從 Azure 入口網站設定 OT 感應器設定 (公開預覽)
將新的 OT 網路感應器上線至適用於 IoT 的 Microsoft Defender 之後,建議您直接在 OT 感應器主控台上定義數個設定,例如新增本機使用者。
本文所列的 OT 感應器設定也可直接從 Azure 入口網站取得。 請使用 Azure 入口網站,一次跨多個雲端連線的 OT 感應器大量套用這些設定,或跨特定網站或區域中的所有雲端連線 OT 感應器進行套用。 本文描述如何從 Azure 入口網站檢視和設定 OT 網路感應器設定。
注意
適用於 IoT 的 Defender 中的 [感應器設定] 頁面為預覽版。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
必要條件
若要定義 OT 感應器設定,請確定您具有下列項目:
已上線至適用於 IoT 的 Defender 的 Azure 訂用帳戶。 如果需要,請註冊免費帳戶,然後使用快速入門:開始使用適用於 IoT 的 Defender 以開始免費試用。
權限:
如需詳細資訊,請參閱適用於 IoT 的 Defender 的 Azure 使用者角色和權限。
一或多個雲端連線 OT 網路感應器。 如需詳細資訊,請參閱將 OT 感應器上線至適用於 IoT 的 Defender。
定義新的感應器設定
每當您想要為一或多個 OT 網路感應器定義特定組態時,請定義新的設定。 例如,如果您想要為特定網站或區域中的所有 OT 感應器定義頻寬上限,或為網路中特定位置的單一 OT 感應器定義頻寬上限,就請這麼做。
若要定義新的設定:
在 Azure 入口網站的適用於 IoT 的 Defender 中,選取的 [網站與感應器]>[感應器設定 (預覽)]。
在 [感應器設定 (預覽)] 頁面上,選取 [+ 新增],然後使用精靈為您的設定定義下列值。 當您完成精靈中的每個索引標籤時,請選取 [下一步],以移至下一個步驟。
索引標籤名稱 描述 基本概念 選取您要套用設定的訂用帳戶,以及您的設定類型。
為您的設定輸入有意義的名稱和選擇性的描述。設定 定義所選設定類型的值。
如需每個設定類型可用選項的詳細資訊,請在下方的感應器設定參考中尋找所選取的設定類型。套用 使用 [選取網站]、[選取區域] 和 [選取感應器] 下拉式功能表來定義要套用設定的地方。
重要:選取網站或區域會將設定套用至所有已連線的 OT 感應器,包括之後新增至網站或區域的任何 OT 感應器。
如果您選擇將設定套用至整個網站,則不需要再選取其區域或感應器。檢閱及建立 檢查您為設定所做的選擇。
如果新的設定會取代現有設定,便會顯示
警告以指出現有設定。
對設定的組態感到滿意時,請選取 [建立]。
您的新設定現在會列在 [感應器設定 (預覽)] 頁面上的其設定類型下,以及列在任何相關 OT 感應器的感應器詳細資料頁面上。 在感應器詳細資料頁面上,感應器設定會顯示為唯讀狀態。 例如:
提示
您可能會想要針對特定 OT 感應器或區域,來設定您設定的例外狀況。 在這類情況下,請建立額外的設定來設定例外狀況。
設定會以階層式方式覆寫彼此,因此,您的設定若套用至特定的 OT 感應器,便會覆寫套用至整個區域或網站的任何相關設定。 若要為整個區域建立例外狀況,請為該區域新增設定,以覆寫套用至整個網站的任何相關設定。
檢視和編輯目前的 OT 感應器設定
若要檢視已為訂用帳戶定義的目前設定:
在 Azure 入口網站的適用於 IoT 的 Defender 中,選取的 [網站與感應器]>[感應器設定 (預覽)]
[感應器設定 (預覽)] 頁面會顯示已為訂用帳戶定義的任何設定,並依設定類型列出。 展開或摺疊每個類型可檢視詳細組態。 例如:
選取特定設定可檢視其確切組態,以及套用設定的網站、區域或個別感應器。
若要編輯設定的組態,請選取 [編輯],然後使用您用來建立設定的相同精靈以進行所需的更新。 當您完成時,請選取 [套用] 以儲存變更。
刪除現有的 OT 感應器設定
若要完全刪除 OT 感應器設定:
- 在 [感應器設定 (預覽)] 頁面上,找出您想要刪除的設定。
- 選取設定卡片右上角的 ... 選項功能表,然後選取 [刪除]。
例如:
![[刪除設定] 選項的螢幕快照。](media/configure-sensor-settings-portal/delete-setting.png)
為已中斷連線的 OT 感應器編輯設定
此程序描述在 OT 感應器目前與 Azure 中斷連線的情況下 (例如,在進行中的安全性事件發生期間),該如何編輯 OT 感應器設定。
根據預設,如果您從 Azure 入口網站設定任何設定,則可從 Azure 入口網站和 OT 感應器設定的所有設定都會設定為 OT 感應器本身上的唯讀設定。 例如,如果您從 Azure 入口網站設定 VLAN,則頻寬上限、子網路和 VLAN 設定全部會設定為唯讀設定,且會禁止在 OT 感應器上進行修改。
如果您的情況是 OT 感應器與 Azure 中斷連線,而且您需要修改其中一個設定,則必須先取得這些設定的寫入權限。
若要取得遭封鎖的 OT 感應器設定的寫入權限:
在 Azure 入口網站的 [感應器設定 (預覽)] 頁面中,找出您要編輯的設定,並將其開啟以進行編輯。 如需詳細資訊,請參閱上面的檢視和編輯目前的 OT 感應器設定。
編輯設定的範圍,使其不再包含 OT 感應器,當您將 OT 感應器重新連線到 Azure 時,系統就不會覆寫您在 OT 感應器中斷連線時所做的任何變更。
重要
在 Azure 入口網站上定義的設定一律會覆寫在 OT 感應器上定義的設定。
登入受影響的 OT 感應器主控台,然後選取 [設定]>[進階組態]>[Azure 遠端組態]。
在程式碼方塊中,,將
block_local_config值從1修改為0,然後選取 [關閉]。 例如:
直接在 OT 網路感應器上更新相關設定,以繼續進行。 如需詳細資訊,請參閱管理個別感應器。
新增感測器設定
使用下列各節來深入瞭解 Azure 入口網站 中可用的個別 OT 感測器設定。
類型設定如下:
若要新增設定 [類型],請選取 [月臺和感測器>感測器設定]。 從 [ 類型 ] 下拉式清單中選取設定,例如:
Active Directory
若要從 Azure 入口網站設定 Active Directory 設定,請定義下列選項的值:
| 名稱 | 描述 |
|---|---|
| 網域控制站 FQDN | 完整網域名稱 (FQDN),與在 LDAP 伺服器上出現的完全一樣。 例如,輸入 host1.subdomain.contoso.com。 如果您在使用 FQDN 進行整合時遇到問題,請檢查您的 DNS 組態。 您也可以在設定整合時輸入 LDAP 伺服器的明確 IP,而不是 FQDN。 |
| 網域控制站連接埠 | LDAP 設定所在的連接埠。 例如,使用連接埠 636 來進行 LDAPS (SSL) 連線。 |
| 主要網域 | 網域名稱,例如 subdomain.contoso.com,然後選取 LDAP 組態的連線類型。 支援的連線類型包括:LDAPS/NTLMv3 (建議)、LDAP/NTLMv3 或 LDAP/SASL-MD5 |
| Active Directory 群組 | 選取 [+ 新增] 以視需要將 Active Directory 群組新增至列出的每個權限層級。 輸入群組名稱時,請確定所輸入的群組名稱與 LDAP 伺服器上的 Active Directory 組態中所定義的群組名稱完全相同。 使用 Active Directory 新增感應器使用者時,請使用這些群組名稱。 支援的權限層級包括唯讀、安全性分析師、管理員和信任的網域。 |
重要
輸入 LDAP 參數時:
- 以值出現在 Active Directory 中完全相同的方式定義值,除了大小寫。
- 僅使用小寫字元,即使 Active Directory 中的組態使用大寫也一樣。
- 不能針對相同網域設定 LDAP 和 LDAPS。 不過,您可以在不同的網域中個別設定,然後同時使用它們。
若要新增另一部 Active Directory 伺服器,請選取 [+ 新增伺服器],並定義這些伺服器值。
頻寬上限
針對頻寬上限,請針對從感應器到雲端的傳出通訊,定義您想讓感應器使用的頻寬上限 (以 Kbps 或 Mbps 為單位)。
預設值:1500 Kbps
穩定連線至 Azure 所需的頻寬下限:350 Kbps。 在此最低設定下,對感應器主控台的連線速度可能會比平常還慢。
NTP
若要從 Azure 入口網站為感應器設定 NTP 伺服器,請使用連接埠 123 來定義有效 IPv4 NTP 伺服器的 IP/網域位址。
區域子網路
若要將 Azure 裝置詳細目錄的重點放在 OT 範圍內的裝置上,您必須手動編輯子網路清單,以便只包含 OT 範圍內的本機受監視子網路。
子網路清單中的子網路會自動設定為 ICS 子網路,這表示適用於 IoT 的 Defender 會將這些子網路辨識為 OT 網路。 您可以在設定子網路時編輯此設定。
子網路設定好之後,裝置的網路位置便會顯示在 Azure 裝置詳細目錄中的 [網路位置] (公開預覽) 資料行中。 與列出的子網路相關聯的所有裝置都會顯示為本機,而與清單中未包含之偵測到子網路相關聯的裝置將會顯示為已路由。
在 Azure 入口網站中設定子網路
在 [本機子網路] 下,檢閱已設定的子網路。 若要聚焦裝置詳細目錄並檢視詳細目錄中的本機裝置,請選取要刪除之任何子網路上的選項功能表 (...),以刪除不在 IoT/OT 範圍內的任何子網路。
若要修改其他設定,請選取任何子網路,然後選取 [編輯] 以取得下列選項:
選取 [匯入子網路] 以匯入以逗號分隔的子網路 IP 位址和遮罩清單。 選取 [匯出子網路] 以匯出目前所設定資料的清單,或選取 [全部清除] 以從頭開始。
在 [IP 位址]、[遮罩] 和 [名稱] 欄位中輸入值,以手動新增子網路詳細資料。 選取 [新增子網路] 以視需要新增其他子網路。
[ICS 子網路] 預設為開啟,這表示適用於 IoT 的 Defender 會將子網路辨識為 OT 網路。 若要將子網路標示為非 ICS,請關閉 [ICS 子網路]。
VLAN 命名
若要為 OT 感應器定義 VLAN,請輸入 VLAN 識別碼和有意義的名稱。
選取 [新增 VLAN] 以視需要新增更多 VLAN。
公用位址
新增可能已用於內部使用的公用位址,不應包含為可疑的IP位址或追蹤數據。 排除的公用IP位址可能已用於內部使用,不應包含為可疑IP位址或追蹤數據。
在 [設定] 索引標籤中,輸入IP位址和遮罩位址。
![此螢幕快照顯示將公用位址新增至感測器設定的 [設定] 索引標籤。](media/configure-sensor-settings-portal/sensor-settings-ip-addresses.png)
選取 [下一步]。
在 [ 套用] 索引標籤中,選取網站,然後切換 [依特定區域/感測器 新增選取範圍] 以選擇性地將IP位址套用至特定區域和感測器。
選取 [下一步]。
檢閱詳細數據,然後選取 [建立 ] 將位址新增至公用位址清單。