Samouczek: konfigurowanie agentów zabezpieczeń
W tym artykule opisano agentów zabezpieczeń usługi Defender dla IoT oraz szczegółowo opisano sposób ich zmieniania i konfigurowania.
- Configure security agents (Samouczek: konfigurowanie agentów zabezpieczeń)
- Zmienianie zachowania agenta przez edytowanie właściwości reprezentacji bliźniaczej
- Odnajdywanie konfiguracji domyślnej
Agenci
Agenci zabezpieczeń usługi Defender for IoT zbierają dane z urządzeń IoT i wykonują akcje zabezpieczeń w celu ograniczenia wykrytych luk w zabezpieczeniach. Konfiguracja agenta zabezpieczeń można kontrolować przy użyciu zestawu właściwości bliźniaczej reprezentacji modułu, które można dostosować. Ogólnie rzecz biorąc, pomocnicze aktualizacje tych właściwości są rzadko dostępne.
Obiekt konfiguracji bliźniaczej reprezentacji agenta zabezpieczeń usługi Defender for IoT jest obiektem formatu JSON. Obiekt konfiguracji jest zestawem właściwości możliwych do sterowania, które można zdefiniować w celu kontrolowania zachowania agenta.
Te konfiguracje ułatwiają dostosowanie agenta dla każdego wymaganego scenariusza. Na przykład automatyczne wykluczanie niektórych zdarzeń lub utrzymywanie zużycia energii do minimalnego poziomu jest możliwe przez skonfigurowanie tych właściwości.
Użyj schematu konfiguracji agenta zabezpieczeń usługi Defender for IoT, aby wprowadzić zmiany.
Obiekty konfiguracji
Właściwości związane z każdym agentem zabezpieczeń usługi Defender dla IoT znajdują się w obiekcie konfiguracji agenta w sekcji żądanych właściwości modułu azureiotsecurity .
Aby zmodyfikować konfigurację, utwórz i zmodyfikuj ten obiekt wewnątrz tożsamości bliźniaczej reprezentacji modułu azureiotsecurity .
Jeśli obiekt konfiguracji agenta nie istnieje w bliźniaczej reprezentacji modułu azureiotsecurity, wszystkie wartości właściwości agenta zabezpieczeń są ustawione na wartość domyślną.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Schemat konfiguracji i walidacja
Upewnij się, że konfiguracja agenta jest weryfikowana względem tego schematu. Agent nie zostanie uruchomiony, jeśli obiekt konfiguracji nie jest zgodny ze schematem.
Jeśli podczas działania agenta obiekt konfiguracji zostanie zmieniony na nieprawidłową konfigurację (konfiguracja nie jest zgodna ze schematem), agent zignoruje nieprawidłową konfigurację i będzie nadal korzystać z bieżącej konfiguracji.
Walidacja konfiguracji
Agent zabezpieczeń usługi Defender for IoT zgłasza bieżącą konfigurację w sekcji zgłoszonych właściwości tożsamości bliźniaczej reprezentacji modułu azureiotsecurity . Agent zgłasza wszystkie dostępne właściwości, jeśli właściwość nie została ustawiona przez użytkownika, agent zgłasza konfigurację domyślną.
Aby zweryfikować konfigurację, porównaj wartości ustawione w żądanej sekcji z wartościami zgłoszonymi w zgłaszanej sekcji.
Jeśli istnieje niezgodność między żądanymi i zgłoszonymi właściwościami, agent nie mógł przeanalizować konfiguracji.
Zweryfikuj żądane właściwości względem schematu, napraw błędy i ponownie ustaw żądane właściwości.
Uwaga
Alert o błędzie konfiguracji zostanie wyzwolony z agenta w przypadku, gdy agent nie mógł przeanalizować żądanej konfiguracji. Porównaj zgłoszoną i żądaną sekcję, aby dowiedzieć się, czy alert nadal ma zastosowanie
Edytowanie właściwości
Wszystkie właściwości niestandardowe muszą być ustawione wewnątrz obiektu konfiguracji agenta w bliźniaczej reprezentacji modułu azureiotsecurity . Aby użyć wartości właściwości domyślnej, usuń właściwość z obiektu konfiguracji.
Ustawianie właściwości
W usłudze IoT Hub znajdź i wybierz urządzenie, które chcesz zmienić.
Kliknij urządzenie, a następnie w module azureiotsecurity .
Kliknij pozycję Bliźniacze reprezentacja tożsamości modułu.
Edytuj właściwości, które chcesz zmienić w usłudze Defender-IoT-micro-agent.
Aby na przykład skonfigurować zdarzenia połączenia jako zdarzenia o wysokim priorytcie i zbierać zdarzenia o wysokim priorytcie co 7 minut, użyj następującej konfiguracji.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }
Kliknij przycisk Zapisz.
Używanie wartości domyślnej
Aby użyć wartości właściwości domyślnej, usuń właściwość z obiektu konfiguracji.
Właściwości domyślne
Poniższa tabela zawiera właściwości z możliwością kontrolowania agentów zabezpieczeń usługi Defender dla IoT.
Wartości domyślne są dostępne we właściwym schemacie w usłudze GitHub.
Nazwisko | Stan | Prawidłowe wartości | Wartości domyślne | opis |
---|---|---|---|---|
highPriorityMessageFrequency | Wymagane: false | Prawidłowe wartości: czas trwania w formacie ISO 8601 | Wartość domyślna: PT7M | Maksymalny interwał czasu przed wysłaniem komunikatów o wysokim priorytcie. |
lowPriorityMessageFrequency | Wymagane: false | Prawidłowe wartości: czas trwania w formacie ISO 8601 | Wartość domyślna: PT5H | Maksymalny czas przed wysłaniem komunikatów o niskim priorytcie. |
snapshotFrequency | Wymagaj: false | Prawidłowe wartości: czas trwania w formacie ISO 8601 | Wartość domyślna PT13H | Przedział czasu tworzenia migawek stanu urządzenia. |
maxLocalCacheSizeInBytes | Wymagane: false | Prawidłowe wartości: | Wartość domyślna: 2560000, większe niż 8192 | Maksymalny rozmiar magazynu (w bajtach) dozwolony dla pamięci podręcznej komunikatów agenta. Maksymalna ilość miejsca do przechowywania komunikatów na urządzeniu przed wysłaniem komunikatów. |
maxMessageSizeInBytes | Wymagane: false | Prawidłowe wartości: liczba dodatnia, większa niż 8192, mniejsza niż 262144 | Wartość domyślna: 204800 | Maksymalny dozwolony rozmiar komunikatu agenta do chmury. To ustawienie steruje ilością maksymalnej ilości danych wysyłanych w poszczególnych komunikatach. |
eventPriority${EventName} | Wymagane: false | Prawidłowe wartości: Wysoka, Niska, Wyłączona | Wartości domyślne: | Priorytet każdego zdarzenia wygenerowanego przez agenta |
Obsługiwane zdarzenia zabezpieczeń
Nazwa zdarzenia | PropertyName | Wartość domyślna | Zdarzenie migawki | Stan szczegółów |
---|---|---|---|---|
Zdarzenie diagnostyczne | eventPriorityDiagnostic | Wyłączona | Fałsz | Zdarzenia diagnostyczne związane z agentem. To zdarzenie służy do pełnego rejestrowania. |
Błąd konfiguracji | eventPriorityConfigurationError | Niski | Fałsz | Agent nie może przeanalizować konfiguracji. Sprawdź konfigurację względem schematu. |
Statystyki porzuconych zdarzeń | eventPriorityDroppedEventsStatistics | Niski | Prawda | Statystyki zdarzeń związanych z agentem. |
Połączony sprzęt | eventPriorityConnectedHardware | Niski | Prawda | Migawka całego sprzętu podłączonego do urządzenia. |
Porty nasłuchiwania | eventPriorityListeningPorts | Wys. | Prawda | Migawka wszystkich otwartych portów nasłuchiwania na urządzeniu. |
Tworzenie procesu | eventPriorityProcessTworzenie | Niski | Fałsz | Przeprowadza inspekcję tworzenia procesów na urządzeniu. |
Zakończenie procesu | eventPriorityProcessTerminate | Niski | Fałsz | Przeprowadza inspekcję zakończenia procesu na urządzeniu. |
Informacje o systemie | eventPrioritySystemInformation | Niski | Prawda | Migawka informacji o systemie (na przykład: system operacyjny lub procesor CPU). |
Użytkownicy lokalni | eventPriorityLocalUsers | Wys. | Prawda | Migawka zarejestrowanych użytkowników lokalnych w systemie. |
Zaloguj się | eventPriorityLogin | Wys. | Fałsz | Przeprowadź inspekcję zdarzeń logowania na urządzeniu (identyfikatory logowania lokalnego i zdalnego). |
Tworzenie połączenia | eventPriorityConnectionTworzenie | Niski | Fałsz | Przeprowadza inspekcję połączeń TCP utworzonych do i z urządzenia. |
Konfiguracja zapory | eventPriorityFirewallConfiguration | Niski | Prawda | Migawka konfiguracji zapory urządzenia (reguły zapory). |
Punkt odniesienia systemu operacyjnego | eventPriorityOSBaseline | Niski | Prawda | Migawka sprawdzania punktu odniesienia systemu operacyjnego urządzenia. |