Konfigurowanie ustawień czujnika OT w witrynie Azure Portal (publiczna wersja zapoznawcza)
Po dołączeniu nowego czujnika sieciowego OT do usługi Microsoft Defender dla IoT warto zdefiniować kilka ustawień bezpośrednio w konsoli czujnika OT, na przykład dodając użytkowników lokalnych.
Ustawienia czujnika OT wymienione w tym artykule są również dostępne bezpośrednio w witrynie Azure Portal. Użyj witryny Azure Portal, aby zbiorczo zastosować te ustawienia w wielu czujnikach OT połączonych z chmurą jednocześnie lub we wszystkich czujnikach OT połączonych z chmurą w określonej lokacji lub strefie. W tym artykule opisano sposób wyświetlania i konfigurowania ustawień czujnika sieci OT w witrynie Azure Portal.
Uwaga
Strona Ustawienia czujnika w usłudze Defender dla IoT jest dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wymagania wstępne
Aby zdefiniować ustawienia czujnika OT, upewnij się, że istnieją następujące elementy:
Subskrypcja platformy Azure dołączona do usługi Defender dla IoT. Jeśli chcesz, utwórz bezpłatne konto, a następnie skorzystaj z przewodnika Szybki start: Wprowadzenie do usługi Defender dla IoT , aby rozpocząć korzystanie z bezpłatnej wersji próbnej.
Uprawnienia:
Aby wyświetlić ustawienia zdefiniowane przez inne osoby, zaloguj się przy użyciu roli Czytelnik zabezpieczeń, Administrator zabezpieczeń, Współautor lub Właściciel subskrypcji.
Aby zdefiniować lub zaktualizować ustawienia, zaloguj się przy użyciu roli Administrator zabezpieczeń, Współautor lub Właściciel .
Aby uzyskać więcej informacji, zobacz Role i uprawnienia użytkownika platformy Azure dla usługi Defender dla IoT.
Co najmniej jeden czujnik sieciowy OT połączony z chmurą. Aby uzyskać więcej informacji, zobacz Dołączanie czujników OT do usługi Defender dla IoT.
Definiowanie nowego ustawienia czujnika
Zdefiniuj nowe ustawienie za każdym razem, gdy chcesz zdefiniować określoną konfigurację dla co najmniej jednego czujnika sieciowego OT. Jeśli na przykład chcesz zdefiniować limity przepustowości dla wszystkich czujników OT w określonej lokacji lub strefie, lub zdefiniować je dla pojedynczego czujnika OT w określonej lokalizacji w sieci.
Aby zdefiniować nowe ustawienie:
W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki Ustawienia czujnika>(wersja zapoznawcza).
Na stronie Ustawienia czujnika (wersja zapoznawcza) wybierz pozycję + Dodaj, a następnie użyj kreatora, aby zdefiniować następujące wartości dla ustawienia. Wybierz pozycję Dalej po zakończeniu pracy z każdą kartą w kreatorze, aby przejść do następnego kroku.
Nazwa karty opis Podstawy Wybierz subskrypcję, w której chcesz zastosować ustawienie, i typ ustawienia.
Wprowadź zrozumiałą nazwę i opcjonalny opis ustawienia.Ustawienie Zdefiniuj wartości dla wybranego typu ustawienia.
Aby uzyskać szczegółowe informacje na temat opcji dostępnych dla każdego typu ustawienia, znajdź wybrany typ ustawienia w dokumentacji ustawienia czujnika poniżej.Zastosuj Użyj menu rozwijanego Wybierz witryny, Wybierz strefy i Wybierz czujniki , aby zdefiniować miejsce, w którym chcesz zastosować ustawienie.
Ważne: wybranie lokacji lub strefy powoduje zastosowanie ustawienia do wszystkich połączonych czujników OT, w tym wszystkich czujników OT dodanych do lokacji lub strefy później.
Jeśli wybierzesz zastosowanie ustawień do całej witryny, nie musisz również wybierać jej stref ani czujników.Przeglądanie i tworzenie Sprawdź wybrane opcje ustawienia.
Jeśli nowe ustawienie zastępuje istniejące ustawienie,
zostanie wyświetlone ostrzeżenie wskazujące istniejące ustawienie.
Jeśli konfiguracja ustawienia jest zadowolona, wybierz pozycję Utwórz.
Nowe ustawienie jest teraz wyświetlane na stronie Ustawienia czujnika (wersja zapoznawcza) w obszarze jego typu ustawienia, a na stronie szczegółów czujnika dla dowolnego powiązanego czujnika OT. Ustawienia czujnika są wyświetlane jako tylko do odczytu na stronie szczegółów czujnika. Na przykład:
Napiwek
Możesz skonfigurować wyjątki dla ustawień dla określonego czujnika lub strefy OT. W takich przypadkach utwórz dodatkowe ustawienie dla wyjątku.
Ustawienia zastąpić siebie w sposób hierarchiczny, tak aby jeśli ustawienie jest stosowane do określonego czujnika OT, zastępuje wszelkie powiązane ustawienia, które są stosowane do całej strefy lub witryny. Aby utworzyć wyjątek dla całej strefy, dodaj ustawienie dla tej strefy, aby zastąpić wszystkie powiązane ustawienia zastosowane do całej witryny.
Wyświetlanie i edytowanie bieżących ustawień czujnika OT
Aby wyświetlić bieżące ustawienia zdefiniowane już dla subskrypcji:
W usłudze Defender dla IoT w witrynie Azure Portal wybierz pozycję Witryny i czujniki Ustawienia czujnika>(wersja zapoznawcza)
Na stronie Ustawienia czujnika (wersja zapoznawcza) są wyświetlane wszystkie ustawienia zdefiniowane już dla subskrypcji, które są wyświetlane według typu ustawienia. Rozwiń lub zwiń każdy typ, aby wyświetlić szczegółowe konfiguracje. Na przykład:
Wybierz określone ustawienie, aby wyświetlić dokładną konfigurację oraz lokację, strefy lub poszczególne czujniki, w których jest stosowane ustawienie.
Aby edytować konfigurację ustawienia, wybierz pozycję Edytuj , a następnie użyj tego samego kreatora, który został użyty do utworzenia ustawienia w celu dokonania potrzebnych aktualizacji. Po zakończeniu wybierz pozycję Zastosuj , aby zapisać zmiany.
Usuwanie istniejącego ustawienia czujnika OT
Aby całkowicie usunąć ustawienie czujnika OT:
- Na stronie Ustawienia czujnika (wersja zapoznawcza) znajdź ustawienie, które chcesz usunąć.
- Wybierz menu opcji ... w prawym górnym rogu karty ustawienia, a następnie wybierz pozycję Usuń.
Na przykład:
Edytowanie ustawień rozłączonych czujników OT
W tej procedurze opisano sposób edytowania ustawień czujnika OT, jeśli czujnik OT jest obecnie odłączony od platformy Azure, na przykład podczas trwającego zdarzenia zabezpieczeń.
Domyślnie w przypadku skonfigurowania jakichkolwiek ustawień w witrynie Azure Portal wszystkie ustawienia konfigurowalne zarówno w witrynie Azure Portal, jak i w czujniku OT są ustawione tylko do odczytu w samym czujniku OT. Jeśli na przykład skonfigurujesz sieć VLAN z witryny Azure Portal, ustawienia limitu przepustowości, podsieci i sieci VLAN zostaną ustawione na tylko do odczytu i nie będą blokowane modyfikacje czujnika OT.
Jeśli jesteś w sytuacji, gdy czujnik OT jest odłączony od platformy Azure i musisz zmodyfikować jedno z tych ustawień, musisz najpierw uzyskać dostęp do zapisu do tych ustawień.
Aby uzyskać dostęp do zapisu do zablokowanych ustawień czujnika OT:
W witrynie Azure Portal na stronie Ustawienia czujnika (wersja zapoznawcza) znajdź ustawienie, które chcesz edytować, i otwórz je do edycji. Aby uzyskać więcej informacji, zobacz Wyświetlanie i edytowanie bieżących ustawień czujnika OT powyżej.
Zmodyfikuj zakres ustawienia, aby nie zawierał już czujnika OT i wszelkie zmiany wprowadzone podczas odłączenia czujnika OT nie zostaną zastąpione podczas łączenia go z platformą Azure.
Ważne
Ustawienia zdefiniowane w witrynie Azure Portal zawsze zastępują ustawienia zdefiniowane w czujniku OT.
Zaloguj się do konsoli czujnika OT, a następnie wybierz pozycję Ustawienia > Konfiguracja zaawansowana platformy>Azure.
W polu kodu zmodyfikuj
block_local_configwartość z1na0, a następnie wybierz pozycję Zamknij. Na przykład:
Kontynuuj, aktualizując odpowiednie ustawienie bezpośrednio w czujniku sieci OT. Aby uzyskać więcej informacji, zobacz Zarządzanie poszczególnymi czujnikami.
