Поделиться через


Управляйте сетевыми датчиками OT из консоли управления датчиками

В этой статье описаны дополнительные действия по обслуживанию датчиков операционной технологии (OT), которые могут выполняться за пределами более крупного процесса развертывания.

Датчики OT можно также обслуживать из интерфейса командной строки OT-сенсора или портала Azure.

Внимание

Для настройки клиента поддерживаются только задокументированные параметры конфигурации на сетевом датчике OT. Не изменяйте никакие незадокументированные параметры конфигурации или системные свойства, так как изменения могут вызвать непредвиденные сбои поведения и системы.

Удаление пакетов с датчика без утверждения Майкрософт может привести к непредвиденным результатам. Для правильной функциональности датчика требуются все пакеты, установленные на датчике.

Предпосылки

Прежде чем выполнять процедуры в этой статье, убедитесь, что у вас есть:

Просмотр общего состояния датчика OT

При входе в датчик OT отображается страница Обзор.

Например:

Снимок экрана: страница обзора.

На странице "Обзор" показаны следующие мини-приложения:

Имя Описание
Общие параметры Отображает список основных параметров конфигурации датчика и состояния подключения.
Мониторинг трафика Отображает график детализации трафика в датчике. На графике отображается трафик в виде единиц Мбит/с в час в день просмотра.
Топ-5 OT-протоколов Отображает линейчатую диаграмму, которая содержит сведения о пяти наиболее используемых протоколах OT. Столбчатая диаграмма также показывает количество устройств, использующих каждый из этих протоколов.
Трафик по порту Отображает круговую диаграмму с типами портов в сети с количеством трафика, обнаруженным в каждом типе порта.
Основные открытые оповещения Отображает таблицу с описанием всех открытых оповещений с высоким уровнем серьезности, включая критически важные сведения о каждом оповещении.

Выберите ссылку в каждом мини-приложении, чтобы получить дополнительные сведения в датчике.

Проверка состояния подключения

Убедитесь, что датчик OT успешно подключен к порталу Azure непосредственно со страницы Обзор датчика OT.

Если возникли проблемы с подключением, в области "Общие параметры" на странице "Обзор" отображается сообщение об отключении, а в верхней части страницы в области системных сообщений появится предупреждение об ошибке подключения службы. Например:

Снимок экрана: страница датчика, показывающая состояние подключения как отключенное.

Найдите дополнительные сведения о проблеме, наведите указатель мыши на значок сведений . Например:

Снимок экрана: сообщение об ошибке подключения.

Выполните действия, выбрав пункт "Дополнительные сведения" в разделе "Системные сообщения". Например:

Снимок экрана: область системных сообщений.

Скачивание программного обеспечения для датчиков OT

Возможно, вам потребуется скачать программное обеспечение для датчика OT, если вы устанавливаете программное обеспечение Defender для Интернета вещей на собственных устройствах или обновляете версии программного обеспечения.

В Defender для Интернета вещей в портал Azure используйте один из следующих вариантов:

  • Для новой установки выберите Начало работы>Датчик. Выберите версию в области покупки устройства и установите программное обеспечение , а затем нажмите кнопку "Скачать".

  • Если вы обновляете датчик OT, используйте параметры в меню "Сайты и датчики" (обновление датчика>(предварительная версия).

Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

Дополнительные сведения см. в статье Обновление программного обеспечения для мониторинга Defender для Интернета вещей.

Отправка нового файла активации

Каждый датчик OT подключается в виде облачного или локально управляемого датчика OT и активируется с помощью уникального файла активации. Для подключенных к облаку датчиков файл активации используется для обеспечения подключения между датчиком и Azure.

Чтобы переключить режимы управления датчиком, необходимо передать новый файл активации, например переход с локально управляемого датчика на подключенный к облаку датчик или обновление с последней версии программного обеспечения. Загрузка нового файла активации в датчик включает удаление датчика из портала Azure и его повторное добавление.

Чтобы добавить новый файл активации, выполните следующие действия.

  1. Выполните одно из следующих действий:

    • Подключение датчика с нуля:

      1. В Defender для Интернета вещей на портале Azure в разделах Сайты и датчики найдите и > ваш OT-датчик.

      2. Выберите датчик OT на борту > OT, чтобы снова подключить датчик, начиная с нуля, и скачать новый файл активации. Дополнительные сведения см. в разделе "Встроенные датчики OT".

    • Скачайте файл активации текущего датчика: на странице "Сайты и датчики " найдите только что добавленный датчик. Выберите три точки (...) в строке датчика и нажмите кнопку "Скачать файл активации". Сохраните файл в расположении, доступном датчику.

    Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

  2. Войдите в консоль датчика Defender для Интернета вещей и выберите Параметры системы>Управление датчиками>Режим подписки и активации.

  3. Выберите "Отправить" и перейдите к файлу, который вы скачали из портал Azure.

  4. Выберите "Активировать" , чтобы отправить новый файл активации.

Устранение неполадок при отправке файла активации

Если не удалось отправить файл активации, появится сообщение об ошибке. Ниже перечислены события, которые могли произойти.

  • Датчик не может подключиться к Интернету: проверьте конфигурацию сети датчика. Если датчику для доступа в Интернет требуется веб-прокси, проверьте правильность настройки прокси-сервера на экране Конфигурация сети датчика. Убедитесь, что необходимые конечные точки разрешены в брандмауэре и /или прокси-сервере.

    Для датчиков OT версии 22.x скачайте список необходимых конечных точек со страницы "Сайты и датчики" на портале Azure. Выберите датчик OT с поддерживаемой версией программного обеспечения или сайт с одним или несколькими поддерживаемыми датчиками. А затем выберите "Дополнительные действия>", чтобы скачать сведения о конечной точке. Сведения о датчиках с более ранними версиями см. в разделе "Доступ датчика к портал Azure".

  • Файл активации действителен, но Defender для Интернета вещей отклонил его: если вы не можете устранить эту проблему, вы можете скачать другую активацию на странице "Сайты и датчики" в портал Azure. Если это не поможет, обратитесь в службу поддержки Майкрософт.

Примечание.

Срок действия файлов активации истекает через 14 дней после создания. Если вы подключили датчик, но не отправили файл активации до истечения срока его действия, скачайте новый файл активации.

Управление сертификатами SSL/TLS.

Если бы вы работали с производственной средой, то развернули бы сертификат SSL/TLS, подписанный центром сертификации, в рамках развертывания датчика OT. Мы рекомендуем использовать самозаверяемые сертификаты только для тестирования.

В следующих процедурах описывается, как развернуть обновленные СЕРТИФИКАТЫ SSL/TLS, например, если срок действия сертификата истек.

Для развертывания сертификата SSL/TLS, подписанного Удостоверяющим центром, выполните следующие действия.

  1. Войдите в ваш OT-сенсор и выберите Параметры системы>Базовые>SSL/TLS-сертификат.

  2. В области сертификатов SSL/TLS выберите параметр импорта доверенного сертификата ЦС (рекомендуется). Например:

    Снимок экрана: импорт доверенного сертификата ЦС.

  3. Задайте следующие параметры:

    Параметр Описание
    Имя сертификата Введите имя сертификата.
    Парольная фраза - необязательный Введите парольную фразу.
    Закрытый ключ (KEY-файл) Отправка закрытого ключа (KEY-файл).
    Сертификат (CRT-файл) Отправка сертификата (CRT-файл).
    Цепочка сертификатов (PEM-файл) - Необязательно Отправка цепочки сертификатов (PEM-файл).

    Выберите Использовать CRL (список отзыва сертификатов) для проверки состояния сертификата для его проверки на сервере CRL. Сертификат проверяется один раз во время импорта.

    Если отправка завершается ошибкой, обратитесь к администратору безопасности или ИТ-администратору. Дополнительные сведения см. в статье о требованиях к сертификату SSL/TLS для локальных ресурсов и создании сертификатов SSL/TLS для устройств OT.

  4. В области проверки сертификата датчика OT выберите Обязательный, если требуется проверка сертификата SSL/TLS. В противном случае выберите Нет.

    Если вы выбрали Обязательный и проверка невозможна, обмен данными между соответствующими компонентами прекращается, а на датчике отображается ошибка проверки. Дополнительные сведения см. в разделе "Требования к файлам CRT".

