Underhålla OT-nätverkssensorer från sensorkonsolen
Den här artikeln beskriver extra underhållsaktiviteter för OT-sensorn som du kan utföra utanför en större distributionsprocess.
OT-sensorer kan också underhållas från OT-sensorns CLI, Azure-portalen och en lokal hanteringskonsol.
Varning
Endast dokumenterade konfigurationsparametrar i OT-nätverkssensorn och den lokala hanteringskonsolen stöds för kundkonfiguration. Ändra inte några odokumenterade konfigurationsparametrar eller systemegenskaper eftersom ändringar kan orsaka oväntat beteende och systemfel.
Att ta bort paket från sensorn utan Microsofts godkännande kan orsaka oväntade resultat. Alla paket som är installerade på sensorn krävs för rätt sensorfunktionalitet.
Förutsättningar
Kontrollera att du har följande innan du utför procedurerna i den här artikeln:
En OT-nätverkssensor installerad, konfigurerad och aktiverad och registrerad i Defender för IoT i Azure-portalen.
Åtkomst till OT-sensorn som administratörsanvändare. Valda procedurer och CLI-åtkomst kräver också en privilegierad användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Om du vill ladda ned programvara för OT-sensorer behöver du åtkomst till Azure-portalen som säkerhetsadministratör, deltagare eller ägare .
Ett SSL/TLS-certifikat som har förberetts om du behöver uppdatera sensorns certifikat.
Visa övergripande STATUS för OT-sensorn
När du loggar in på ot-sensorn visas den första sidan på översiktssidan.
Till exempel:
Sidan Översikt visar följande widgetar:
Name | beskrivning |
---|---|
Allmänna inställningar | Visar en lista över sensorns grundläggande konfigurationsinställningar och anslutningsstatus. |
Trafikövervakning | Visar ett diagram som beskriver trafiken i sensorn. Diagrammet visar trafik som enheter med Mbit/s per timme på visningsdagen. |
Topp 5 OT-protokoll | Visar ett stapeldiagram som beskriver de fem mest använda OT-protokollen. Stapeldiagrammet innehåller också antalet enheter som använder vart och ett av dessa protokoll. |
Trafik efter port | Visar ett cirkeldiagram som visar typerna av portar i nätverket, med mängden trafik som identifieras i varje typ av port. |
Öppna aviseringar högst upp | Visar en tabell med alla öppna aviseringar med hög allvarlighetsgrad, inklusive viktig information om varje avisering. |
Välj länken i varje widget för att öka detaljnivån för mer information i sensorn.
Verifiera anslutningsstatus
Kontrollera att ot-sensorn har anslutits till Azure-portalen direkt från OT-sensorns översiktssida.
Om det finns några anslutningsproblem visas ett frånkopplingsmeddelande i området Allmänna inställningar på sidan Översikt och en varning om tjänstanslutningsfel visas överst på sidan i området Systemmeddelanden. Till exempel:
Hitta mer information om problemet genom att hovra över informationsikonen . Till exempel:
Vidta åtgärder genom att välja alternativet Läs mer under Systemmeddelanden. Till exempel:
Ladda ned programvara för OT-sensorer
Du kan behöva ladda ned programvara för ot-sensorn om du installerar Defender for IoT-programvara på dina egna apparater eller uppdaterar programvaruversioner.
I Defender för IoT i Azure-portalen använder du något av följande alternativ:
För en ny installation väljer du Komma igång>Sensor. Välj en version i området Köp en installation och installera programvara och välj sedan Ladda ned.
Om du uppdaterar ot-sensorn använder du alternativen på sidan Sensoruppdatering (förhandsgranskning) på sidan >Platser och sensorer.
Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.
Mer information finns i Uppdatera Defender för IoT OT-övervakningsprogram.
Ladda upp en ny aktiveringsfil
Varje OT-sensor registreras som en molnansluten eller lokalt hanterad OT-sensor och aktiveras med hjälp av en unik aktiveringsfil. För molnanslutna sensorer används aktiveringsfilen för att säkerställa anslutningen mellan sensorn och Azure.
Du måste ladda upp en ny aktiveringsfil till sensorn om du vill växla sensorhanteringslägen, till exempel flytta från en lokalt hanterad sensor till en molnansluten sensor eller om du uppdaterar från en ny programvaruversion. När du laddar upp en ny aktiveringsfil till sensorn kan du ta bort sensorn från Azure-portalen och registrera den igen.
Så här lägger du till en ny aktiveringsfil:
Gör något av följande:
Registrera sensorn från grunden:
Leta upp och ta bort din OT-sensor i Defender för IoT på Azure-portalens>webbplatser och sensorer.
Välj Registrera OT-sensorn > OT för att registrera sensorn igen från grunden och ladda ned den nya aktiveringsfilen. Mer information finns i Registrera OT-sensorer.
Ladda ned aktiveringsfilen för den aktuella sensorn: På sidan Platser och sensorer letar du upp sensorn som du nyss lade till. Välj de tre punkterna (...) på sensorns rad och välj Ladda ned aktiveringsfil. Spara filen på en plats som är tillgänglig för sensorn.
Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.
Logga in på Defender for IoT-sensorkonsolen och välj Systeminställningar>Sensorhantering>Prenumeration och aktiveringsläge.
Välj Ladda upp och bläddra till filen som du laddade ned från Azure-portalen.
Välj Aktivera för att ladda upp den nya aktiveringsfilen.
Felsöka uppladdning av aktiveringsfil
Du får ett felmeddelande om aktiveringsfilen inte kunde laddas upp. Följande händelser kan ha inträffat:
Sensorn kan inte ansluta till Internet: Kontrollera sensorns nätverkskonfiguration. Om sensorn behöver ansluta via en webbproxy för att få åtkomst till Internet kontrollerar du att proxyservern är korrekt konfigurerad på skärmen Konfiguration av sensornätverk. Kontrollera att de nödvändiga slutpunkterna tillåts i brandväggen och/eller proxyn.
För OT-sensorer version 22.x laddar du ned listan över nödvändiga slutpunkter från sidan Webbplatser och sensorer på Azure-portalen. Välj en OT-sensor med en programvaruversion som stöds eller en plats med en eller flera sensorer som stöds. Välj sedan Fler åtgärder>Ladda ned slutpunktsinformation. För sensorer med tidigare versioner, se Sensoråtkomst till Azure-portalen.
Aktiveringsfilen är giltig men Defender för IoT avvisade den: Om du inte kan lösa det här problemet kan du ladda ned ytterligare en aktivering från sidan Webbplatser och sensorer i Azure-portalen. Kontakta Microsoft Support om detta inte fungerar.
Kommentar
Aktiveringsfiler upphör att gälla 14 dagar efter skapandet. Om du registrerade sensorn men inte laddade upp aktiveringsfilen innan den upphörde att gälla laddar du ned en ny aktiveringsfil.
Hantera SSL/TLS-certifikat
Om du arbetar med en produktionsmiljö distribuerade du ett CA-signerat SSL/TLS-certifikat som en del av distributionen av OT-sensorn. Vi rekommenderar att du endast använder självsignerade certifikat i testsyfte.
Följande procedurer beskriver hur du distribuerar uppdaterade SSL/TLS-certifikat, till exempel om certifikatet har upphört att gälla.
Så här distribuerar du ett CA-signerat SSL/TLS-certifikat:
Logga in på ot-sensorn och välj Systeminställningar>Grundläggande>SSL/TLS-certifikat.
I fönstret SSL/TLS-certifikat väljer du alternativet Importera betrott CA-certifikat (rekommenderas). Till exempel:
Ange följande parametrar:
Parameter Description Certifikatnamn Ange certifikatnamnet. Lösenfras - valfritt Ange en lösenfras. Privat nyckel (nyckelfil) Ladda upp en privat nyckel (nyckelfil). Certifikat (CRT-fil) Ladda upp ett certifikat (CRT-fil). Certifikatkedja (PEM-fil) - Valfritt Ladda upp en PEM-fil (Certificate Chain). Välj Använd CRL (listan över återkallade certifikat) för att kontrollera certifikatstatusen för att verifiera certifikatet mot en CRL-server. Certifikatet kontrolleras en gång under importen.
Om en uppladdning misslyckas kontaktar du din säkerhets- eller IT-administratör. Mer information finns i SSL/TLS-certifikatkrav för lokala resurser och Skapa SSL/TLS-certifikat för OT-enheter.
I området Validering av lokalt hanteringskonsolcertifikat väljer du Obligatorisk om SSL/TLS-certifikatverifiering krävs. Annars väljer du Inget.
Om du har valt Obligatoriskt och verifieringen misslyckas stoppas kommunikationen mellan relevanta komponenter och ett verifieringsfel visas på sensorn. Mer information finns i KRAV för CRT-filer.
Spara certifikatinställningarna genom att välja Spara .
Felsöka fel vid uppladdning av certifikat
Du kommer inte att kunna ladda upp certifikat till dina OT-sensorer eller lokala hanteringskonsoler om certifikaten inte har skapats korrekt eller är ogiltiga. Använd följande tabell för att förstå hur du vidtar åtgärder om certifikatuppladdningen misslyckas och ett felmeddelande visas:
Certifikatverifieringsfel | Rekommendation |
---|---|
Lösenfrasen matchar inte nyckeln | Kontrollera att du har rätt lösenfras. Om problemet kvarstår kan du försöka återskapa certifikatet med rätt lösenfras. Mer information finns i Tecken som stöds för nycklar och lösenfraser. |
Det går inte att verifiera förtroendekedjan. Det angivna certifikatet och rotcertifikatutfärdare matchar inte. | Kontrollera att en .pem fil korrelerar med .crt filen. Om problemet kvarstår kan du försöka återskapa certifikatet med rätt förtroendekedja, enligt vad som definieras av .pem filen. |
Det här SSL-certifikatet har upphört att gälla och anses inte vara giltigt. | Skapa ett nytt certifikat med giltiga datum. |
Det här certifikatet har återkallats av CRL och kan inte vara betrott för en säker anslutning | Skapa ett nytt oåterkalleligt certifikat. |
Crl-platsen (listan över återkallade certifikat) kan inte nås. Kontrollera att URL:en kan nås från den här installationen | Kontrollera att nätverkskonfigurationen tillåter att sensorn eller den lokala hanteringskonsolen når den CRL-server som definierats i certifikatet. Mer information finns i Verifiera åtkomst till CRL-servern. |
Certifikatverifieringen misslyckades | Detta indikerar ett allmänt fel i installationen. Kontakta Microsoft Support. |
Uppdatera nätverkskonfigurationen för OT-sensorn
Du hade konfigurerat ditt OT-sensornätverk under installationen. Du kan behöva göra ändringar som en del av underhåll av OT-sensorn, till exempel för att ändra nätverksvärden eller konfigurera en proxykonfiguration.
Så här uppdaterar du konfigurationen av OT-sensorn:
Logga in på OT-sensorn och välj Systeminställningar>Grundläggande>sensornätverksinställningar.
I fönstret Inställningar för sensornätverk uppdaterar du följande information för ot-sensorn efter behov:
- IP-adress. Om du ändrar IP-adressen kan användarna behöva logga in på ot-sensorn igen.
- Nätmask
- Standardgateway
- DNS. Se till att använda samma värdnamn som har konfigurerats på organisationens DNS-server.
- Värdnamn (valfritt)
Aktivera eller inaktivera alternativet Aktivera proxy om det behövs. Om du använder en proxy anger du följande värden:
- Proxyvärd
- Proxyport
- Proxyanvändarnamn (valfritt)
- Proxylösenord (valfritt)
Välj Spara för att spara dina ändringar.
Inaktivera inlärningsläget manuellt
En Microsoft Defender for IoT OT-nätverkssensor börjar övervaka nätverket automatiskt så snart det är anslutet till nätverket och du har loggat in. Nätverksenheter börjar visas i enhetsinventeringen och aviseringar utlöses för eventuella säkerhets- eller driftincidenter som inträffar i nätverket.
Till en början sker den här aktiviteten i inlärningsläge , vilket instruerar OT-sensorn att lära sig nätverkets vanliga aktivitet, inklusive enheterna och protokollen i nätverket, samt de regelbundna filöverföringar som sker mellan specifika enheter. Alla aktiviteter som identifieras regelbundet blir nätverkets baslinjetrafik.