Dokumentacja ustawień czujnika
Skorzystaj z poniższych sekcji, aby dowiedzieć się więcej na temat poszczególnych ustawień czujnika OT dostępnych w witrynie Azure Portal:
Active Directory
Aby skonfigurować ustawienia usługi Active Directory w witrynie Azure Portal, zdefiniuj wartości następujących opcji:
| Nazwa/nazwisko | opis |
|---|---|
| Nazwa FQDN kontrolera domeny | W pełni kwalifikowana nazwa domeny (FQDN), dokładnie tak, jak jest wyświetlana na serwerze LDAP. Na przykład wprowadź host1.subdomain.contoso.com. Jeśli wystąpi problem z integracją przy użyciu nazwy FQDN, sprawdź konfigurację DNS. Podczas konfigurowania integracji można również wprowadzić jawny adres IP serwera LDAP zamiast nazwy FQDN. |
| Port kontrolera domeny | Port, na którym skonfigurowano protokół LDAP. Na przykład użyj portu 636 dla połączeń LDAPS (SSL). |
| Domena podstawowa | Nazwa domeny, taka jak subdomain.contoso.com, a następnie wybierz typ połączenia dla konfiguracji LDAP. Obsługiwane typy połączeń obejmują: LDAPS/NTLMv3 (zalecane), LDAP/NTLMv3 lub LDAP/SASL-MD5 |
| Grupy usługi Active Directory | Wybierz pozycję + Dodaj , aby dodać grupę usługi Active Directory do każdego z wymienionych poziomów uprawnień zgodnie z potrzebami. Po wprowadzeniu nazwy grupy upewnij się, że wprowadzasz nazwę grupy dokładnie tak, jak zdefiniowano w konfiguracji usługi Active Directory na serwerze LDAP. Te nazwy grup są używane podczas dodawania nowych użytkowników czujników z usługą Active Directory. Obsługiwane poziomy uprawnień obejmują tylko do odczytu, analityk zabezpieczeń, Administracja i zaufane domeny. |
Ważne
Podczas wprowadzania parametrów LDAP:
- Zdefiniuj wartości dokładnie tak, jak są wyświetlane w usłudze Active Directory, z wyjątkiem przypadku.
- Tylko małe litery użytkownika, nawet jeśli konfiguracja w usłudze Active Directory używa wielkich liter.
- Nie można skonfigurować protokołu LDAP i LDAPS dla tej samej domeny. Można jednak skonfigurować każdą z nich w różnych domenach, a następnie używać ich w tym samym czasie.
Aby dodać kolejny serwer usługi Active Directory, wybierz pozycję + Dodaj serwer i zdefiniuj te wartości serwera.
Limit przepustowości
W przypadku limitu przepustowości zdefiniuj maksymalną przepustowość, której czujnik ma używać do komunikacji wychodzącej z czujnika do chmury w kb/s lub mb/s.
Ustawienie domyślne: 1500 Kb/s
Minimalna wymagana dla stabilnego połączenia z platformą Azure: 350 Kb/s. Na tym minimalnym ustawieniu połączenia z konsolą czujnika mogą być wolniejsze niż zwykle.
NTP
Aby skonfigurować serwer NTP dla czujnika w witrynie Azure Portal, zdefiniuj adres IP/domenę prawidłowego serwera IPv4 NTP przy użyciu portu 123.
Podsieci lokalne
Aby skoncentrować spis urządzeń platformy Azure na urządzeniach znajdujących się w zakresie OT, należy ręcznie edytować listę podsieci, aby uwzględnić tylko lokalnie monitorowane podsieci, które znajdują się w zakresie OT.
Podsieci na liście podsieci są automatycznie konfigurowane jako podsieci ICS, co oznacza, że usługa Defender dla IoT rozpoznaje te podsieci jako sieci OT. To ustawienie można edytować podczas konfigurowania podsieci.
Po skonfigurowaniu podsieci lokalizacja sieciowa urządzeń jest wyświetlana w kolumnie Lokalizacja sieciowa (publiczna wersja zapoznawcza) w spisie urządzeń platformy Azure. Wszystkie urządzenia skojarzone z wyświetlonymi podsieciami są wyświetlane jako lokalne, a urządzenia skojarzone z wykrytymi podsieciami, które nie znajdują się na liście, są wyświetlane jako kierowane.
Konfigurowanie podsieci w witrynie Azure Portal
W witrynie Azure Portal przejdź do pozycji Witryny i czujniki Ustawienia czujnika>.
W obszarze Podsieci lokalne przejrzyj skonfigurowane podsieci. Aby skoncentrować spis urządzeń i wyświetlić urządzenia lokalne w spisie, usuń wszystkie podsieci, które nie znajdują się w zakresie IoT/OT, wybierając menu opcji (...) w dowolnej podsieci, którą chcesz usunąć.
Aby zmodyfikować dodatkowe ustawienia, wybierz dowolną podsieć, a następnie wybierz pozycję Edytuj dla następujących opcji:
Wybierz pozycję Importuj podsieci, aby zaimportować rozdzielaną przecinkami listę adresów IP i masek podsieci . Wybierz pozycję Eksportuj podsieci, aby wyeksportować listę aktualnie skonfigurowanych danych lub Wyczyść wszystko , aby rozpocząć od podstaw.
Wprowadź wartości w polach Adres IP, Maska i Nazwa , aby ręcznie dodać szczegóły podsieci. Wybierz pozycję Dodaj podsieć , aby w razie potrzeby dodać dodatkowe podsieci.
Podsieć ICS jest domyślnie włączona, co oznacza, że usługa Defender dla IoT rozpoznaje podsieć jako sieć OT. Aby oznaczyć podsieć jako inną niż ICS, przełącz podsieć ICS.
Nazewnictwo sieci VLAN
Aby zdefiniować sieć VLAN dla czujnika OT, wprowadź identyfikator sieci VLAN i zrozumiałą nazwę.
Wybierz pozycję Dodaj sieć VLAN, aby w razie potrzeby dodać więcej sieci VLAN .