  5. Нажмите кнопку "Сохранить", чтобы сохранить параметры сертификата.

Устранение ошибок отправки сертификата

Вы не сможете загружать сертификаты на датчики OT, если сертификаты не созданы должным образом или недействительны. Используйте следующую таблицу, чтобы понять, как выполнить действия, если отправка сертификата завершается ошибкой, и отображается сообщение об ошибке:

Ошибки при проверке сертификата Рекомендация
Парольная фраза не соответствует ключу Убедитесь, что у вас есть правильная парольная фраза. Если устранить проблему не удается, попробуйте повторно создать сертификат с помощью правильной парольной фразы. Дополнительные сведения см. в разделе "Поддерживаемые символы" для ключей и парольной фразы.
Не удается проверить цепочку доверия. Указанный сертификат и корневой Центр сертификации не соответствуют. Убедитесь, что файл .pem соответствует файлу .crt.
Если проблема продолжается, попробуйте восстановить сертификат, используя правильную цепочку доверия, как это определено в файле .pem.
Срок действия SSL-сертификата истек и не считается допустимым. Создайте новый сертификат с допустимыми датами.
Этот сертификат был отозван списком отзыва сертификатов и не может быть доверенным для безопасного подключения Создайте новый сертификат, который не был отозван.
Расположение списка отзыва сертификатов (CRL) недоступно. Проверьте возможность доступа к URL-адресу с этого устройства. Убедитесь, что конфигурация сети позволяет датчику связаться с сервером CRL, определенным в сертификате.
Дополнительные сведения см. в разделе "Проверка доступа к серверу CRL".
Сбой проверки сертификата Указывает на общую ошибку на устройстве.
Обратитесь в службу поддержки Майкрософт.

Обновление конфигурации сети датчика OT

Вы настроили сеть датчиков OT во время установки. Может потребоваться внести изменения в рамках обслуживания датчика OT, например изменить сетевые значения или настроить конфигурацию прокси-сервера.

Чтобы обновить конфигурацию датчика OT, выполните следующие действия.

  1. Войдите в OT датчик и выберите Настройки системы>Базовые>Параметры сети датчиков.

  2. В области параметров сети датчика обновите следующие сведения для датчика OT по мере необходимости:

    • IP-адрес . Изменение IP-адреса может потребовать повторного входа пользователей в датчик OT.
    • Маска подсети
    • Шлюз по умолчанию
    • DNS. Обязательно используйте то же имя узла, которое настроено на DNS-сервере вашей организации.
    • Имя хоста (необязательно)
  3. При необходимости переключите параметр "Включить прокси-сервер" в положение включено или отключено. Если вы используете прокси-сервер, введите следующие значения:

    • Прокси хост
    • Порт прокси-сервера
    • Имя пользователя прокси-сервера (необязательно)
    • Пароль прокси-сервера (необязательно)
  4. Выберите Сохранить, чтобы сохранить изменения.

Отключение режима обучения вручную

Сетевой датчик OT автоматически запускает мониторинг сети после подключения к сети и входа. Сетевые устройства начинают отображаться в инвентаризации устройств, а оповещения активируются для любых инцидентов безопасности или операционных инцидентов, происходящих в вашей сети.

Существует три этапа процесса мониторинга. Дополнительные сведения см. в обзоре процесса многоэтапного мониторинга.

Через две до шести недель после развертывания датчика уровни обнаружения должны точно отражать вашу сетевую активность. На этом этапе рекомендуется отключить режим обучения.

Чтобы отключить режим обучения:

  1. Войдите в ваш сетевой датчик OT и выберите Параметры системы > Мониторинг сети > Движки обнаружения и моделирование сети.

  2. В сетевом моделировании переключите обучение.

  3. Нажмите кнопку "ОК " в сообщении подтверждения и нажмите кнопку "Закрыть ", чтобы сохранить изменения.

После отключения режима обучения датчик начинает создавать оповещения о нарушении политики, и этот параметр теперь доступен, выбрав "Поддержка " в боковом меню. Рекомендуется оставить параметры режима для каждого оповещения автоматически обновляться от динамического до операционного. Для тестирования или других причин можно вручную изменить параметр режима, однако это не рекомендуется, так как оно может создавать большое количество оповещений.

Вручную измените параметр "Нарушения политики":

  1. В главном меню датчика выберите "Поддержка". В таблице "Движки" отображается список всех оповещений Defender для IoT.

  2. В столбце "Режим обучения" измените режим для любого оповещения о нарушении политики, выбрав "Обучение", "Динамический " или "Операционный " в раскрывающемся списке.

    При выборе обучения необходимо ввести продолжительность времени (в часах) для поддержания этого параметра. Выберите Отправить.

Обновление интерфейсов мониторинга датчика (настройка ERSPAN)

Может потребоваться изменить интерфейсы, используемые датчиком для мониторинга трафика. Эти сведения изначально настроены как часть начальной настройки датчика, но может потребоваться изменить параметры в рамках обслуживания системы, например настройку мониторинга ERSPAN.

Дополнительные сведения см. в разделе "Порты ERSPAN".

Примечание.

Эта процедура перезагрузит программное обеспечение датчика, чтобы реализовать все внесенные изменения.

Чтобы обновить интерфейсы мониторинга датчика, выполните следующее:

  1. Войдите в датчик OT и выберите Системные настройки>Базовые>Соединения интерфейсов.

  2. В сетке найдите интерфейс, который требуется настроить. Выполните одно из следующих действий.

    • Выберите переключатель включения и отключения для любых интерфейсов, которые требуется отслеживать датчиком. Для каждого датчика должен быть включен хотя бы один интерфейс.

      Если вы не уверены, какой интерфейс использовать, нажмите кнопку индикатора физического интерфейса Blink, чтобы выбранный порт начал мигать на вашем устройстве.

      Совет

      Рекомендуется оптимизировать производительность датчика, настроив параметры для отслеживания только используемых интерфейсов.

    • Для каждого выбранного интерфейса нажмите кнопку "Дополнительные параметры ", чтобы изменить любой из следующих параметров:

      Имя Описание
      Режим Выберите один из следующих вариантов:

      - Трафик SPAN (без инкапсуляции) для использования зеркального отображения портов SPAN по умолчанию.
      - ERSPAN, если вы используете зеркальное отображение ERSPAN .

      Дополнительные сведения см. в разделе "Выбор метода зеркального отображения трафика" для датчиков OT.
      Описание Введите необязательное описание интерфейса. Вы увидите это позже на странице конфигураций интерфейса системных параметров > датчика, и эти описания могут быть полезны для понимания цели каждого интерфейса.
      Автоматическое согласование Относится только к физическим компьютерам. Используйте этот параметр для определения типа используемых методов связи или автоматического определения методов связи между компонентами.

      Важно. Мы рекомендуем изменить этот параметр только по советам вашей сетевой команды.

    Например:

    Снимок экрана: настройка ERSPAN на странице конфигураций интерфейса.

  3. Выберите Сохранить, чтобы сохранить изменения. Программное обеспечение датчика перезапускается для реализации изменений.

Синхронизация часовых поясов на датчике OT

Возможно, вы хотите настроить датчик OT с определенным часовой поясом, чтобы все пользователи могли видеть одно и то же время независимо от расположения пользователя.

Часовые пояса используются в оповещениях, тенденциях и мини-приложениях статистики, отчетах интеллектуального анализа данных, отчетах об оценке рисков и векторных отчетах о атаках.

Чтобы настроить часовой пояс датчика OT, выполните следующее:

  1. Войдите в датчик OT и выберите >время" и "Регион".

  2. В области "Время и регион" введите следующие сведения:

    • Часовой пояс: выберите часовой пояс, который вы хотите использовать

    • Формат даты: выберите формат времени и даты, который вы хотите использовать. Поддерживаемые форматы включают:

      • dd/MM/yyyy HH:mm:ss
      • MM/dd/yyyy HH:mm:ss
      • yyyy/MM/dd HH:mm:ss

    Поле даты и времени автоматически обновляется с текущим временем в выбранном формате.

  3. Выберите Сохранить, чтобы сохранить изменения.

Настройка параметров почтового сервера SMTP

Определите параметры почтового сервера SMTP на датчике OT, чтобы настроить датчик OT для отправки данных на другие серверы и партнерские службы.

Вам нужен почтовый сервер SMTP, настроенный для включения оповещений электронной почты об отключенных датчиках, сбое резервного копирования датчиков и сбоев портов мониторинга SPAN с датчика OT, а также для настройки правил пересылки почты и настройки правил генерации оповещений.

Необходимые условия:

Убедитесь, что вы можете связаться с SMTP-сервером из порта управления датчика.

Чтобы настроить SMTP-сервер на датчике OT, выполните следующие действия.

  1. Войдите в сенсор OT и выберите Настройки системы>Интеграции>Почтовый сервер.

  2. В появившейся области "Изменение конфигурации почтового сервера" определите значения для SMTP-сервера следующим образом:

    Параметр Описание
    Адрес SMTP-сервера Введите IP-адрес или домен SMTP-сервера.
    Порт SMTP-сервера По умолчанию = 25. Измените значение по мере необходимости.
    Учетная запись исходящей почты Введите адрес электронной почты для использования в качестве исходящей почтовой учетной записи вашего датчика.
    SSL Включите для безопасных подключений с вашего датчика.
    Аутентификация Включите переключатель, затем введите имя пользователя и пароль для учетной записи электронной почты.
    Использование NTLM Включите переключатель, чтобы активировать NTLM. Этот параметр отображается только при включении параметра проверки подлинности .
  3. Выберите Сохранить, когда вы закончите.

Отправка и воспроизведение файлов PCAP

При устранении неполадок с датчиком OT может потребоваться проверить данные, записанные определенным PCAP-файлом. Для этого можно отправить PCAP-файл на датчик OT и воспроизвести записанные данные.

Параметр Play PCAP включен по умолчанию в параметрах консоли датчика.

Максимальный размер отправляемых файлов составляет 2 ГБ.

Чтобы отобразить проигрыватель PCAP в консоли датчика:

  1. В консоли датчика выберите Параметры системы> Управление датчиком> Расширенные конфигурации.

  2. В области Расширенные конфигурации выберите категорию Pcaps.

  3. В отображаемых конфигурациях поменяйте enabled=0 на enabled=1 и нажмите кнопку Сохранить.

Параметр Play PCAP теперь доступен в параметрах консоли датчика в разделе Системные параметры > Основные > Play PCAP.

Чтобы отправить и воспроизвести файл PCAP:

  1. В консоли датчика выберите Системные параметры > Основные > Play PCAP.

  2. В области PCAP PLAYER выберите "Отправить", а затем перейдите к файлу или нескольким файлам, которые нужно отправить.

    Снимок экрана: отправка PCAP-файлов на панели PCAP PLAYER в консоли датчика.

  3. Выберите Воспроизвести, чтобы воспроизвести файл PCAP, или Воспроизвести все, чтобы воспроизвести все загруженные PCAP-файлы.

Совет

Выберите Очистить все, чтобы удалить все загруженные файлы PCAP на датчике.

Отключение конкретных обработчиков аналитики

По умолчанию каждый датчик сети OT анализирует поступающие данные с помощью встроенных движков аналитики и вызывает оповещения на основе как записанного, так и реального трафика.

Хотя мы рекомендуем сохранить все подсистемы аналитики, вы можете отключить определенные подсистемы аналитики на датчиках OT, чтобы ограничить тип аномалий и рисков, отслеживаемых этим датчиком OT.

Внимание

При отключении механизма политики информация, которую он генерирует, становится недоступной датчику. Например, если отключить подсистему обнаружения аномалий, вы не будете получать оповещений о сетевых аномалиях. Если вы создали правило пересылки оповещений, аномалии, которые модуль обнаружит, не будут отправлены.

Для управления аналитическими подсистемами датчика OT:

  1. Войдите в датчик OT и выберите Системные настройки > Мониторинг сети > Настройка > Детектирующие механизмы и моделирование сети.

  2. В области "Подсистемы обнаружения" и области сетевого моделирования в области "Обработчики" переключите один или несколько следующих подсистем:

    • Нарушение протокола
    • Нарушение политики
    • Вредоносные программы
    • Аномалия
    • Эксплуатационный

    Включите двигатель снова, чтобы начать отслеживать связанные аномалии и действия.

    Дополнительные сведения см. в разделе Defender для аналитических механизмов Интернета вещей.

  3. Нажмите кнопку "Закрыть" , чтобы сохранить изменения.

Управление аналитическими движками с датчика OT:

  1. Войдите в датчик OT и выберите "Параметры системы".

  2. В разделе "Конфигурация обработчика датчиков" выберите один или несколько датчиков OT, в которых требуется применить параметры, и снимите любой из следующих параметров:

    • Нарушение протокола
    • Нарушение политики
    • Вредоносные программы
    • Аномалия
    • Эксплуатационный
  3. Нажмите кнопку "СОХРАНИТЬ ИЗМЕНЕНИЯ", чтобы сохранить изменения.

Очистка данных датчика OT

Если вам нужно переместить или удалить датчик OT, снимите его, чтобы очистить все обнаруженные или извлеченные данные на датчике OT.

После очистки данных на подключенном к облаку датчике:

  • Список устройств на портале Azure обновляется параллельно.
  • Некоторые действия по соответствующим оповещениям в портале Azure больше не поддерживаются, например, скачивание PCAP-файлов или оповещения обучения.

Примечание.

Параметры сети, такие как IP/DNS/GATEWAY, не будут изменены при очистке системных данных.

Чтобы очистить системные данные, сделайте следующее:

  1. Войдите в датчик OT как администратор. Дополнительные сведения см. в разделе "Привилегированные пользователи по умолчанию".

  2. Выберите "Поддержка очистки>данных".

  3. В диалоговом окне подтверждения нажмите кнопку "Да" , чтобы убедиться, что вы хотите очистить все данные из датчика и сбросить его. Например:

    Снимок экрана: очистка системных данных на странице поддержки в консоли датчика.

Появится сообщение подтверждения о том, что действие выполнено успешно. Все полученные данные, списки разрешений, политики и параметры конфигурации удаляются с датчика.

Управление подключаемыми модулями датчиков и мониторинг производительности подключаемого модуля

Просмотрите данные для каждого протокола, отслеживаемого датчиком, с помощью страницы "Протоколы DPI" (Подключаемые модули Horizon) в консоли датчика.

  1. Войдите в консоль датчика OT и выберите Системные настройки > Мониторинг сети > Протоколы DPI (плагины Horizon).

  2. Выполните одно из следующих действий:

    • Чтобы ограничить протоколы, отслеживаемые датчиком, выберите переключатель "Включить или отключить " для каждого подключаемого модуля по мере необходимости.

    • Чтобы отслеживать производительность подключаемого модуля, просмотрите данные, отображаемые на странице протоколов DPI (Подключаемые модули Horizon) для каждого подключаемого модуля. Чтобы найти конкретный подключаемый модуль, используйте поле поиска , чтобы ввести часть или все имя подключаемого модуля.

Список протоколов DPI (плагины Horizon) перечисляет следующие данные по каждому плагину:

Имя столбца Описание
Подключаемый модуль Определяет имя подключаемого модуля.
Тип Тип плагина, включая 'APPLICATION' или 'INFRASTRUCTURE'.
Время Время последнего анализа данных с помощью этого подключаемого модуля. Метка времени обновляется каждые пять секунд.
PPS Количество пакетов, проанализированных подключаемым модулем в секунду.
Пропускная способность Средняя пропускная способность, определенная подключаемым модулем в течение последних пяти секунд.
Мальформации Количество ошибок, связанных с неправильным форматом, которые были обнаружены за последние пять секунд. Искажённые проверки используются после положительной проверки протокола. Если не удалось обработать пакеты на основе протокола, возвращается ответ на сбой.
Предупреждения Количество обнаруженных предупреждений, например, когда пакеты соответствуют структуре и спецификациям, но выявлено непредвиденное поведение на основе конфигурации предупреждений подключаемого модуля.
ошибки Количество ошибок, обнаруженных за последние пять секунд для пакетов, которые не прошли базовые проверки протокола для пакетов, соответствующих определениям протокола.

Данные журнала доступны для экспорта в статистике диссекции и журналах диссекции, журнальных файлах. Дополнительные сведения см. статью Устранение неполадок экспорта журналов.

Дальнейшие действия

Дополнительные сведения см. в разделе: