Udostępnij za pośrednictwem


Samouczek: konfigurowanie agentów zabezpieczeń

W tym artykule opisano agentów zabezpieczeń usługi Defender dla IoT oraz szczegółowo opisano sposób ich zmieniania i konfigurowania.

  • Configure security agents (Samouczek: konfigurowanie agentów zabezpieczeń)
  • Zmienianie zachowania agenta przez edytowanie właściwości reprezentacji bliźniaczej
  • Odnajdywanie konfiguracji domyślnej

Agenci

Agenci zabezpieczeń usługi Defender for IoT zbierają dane z urządzeń IoT i wykonują akcje zabezpieczeń w celu ograniczenia wykrytych luk w zabezpieczeniach. Konfiguracja agenta zabezpieczeń można kontrolować przy użyciu zestawu właściwości bliźniaczej reprezentacji modułu, które można dostosować. Ogólnie rzecz biorąc, pomocnicze aktualizacje tych właściwości są rzadko dostępne.

Obiekt konfiguracji bliźniaczej reprezentacji agenta zabezpieczeń usługi Defender for IoT jest obiektem formatu JSON. Obiekt konfiguracji jest zestawem właściwości możliwych do sterowania, które można zdefiniować w celu kontrolowania zachowania agenta.

Te konfiguracje ułatwiają dostosowanie agenta dla każdego wymaganego scenariusza. Na przykład automatyczne wykluczanie niektórych zdarzeń lub utrzymywanie zużycia energii do minimalnego poziomu jest możliwe przez skonfigurowanie tych właściwości.

Użyj schematu konfiguracji agenta zabezpieczeń usługi Defender for IoT, aby wprowadzić zmiany.

Obiekty konfiguracji

Właściwości związane z każdym agentem zabezpieczeń usługi Defender dla IoT znajdują się w obiekcie konfiguracji agenta w sekcji żądanych właściwości modułu azureiotsecurity .

Aby zmodyfikować konfigurację, utwórz i zmodyfikuj ten obiekt wewnątrz tożsamości bliźniaczej reprezentacji modułu azureiotsecurity .

Jeśli obiekt konfiguracji agenta nie istnieje w bliźniaczej reprezentacji modułu azureiotsecurity, wszystkie wartości właściwości agenta zabezpieczeń są ustawione na wartość domyślną.

"desired": {
  "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
  }
}

Schemat konfiguracji i walidacja

Upewnij się, że konfiguracja agenta jest weryfikowana względem tego schematu. Agent nie zostanie uruchomiony, jeśli obiekt konfiguracji nie jest zgodny ze schematem.

Jeśli podczas działania agenta obiekt konfiguracji zostanie zmieniony na nieprawidłową konfigurację (konfiguracja nie jest zgodna ze schematem), agent zignoruje nieprawidłową konfigurację i będzie nadal korzystać z bieżącej konfiguracji.

Walidacja konfiguracji

Agent zabezpieczeń usługi Defender for IoT zgłasza bieżącą konfigurację w sekcji zgłoszonych właściwości tożsamości bliźniaczej reprezentacji modułu azureiotsecurity . Agent zgłasza wszystkie dostępne właściwości, jeśli właściwość nie została ustawiona przez użytkownika, agent zgłasza konfigurację domyślną.

Aby zweryfikować konfigurację, porównaj wartości ustawione w żądanej sekcji z wartościami zgłoszonymi w zgłaszanej sekcji.

Jeśli istnieje niezgodność między żądanymi i zgłoszonymi właściwościami, agent nie mógł przeanalizować konfiguracji.

Zweryfikuj żądane właściwości względem schematu, napraw błędy i ponownie ustaw żądane właściwości.

Uwaga

Alert o błędzie konfiguracji zostanie wyzwolony z agenta w przypadku, gdy agent nie mógł przeanalizować żądanej konfiguracji. Porównaj zgłoszoną i żądaną sekcję, aby dowiedzieć się, czy alert nadal ma zastosowanie

Edytowanie właściwości

Wszystkie właściwości niestandardowe muszą być ustawione wewnątrz obiektu konfiguracji agenta w bliźniaczej reprezentacji modułu azureiotsecurity . Aby użyć wartości właściwości domyślnej, usuń właściwość z obiektu konfiguracji.

Ustawianie właściwości

  1. W usłudze IoT Hub znajdź i wybierz urządzenie, które chcesz zmienić.

  2. Kliknij urządzenie, a następnie w module azureiotsecurity .

  3. Kliknij pozycję Bliźniacze reprezentacja tożsamości modułu.

  4. Edytuj właściwości, które chcesz zmienić w usłudze Defender-IoT-micro-agent.

    Aby na przykład skonfigurować zdarzenia połączenia jako zdarzenia o wysokim priorytcie i zbierać zdarzenia o wysokim priorytcie co 7 minut, użyj następującej konfiguracji.

