Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как изменить и настроить агенты безопасности Defender для Интернета вещей.
- Настройка агентов безопасности
- Изменение поведения агента путем редактирования свойств двойника
- Обнаружение конфигурации по умолчанию
Агенты
Агенты безопасности Defender для Интернета вещей собирают данные с устройств Интернета вещей и выполняют действия безопасности для устранения обнаруженных уязвимостей. Конфигурация агента безопасности управляется с помощью набора свойств двойника модуля, которые можно настроить. Как правило, вторичные обновления этих свойств редко возникают.
Объект конфигурации двойника агента безопасности Defender для Интернета вещей — это объект формата JSON. Объект конфигурации — это набор управляемых свойств, которые можно определить для управления поведением агента.
Эти конфигурации помогают настроить агент для каждого требуемого сценария. Например, автоматическое исключение некоторых событий или минимальное потребление электроэнергии возможно путем настройки этих свойств.
Используйте схему конфигурации агента безопасности Defender для Интернета вещей, чтобы внести изменения.
Объекты конфигурации
Свойства, связанные с каждым агентом безопасности Defender для Интернета вещей, находятся в объекте конфигурации агента в разделе требуемых свойств модуля azureiotsecurity .
Чтобы изменить конфигурацию, создайте и измените этот объект в идентификаторе двойника модуля azureiotsecurity .
Если объект конфигурации агента не существует в двойнике модуля azureiotsecurity , все значения свойств агента безопасности устанавливаются по умолчанию.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Схема конфигурации и проверка
Обязательно проверьте конфигурацию агента в этой схеме. Агент не запустится, если объект конфигурации не соответствует схеме.
Если при выполнении агента объект конфигурации изменяется на недопустимую конфигурацию (конфигурация не соответствует схеме), агент будет игнорировать недопустимую конфигурацию и будет продолжать использовать текущую конфигурацию.
Проверка конфигурации
Агент безопасности Defender для IoT сообщает о текущей конфигурации в разделе сообщаемых свойств близнеца модуля azureiotsecurity. Агент сообщает обо всех доступных свойствах, если свойство не было задано пользователем, агент сообщает конфигурацию по умолчанию.
Чтобы проверить конфигурацию, сравните значения, заданные в нужном разделе, со значениями, указанными в отчетном разделе.
Если имеется несоответствие между требуемыми и сообщаемые свойствами, агент не смог проанализировать конфигурацию.
Проверьте нужные свойства в схеме, исправьте ошибки и снова задайте нужные свойства!
Замечание
Предупреждение об ошибке конфигурации будет запущено из агента, если агент не смог проанализировать нужную конфигурацию. Сравните сообщаемый и нужный раздел, чтобы понять, применяется ли оповещение
Изменение свойства
Все настраиваемые свойства должны быть заданы в двойнике модуля azureiotsecurity внутри объекта конфигурации агента. Чтобы использовать значение свойства по умолчанию, удалите свойство из объекта конфигурации.
Задание свойства
В Центре Интернета вещей найдите и выберите устройство, которое вы хотите изменить.
Щелкните на вашем устройстве, а затем на модуле azureiotsecurity.
Щелкните Идентификатор-дубликат модуля.
Измените свойства, которые вы хотите изменить в агенте Defender-IoT-micro-agent.
Например, чтобы настроить события подключения в качестве высокого приоритета и собирать события высокого приоритета каждые 7 минут, используйте следующую конфигурацию.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Нажмите кнопку Сохранить.
Использование значения по умолчанию
Чтобы использовать значение свойства по умолчанию, удалите свойство из объекта конфигурации.
Свойства по умолчанию
В следующей таблице содержатся управляемые свойства агентов безопасности Defender для Интернета вещей.
Значения по умолчанию доступны в правильной схеме в GitHub.
| Имя | Состояние | Допустимые значения | Значения по умолчанию | Описание |
|---|---|---|---|---|
| Частота сообщений с высоким приоритетом | Обязательный: нет | Допустимые значения: длительность в формате ISO 8601 | Значение по умолчанию: PT7M | Максимальный интервал времени перед отправкой сообщений с высоким приоритетом. |
| Частота сообщений низкого приоритета | Необязательно: false | Допустимые значения: длительность в формате ISO 8601 | Значение по умолчанию: PT5H | Максимальное время перед отправкой сообщений с низким приоритетом. |
| частота создания снимков | Требовать: ложь | Допустимые значения: длительность в формате ISO 8601 | Значение по умолчанию PT13H | Интервал времени создания моментальных снимков состояния устройства. |
| Максимальный размер локального кеша в байтах | Обязательный: нет | Допустимые значения: | Значение по умолчанию: 2560000, больше 8192 | Максимально допустимое хранилище (в байтах) для кэша сообщений агента. Максимальное количество места, разрешенного для хранения сообщений на устройстве, прежде чем отправлять сообщения. |
| Максимальный размер сообщения в байтах | Обязательный: false | Допустимые значения: положительное число, больше 8192, меньше 262144 | Значение по умолчанию: 204800 | Максимальный допустимый размер агента в облачное сообщение. Этот параметр определяет объем максимальных данных, отправляемых в каждом сообщении. |
| eventPriority${EventName} | Обязательный: false | Допустимые значения: High, Low, Off | Значения по умолчанию: | Приоритет каждого события, созданного агентом |
Поддерживаемые события безопасности
| Имя события | ИмяСвойства | Значение по умолчанию | Событие снимка | Статус сведений |
|---|---|---|---|---|
| Событие диагностики | диагностика приоритета событий | Выключено | Неправда | События диагностики, связанные с агентом. Используйте это событие для детального логирования. |
| Ошибка конфигурации | ошибкаКонфигурацииПриоритетаСобытия | Низкий уровень | Неправда | Агент не смог проанализировать конфигурацию. Проверьте конфигурацию на соответствие схеме. |
| Статистика исключенных событий | СтатистикаСобытийПоПриоритетуОтмененныхСобытий | Низкий уровень | Верно | Статистика событий, связанных с агентом. |
| Подключенное оборудование | ПриоритетСобытияПодключенногоОборудования | Низкий уровень | Верно | Моментальный снимок всего оборудования, подключенного к устройству. |
| Прослушивание портов | eventPriorityListeningPorts | Высоко | Верно | Снимок всех открытых портов прослушивания на устройстве. |
| Создание процесса | созданиеПроцессаПриоритетаСобытия | Низкий уровень | Неправда | Выполняет аудит создания процесса на устройстве. |
| Завершение процесса | СобытиеПриоритетПроцессЗавершение | Низкий уровень | Неправда | Проведение аудита завершения процессов на устройстве. |
| Сведения о системе | eventPrioritySystemInformation | Низкий уровень | Верно | Моментальный снимок сведений о системе (например, ОС или ЦП). |
| Локальные пользователи | eventPriorityLocalUsers | Высоко | Верно | Обзор зарегистрированных местных пользователей в системе. |
| Вход | приоритет события входа | Высоко | Неправда | Аудит событий входа на устройство (локальные и удаленные входы). |
| Создание подключения | eventPriorityConnectionCreate | Низкий уровень | Неправда | Выполняет аудит TCP-подключений, созданных к устройству и от устройства. |
| Настройка брандмауэра | конфигурация брандмауэра с приоритетом события | Низкий уровень | Верно | Моментальный снимок конфигурации брандмауэра устройства (правила брандмауэра). |
| Базовые показатели ОС | eventPriorityOSBaseline | Низкий уровень | Верно | Снимок проверки базовой ОС устройства. |