針對感應器進行疑難排解 (部分機器翻譯)
本文描述感應器的基本疑難排解工具。 除了這裡所述的項目之外,您還可以透過下列方式檢查系統的健康情況:
- 警示:警示會在監視流量的感應器介面關閉時建立。
- SNMP:感應器健康情況可透過 SNMP 進行監視。 適用於 IoT 的 Microsoft Defender 會回應從授權監視伺服器傳送的 SNMP 查詢。
- 系統通知:當 OT 感測器控制台控制感測器時,您可以轉送有關感測器備份失敗和已中斷連線感測器的警示。
如果有任何問題,請連絡 Microsoft 支援服務。
必要條件
若要執行本文中的程序,請確定您具備下列事項:
- 以預設管理員使用者身分存取 OT 網路感應器。 如需詳細資訊,請參閱預設特殊權限的內部部署使用者。
檢查感應器 - 雲端連線問題
OT 感應器會自動執行連線檢查,以確保您的感應器可以存取所有必要的端點。 如果感應器未連線,系統會在 Azure 入口網站上的 [網站與感應器] 頁面中,以及感應器的 [概觀] 頁面上顯示錯誤。 例如:
![[概觀] 頁面上連線錯誤的螢幕擷取畫面。](media/release-notes/connectivity-error.png#lightbox)
```
使用 OT 感應器中的 [雲端連線疑難排解] 頁面,以深入了解所發生的錯誤,以及您可以採取哪些建議的風險降低動作。
若要針對連線錯誤進行疑難排解,請登入您的 OT 感應器並執行下列其中一個動作:
- 從感應器的 [概觀] 頁面中,選取頁面頂端錯誤中的 [疑難排解]* 連結
- 選取 [系統設定] > [感應器管理] > [健康情況與疑難排解] > [雲端連線移難排解]
[雲端連線疑難排解] 窗格即會在右側開啟。 如果感應器連線到 Azure 入口網站,窗格會指出 [感應器已成功連線到雲端]。 如果感應器未連線,則會改為列出問題的描述和任何風險降低指示。 例如:
![[連線能力疑難解答] 窗格的螢幕快照。](media/how-to-troubleshoot-the-sensor-and-on-premises-management-console/connectivity-troubleshooting.png)
[雲端連線疑難排解] 窗格涵蓋下列類型的問題:
| 問題 | 描述 |
|---|---|
| 建立安全連線時發生錯誤 | 發生 SSL 錯誤,這通常表示感應器不信任找到的憑證。 這可能是由於感應器時間設定不正確或使用 SSL 檢查服務所造成。 SSL 檢查服務通常會在 Proxy 中找到,而且可能會導致潛在的憑證錯誤。 如需詳細資訊,請參閱管理 SSL/TLS 憑證和同步 OT 感應器上的時區。 |
| 一般連線錯誤 | 當感應器無法與一或多個必要端點連線時發生。 在這類情況下,請確定所有必要端點都可從您的感應器存取,並考慮在防火牆中設定更多的端點。 如需詳細資訊,請參閱為雲端管理佈建感應器。 |
| 無法連線 DNS 伺服器錯誤 | 當感應器由於無法連線 DNS 伺服器而無法執行名稱解析時發生。 在這類情況下,請驗證您的感應器是否可以存取 DNS 伺服器。 如需詳細資訊,請參閱更新 OT 感應器網路設定 |
| Proxy 驗證問題 | 當 Proxy 要求驗證,但未提供任何認證或提供了不正確的認證時發生。 在這類情況下,請確定您已正確設定 Proxy 認證。 如需詳細資訊,請參閱更新 OT 感應器網路設定。 |
| 名稱解析失敗 | 當感應器無法針對特定端點執行名稱解析時發生。 在這類情況下,如果您的 DNS 伺服器可連線,請確定您的感應器上已正確設定 DNS 伺服器。 如果設定正確,建議您連絡 DNS 管理員。 如需詳細資訊,請參閱更新 OT 感應器網路設定。 |
| 無法連線 Proxy 伺服器錯誤 | 當感應器無法與 Proxy 伺服器建立連線時發生。 在這類情況下,請向網路小組確認 Proxy 伺服器的連線能力。 如需詳細資訊,請參閱更新 OT 感應器網路設定。 |
| 偵測到時間漂移 | 當感測器的 UTC 時間未與 Azure 入口網站 上的適用於 IoT 的 Defender 同步處理時發生。 在此情況下,請設定網路時間通訊協定 (NTP) 伺服器,以 UTC 時間同步處理感測器。 如需詳細資訊,請參閱從 Azure 入口網站設定 OT 感應器設定。 |
檢查系統健康情況
從感應器檢查您的系統健康情況。
若要存取系統健檢工具:
使用「管理員」使用者認證登入感應器,然後選取 [系統設定]>[
系統健康情況檢查]。在 [系統健康情況檢查] 窗格中,從功能表中選取命令,以在方塊中檢視更多詳細資料。 例如:
系統健康情況檢查包括下列各項:
| 名稱 | 描述 |
|---|---|
| 健全性 | |
| - 設備 | 執行設備健全性檢查。 您可以使用 CLI 命令 system-sanity 來執行相同的檢查。 |
| - 版本 | 顯示設備版本。 |
| - 網路屬性 | 顯示感應器的網路屬性。 |
| Redis | |
| - 記憶體 | 提供記憶體使用量的整體情況,例如使用多少記憶體,以及保留多少記憶體。 |
| - 最長金鑰 | 顯示可能造成大量記憶體使用量的最長金鑰。 |
| 系統 | |
| - 核心記錄 | 提供核心記錄檔的最後 500 個資料列,讓您可以檢視最近的記錄資料列,而不需要匯出整個系統記錄檔。 |
| - 工作管理員 | 將程序資料表中顯示的工作轉譯為下列層級: - 永續性層 (Redis) - 快取層 (SQL) |
| - 網路統計資料 | 顯示您的網路統計資料。 |
| - TOP | 顯示程序的資料表。 這是 Linux 命令,可提供執行中系統的動態即時檢視。 |
| - 備份記憶體檢查 | 提供備份記憶體的狀態,並檢查下列各項: - 備份資料夾的位置 - 備份資料夾的大小 - 備份資料夾的限制 - 上次備份的發生時間 - 可供額外備份檔案使用的空間 |
| - ifconfig | 顯示設備實體介面的參數。 |
| - CyberX nload | 使用六秒測試來顯示網路流量和頻寬。 |
| - 來自核心記錄的錯誤 | 顯示核心記錄檔中的錯誤。 |
使用 CLI 檢查系統健康情況
測試系統健全性之前,請確認系統已啟動並執行。
如需詳細資訊,請參閱來自 OT 網路感應器的 CLI 命令參考。
若要測試系統的健全性:
使用 Linux 終端機 (例如 PuTTY) 和使用者 admin 連線到 CLI。
輸入
system sanity。確認所有服務都是綠色 (執行中)。
確認 System is UP! (prod) 出現在底部。
確認已使用正確的版本:
若要檢查系統的版本:
使用 Linux 終端機 (例如 PuTTY) 和使用者 admin 連線到 CLI。
輸入
system version。檢查是否顯示正確的版本。
確認安裝程序期間設定的所有輸入介面都正在執行:
若要確認系統的網路狀態:
使用 Linux 終端機 (例如 PuTTY) 和 admin 使用者連線到 CLI。
輸入
network list(同等於 Linux 命令ifconfig)。確認所需的輸入介面是否出現。 例如,如果已安裝兩個四孔銅質 NIC,則清單中應該有 10 個介面。
確認您可以存取主控台 Web GUI:
若要檢查管理主控台是否具有 UI 的存取權:
使用乙太網路纜線將膝上型電腦連線到管理連接埠 (Gb1)。
定義要與設備位於相同範圍的膝上型電腦 NIC 位址。
從膝上型電腦偵測設備的 IP 位址,以確認是否連線 (預設值:10.100.10.1)。
在膝上型電腦中開啟 Chrome 瀏覽器,然後輸入設備的 IP 位址。
在 [您的連線不是私人連線] 視窗中,選取 [進階],然後繼續進行。
當適用於 IoT 的 Defender 登入畫面出現時,測試就會成功。
下載診斷記錄以取得支援
此程序說明如何下載診斷記錄,以傳送給與特定支援票證相關的支援人員。
下列感應器版本支援此功能:
- 22.1.1 - 從感應器主控台下載診斷記錄。
- 22.1.3 和更新版本 - 針對本機管理的感應器,從 Azure 入口網站中的 [網站與感應器] 頁面上傳診斷記錄。 當您在雲端連線的感應器上開啟票證時,此檔案會自動傳送給支援人員。
從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署,讓您的機器只使用已簽署的資產。
若要下載診斷記錄:
在感應器控制台上,選取 [系統設定] > [感應器管理] > [健康情況與疑難排解] > [備份與還原] > [備份]。
在 [記錄] 底下選取 [支援票證診斷],然後選取 [匯出]。
![[備份與還原] 窗格的螢幕快照,其中顯示 [支援票證診斷] 選項。](media/release-notes/support-ticket-diagnostics.png)
對於本機管理的感應器 22.1.3 版或更新版本,請參閱上傳診斷記錄以取得支援繼續操作。
![[備份與還原] 窗格的螢幕快照,其中顯示 [支援票證診斷] 選項。](media/release-notes/support-ticket-diagnostics.png#lightbox)
擷取鑑識資料
針對該感應器偵測到的裝置,以下類型的鑑識資料會儲存在 OT 感應器本機上:
- 裝置資料
- 警示資料
- 警示 PCAP 檔案
- 事件時間軸資料
- 記錄檔
使用 OT 感應器的資料採礦報告或 OT 網路感應器上的 Azure 監視器活頁簿,從該感應器的儲存體擷取鑑識資料。 每種資料類型都有不同的保留期間和最大容量。
如需詳細資訊,請參閱跨適用於 IoT 的 Microsoft Defender 進行資料保留。
無法使用 Web 介面進行連線
確認您嘗試連線的電腦與設備位於相同的網路上。
確認 GUI 網路已連線到管理連接埠。
偵測裝置的 IP 位址。 如果沒有 Ping:
將顯示器和鍵盤連接到設備。
使用 admin 使用者和密碼來登入。
使用
network list命令來查看目前的 IP 位址。
如果網路參數設定錯誤,請使用下列程序來加以變更:
使用
network edit-settings命令。若要變更管理網路 IP 位址,請選取 [Y]。
若要變更子網路遮罩,請選取 [Y]。
若要變更 DNS,請選取 [Y]。
若要變更預設閘道 IP 位址,請選取 [Y]。
若要變更輸入介面 (僅限感應器),請選取 [N]。
若要套用設定,請選取 [Y]。
重新啟動之後,請與 admin 使用者認證連線,並使用
network list命令來確認參數已變更。再次嘗試偵測並從 GUI 連線。
設備沒有回應
將顯示器和鍵盤連線到設備,或使用 PuTTY 從遠端連線到 CLI。
使用 admin 使用者認證進行登入。
使用
system sanity命令,並檢查所有程序是否正在執行。 例如:
如果有任何問題,請連絡 Microsoft 支援服務。
調查初次登入時的密碼失敗
第一次登入預先設定的感應器時,您必須執行密碼復原,如下所示:
在 [適用於 IoT 的 Defender 登入] 畫面上,選取 [密碼復原]。 [密碼復原] 畫面會隨即開啟。
選取 [Admin] 或 [CyberX],然後複製唯一識別碼。
瀏覽至 Azure 入口網站,然後選取 [網站和感應器]。
選取 [ 更多動作] 下拉功能表,然後選取 [ 復原 OT 感測器密碼]。
![[復原 OT 感測器密碼] 選項的螢幕快照。](media/how-to-create-and-manage-users/recover-password.png)
輸入您在 [密碼復原] 畫面上收到的唯一識別碼,然後選取 [復原]。 系統會下載
password_recovery.zip檔案。 請勿解壓縮或修改 zip 檔案。![[復原] 對話框的螢幕快照。](media/how-to-create-and-manage-users/enter-identifier.png)
在 [密碼復原] 畫面上,選取 [上傳]。 [上傳密碼復原檔案] 視窗會隨即開啟。
選取 [瀏覽] 來找出您的
password_recovery.zip檔案,或將password_recovery.zip拖曳至視窗。選取 [下一步] 和您的使用者,然後會出現 OT 感測器的系統產生密碼。
注意
當您第一次登入感應器時,其會連結至您的 Azure 訂用帳戶,如果您需要復原 admin 使用者的密碼,就需要該訂用帳戶。 如需詳細資訊,請參閱復原感應器的特殊權限存取權。
調查缺少流量的原因
當感應器辨識到其中一個設定的連接埠上沒有流量時,主控台頂端就會出現指標。 所有使用者都可以看到此指標。 當此訊息出現時,您可以調查沒有流量的位置。 請確定已連接 SPAN 纜線,而且 SPAN 結構沒有任何變更。
檢查系統效能
部署新的感應器或感應器運作緩慢或未顯示任何警示時,您可以檢查系統效能。
- 登入感應器,然後選取 [概觀]。 請確定 PPS 大於 0,且裝置正在進行探索。
- 在 [資料採礦] 頁面中,產生報告。
- 在 [趨勢與統計資料] 頁面中,建立儀表板。
- 在 [警示] 頁面中,檢查是否已建立警示。
調查缺少預期警示的原因
如果 [警示] 視窗未顯示您預期的警示,請確認下列事項:
- 檢查 [警示] 視窗中是否已經顯示相同的警示來回應不同的安全性實例。 如果是,且此警示尚未處理,則感應器主控台不會顯示新的警示。
- 請務必使用 OT 感測器控制台中的警示排除規則來排除此警示。
調查未顯示資料的儀表板
當 [趨勢與統計資料] 視窗中的儀表板顯示任何資料時,請執行下列動作:
- 檢查系統效能。
- 確定已正確設定時間和區域設定,且未設定為未來的時間。
調查僅顯示廣播裝置的裝置地圖
當裝置地圖上顯示的裝置未彼此連線時,表示 SPAN 連接埠設定上可能發生錯誤。 也就是說,您可能只會看到廣播裝置,而沒有單點傳播流量。
- 確認您是否只看到廣播流量。 若要這樣做,請在 [資料採礦] 中,選取 [建立報表]。 在 [建立新報告] 中,指定報告欄位。 在 [選擇類別]中,選擇 [全部選取]。
- 儲存報告,並檢閱報告以查看是否只顯示廣播和多點傳送流量 (沒有任何單點傳播流量)。 若是如此,請連絡您的網路小組來修正 SPAN 連接埠設定,讓您也可以看到單點傳播流量。 或者,您也可以直接從交換器記錄 PCAP,或使用 Wireshark 連接膝上型電腦。
如需詳細資訊,請參閱
將感應器連接到 NTP
您可以使用與其相關的感測器來設定獨立感測器和 OT 感測器控制台,以連線到 NTP。
提示
當您準備好開始大規模管理 OT 感應器設定時,請從 Azure 入口網站定義 NTP 設定。 從 Azure 入口網站套用設定之後,感應器主控台上的設定會是唯讀的設定。 如需詳細資訊,請參閱從 Azure 入口網站設定 OT 感應器設定 (公開預覽)。
若要將獨立感應器連接到 NTP:
若要將 OT 感測器控制的感測器連接到 NTP:
- 對 NTP 的連線是在 OT 感測器上設定的。 OT 感測器控制的所有感測器都會自動取得NTP連線。
裝置未在地圖上顯示或您有多個網際網路相關警示的調查
有時候 ICS 裝置會以外部 IP 位址進行設定。 地圖上不會顯示這些 ICS 裝置。 地圖上出現的不是裝置,而是網際網路雲端。 這些裝置的 IP 位址包含在雲端映像中。 相同問題的另一個表徵是出現多個網際網路相關警示。 以下列方式修正此問題:
- 以滑鼠右鍵按一下裝置地圖上的雲端圖示,然後選取 [匯出 IP 位址]。
- 複製私人的公用範圍,並將其新增至子網路清單。 如需詳細資訊,請參閱微調您的子網路清單。
- 為網際網路連線產生新的資料採礦報告。
- 在資料採礦報告中,進入管理員模式,然後刪除 ICS 裝置的 IP 位址。
清除感應器資料
如果感應器需要重新放置或清除,您都可以將所有學習到的資料從感應器中清除。
如需如何清除系統資料的詳細資訊,請參閱清除 OT 感應器資料。
從感應器主控台匯出記錄以進行疑難排解
如需進一步的疑難排解,建議您匯出記錄以傳送給支援小組,例如資料庫或作業系統記錄檔。
若要匯出記錄資料:
在感應器控制台中,移至 [系統設定]>[感應器管理]>[備份與還原]>[備份]。
在 [匯出疑難排解資訊] 對話方塊中:
在 [檔案名稱] 欄位中,為匯出的記錄輸入有意義的名稱。 預設檔案名稱會使用目前的日期,例如13:10-June-14-2022.tar.gz。
選取您想要匯出的記錄。
選取匯出。
檔案會隨即匯出,並從 [匯出疑難排解資訊] 對話方塊底部的 [封存的檔案] 清單連結。
例如:
![感測器控制台中 [導出疑難解答資訊] 對話框的螢幕快照。](media/how-to-troubleshoot-the-sensor-and-on-premises-management-console/export-logs-sensor.png)
選取檔案連結以下載匯出的記錄,同時選取
按鈕來檢視其一次性密碼。若要開啟匯出的記錄,請將下載的檔案和一次性密碼轉寄給支援小組。 匯出的記錄只有在交由 Microsoft 支援小組的情況才能開啟。
若要保護記錄,請務必將密碼與下載的記錄分開轉寄。
![感測器控制台中 [導出疑難解答資訊] 對話框的螢幕快照。](media/how-to-troubleshoot-the-sensor-and-on-premises-management-console/export-logs-sensor.png#lightbox)
注意
您可以從感應器主控台下載支援票證診斷,然後直接上傳給 Azure 入口網站中的支援小組。 如需下載診斷記錄的詳細資訊,請參閱下載診斷記錄以取得支援。