Tutorial: Configurar agentes de segurança
Este artigo explica os agentes de segurança do Defender for IoT e detalha como alterá-los e configurá-los.
- Configurar agentes de segurança
- Alterar o comportamento do agente editando propriedades gêmeas
- Descubra a configuração padrão
Agentes
Os agentes de segurança do Defender for IoT coletam dados de dispositivos IoT e executam ações de segurança para mitigar as vulnerabilidades detetadas. A configuração do agente de segurança é controlável usando um conjunto de propriedades gêmeas de módulo que você pode personalizar. Em geral, as atualizações secundárias dessas propriedades são pouco frequentes.
O objeto de configuração gêmea do agente de segurança do Defender for IoT é um objeto de formato JSON. O objeto de configuração é um conjunto de propriedades controláveis que você pode definir para controlar o comportamento do agente.
Essas configurações ajudam a personalizar o agente para cada cenário necessário. Por exemplo, excluir automaticamente alguns eventos ou manter o consumo de energia em um nível mínimo são possíveis configurando essas propriedades.
Use o esquema de configuração do agente de segurança do Defender for IoT para fazer alterações.
Objetos de configuração
As propriedades relacionadas a cada agente de segurança do Defender for IoT estão localizadas no objeto de configuração do agente, dentro da seção de propriedades desejadas, do módulo azureiotsecurity .
Para modificar a configuração, crie e modifique esse objeto dentro da identidade gêmea do módulo azureiotsecurity .
Se o objeto de configuração do agente não existir no gêmeo do módulo azureiotsecurity , todos os valores de propriedade do agente de segurança serão definidos como padrão.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Esquema de configuração e validação
Certifique-se de validar a configuração do agente em relação a esse esquema. Um agente não será iniciado se o objeto de configuração não corresponder ao esquema.
Se, enquanto o agente estiver em execução, o objeto de configuração for alterado para uma configuração não válida (a configuração não corresponde ao esquema), o agente ignorará a configuração inválida e continuará usando a configuração atual.
Validação da configuração
O agente de segurança do Defender for IoT relata sua configuração atual dentro da seção de propriedades relatadas da identidade gêmea do módulo azureiotsecurity . O agente relata todas as propriedades disponíveis, se uma propriedade não foi definida pelo usuário, o agente relata a configuração padrão.
Para validar sua configuração, compare os valores definidos na seção desejada com os valores relatados na seção relatada.
Se houver uma incompatibilidade entre as propriedades desejadas e relatadas, o agente não pôde analisar a configuração.
Valide as propriedades desejadas em relação ao esquema, corrija os erros e defina as propriedades desejadas novamente!
Nota
Um alerta de erro de configuração será disparado do agente caso o agente não tenha conseguido analisar a configuração desejada. Compare a seção relatada e desejada para entender se o alerta ainda se aplica
Editando uma propriedade
Todas as propriedades personalizadas devem ser definidas dentro do objeto de configuração do agente dentro do gêmeo do módulo azureiotsecurity . Para usar um valor de propriedade padrão, remova a propriedade do objeto de configuração.
Definindo uma propriedade
No seu Hub IoT, localize e selecione o dispositivo que deseja alterar.
Clique no seu dispositivo e, em seguida, no módulo azureiotsecurity .
Clique em Module Identity Twin.
Edite as propriedades que deseja alterar no Defender-IoT-micro-agent.
Por exemplo, para configurar eventos de conexão como alta prioridade e coletar eventos de alta prioridade a cada 7 minutos, use a seguinte configuração.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Clique em Guardar.
Usando um valor padrão
Para usar um valor de propriedade padrão, remova a propriedade do objeto de configuração.
Propriedades padrão
A tabela a seguir contém as propriedades controláveis dos agentes de segurança do Defender for IoT.
Os valores padrão estão disponíveis no esquema adequado no GitHub.
| Nome | Status | Valores válidos | Valores predefinidos | Description |
|---|---|---|---|---|
| highPriorityMessageFrequency | Obrigatório: false | Valores válidos: Duração no formato ISO 8601 | Valor padrão: PT7M | Intervalo de tempo máximo antes que as mensagens de alta prioridade sejam enviadas. |
| lowPriorityMessageFrequency | Obrigatório: false | Valores válidos: Duração no formato ISO 8601 | Valor padrão: PT5H | Tempo máximo antes do envio de mensagens de baixa prioridade. |
| snapshotFreqüência | Exigir: false | Valores válidos: Duração no formato ISO 8601 | Valor padrão PT13H | Intervalo de tempo para a criação de instantâneos de status do dispositivo. |
| maxLocalCacheSizeInBytes | Obrigatório: false | Valores válidos: | Valor padrão: 2560000, maior que 8192 | Armazenamento máximo (em bytes) permitido para o cache de mensagens de um agente. Quantidade máxima de espaço permitido para armazenar mensagens no dispositivo, antes que as mensagens sejam enviadas. |
| maxMessageSizeInBytes | Obrigatório: false | Valores válidos: Um número positivo, maior que 8192, menor que 262144 | Valor padrão: 204800 | Tamanho máximo permitido de uma mensagem de agente para nuvem. Essa configuração controla a quantidade máxima de dados enviados em cada mensagem. |
| eventPriority${EventName} | Obrigatório: false | Valores válidos: Alto, Baixo, Desligado | Valores padrão: | Prioridade de cada evento gerado pelo agente |
Eventos de segurança suportados
| Nome do evento | Nome da propriedade | Valor Predefinido | Evento de instantâneo | Status de detalhes |
|---|---|---|---|---|
| Evento de diagnóstico | eventPriorityDiagnostic | Inativo | False | Eventos de diagnóstico relacionados ao agente. Use este evento para registro detalhado. |
| Erro de configuração | eventPriorityConfigurationError | Baixo | False | O agente falhou ao analisar a configuração. Verifique a configuração em relação ao esquema. |
| Estatísticas de eventos descartados | eventPriorityDroppedEventsStatistics | Baixo | True | Estatísticas de eventos relacionados ao agente. |
| Hardware conectado | eventPriorityConnectedHardware | Baixo | True | Instantâneo de todo o hardware conectado ao dispositivo. |
| Portas de escuta | eventPriorityListeningPorts | Alto | True | Instantâneo de todas as portas de escuta abertas no dispositivo. |
| Criação de processos | eventoPrioridadeProcessoCriar | Baixo | False | Audita a criação de processos no dispositivo. |
| Encerramento do processo | eventPriorityProcessTerminate | Baixo | False | Auditorias processam a rescisão no dispositivo. |
| Informações do sistema | eventPrioritySystemInformation | Baixo | True | Um instantâneo das informações do sistema (por exemplo: SO ou CPU). |
| Utilizadores locais | eventPriorityLocalUsers | Alto | True | Um instantâneo dos usuários locais registrados no sistema. |
| Iniciar sessão | eventPriorityLogin | Alto | False | Audite os eventos de login no dispositivo (logins locais e remotos). |
| Criação de conexão | eventPriorityConnectionCriar | Baixo | False | Audita conexões TCP criadas de e para o dispositivo. |
| Configuração da firewall | eventPriorityFirewallConfiguration | Baixo | True | Instantâneo da configuração do firewall do dispositivo (regras de firewall). |
| Linha de base do SO | eventPriorityOSBaseline | Baixo | True | Instantâneo da verificação de linha de base do sistema operacional do dispositivo. |