Den här proceduren beskriver hur du inaktiverar inlärningsläget manuellt om du känner att de aktuella aviseringarna korrekt återspeglar nätverksaktiviteten.
Så här inaktiverar du inlärningsläget:
Logga in på din OT-nätverkssensor och välj Systeminställningar > Nätverksövervakning > Identifieringsmotorer och nätverksmodellering.
Inaktivera ett eller båda av följande alternativ:
Utbildning. Inaktivera det här alternativet ungefär två-sex veckor efter att du har distribuerat sensorn, när du känner att identifieringarna av OT-sensorn korrekt återspeglar din nätverksaktivitet.
Smart IT-utbildning. Håll det här alternativet aktiverat för att hålla antalet nondeterministiska aviseringar och meddelanden lågt.
Nondeterministiskt beteende inkluderar ändringar som är resultatet av normal IT-aktivitet, till exempel DNS- och HTTP-begäranden. Att växla bort alternativet Smart IT Learning kan utlösa många falska positiva principöverträdelser.
I bekräftelsemeddelandet väljer du OK och sedan Stäng för att spara ändringarna.
Uppdatera en sensors övervakningsgränssnitt (konfigurera ERSPAN)
Du kanske vill ändra de gränssnitt som används av sensorn för att övervaka trafiken. Du konfigurerade ursprungligen den här informationen som en del av den första sensorkonfigurationen, men kan behöva ändra inställningarna som en del av systemunderhållet, till exempel att konfigurera ERSPAN-övervakning.
Mer information finns i ERSPAN-portar.
Kommentar
Den här proceduren startar om sensorprogramvaran för att implementera eventuella ändringar som gjorts.
Så här uppdaterar du sensorns övervakningsgränssnitt:
Logga in på ot-sensorn och välj Systeminställningar>Grundläggande>gränssnittsanslutningar.
Leta upp det gränssnitt som du vill konfigurera i rutnätet. Gör något av följande:
Välj växlingsknappen Aktivera/inaktivera för alla gränssnitt som du vill att sensorn ska övervaka. Du måste ha minst ett gränssnitt aktiverat för varje sensor.
Om du inte är säker på vilket gränssnitt du ska använda väljer du knappen Blink physical interface LED (Blink physical interface LED ) för att få den valda porten att blinka på datorn.
Dricks
Vi rekommenderar att du optimerar prestanda på sensorn genom att konfigurera inställningarna för att endast övervaka de gränssnitt som används aktivt.
För varje gränssnitt som du väljer att övervaka väljer du knappen Avancerade inställningar för att ändra någon av följande inställningar:
Name beskrivning Läge Välj något av följande:
- SPAN-trafik (ingen inkapsling) för att använda standardspegling av SPAN-portar.
- ERSPAN om du använder ERSPAN-spegling.
Mer information finns i Välj en trafikspeglingsmetod för OT-sensorer.Beskrivning Ange en valfri beskrivning för gränssnittet. Du kommer att se detta senare på sensorns sida För systeminställningar > Gränssnittskonfigurationer , och dessa beskrivningar kan vara användbara för att förstå syftet med varje gränssnitt. Automatisk förhandling Endast relevant för fysiska datorer. Använd det här alternativet för att avgöra vilken typ av kommunikationsmetoder som används, eller om kommunikationsmetoderna definieras automatiskt mellan komponenterna.
Viktigt: Vi rekommenderar att du ändrar den här inställningen endast på råd från ditt nätverksteam.
Till exempel:
Välj Spara för att spara dina ändringar. Sensorprogramvaran startas om för att implementera ändringarna.
Synkronisera tidszoner på en OT-sensor
Du kanske vill konfigurera ot-sensorn med en specifik tidszon så att alla användare ser samma tider oavsett användarens plats.
Tidszoner används i aviseringar, trender och statistikwidgetar, datautvinningsrapporter, riskbedömningsrapporter och rapporter om attackvektorer.
Så här konfigurerar du en OT-sensors tidszon:
Logga in på ot-sensorn och välj Systeminställningar>Grundläggande>tid och region.
I fönstret Tid och region anger du följande information:
Tidszon: Välj den tidszon som du vill använda
Datumformat: Välj det tids- och datumformat som du vill använda. Format som stöds är:
dd/MM/yyyy HH:mm:ss
MM/dd/yyyy HH:mm:ss
yyyy/MM/dd HH:mm:ss
Fältet Datum och tid uppdateras automatiskt med den aktuella tiden i det format som du hade valt.
Välj Spara för att spara dina ändringar.
Konfigurera INSTÄLLNINGAR för SMTP-e-postserver
Definiera INSTÄLLNINGAR för SMTP-e-postserver på ot-sensorn så att du konfigurerar OT-sensorn för att skicka data till andra servrar och partnertjänster.
Du behöver en SMTP-e-postserver konfigurerad för att aktivera e-postaviseringar om frånkopplade sensorer, misslyckade hämtningar av sensorsäkerhetskopior och SPAN-övervakningsportfel från den lokala hanteringskonsolen samt för att konfigurera vidarebefordran av e-post och konfigurera aviseringsregler för vidarebefordran.
Förutsättningar:
Kontrollera att du kan nå SMTP-servern från sensorns hanteringsport.
Så här konfigurerar du en SMTP-server på din OT-sensor:
Logga in på OT-sensorn och välj Systeminställningar>Integreringar>e-postserver.
I fönstret Redigera e-postserverkonfiguration som visas definierar du värdena för SMTP-servern enligt följande:
Parameter Description SMTP-serveradress Ange IP-adressen eller domänadressen för SMTP-servern. SMTP-serverport Standard = 25. Justera värdet efter behov. Utgående e-postkonto Ange en e-postadress som ska användas som utgående e-postkonto från sensorn. SSL Aktivera för säkra anslutningar från sensorn. Autentisering Aktivera och ange sedan ett användarnamn och lösenord för ditt e-postkonto. Använda NTLM Växla på för att aktivera NTLM. Det här alternativet visas bara när du har alternativet Autentisering aktiverat. Välj Spara när du är klar.
Ladda upp och spela upp PCAP-filer
När du felsöker ot-sensorn kanske du vill undersöka data som registrerats av en specifik PCAP-fil. För att göra det kan du ladda upp en PCAP-fil till din OT-sensor och spela upp de data som registrerats.
Alternativet Spela upp PCAP är aktiverat som standard i sensorkonsolens inställningar.
Maximal storlek för uppladdade filer är 2 GB.
Så här visar du PCAP-spelaren i sensorkonsolen:
I sensorkonsolen går du till Systeminställningar > Sensorhantering > Avancerade konfigurationer.
I fönstret Avancerade konfigurationer väljer du kategorin Pcaps .
I de konfigurationer som visas ändrar du
enabled=0
tillenabled=1
och väljer Spara.
Alternativet Spela upp PCAP är nu tillgängligt i sensorkonsolens inställningar, under: Systeminställningar > Basic > Play PCAP.
Så här laddar du upp och spelar upp en PCAP-fil:
I sensorkonsolen väljer du Systeminställningar > Basic > Play PCAP.
I fönstret PCAP PLAYER väljer du Ladda upp och navigerar sedan till och väljer den fil eller flera filer som du vill ladda upp.
Välj Spela upp för att spela upp PCAP-filen eller Spela upp alla för att spela upp alla PCAP-filer som för närvarande läses in.
Dricks
Välj Rensa alla för att rensa sensorn för alla PCAP-filer som lästs in.
Inaktivera specifika analysmotorer
Som standard analyserar varje OT-nätverkssensor inmatade data med hjälp av inbyggda analysmotorer och utlöser aviseringar baserat på både realtids- och förinspelad trafik.
Vi rekommenderar att du håller alla analysmotorer på, men du kanske vill inaktivera specifika analysmotorer på dina OT-sensorer för att begränsa typen av avvikelser och risker som övervakas av ot-sensorn.
Viktigt!
När du inaktiverar en principmotor blir information som motorn genererar inte tillgänglig för sensorn. Om du till exempel inaktiverar avvikelsemotorn får du inga aviseringar om nätverksavvikelser. Om du har skapat en aviseringsregel för vidarebefordran skickas inte avvikelser som motorn lär sig.
Så här hanterar du en OT-sensors analysmotorer:
Logga in på ot-sensorn och välj Systeminställningar > Nätverksövervakning > Anpassade > identifieringsmotorer och nätverksmodellering.
