Självstudie: Konfigurera säkerhetsagenter
I den här artikeln beskrivs Defender för IoT-säkerhetsagenter och information om hur du ändrar och konfigurerar dem.
- Konfigurera säkerhetsagenter
- Ändra agentbeteende genom att redigera tvillingegenskaper
- Identifiera standardkonfiguration
Handläggare
Defender för IoT-säkerhetsagenter samlar in data från IoT-enheter och utför säkerhetsåtgärder för att minska de identifierade säkerhetsriskerna. Konfigurationen av säkerhetsagenten kan styras med hjälp av en uppsättning egenskaper för modultvillingar som du kan anpassa. I allmänhet är sekundära uppdateringar av dessa egenskaper ovanliga.
Defender för IoT:s konfigurationsobjekt för säkerhetsagentens tvilling är ett JSON-formatobjekt. Konfigurationsobjektet är en uppsättning kontrollerbara egenskaper som du kan definiera för att styra agentens beteende.
De här konfigurationerna hjälper dig att anpassa agenten för varje scenario som krävs. Du kan till exempel automatiskt exkludera vissa händelser eller hålla energiförbrukningen på en minimal nivå genom att konfigurera dessa egenskaper.
Använd konfigurationsschemat för Defender för IoT-säkerhetsagenten för att göra ändringar.
Konfigurationsobjekt
Egenskaper som är relaterade till varje Defender för IoT-säkerhetsagent finns i agentkonfigurationsobjektet i avsnittet önskade egenskaper i modulen azureiotsecurity .
Om du vill ändra konfigurationen skapar och ändrar du det här objektet i azureiotsecurity-modulens tvillingidentitet.
Om agentkonfigurationsobjektet inte finns i modultvillingen azureiotsecurity anges alla egenskapsvärden för säkerhetsagenten till standardvärden.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Konfigurationsschema och validering
Kontrollera agentkonfigurationen mot det här schemat. En agent startas inte om konfigurationsobjektet inte matchar schemat.
Om konfigurationsobjektet ändras till en icke-giltig konfiguration medan agenten körs (konfigurationen matchar inte schemat) ignorerar agenten den ogiltiga konfigurationen och fortsätter att använda den aktuella konfigurationen.
Konfigurationsverifiering
Defender för IoT-säkerhetsagenten rapporterar sin aktuella konfiguration i avsnittet rapporterade egenskaper i azureiotsecurity-modulens tvillingidentitet. Agenten rapporterar alla tillgängliga egenskaper, om en egenskap inte har angetts av användaren rapporterar agenten standardkonfigurationen.
För att verifiera konfigurationen jämför du de värden som anges i det önskade avsnittet med de värden som rapporteras i det rapporterade avsnittet.
Om det finns ett matchningsfel mellan de önskade och rapporterade egenskaperna kunde agenten inte parsa konfigurationen.
Verifiera önskade egenskaper mot schemat, åtgärda felen och ange önskade egenskaper igen!
Kommentar
En avisering om konfigurationsfel utlöses från agenten om agenten inte kunde parsa den önskade konfigurationen. Jämför det rapporterade och önskade avsnittet för att förstå om aviseringen fortfarande gäller
Redigera en egenskap
Alla anpassade egenskaper måste anges i agentkonfigurationsobjektet i modultvillingen azureiotsecurity . Om du vill använda ett standardegenskapsvärde tar du bort egenskapen från konfigurationsobjektet.
Ange en egenskap
Leta upp och välj den enhet som du vill ändra i din IoT Hub.
Klicka på enheten och sedan på modulen azureiotsecurity .
Klicka på Modulidentitetstvilling.
Redigera de egenskaper som du vill ändra i Defender-IoT-micro-agent.
Om du till exempel vill konfigurera anslutningshändelser som hög prioritet och samla in händelser med hög prioritet var sjunde minut använder du följande konfiguration.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Klicka på Spara.
Använda ett standardvärde
Om du vill använda ett standardegenskapsvärde tar du bort egenskapen från konfigurationsobjektet.
Standardegenskaper
Följande tabell innehåller de kontrollerbara egenskaperna för Defender för IoT-säkerhetsagenter.
Standardvärden är tillgängliga i rätt schema i GitHub.
| Name | Status | Giltiga värden | Standardvärden | beskrivning |
|---|---|---|---|---|
| highPriorityMessageFrequency | Obligatoriskt: falskt | Giltiga värden: Varaktighet i ISO 8601-format | Standardvärde: PT7M | Maximalt tidsintervall innan meddelanden med hög prioritet skickas. |
| lowPriorityMessageFrequency | Obligatoriskt: falskt | Giltiga värden: Varaktighet i ISO 8601-format | Standardvärde: PT5H | Maximal tid innan meddelanden med låg prioritet skickas. |
| snapshotFrequency | Kräv: false | Giltiga värden: Varaktighet i ISO 8601-format | Standardvärde PT13H | Tidsintervall för att skapa ögonblicksbilder av enhetsstatus. |
| maxLocalCacheSizeInBytes | Obligatoriskt: falskt | Giltiga värden: | Standardvärde: 2560000, större än 8192 | Maximalt lagringsutrymme (i byte) som tillåts för meddelandecachen för en agent. Maximalt utrymme för att lagra meddelanden på enheten innan meddelanden skickas. |
| maxMessageSizeInBytes | Obligatoriskt: falskt | Giltiga värden: Ett positivt tal, större än 8192, mindre än 262144 | Standardvärde: 204800 | Maximal tillåten storlek för en agent till molnmeddelande. Den här inställningen styr mängden maximalt antal data som skickas i varje meddelande. |
| eventPriority${EventName} | Obligatoriskt: falskt | Giltiga värden: Hög, Låg, Av | Standardvärden: | Prioritet för varje agentgenererad händelse |
Säkerhetshändelser som stöds
| Händelsenamn | PropertyName | Standardvärde | Händelse för ögonblicksbild | Informationsstatus |
|---|---|---|---|---|
| Diagnostikhändelse | eventPriorityDiagnostic | Av | Falsk | Agentrelaterade diagnostikhändelser. Använd den här händelsen för utförlig loggning. |
| Konfigurationsfel | eventPriorityConfigurationError | Låg | Falsk | Agenten kunde inte parsa konfigurationen. Kontrollera konfigurationen mot schemat. |
| Statistik över borttagna händelser | eventPriorityDroppedEventsStatistics | Låg | Sant | Agentrelaterad händelsestatistik. |
| Ansluten maskinvara | eventPriorityConnectedHardware | Låg | Sant | Ögonblicksbild av all maskinvara som är ansluten till enheten. |
| Lyssnarportar | eventPriorityListeningPorts | Högt | Sant | Ögonblicksbild av alla öppna lyssningsportar på enheten. |
| Skapa process | eventPriorityProcessCreate | Låg | Falsk | Granskningsprocessen skapas på enheten. |
| Avsluta process | eventPriorityProcessTerminate | Låg | Falsk | Granskningar bearbetar avslutning på enheten. |
| Systeminformation | eventPrioritySystemInformation | Låg | Sant | En ögonblicksbild av systeminformation (till exempel: OPERATIVSYSTEM eller CPU). |
| Lokala användare | eventPriorityLocalUsers | Högt | Sant | En ögonblicksbild av registrerade lokala användare i systemet. |
| Inloggning | eventPriorityLogin | Högt | Falsk | Granska inloggningshändelserna till enheten (lokala inloggningar och fjärrinloggningar). |
| Skapa anslutning | eventPriorityConnectionCreate | Låg | Falsk | Granskar TCP-anslutningar som skapats till och från enheten. |
| Konfigurering av brandvägg | eventPriorityFirewallConfiguration | Låg | Sant | Ögonblicksbild av enhetens brandväggskonfiguration (brandväggsregler). |
| OS-baslinje | eventPriorityOSBaseline | Låg | Sant | Ögonblicksbild av baslinjekontrollen för enhetsoperativsystem. |