tutto di abilitare la modalità Netlink. In caso di errore, eseguirà automaticamente il fallback/passaggio alla modalità polling. |
1 |
| Process_CacheSize | Intero positivo | Numero di eventi processi (dopo l'aggregazione) da mantenere nella cache tra gli intervalli di invio. Oltre a tale numero, gli eventi meno recenti verranno eliminati (persi). | 256 |
Impostazioni specifiche dell'agente di raccolta log
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| LogCollector_Disabled | True/False |
Disabilita l'agente di raccolta log. | False |
| LogCollector_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare gli eventi di log. | Low |
Impostazioni specifiche dell'agente di raccolta file system
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| FileSystem_Disabled | True/False |
Disabilita l'agente di raccolta file system. | False |
| FileSystem_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare gli eventi del file system. | Low |
| FileSystem_Recursive | True/False |
Se impostato su true, esegue il monitoraggio di tutte le directory nel percorso specificato. | True |
| FileSystem_Paths | Percorsi da monitorare. Ad esempio: /path/to/monitor, /another/path/to/monitor |
Definisce i percorsi da monitorare, è possibile monitorare più percorsi. | Null |
| FileSystem_CacheSize | Intero positivo | Numero di eventi file system (dopo l'aggregazione) da mantenere nella cache tra gli intervalli di invio. Oltre a tale numero, gli eventi meno recenti verranno eliminati (persi). | 256 |
Impostazioni specifiche dell'agente di raccolta periferiche
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| Peripheral_Disabled | True/False |
Disabilita l'agente di raccolta periferiche. | False |
| Peripheral_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare eventi periferiche. | Low |
| Peripheral_CacheSize | Intero positivo | Numero di eventi periferiche (dopo l'aggregazione) da mantenere nella cache tra gli intervalli di invio. Oltre a tale numero, gli eventi meno recenti verranno eliminati (persi). | 256 |
Impostazioni specifiche dell'agente di raccolta statistiche
| Nome dell'impostazione | Impostazione delle opzioni | Descrizione | Default |
|---|---|---|---|
| Statistics_Disabled | True/False |
Disabilita l'agente di raccolta statistiche. | False |
| Statistics_MessageFrequency | Low/Medium/High |
Definisce la frequenza con cui inviare eventi statistiche. | Low |
| Statistics_CacheSize | Intero positivo | Numero di eventi statistiche (dopo l'aggregazione) da mantenere nella cache tra gli intervalli di invio. Oltre a tale numero, gli eventi meno recenti verranno eliminati (persi). | 256 |
Passaggi successivi
Per altre informazioni, vedi: