Zelfstudie: Beveiligingsagents configureren
In dit artikel wordt uitgelegd hoe Defender for IoT-beveiligingsagents kunnen worden gewijzigd en geconfigureerd.
- Beveiligingsagents configureren
- Agentgedrag wijzigen door eigenschappen van dubbels te bewerken
- Standaardconfiguratie detecteren
Agents
Defender for IoT-beveiligingsagenten verzamelen gegevens van IoT-apparaten en voeren beveiligingsacties uit om de gedetecteerde beveiligingsproblemen te beperken. De configuratie van de beveiligingsagent kan worden beheerd met behulp van een set eigenschappen van moduledubbels die u kunt aanpassen. In het algemeen zijn secundaire updates voor deze eigenschappen onregelmatig.
Het configuratieobject van de beveiligingsagentdubbel van Defender for IoT is een JSON-indelingsobject. Het configuratieobject is een set besturingsbare eigenschappen die u kunt definiëren om het gedrag van de agent te bepalen.
Met deze configuraties kunt u de agent aanpassen voor elk scenario dat vereist is. Het automatisch uitsluiten van bepaalde gebeurtenissen of het behoud van het energieverbruik tot een minimaal niveau is bijvoorbeeld mogelijk door deze eigenschappen te configureren.
Gebruik het configuratieschema van de Defender for IoT-beveiligingsagent om wijzigingen aan te brengen.
Configuratieobjecten
Eigenschappen met betrekking tot elke Defender for IoT-beveiligingsagent bevinden zich in het configuratieobject van de agent, in de sectie met gewenste eigenschappen, van de azureiotsecurity-module .
Als u de configuratie wilt wijzigen, maakt en wijzigt u dit object in de identiteit van de azureiotsecurity-moduledubbel .
Als het agentconfiguratieobject niet bestaat in de azureiotsecurity-moduledubbel, worden alle eigenschapswaarden van de beveiligingsagent ingesteld op de standaardinstelling.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Configuratieschema en validatie
Zorg ervoor dat u de configuratie van uw agent valideert op basis van dit schema. Een agent wordt niet gestart als het configuratieobject niet overeenkomt met het schema.
Als, terwijl de agent wordt uitgevoerd, het configuratieobject wordt gewijzigd in een niet-geldige configuratie (de configuratie komt niet overeen met het schema), negeert de agent de ongeldige configuratie en blijft de huidige configuratie gebruiken.
Configuratievalidatie
Defender for IoT-beveiligingsagent rapporteert de huidige configuratie in de sectie gerapporteerde eigenschappen van de identiteit van de azureiotsecurity-moduledubbel . De agent rapporteert alle beschikbare eigenschappen, als een eigenschap niet is ingesteld door de gebruiker, rapporteert de agent de standaardconfiguratie.
Als u uw configuratie wilt valideren, vergelijkt u de waarden die in de gewenste sectie zijn ingesteld met de waarden die in de gerapporteerde sectie zijn gerapporteerd.
Als er een onjuiste overeenkomst is tussen de gewenste en de gerapporteerde eigenschappen, kan de agent de configuratie niet parseren.
Valideer de gewenste eigenschappen op basis van het schema, corrigeer de fouten en stel de gewenste eigenschappen opnieuw in.
Notitie
Er wordt een waarschuwing voor configuratiefouten van de agent geactiveerd als de agent de gewenste configuratie niet kon parseren. Vergelijk de gerapporteerde en gewenste sectie om te begrijpen of de waarschuwing nog steeds van toepassing is
Een eigenschap bewerken
Alle aangepaste eigenschappen moeten worden ingesteld binnen het agentconfiguratieobject binnen de azureiotsecurity-moduledubbel . Als u een standaardeigenschapswaarde wilt gebruiken, verwijdert u de eigenschap uit het configuratieobject.
Een eigenschap instellen
Zoek en selecteer in uw IoT Hub het apparaat dat u wilt wijzigen.
Klik op uw apparaat en klik vervolgens op de azureiotsecurity-module .
Klik op Module Identity Twin.
Bewerk de eigenschappen die u wilt wijzigen in de Defender-IoT-micro-agent.
Als u bijvoorbeeld verbindingsevenementen elke 7 minuten als hoge prioriteit wilt configureren en gebeurtenissen met een hoge prioriteit wilt verzamelen, gebruikt u de volgende configuratie.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Klik op Opslaan.
Een standaardwaarde gebruiken
Als u een standaardeigenschapswaarde wilt gebruiken, verwijdert u de eigenschap uit het configuratieobject.
Standaardeigenschappen
De volgende tabel bevat de besturingselementbare eigenschappen van Defender for IoT-beveiligingsagents.
Standaardwaarden zijn beschikbaar in het juiste schema in GitHub.
| Naam | Status | Geldige waarden | Standaardwaarden | Beschrijving |
|---|---|---|---|---|
| highPriorityMessageFrequency | Vereist: onwaar | Geldige waarden: Duur in ISO 8601-indeling | Standaardwaarde: PT7M | Maximale tijdsinterval voordat berichten met een hoge prioriteit worden verzonden. |
| lowPriorityMessageFrequency | Vereist: onwaar | Geldige waarden: Duur in ISO 8601-indeling | Standaardwaarde: PT5H | Maximale tijd voordat berichten met lage prioriteit worden verzonden. |
| snapshotFrequency | Vereisen: onwaar | Geldige waarden: Duur in ISO 8601-indeling | Standaardwaarde PT13H | Tijdsinterval voor het maken van momentopnamen van de apparaatstatus. |
| maxLocalCacheSizeInBytes | Vereist: onwaar | Geldige waarden: | Standaardwaarde: 2560000, groter dan 8192 | Maximale opslag (in bytes) die is toegestaan voor de berichtencache van een agent. Maximale hoeveelheid ruimte die is toegestaan om berichten op het apparaat op te slaan voordat berichten worden verzonden. |
| maxMessageSizeInBytes | Vereist: onwaar | Geldige waarden: een positief getal, groter dan 8192, kleiner dan 262144 | Standaardwaarde: 204800 | Maximale toegestane grootte van een agent naar cloudbericht. Met deze instelling bepaalt u de hoeveelheid maximale gegevens die in elk bericht worden verzonden. |
| eventPriority${EventName} | Vereist: onwaar | Geldige waarden: Hoog, Laag, Uit | Standaardwaarden: | Prioriteit van elke door de agent gegenereerde gebeurtenis |
Ondersteunde beveiligingsevenementen
| Gebeurtenisnaam | PropertyName | Standaardwaarde | Momentopname-gebeurtenis | Detailsstatus |
|---|---|---|---|---|
| Diagnostische gebeurtenis | eventPriorityDiagnostic | Uit | Onwaar | Aan agent gerelateerde diagnostische gebeurtenissen. Gebruik deze gebeurtenis voor uitgebreide logboekregistratie. |
| Configuratiefout | eventPriorityConfigurationError | Beperkt | Onwaar | Agent kan de configuratie niet parseren. Controleer de configuratie op basis van het schema. |
| Statistieken van verwijderde gebeurtenissen | eventPriorityDroppedEventsStatistics | Beperkt | Waar | Agentgerelateerde gebeurtenisstatistieken. |
| Verbonden hardware | eventPriorityConnectedHardware | Beperkt | Waar | Momentopname van alle hardware die is verbonden met het apparaat. |
| Luisterende poorten | eventPriorityListeningPorts | Hoog | Waar | Momentopname van alle geopende luisterpoorten op het apparaat. |
| Proces maken | eventPriorityProcessCreate | Beperkt | Onwaar | Controleert het maken van processen op het apparaat. |
| Proces beëindigen | eventPriorityProcessTerminate | Beperkt | Onwaar | Controleert procesbeëindiging op het apparaat. |
| Systeemgegevens | eventPrioritySystemInformation | Beperkt | Waar | Een momentopname van systeemgegevens (bijvoorbeeld: besturingssysteem of CPU). |
| Lokale gebruikers | eventPriorityLocalUsers | Hoog | Waar | Een momentopname van de geregistreerde lokale gebruikers in het systeem. |
| Aanmelden | eventPriorityLogin | Hoog | Onwaar | Controleer de aanmeldingsgebeurtenissen op het apparaat (lokale en externe aanmeldingen). |
| Verbinding maken | eventPriorityConnectionCreate | Beperkt | Onwaar | Controleert TCP-verbindingen die zijn gemaakt van en naar het apparaat. |
| Firewallconfiguratie | eventPriorityFirewallConfiguration | Beperkt | Waar | Momentopname van apparaatfirewallconfiguratie (firewallregels). |
| Basislijn voor besturingssysteem | eventPriorityOSBaseline | Beperkt | Waar | Momentopname van de basislijncontrole van het besturingssysteem van het apparaat. |