    "desired": {
        "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
            "highPriorityMessageFrequency": {
                "value": "PT7M"
            },
            "eventPriorityConnectionCreate": {
                "value": "High"
            }
        }
    }
    
  5. Kliknij przycisk Zapisz.

Używanie wartości domyślnej

Aby użyć wartości właściwości domyślnej, usuń właściwość z obiektu konfiguracji.

Właściwości domyślne

Poniższa tabela zawiera właściwości z możliwością kontrolowania agentów zabezpieczeń usługi Defender dla IoT.

Wartości domyślne są dostępne we właściwym schemacie w usłudze GitHub.

Nazwisko Stan Prawidłowe wartości Wartości domyślne opis
highPriorityMessageFrequency Wymagane: false Prawidłowe wartości: czas trwania w formacie ISO 8601 Wartość domyślna: PT7M Maksymalny interwał czasu przed wysłaniem komunikatów o wysokim priorytcie.
lowPriorityMessageFrequency Wymagane: false Prawidłowe wartości: czas trwania w formacie ISO 8601 Wartość domyślna: PT5H Maksymalny czas przed wysłaniem komunikatów o niskim priorytcie.
snapshotFrequency Wymagaj: false Prawidłowe wartości: czas trwania w formacie ISO 8601 Wartość domyślna PT13H Przedział czasu tworzenia migawek stanu urządzenia.
maxLocalCacheSizeInBytes Wymagane: false Prawidłowe wartości: Wartość domyślna: 2560000, większe niż 8192 Maksymalny rozmiar magazynu (w bajtach) dozwolony dla pamięci podręcznej komunikatów agenta. Maksymalna ilość miejsca do przechowywania komunikatów na urządzeniu przed wysłaniem komunikatów.
maxMessageSizeInBytes Wymagane: false Prawidłowe wartości: liczba dodatnia, większa niż 8192, mniejsza niż 262144 Wartość domyślna: 204800 Maksymalny dozwolony rozmiar komunikatu agenta do chmury. To ustawienie steruje ilością maksymalnej ilości danych wysyłanych w poszczególnych komunikatach.
eventPriority${EventName} Wymagane: false Prawidłowe wartości: Wysoka, Niska, Wyłączona Wartości domyślne: Priorytet każdego zdarzenia wygenerowanego przez agenta

Obsługiwane zdarzenia zabezpieczeń

Nazwa zdarzenia PropertyName Wartość domyślna Zdarzenie migawki Stan szczegółów
Zdarzenie diagnostyczne eventPriorityDiagnostic Wyłączona Fałsz Zdarzenia diagnostyczne związane z agentem. To zdarzenie służy do pełnego rejestrowania.
Błąd konfiguracji eventPriorityConfigurationError Niski Fałsz Agent nie może przeanalizować konfiguracji. Sprawdź konfigurację względem schematu.
Statystyki porzuconych zdarzeń eventPriorityDroppedEventsStatistics Niski Prawda Statystyki zdarzeń związanych z agentem.
Połączony sprzęt eventPriorityConnectedHardware Niski Prawda Migawka całego sprzętu podłączonego do urządzenia.
Porty nasłuchiwania eventPriorityListeningPorts Wys. Prawda Migawka wszystkich otwartych portów nasłuchiwania na urządzeniu.
Tworzenie procesu eventPriorityProcessTworzenie Niski Fałsz Przeprowadza inspekcję tworzenia procesów na urządzeniu.
Zakończenie procesu eventPriorityProcessTerminate Niski Fałsz Przeprowadza inspekcję zakończenia procesu na urządzeniu.
Informacje o systemie eventPrioritySystemInformation Niski Prawda Migawka informacji o systemie (na przykład: system operacyjny lub procesor CPU).
Użytkownicy lokalni eventPriorityLocalUsers Wys. Prawda Migawka zarejestrowanych użytkowników lokalnych w systemie.
Zaloguj się eventPriorityLogin Wys. Fałsz Przeprowadź inspekcję zdarzeń logowania na urządzeniu (identyfikatory logowania lokalnego i zdalnego).
Tworzenie połączenia eventPriorityConnectionTworzenie Niski Fałsz Przeprowadza inspekcję połączeń TCP utworzonych do i z urządzenia.
Konfiguracja zapory eventPriorityFirewallConfiguration Niski Prawda Migawka konfiguracji zapory urządzenia (reguły zapory).
Punkt odniesienia systemu operacyjnego eventPriorityOSBaseline Niski Prawda Migawka sprawdzania punktu odniesienia systemu operacyjnego urządzenia.

Następne kroki