I fönstret Identifieringsmotorer och nätverksmodellering går du till området Motorer och inaktiverar en eller flera av följande motorer:
- Protokollöverträdelse
- Principöverträdelse
- Skadlig kod
- Anomali
- Operativ
Aktivera motorn igen för att börja spåra relaterade avvikelser och aktiviteter igen.
Mer information finns i Defender för IoT-analysmotorer.
Spara ändringarna genom att välja Stäng .
Så här hanterar du analysmotorer från en lokal hanteringskonsol:
Logga in på den lokala hanteringskonsolen och välj Systeminställningar.
I avsnittet Konfiguration av sensormotor väljer du en eller flera OT-sensorer där du vill tillämpa inställningar och avmarkerar något av följande alternativ:
- Protokollöverträdelse
- Principöverträdelse
- Skadlig kod
- Anomali
- Operativ
Spara ändringarna genom att välja SPARA ÄNDRINGAR .
Rensa OT-sensordata
Om du behöver flytta eller radera ot-sensorn återställer du den för att rensa alla identifierade eller inlärda data på OT-sensorn.
När du har rensat data på en molnansluten sensor:
- Enhetsinventeringen på Azure-portalen uppdateras parallellt.
- Vissa åtgärder för motsvarande aviseringar i Azure-portalen stöds inte längre, till exempel nedladdning av PCAP-filer eller inlärningsaviseringar.
Kommentar
Nätverksinställningar som IP/DNS/GATEWAY ändras inte genom att rensa systemdata.
Så här rensar du systemdata:
Logga in på OT-sensorn som administratörsanvändare. Mer information finns i Standardprivilegierade lokala användare.
Välj Stöd Rensa>data.
I bekräftelsedialogrutan väljer du Ja för att bekräfta att du vill rensa alla data från sensorn och återställa dem. Till exempel:
Ett bekräftelsemeddelande visas om att åtgärden lyckades. Alla inlärda data, tillåtna listor, principer och konfigurationsinställningar rensas från sensorn.
Hantera sensor-plugin-program och övervaka prestanda för plugin-program
Visa data för varje protokoll som övervakas av sensorn med hjälp av sidan Protokoll DPI (Horizon Plugins) i sensorkonsolen.
Logga in på ot-sensorkonsolen och välj Systeminställningar > DPI för nätverksövervakningsprotokoll > (Horizon-plugin-program)..
Gör något av följande:
Om du vill begränsa de protokoll som övervakas av sensorn väljer du växlingsknappen Aktivera/inaktivera för varje plugin-program efter behov.
Om du vill övervaka prestanda för plugin-program visar du de data som visas på sidan Protokoll DPI (Horizon Plugins) för varje plugin-program. Om du vill hitta ett specifikt plugin-program använder du sökrutan för att ange en del av eller hela plugin-namnet.
Protokollens DPI (Horizon Plugins) visar följande data per plugin-program:
Kolumnnamn | beskrivning |
---|---|
Plugin-program | Definierar plugin-namnet. |
Typ | Plugin-typ, inklusive PROGRAM eller INFRASTRUKTUR. |
Tid | Den tid då data senast analyserades med hjälp av plugin-programmet. Tidsstämpeln uppdateras var femte sekund. |
PPS | Antalet paket som analyseras per sekund av plugin-programmet. |
Bandbredd | Den genomsnittliga bandbredd som identifierats av plugin-programmet under de senaste fem sekunderna. |
Felformer | Antalet felaktiga fel som identifierats under de senaste fem sekunderna. Felaktiga valideringar används efter att protokollet har verifierats positivt. Om det inte går att bearbeta paketen baserat på protokollet returneras ett felsvar. |
Varningar | Antalet varningar som identifieras, till exempel när paket matchar strukturen och specifikationerna, men oväntat beteende identifieras baserat på plugin-varningskonfigurationen. |
Fel | Antalet fel som identifierats under de senaste fem sekunderna för paket som misslyckats med grundläggande protokollvalidering för paket som matchar protokolldefinitioner. |
Loggdata är tillgängliga för export i dissekeringsstatistik och dissekeringsloggar, loggfiler. Mer information finns i Exportera felsökningsloggar.
Nästa steg
Mer information finns i: