Gestire i sensori con Defender per IoT nel portale di Azure
Questo articolo descrive come visualizzare e gestire i sensori con Microsoft Defender per IoT nel portale di Azure.
Prerequisiti
Prima di poter usare le procedure descritte in questo articolo, è necessario disporre di sensori di rete onboarding in Defender per IoT. Per altre informazioni, vedi:
- Onboarding di un sensore OT in Defender per IoT
- Migliorare il monitoraggio della sicurezza IoT con un sensore di rete IoT aziendale (anteprima pubblica)
Visualizzare i sensori
Tutti i sensori attualmente connessi al cloud, inclusi i sensori OT ed Enterprise IoT, sono elencati nella pagina Siti e sensori . Ad esempio:
I dettagli su ogni sensore sono elencati nelle colonne seguenti:
Nome colonna | Descrizione |
---|---|
Nome sensore | Visualizza il nome assegnato al sensore durante la registrazione. |
Tipo di sensore | Indica se il sensore è un sensore OT connesso localmente, connesso al cloud OT o un sensore Enterprise IoT. |
Zona | Visualizza la zona che contiene questo sensore. |
Nome della sottoscrizione | Visualizza il nome della sottoscrizione dell'account Microsoft Azure a cui appartiene questo sensore. |
Versione del sensore | Visualizza la versione del software di monitoraggio OT installata nel sensore. |
Integrità del sensore | Visualizza un messaggio di integrità del sensore. Per altre informazioni, vedere Informazioni sull'integrità dei sensori. |
Ultima connessione (UTC) | Visualizza quanto tempo fa il sensore è stato connesso per l'ultima volta. |
Versione di Intelligence per le minacce | Visualizza la versione di Intelligence per le minacce installata in un sensore OT. Il nome della versione si basa sul giorno in cui il pacchetto è stato compilato da Defender per IoT. |
Modalità intelligence per le minacce | Indica se la modalità di aggiornamento di Intelligence per le minacce è manuale o automatica. Manual significa che è possibile eseguire il push dei pacchetti appena rilasciati direttamente ai sensori in base alle esigenze. In caso contrario, i nuovi pacchetti vengono installati automaticamente in tutti i sensori connessi al cloud OT. |
Stato di aggiornamento di Intelligence per le minacce | Visualizza lo stato di aggiornamento del pacchetto intelligence per le minacce in un sensore OT. Lo stato può essere Non riuscito, In corso, Aggiorna disponibile o Ok. |
Opzioni di gestione del sito dal portale di Azure
Quando si esegue l'onboarding di un nuovo sensore OT in Defender per IoT, è possibile aggiungerlo a un sito nuovo o esistente. Quando si lavora con le reti OT, l'organizzazione dei sensori nei siti consente di gestire i sensori in modo più efficiente e allineato a una strategia Zero Trust in tutta la rete.
I sensori IoT aziendali vengono tutti aggiunti automaticamente allo stesso sito, denominato Rete Enterprise.
Per modificare un sito dal portale di Azure:
Selezionare il nome del sito nella pagina Siti e sensori . Nel riquadro Modifica sito che si apre a destra modificare uno dei valori seguenti:
Opzione Descrizione Nome visualizzato Immettere un nome significativo per il sito. Proprietario Solo per i siti OT. Immettere uno o più indirizzi di posta elettronica per l'utente che si vuole designare come proprietario dei dispositivi in questo sito. Il proprietario del sito viene ereditato da tutti i dispositivi nel sito e viene visualizzato nelle pagine delle entità del dispositivo IoT e nei dettagli degli eventi imprevisti in Microsoft Sentinel.
In Microsoft Sentinel usare i playbook AD4IoT-SendEmailtoIoTOwner e AD4IoT-CVEAutoWorkflow per notificare automaticamente ai proprietari dei dispositivi avvisi o eventi imprevisti importanti. Per altre informazioni, vedere Analizzare e rilevare le minacce per i dispositivi IoT.Tag (Facoltativo) Immettere i valori per i campi Chiave e Valore per ogni nuovo tag da aggiungere al sito. Selezionare + Aggiungi per aggiungere un nuovo tag. Solo per i siti OT: per definire le autorizzazioni specificate per sito, selezionare Gestisci controllo di accesso al sito (anteprima).
Ad esempio, è possibile eseguire questa operazione come parte di una strategia di sicurezza Zero Trust per aggiungere un livello di granularità ai criteri di accesso di Azure. I siti di Defender per IoT riflettono in genere molti dispositivi raggruppati in una posizione geografica specifica, ad esempio i dispositivi in un edificio di uffici in un indirizzo specifico.
Per altre informazioni, vedere Gestire il controllo degli accessi in base al sito.
Al termine, selezionare Salva per salvare le modifiche.
Opzioni di gestione dei sensori dal portale di Azure
I sensori che sono stati inseriti in Defender per IoT sono elencati nella pagina Siti e sensori di Defender per IoT. Selezionare un nome di sensore specifico per eseguire il drill-down per altri dettagli per il sensore.
Usare le opzioni disponibili nella pagina Siti e sensori e nella pagina dei dettagli di un sensore per eseguire una delle attività seguenti. Se si è nella pagina Siti e sensori , selezionare più sensori per applicare le azioni in blocco usando le opzioni della barra degli strumenti. Per i singoli sensori, usare le opzioni della barra degli strumenti Siti e sensori , il menu opzioni ... a destra di una riga del sensore o le opzioni in una pagina dei dettagli del sensore.
Aggiornamenti dei sensori OT
Attività | Descrizione |
---|---|
Aggiornamento del sensore (anteprima) | Solo sensori OT. Eseguire gli aggiornamenti remoti sui sensori OT direttamente dal portale di Azure o scaricare i pacchetti di aggiornamento per l'aggiornamento manuale. Per altre informazioni, vedere Software di monitoraggio di Update Defender per IoT OT. |
Aggiornamento di Intelligence per le minacce (anteprima) | Solo sensori OT. Disponibile per le azioni in blocco dalla barra degli strumenti Siti e sensori , per i singoli sensori dal menu delle opzioni ... o da una pagina dei dettagli del sensore. Per altre informazioni, vedere Ricerca e pacchetti di Intelligence sulle minacce. |
Modificare gli aggiornamenti automatici di Intelligence per le minacce | Solo sensori OT individuali. Disponibile dal menu opzioni ... o dalla pagina dei dettagli del sensore. Selezionare Modifica e quindi attivare o disattivare l'opzione Automatic Threat Intelligence Aggiornamenti (anteprima) in base alle esigenze. Selezionare Invia per salvare le modifiche. |
Distribuzione e accesso dei sensori
Attività | Descrizione |
---|---|
Recuperare una password del sensore OT | Solo sensori OT individuali. Disponibile dal menu opzioni ... o dalla pagina dei dettagli del sensore. Immettere l'identificatore del segreto ottenuto nella schermata di accesso del sensore. |
Ripristinare una password della console di gestione locale | Disponibile nel menu Altre azioni della barra degli strumenti Siti e sensori. Per altre informazioni, vedere Gestire la console di gestione locale. |
Scaricare un file di attivazione | Solo sensori OT individuali. Disponibile dal menu opzioni ... o dalla pagina dei dettagli del sensore. |
Modificare una zona del sensore | Solo per i singoli sensori, dal menu delle opzioni ... o da una pagina dei dettagli del sensore. Selezionare Modifica e quindi selezionare una nuova zona dal menu Zona o selezionare Crea nuova zona. Selezionare Invia per salvare le modifiche. |
Scaricare il file MIB SNMP | Disponibile nel menu Altre azioni della barra degli strumenti Siti e sensori. Per altre informazioni, vedere Configurare il monitoraggio dell'integrità MIB SNMP in un sensore OT. |
Creare un comando di attivazione | Solo sensori IoT aziendali. Disponibile dal menu opzioni ... o dalla pagina dei dettagli del sensore. Selezionare Modifica e quindi selezionare Crea comando di attivazione. Per altre informazioni, vedere Installare il software del sensore IoT aziendale. |
Scaricare i dettagli dell'endpoint | Solo sensori OT. Disponibile nel menu Altre azioni della barra degli strumenti Siti e sensori. Scaricare l'elenco degli endpoint che devono essere abilitati come endpoint sicuri dai sensori di rete OT. Assicurarsi che il traffico HTTPS sia abilitato sulla porta 443 agli endpoint elencati per consentire al sensore di connettersi ad Azure. Le regole di autorizzazione in uscita vengono definite una sola volta per tutti i sensori OT eseguiti nella stessa sottoscrizione. Per abilitare questa opzione, selezionare un sensore con una versione software supportata o un sito con uno o più sensori con versioni supportate. |
Manutenzione e risoluzione dei problemi dei sensori
Attività | Descrizione |
---|---|
Impostazioni del sensore (anteprima) | Solo sensori OT. Definire le impostazioni del sensore selezionate per uno o più sensori di rete OT connessi al cloud. Per altre informazioni, vedere Definire e visualizzare le impostazioni del sensore OT dalla portale di Azure (anteprima pubblica). Altre impostazioni sono disponibili anche direttamente dalla console del sensore OT o dalla console di gestione locale. |
Esportare i dati dei sensori | Disponibile solo dalla barra degli strumenti Siti e sensori , per scaricare un file CSV con i dettagli su tutti i sensori elencati. |
Eliminare un sensore | Solo per i singoli sensori, dal menu delle opzioni ... o da una pagina dei dettagli del sensore. |
Inviare file di diagnostica al supporto | Solo sensori OT gestiti localmente. Disponibile dal menu delle opzioni ... . Per altre informazioni, vedere Caricare un log di diagnostica per il supporto. |
Recuperare i dati forensi archiviati nel sensore
Usare le cartelle di lavoro di Monitoraggio di Azure in un sensore di rete OT per recuperare i dati forensi dall'archiviazione del sensore. I seguenti tipi di dati forensi vengono archiviati localmente nei sensori OT, per i dispositivi rilevati da tale sensore:
- Dati del dispositivo
- Dati di avviso
- File PCAP di avviso
- Dati della sequenza temporale degli eventi
- File di registro
Ogni tipo di dati ha un periodo di conservazione e una capacità massima diversi. Per altre informazioni, vedere Visualizzare i dati di Microsoft Defender per IoT con cartelle di lavoro di Monitoraggio di Azure e Conservazione dei dati in Microsoft Defender per IoT.
Riattivare un sensore OT
Potrebbe essere necessario riattivare un sensore OT perché si vuole:
Lavorare in modalità connessa al cloud anziché in modalità gestita in locale: dopo la riattivazione, i rilevamenti dei sensori esistenti vengono visualizzati nella console del sensore e le informazioni sugli avvisi appena rilevate vengono recapitate tramite Defender per IoT nel portale di Azure. Queste informazioni possono essere condivise con altri servizi di Azure, ad esempio Microsoft Sentinel.
Lavorare in modalità gestita in locale anziché in modalità connessa al cloud: dopo la riattivazione, le informazioni di rilevamento del sensore vengono visualizzate solo nella console del sensore.
Associare il sensore a un nuovo sito: registrare nuovamente il sensore con nuove definizioni del sito e usare il nuovo file di attivazione per l'attivazione.
Modificare l'impegno del piano: se si apportano modifiche al piano, ad esempio modificando il piano tariffario da una versione di valutazione a un impegno mensile, è necessario riattivare i sensori per riflettere le nuove modifiche.
In questi casi, seguire questa procedura:
- Eliminare il sensore esistente.
- Eseguire di nuovo l'onboarding del sensore, registrandolo con le nuove impostazioni.
- Caricare il nuovo file di attivazione.
Informazioni sull'integrità dei sensori
Questa procedura descrive come visualizzare i dati di integrità dei sensori dal portale di Azure. L'integrità dei sensori include dati come se il traffico è stabile, il sensore viene sovraccaricato, le notifiche sulle versioni software del sensore e altro ancora.
Per visualizzare l'integrità complessiva del sensore:
In Defender per IoT nella portale di Azure selezionare Siti e sensori e quindi controllare il punteggio di integrità complessivo nel widget sopra la griglia. Ad esempio:
Non supportato significa che il sensore dispone di una versione software installata che non è più supportata.
Unhealthy indica uno degli scenari seguenti:
- Il traffico del sensore verso Azure non è stabile
- Il sensore non riesce a testare la integrità regolare
- Nessun traffico rilevato dal sensore
- La versione del software del sensore non è più supportata
- Un aggiornamento del sensore remoto dal portale di Azure ha esito negativo
Per altre informazioni, vedere le informazioni di riferimento sui messaggi di integrità del sensore.
Per verificare i problemi specifici del sensore, filtrare la griglia in base all'integrità del sensore e selezionare uno o più problemi da verificare. Ad esempio:
Espandere i siti filtrati e i sensori ora visualizzati nella griglia e usare la colonna Integrità sensore per altre informazioni a livello generale.
Per eseguire il drill-down e comprendere le azioni consigliate, selezionare un nome del sensore per aprire la pagina dei dettagli del sensore.
Ad esempio:
Nella pagina Panoramica dei dettagli del sensore espandere la sezione Integrità ed eventuali messaggi elencati qui per altre informazioni. La colonna Raccomandazione a destra elenca le azioni consigliate per la gestione del problema di integrità.
Per altre informazioni, vedere le informazioni di riferimento sui messaggi di integrità del sensore.
Caricare un log di diagnostica per il supporto
Se è necessario aprire un ticket di supporto per un sensore gestito in locale, caricare un log di diagnostica nel portale di Azure per il team di supporto.
Suggerimento
Per i sensori connessi al cloud, il log di diagnostica è automaticamente disponibile per il team di supporto quando si apre un ticket di supporto.
Per caricare un report di diagnostica:
Assicurarsi di disporre del report di diagnostica disponibile per il caricamento. Per altre informazioni, vedere Scaricare un log di diagnostica per il supporto.
In Defender per IoT nella portale di Azure passare alla pagina Siti e sensori e selezionare il sensore gestito in locale correlato al ticket di supporto.
Per il sensore selezionato, selezionare il menu delle opzioni ... a destra >Invia file di diagnostica per supportare. Ad esempio: