在 Azure 入口網站中管理具有適用於 IoT 的 Defender 的感應器
此文章描述如何使用 Azure 入口網站中適用於 IoT 的 Microsoft Defender 來檢視及管理感應器。
必要條件
您必須先將網路感應器上線至適用於 IoT 的 Defender,才能使用此文章中的程序。 如需詳細資訊,請參閱
檢視感應器
您目前所有雲端連線的感應器 (包括 OT 和企業級 IoT 感應器) 都會列在 [網站與感應器] 頁面中。 例如:
![顯示 [網站和感測器] 頁面的螢幕快照。](media/how-to-manage-sensors-on-the-cloud/sites-and-sensors-page.png#lightbox)
關於每個感應器的詳細資料均列於下列資料行中:
| 資料行名稱 | 描述 |
|---|---|
| 感應器名稱 | 顯示您在註冊期間指派給感應器的名稱。 |
| 感應器類型 | 顯示感應器是本機連線的 OT、OT 雲端連線或企業 IoT 感應器。 |
| 區域 | 顯示包含此感應器的區域。 |
| 訂用帳戶名稱 | 顯示此感應器所屬的 Microsoft Azure 帳戶訂用帳戶的名稱。 |
| 感應器版本 | 顯示安裝於感應器上的 OT 監視軟體版本。 |
| 感應器健康情況 | 顯示感應器健康情況訊息。 如需詳細資訊,請參閱了解感應器健康情況。 |
| 上次連線時間 (UTC) | 顯示感應器上次連線的時間。 |
| 威脅情報版本 | 顯示安裝於 OT 感應器上的威脅情報版本。 版本的名稱會以適用於 IoT 的 Defender 建置套件的日期為基礎。 |
| 威脅情報模式 | 顯示威脅情報更新模式是手動還是自動。 手動表示您可以視需要直接將新發行的套件推送至感應器。 否則,新套件會自動安裝在所有 OT、雲端連線的感應器上。 |
| 威脅情報更新狀態 | 顯示 OT 感應器上威脅情報套件的更新狀態。 狀態可以是 [失敗]、[進行中]、[有可用的更新] 或 [正常]。 |
來自 Azure 入口網站的網站管理選項
將新的 OT 感應器上線至適用於 IoT 的 Defender 時,您可以將其新增至新的或現有的網站。 使用 OT 網路時,將您的感應器組織到網站,可讓您更有效率地管理感應器,並且讓整個網路的零信任策略保持一致。
企業 IoT 感應器全都會自動新增至相同的網站,名為商業網路。
若要從 Azure 入口網站編輯網站:
在 [網站與感應器] 頁面上選取網站的名稱。 在右側開啟的 [編輯網站] 窗格中,修改下列任何值:
選項 描述 顯示名稱 為網站輸入有意義的名稱。 擁有者 僅適用於 OT 網站。 針對您想要在此網站上指定為裝置擁有者的使用者,輸入一或多個電子郵件地址。 網站擁有者都由網站上的所有裝置繼承,且會顯示於 IoT 裝置實體頁面上,以及顯示於 Microsoft Sentinel 的事件詳細資料中。
在 Microsoft Sentinel 中,使用 AD4IoT-SendEmailtoIoTOwner 和 AD4IoT-CVEAutoWorkflow 劇本,自動通知裝置擁有者有關重要警示或事件的資訊。 如需詳細資訊,請參閱調查和偵測對 IoT 裝置的威脅。Tags (標籤) (選擇性) 針對您要新增至網站的每個新標籤,輸入 [索引鍵] 和 [值] 欄位。 選取 [+ 新增] 以新增標籤。 僅適用於 OT 網站:若要定義每個網站的指定權限,請選取 [管理網站存取控制 (預覽)]。
例如,您可以在零信任安全性策略中執行此動作,以將細微性層級新增至您的 Azure 存取原則。 適用於 IoT 的 Defender 網站通常會反映許多群組在特定地理位置的裝置,例如位於特定地址的辦公室大樓中的裝置。
如需詳細資訊,請參閱管理網站型存取控制。
當您完成時,請選取 [儲存] 以儲存您的變更。
Azure 入口網站中的感應器管理選項
已上線至適用於 IoT 的 Defender 的感應器,會列在適用於 IoT 的 Defender [網站和感應器] 頁面上。 選取特定的感應器名稱,以向下切入至該感應器的更多詳細資料。
使用 [網站與感應器] 頁面上的選項以及感應器詳細資料頁面,來執行下列任何工作。 如果您位於 [網站與感應器] 頁面上,請選取多個感應器,以使用工具列選項大量套用您的動作。 針對個別感應器,請使用 [網站與感應器] 工具列選項、感應器資料列右側的 ... 選項功能表,或感應器詳細資料頁面上的選項。
OT 感應器更新
| Task | 描述 |
|---|---|
 感應器更新 (預覽) |
僅限 OT 感應器。 直接從 Azure 入口網站在 OT 感應器上執行遠端更新,或下載更新套件以手動更新。 如需詳細資訊,請參閱更新適用於 IOT 的 Defender OT 監視軟體。 |
 威脅情報更新 (預覽) |
僅限 OT 感應器。 可從 [網站與感應器] 工具列用來執行大量動作、從 ... 選項功能表或從感應器詳細資料頁面用於個別感應器。 如需詳細資訊,請參閱威脅情報研究與套件。 |
 編輯自動威脅情報更新 |
僅限個別的 OT 感應器。 可從 ... 選項功能表或感應器詳細資料頁面中取得。 選取 [編輯],然後視需要將 [自動威脅情報更新 (預覽)] 選項切換為開啟或關閉。 選取 [提交] 以儲存變更。 |
感應器部署和存取
| Task | 描述 |
|---|---|
 復原 OT 感應器密碼 |
僅限個別的 OT 感應器。 可從 ... 選項功能表或感應器詳細資料頁面中取得。 輸入在感應器登入畫面上取得的秘密識別碼。 |
| 復原內部部署管理主控台密碼 | 可從 [網站與感應器] 工具列的 [更多動作] 功能表中取得。 如需詳細資訊,請參閱更新內部部署管理主控台。 |
 下載啟用檔案 |
僅限個別的 OT 感應器。 可從 ... 選項功能表或感應器詳細資料頁面中取得。 |
| 編輯感應器區域 |
(僅適用於個別感應器) 從 ... 選項功能表或感應器詳細資料頁面。 選取 [編輯],然後從 [區域] 功能表中選取新區域,或選取 [建立新區域]。 選取 [提交] 以儲存變更。 |
| 下載 SNMP MIB 檔案 | 可從 [網站與感應器] 工具列的 [更多動作] 功能表中取得。 如需詳細資訊,請參閱在 OT 感應器上設定 SNMP MIB 狀況監控。 |
| 建立啟用命令 |
僅限個別的企業 IoT 感應器。 可從 ... 選項功能表或感應器詳細資料頁面中取得。 選取 [編輯],然後選取 [建立啟用命令]。 如需詳細資訊,請參閱安裝企業級 IoT 感應器軟體。 |
| 下載端點詳細數據 | 僅限 OT 感應器。 可從 [網站與感應器] 工具列的 [更多動作] 功能表中取得。 從 OT 網路感應器中,下載必須啟用為安全端點的端點清單。 請確定已透過連接埠 443 啟用 HTTPS 流量到列出的端點,讓您的感應器能夠連線到 Azure。 輸出允許規則會針對上線至相同訂用帳戶的所有 OT 感應器定義一次。 若要啟用此選項,請選取具有支援軟體版本的感應器,或具備一或多個具有支援版本之感應器的網站。 |
感應器維護與疑難排解
| Task | 描述 |
|---|---|
 感應器設定 (預覽) |
僅限 OT 感應器。 定義一或多個雲端連線 OT 網路感應器的所選取感應器設定。 如需詳細資訊,請參閱從 Azure 入口網站定義和檢視 OT 感應器設定 (公開預覽)。 其他設定也可直接從 OT 感應器主控台或內部部署管理主控台取得。 |
| 匯出感應器資料 |
只能從 [網站與感應器] 工具列用來下載 CSV 檔案 (其中列出了所有感應器的相關詳細資料)。 |
 刪除感應器 |
(僅適用於個別感應器) 從 ... 選項功能表或感應器詳細資料頁面。 |
 傳送診斷檔案以取得支援 |
僅限本機管理的個別 OT 感應器。 可從 ... 選項功能表中使用。 如需詳細資訊,請參閱上傳診斷記錄以取得支援。 |
擷取儲存在感應器上的鑑識資料
使用 OT 網路感應器上的 Azure 監視器活頁簿,從該感應器的儲存體擷取鑑識資料。 針對該感應器偵測到的裝置,以下類型的鑑識資料會儲存在 OT 感應器本機上:
- 裝置資料
- 警示資料
- 警示 PCAP 檔案
- 事件時間軸資料
- 記錄檔
每種資料類型都有不同的保留期間和最大容量。 如需詳細資訊,請參閱使用 Azure 監視器活頁簿將適用於 IoT 的 Microsoft Defender 資料視覺化和適用於 IoT 的 Microsoft Defender 的資料保留。
重新啟用 OT 感應器
您可能基於下列需求而要重新啟用感應器:
在連線到雲端的模式中運作,而不是本機管理模式:重新啟用後,現有的感應器偵測會顯示在感應器主控台中,而新偵測到的警示資訊會透過適用於 IoT 的 Defender 在 Azure 入口網站中傳遞。 這項資訊可以與其他 Azure 服務共用,例如 Microsoft Sentinel。
在本機管理模式中運作,而不是連線到雲端的模式:重新啟用後,感應器偵測資訊只會顯示在感應器主控台中。
將感應器與新網站建立關聯:使用新的網站定義重新註冊感應器,並使用新的啟用檔案來啟動。
變更您的方案承諾用量:如果您變更方案,例如將價格方案從試用變更為每月承諾用量,您必須重新啟用感應器以反映新的變更。
在這種情況下,請執行下列步驟:
了解感應器健康情況
此程序說明如何從 Azure 入口網站檢視感應器健康情況資料。 感應器健康情況包含多種資料,例如流量是否穩定、感應器是否多載,以及感應器軟體版本的相關通知等等。
若要檢視整體的感應器健康情況:
從 Azure 入口網站中的適用於 IoT 的 Defender 選取 [網站與感應器],然後在方格上方的小工具中查看整體健康情況分數。 例如:
不支援表示感應器已安裝不再受到支援的軟體版本。
狀況不良表示發生下列其中一種情況:
- Azure 的感應器流量不穩定
- 感應器未通過定期健全性測試
- 感應器未偵測到任何流量
- 感應器軟體版本已不受支援
- 從 Azure 入口網站進行遠端感應器升級失敗
如需詳細資訊,請參閱我們的感應器健康情況訊息參考。
若要檢查特定感應器問題,請依感應器健康情況來篩選格線,然後選取一或多個問題進行驗證。 例如:
展開在篩選後顯示於格線中的網站與感應器,並使用 [感應器健康情況] 資料行加以深入了解。
若要進一步向下切入並了解建議的動作,請選取感應器名稱,以開啟感應器詳細資料頁面。
例如:
在感應器詳細資料 [概觀] 頁面上,展開 [健康情況] 區段和該處所列的任何訊息,以深入了解。 右側的 [建議] 資料行會列出處理健康情況問題的建議動作。
如需詳細資訊,請參閱我們的感應器健康情況訊息參考。
上傳診斷記錄以取得支援
如需為本機管理的感應器開啟支援票證,請將診斷記錄上傳至 Azure 入口網站讓支援小組收取。
提示
對於雲端連線感應器,當您開啟支援票證時,診斷記錄就會自動提供給支援小組。
上傳診斷報告:
請確定您有可供上傳的診斷報告。 如需詳細資訊,請參閱下載診斷記錄以取得支援。
在 Azure 入口網站上適用於 IoT 的 Defender 中,移至 [網站與感應器] 頁面,然後選取與支援票證相關的本機管理感應器。
對於您選取的感應器,請選取右側的 ... 選項功能表 >[傳送診斷檔案以取得支援]。 例如:
