Esercitazione: Configurare gli agenti di sicurezza
Questo articolo illustra gli agenti di sicurezza di Defender per IoT e illustra in dettaglio come modificarli e configurarli.
- Configurare gli agenti di sicurezza
- Modificare il comportamento dell'agente modificando le proprietà dei dispositivi gemelli
- Individuare la configurazione predefinita
Agenti
Gli agenti di sicurezza di Defender per IoT raccolgono i dati dai dispositivi IoT ed eseguono azioni di sicurezza per attenuare le vulnerabilità rilevate. La configurazione dell'agente di sicurezza è controllabile usando un set di proprietà del modulo gemello che è possibile personalizzare. In generale, gli aggiornamenti secondari a queste proprietà sono poco frequenti.
L'oggetto di configurazione dell'agente di sicurezza gemello di Defender per IoT è un oggetto formato JSON. L'oggetto di configurazione è un set di proprietà controllabili che è possibile definire per controllare il comportamento dell'agente.
Queste configurazioni consentono di personalizzare l'agente per ogni scenario necessario. Ad esempio, escludendo automaticamente alcuni eventi o mantenendo il consumo di energia a un livello minimo, è possibile configurando queste proprietà.
Usare lo schema di configurazione dell'agente di sicurezza Defender per IoT per apportare modifiche.
Oggetti di configurazione
Le proprietà correlate a ogni agente di sicurezza defender per IoT si trovano nell'oggetto di configurazione dell'agente, all'interno della sezione delle proprietà desiderate, del modulo azureiotsecurity .
Per modificare la configurazione, creare e modificare questo oggetto all'interno dell'identità del modulo gemello azureiotsecurity .
Se l'oggetto di configurazione dell'agente non esiste nel modulo gemello azureiotsecurity , tutti i valori delle proprietà dell'agente di sicurezza sono impostati sul valore predefinito.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Schema di configurazione e convalida
Assicurarsi di convalidare la configurazione dell'agente rispetto a questo schema. Un agente non verrà avviato se l'oggetto di configurazione non corrisponde allo schema.
Se, mentre l'agente è in esecuzione, l'oggetto di configurazione viene modificato in una configurazione non valida (la configurazione non corrisponde allo schema), l'agente ignorerà la configurazione non valida e continuerà a usare la configurazione corrente.
Convalida della configurazione
L'agente di sicurezza Defender per IoT segnala la configurazione corrente all'interno della sezione delle proprietà segnalate dell'identità del modulo gemello azureiotsecurity . L'agente segnala tutte le proprietà disponibili, se una proprietà non è stata impostata dall'utente, l'agente segnala la configurazione predefinita.
Per convalidare la configurazione, confrontare i valori impostati nella sezione desiderata con i valori riportati nella sezione segnalata.
Se esiste una mancata corrispondenza tra le proprietà desiderate e le proprietà segnalate, l'agente non è riuscito ad analizzare la configurazione.
Convalidare le proprietà desiderate rispetto allo schema, correggere gli errori e impostare di nuovo le proprietà desiderate.
Nota
Un avviso di errore di configurazione verrà generato dall'agente nel caso in cui l'agente non sia stato in grado di analizzare la configurazione desiderata. Confrontare la sezione segnalata e desiderata per capire se l'avviso è ancora valido
Modifica di una proprietà
Tutte le proprietà personalizzate devono essere impostate all'interno dell'oggetto di configurazione dell'agente all'interno del modulo gemello azureiotsecurity . Per usare un valore di proprietà predefinito, rimuovere la proprietà dall'oggetto di configurazione.
Impostazione di una proprietà
Nell'hub IoT trovare e selezionare il dispositivo da modificare.
Fare clic sul dispositivo e quindi sul modulo azureiotsecurity .
Fare clic su Module Identity Twin (Identità modulo gemello).
Modificare le proprietà da modificare nell'agente Defender-IoT-micro-agent.
Ad esempio, per configurare gli eventi di connessione come priorità elevata e raccogliere eventi con priorità elevata ogni 7 minuti, usare la configurazione seguente.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Fare clic su Salva.
Uso di un valore predefinito
Per usare un valore di proprietà predefinito, rimuovere la proprietà dall'oggetto di configurazione.
Proprietà predefinite
La tabella seguente contiene le proprietà controllabili degli agenti di sicurezza di Defender per IoT.
I valori predefiniti sono disponibili nello schema corretto in GitHub.
| Nome | Stato | Valori validi | Valori predefiniti | Descrizione |
|---|---|---|---|---|
| highPriorityMessageFrequency | Obbligatorio: false | Valori validi: durata in formato ISO 8601 | Valore predefinito: PT7M | Intervallo di tempo massimo prima dell'invio dei messaggi con priorità elevata. |
| lowPriorityMessageFrequency | Obbligatorio: false | Valori validi: durata in formato ISO 8601 | Valore predefinito: PT5H | Tempo massimo prima dell'invio dei messaggi con priorità bassa. |
| snapshotFrequency | Richiedi: false | Valori validi: durata in formato ISO 8601 | Valore predefinito PT13H | Intervallo di tempo per la creazione di snapshot dello stato del dispositivo. |
| maxLocalCacheSizeInBytes | Obbligatorio: false | Valori validi: | Valore predefinito: 2560000, maggiore di 8192 | Spazio di archiviazione massimo (in byte) consentito per la cache dei messaggi di un agente. Quantità massima di spazio consentita per archiviare i messaggi nel dispositivo, prima dell'invio dei messaggi. |
| maxMessageSizeInBytes | Obbligatorio: false | Valori validi: numero positivo, maggiore di 8192, minore di 262144 | Valore predefinito: 204800 | Dimensioni massime consentite di un agente nel messaggio cloud. Questa impostazione controlla la quantità di dati massimi inviati in ogni messaggio. |
| eventPriority${EventName} | Obbligatorio: false | Valori validi: Alto, Basso, Disattivato | Valori predefiniti: | Priorità di ogni evento generato dall'agente |
Eventi di sicurezza supportati
| Nome evento | PropertyName | Valore predefinito | Evento snapshot | Stato dettagli |
|---|---|---|---|---|
| Evento di diagnostica | eventPriorityDiagnostic | Disattivato | Falso | Eventi di diagnostica correlati all'agente. Usare questo evento per la registrazione dettagliata. |
| Errore di configurazione | eventPriorityConfigurationError | Basso | Falso | L'agente non è riuscito ad analizzare la configurazione. Verificare la configurazione in base allo schema. |
| Statistiche degli eventi eliminati | eventPriorityDroppedEventsStatistics | Basso | Vero | Statistiche evento correlate all'agente. |
| Hardware connesso | eventPriorityConnectedHardware | Basso | Vero | Snapshot di tutto l'hardware connesso al dispositivo. |
| Porte in ascolto | eventPriorityListeningPorts | Alto | Vero | Snapshot di tutte le porte di ascolto aperte nel dispositivo. |
| Creazione del processo | eventPriorityProcessCreate | Basso | Falso | Controlla la creazione del processo nel dispositivo. |
| Terminazione del processo | eventPriorityProcessTerminate | Basso | Falso | Controlla la terminazione del processo nel dispositivo. |
| Informazioni di sistema | eventPrioritySystemInformation | Basso | Vero | Snapshot delle informazioni di sistema, ad esempio sistema operativo o CPU. |
| Utenti locali | eventPriorityLocalUsers | Alto | Vero | Snapshot degli utenti locali registrati all'interno del sistema. |
| Account di accesso | eventPriorityLogin | Alto | Falso | Controllare gli eventi di accesso al dispositivo (account di accesso locali e remoti). |
| Creazione connessione | eventPriorityConnectionCreate | Basso | Falso | Controlla le connessioni TCP create da e verso il dispositivo. |
| Configurazione firewall | eventPriorityFirewallConfiguration | Basso | Vero | Snapshot della configurazione del firewall del dispositivo (regole del firewall). |
| Baseline del sistema operativo | eventPriorityOSBaseline | Basso | Vero | Snapshot del controllo della baseline del sistema operativo del dispositivo. |