从现场管理控制台管理传感器（传统版）

重要

Defender for IoT 现在建议使用 Microsoft 云服务或现有 IT 基础结构进行集中监视和传感器管理，计划于 2025 年 1 月 1 日 停用本地管理控制台。

有关详细信息，请参阅 部署混合或空隙 OT 传感器管理。

本文介绍如何从本地管理控制台管理 OT 传感器，例如将系统设置推送到网络上的 OT 传感器。

先决条件

若要执行本文中的过程，请确保具备：

• 本地管理控制台 已安装 和已激活

• 一个或多个 OT 网络传感器 安装、激活，连接到本地管理控制台

• 以 管理员 用户身份访问本地管理控制台。 有关详细信息，请参阅 使用 Defender for IoT进行 OT 监视的本地用户和角色。

从本地管理控制台更新传感器

此过程介绍如何从遗留的本地管理控制台同时更新多个 OT 传感器。

重要

如果要更新多个本地管理的 OT 传感器，请确保在更新任何连接的传感器 之前 更新本地管理控制台。

本地管理控制台上的软件版本必须与最 up-to日期传感器版本的软件版本相等。 每个本地管理控制台版本向后兼容旧版支持的传感器版本，但无法连接到较新的传感器版本。

从 Azure 门户下载更新包

1. 在 Azure 门户上的 Defender for IoT 中，选择 站点和传感器>传感器更新（预览版）。

2. 在 本地更新 窗格中，选择传感器上当前安装的软件版本。

3. 选择 是否通过本地管理器 选项进行更新，然后选择当前在本地管理控制台上安装的软件版本。

4. 在“本地更新”窗格的“可用版本”区域中，选择要下载的软件更新版本。

   可用版本 区域列出了可用于特定更新方案的所有更新包。 你可能有多个选项，但始终会有一个标记为推荐的特定版本供你选择。 例如：

   

5. 在 本地更新 窗格中向下滚动，然后选择 下载 下载软件文件。

   如果选择了“通过本地管理器更新”选项，则会为本地管理控制台和传感器列出文件。 例如：

   

   将使用以下文件命名格式下载更新包：

   • OT 传感器更新的编号 sensor-secured-patcher-<Version number>.tar
   • 用于本地管理控制台更新的management-secured-patcher-<Version number>.tar

   其中 <version number> 是要更新到的软件版本号。

从 Azure 门户下载的所有文件都由信任根签名，以确保您的计算机仅使用经过签名的资产。

更新本地管理控制台

1. 登录到本地管理控制台，然后选择“系统设置”>版本更新。

2. 在“上传文件”对话框中，选择“浏览文件”，然后查找并选择您从 Azure 门户下载的更新包。

   更新过程启动，可能需要大约 30 分钟。 在升级期间，系统会重新启动两次。

   出现提示时登录，并检查左下角列出的版本号，确认是否列出了新版本。

从本地管理控制台更新 OT 传感器

1. 登录到本地管理控制台，选择 系统设置，并标识要更新的传感器。

2. 对于要更新的任何传感器，请确保已选择 自动更新 选项。

   此外，请确保 不想 更新的传感器 未 选中。

   选择要更新的传感器后，保存所做的更改。 例如：

   

   重要

   如果 自动版本更新 选项为红色，则会发生更新冲突。 如果有多个传感器标记为自动更新，但传感器当前安装了不同的软件版本，则可能会发生更新冲突。 选择 自动版本更新 选项来解决冲突。

3. 向下滚动并在右侧选择 传感器版本更新 框中的 +。 浏览到并选择从 Azure 门户下载的更新文件。

   更新开始在为自动更新选择的每个传感器上运行。

4. 转到 站点管理 页，查看每个传感器的更新状态和进度。

   如果更新失败，则会显示重试选项，其中包含下载失败日志的选项。 重试更新过程，或使用下载的日志文件打开支持票证以获取帮助。

将系统设置推送到 OT 传感器

如果已配置 OT 传感器，并配置了要跨其他 OT 传感器共享的系统设置，请从本地管理控制台推送这些设置。 跨 OT 传感器共享系统设置可节省时间，并简化系统中的设置。

支持的设置包括：

• 邮件服务器设置
• SNMP MIB 监控配置
• Active Directory 设置
• DNS 反向查找设置
• 子网设置
• 端口别名

若要跨 OT 传感器推送系统设置，：

1. 登录到本地管理控制台并选择 系统设置。

2. 向下滚动查看 配置传感器 区域，然后选择要在所有 OT 传感器上应用的配置。

3. 在 编辑...配置 对话框，选择要从共享设置 的 OT 传感器。 该对话框显示为所选传感器定义的当前设置。

4. 请确认当前设置是您想要在整个系统中共享的设置，然后选择 复制。

5. 选择 保存 以保存更改。

所选设置应用于所有连接的 OT 传感器。

监视断开连接的 OT 传感器

如果使用的是本地托管的 OT 网络传感器和本地管理控制台，建议将有关从本地管理控制台断开连接的 OT 传感器的警报转发到合作伙伴服务。

查看 OT 传感器连接状态

登录本地管理控制台，并选择 站点管理 检查有没有断开连接的传感器。

例如，你可能会看到以下断开连接消息之一：

• 本地管理控制台无法处理从传感器接收的数据。

• 检测到时间偏移。 本地管理控制台已与传感器断开连接。

• 传感器不与本地管理控制台通信。 检查网络连接或证书验证。

提示

你可能想要将有关本地管理控制台上的 OT 传感器连接状态的警报发送到合作伙伴服务。

为此，在本地管理控制台上 创建转发警报规则。 在 “创建转发规则”对话框中，确保选择 “报告系统通知”。

检索存储在传感器上的取证数据

使用 Defender for IoT 的数据挖掘报告，从 OT 网络传感器的存储中检索调查数据。 对于该传感器检测到的设备，以下类型的取证数据存储在本地 OT 传感器上：

• 设备数据
• 警报数据
• PCAP 警报文件
• 事件时间线数据
• 日志文件

每种类型的数据都有不同的保留期和最大容量。 有关详细信息，请参阅 跨 Microsoft Defender for IoT创建数据挖掘查询 和 数据保留。

从本地管理控制台关闭学习模式

Microsoft Defender for IoT OT 网络传感器在连接到网络后立即开始自动监视网络，并且已 登录。 网络设备开始显示在 设备列表中，警报 针对网络中发生的任何安全或运营事件触发。

最初，此活动发生在 学习 模式下，该模式指示 OT 传感器了解网络的常规活动，包括网络中的设备和协议，以及特定设备之间发生的常规文件传输。 任何定期检测到的活动都将成为网络 基线流量。

此过程介绍如何为所有连接的传感器手动关闭学习模式（如果觉得当前警报准确反映网络活动）。

若要关闭学习模式：

1. 登录到本地管理控制台并选择 系统设置。

2. 在 传感器引擎配置 部分中，选择要应用设置的一个或多个 OT 传感器，并清除 学习模式 选项。

3. 选择 保存更改 来保存更改。

后续步骤

有关详细信息，请参阅：

• 管理单个传感器
• 将 OT 传感器连接到云
• 跟踪传感器活动
• 更新 OT 系统软件
• 排查本地管理控制台问题
• 在 Azure 门户中使用 Defender for IoT 管理传感器
• 管理 OT 传感器上的威胁情报数据包
• 控制由 Microsoft Defender for IoT 监视的 OT 流量