إعداد مراقبة صحة SNMP MIB على مستشعر OT
توضح هذه المقالة كيفية تكوين مستشعرات OT لمراقبة السلامة عبر خادم مراقبة SNMP معتمد. يتم استقصاء استعلامات SNMP حتى 50 مرة في الثانية، باستخدام UDP عبر المنفذ 161.
يتضمن إعداد مراقبة SNMP تكوين الإعدادات على مستشعر OT وعلى خادم SNMP. لتعريف مستشعرات Defender for IoT على خادم SNMP، حدد الإعدادات يدويا أو استخدم ملف SNMP MIB معرفا مسبقا تم تنزيله من مدخل Microsoft Azure.
المتطلبات الأساسية
قبل تنفيذ الإجراءات الواردة في هذه المقالة، تأكد من أن لديك ما يلي:
خادم مراقبة SNMP، باستخدام إصدارات SNMP 2 أو 3. إذا كنت تستخدم الإصدار 3 من SNMP وتريد استخدام تشفير AES و3-DES، يجب أن يكون لديك أيضا:
- محطة إدارة شبكة (NMS) تدعم الإصدار 3 من SNMP
- فهم مصطلحات SNMP وبنية SNMP في مؤسستك
- منفذ UDP 161 مفتوح في جدار الحماية الخاص بك
يجب أن تكون التفاصيل التالية لخادم SNMP جاهزا:
- عنوان IP
- اسم المستخدم وكلمة المرور
- نوع المصادقة: MD5 أو SHA
- نوع التشفير: DES أو AES
- المفتاح السري
- سلسلة مجتمع SNMP v2
تم تثبيت مستشعرOT وتنشيطه، مع إمكانية الوصول كمستخدم مسؤول. لمزيد من المعلومات، راجع المستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.
لتنزيل ملف SNMP MIB معرف مسبقا من مدخل Microsoft Azure، تحتاج إلى الوصول إلى مدخل Microsoft Azure كمستخدم أمان أو مساهم أو مالك. لمزيد من المعلومات، راجع أدوار مستخدم Azure وأذوناته ل Defender for IoT.
تكوين إعدادات مراقبة SNMP على مستشعر OT
سجل الدخول إلى مستشعر OT وحدد System settings > Sensor management > Health واستكشاف أخطاء مراقبة SNMP MIB وإصلاحها>.
في جزء تكوين مراقبة SNMP MIB، حدد + إضافة مضيف وأدخل التفاصيل التالية:
المضيف 1: أدخل عنوان IP لخادم مراقبة SNMP. حدد + إضافة مضيف مرة أخرى إذا كان لديك خوادم متعددة، عدة مرات حسب الحاجة.
SNMP V2: حدد ما إذا كنت تستخدم الإصدار 2 من SNMP، ثم أدخل سلسلة مجتمع SNMP V2. يمكن أن تحتوي سلسلة المجتمع على ما يصل إلى 32 حرفا أبجديا رقميا، ولا توجد مسافات.
SNMP V3: حدد ما إذا كنت تستخدم الإصدار 3 من SNMP، ثم أدخل التفاصيل التالية:
Name الوصف اسم المستخدم وكلمة المرور كلمة المرور أدخل بيانات اعتماد SNMP v3 المستخدمة للوصول إلى خادم SNMP. يجب تكوين كل من أسماء المستخدمين وكلمات المرور على كل من مستشعر OT وخادم SNMP.
يمكن أن تتضمن أسماء المستخدمين ما يصل إلى 32 حرفا أبجديا رقميا، ولا توجد مسافات.
كلمات المرور حساسة لحالة الأحرف، ويمكن أن تتضمن 8-12 حرفا أبجديا رقميا.نوع المصادقة حدد نوع المصادقة المستخدم للوصول إلى خادم SNMP: MD5 أو SHA التشفير حدد التشفير المستخدم عند الاتصال بخادم SNMP:
- DES (حجم مفتاح 56 بت): RFC3414 نموذج الأمان المستند إلى المستخدم (USM) للإصدار 3 من بروتوكول إدارة الشبكة البسيط (SNMPv3).
- AES (AES 128 بت مدعومة): RFC3826 خوارزمية تشفير معيار التشفير المتقدم (AES) في نموذج الأمان المستند إلى مستخدم SNMP.المفتاح السري أدخل مفتاحا سريا يستخدم عند الاتصال بخادم SNMP. يجب أن يحتوي المفتاح السري على ثمانية أحرف أبجدية رقمية بالضبط.
حدد حفظ لحفظ التغييرات الخاصة بك.
تنزيل ملف Defender ل IoT SNMP MIB
يوفر Defender for IoT في مدخل Microsoft Azure ملف MIB قابل للتنزيل للتحميل في نظام مراقبة SNMP الخاص بك إلى Defender مسبقا لأجهزة استشعار IoT.
لتنزيل ملف SNMP MIB من Defender for IoT على مدخل Microsoft Azure، حدد المواقع وأجهزة الاستشعار>مزيد من الإجراءات>تنزيل ملف MIB SNMP.
معرفات OID لمستشعر OT لتكوينات SNMP اليدوية
إذا كنت تقوم بتكوين Defender لمستشعرات IoT على نظام مراقبة SNMP يدويا، فاستخدم الجدول التالي للرجوع إليه فيما يتعلق بقيم معرف كائن الاستشعار (OIDs):
| وحدة تحكم الإدارة وأجهزة الاستشعار | OID | التنسيق | الوصف |
|---|---|---|---|
| sysDescr | 1.3.6.1.2.1.1.1 | عرض السلسلة | رجوع Microsoft Defender for IoT |
| النظام الأساسي | 1.3.6.1.2.1.1.1.0 | سلسلة | وحدة تحكم إدارة أجهزة الاستشعار أو في الموقع |
| sysObjectID | 1.3.6.1.2.1.1.2 | عرض السلسلة | إرجاع تخصيص MIB الخاص، على سبيل المثال 1.3.6.1.4.1.53313.1.1 هو جذر OID الخاص ل 1.3.6.1.4.1.53313 |
| sysUpTime | 1.3.6.1.2.1.1.3 | عرض السلسلة | إرجاع وقت تشغيل أداة الاستشعار بالمئات من الثانية |
| sysContact | 1.3.6.1.2.1.1.4 | عرض السلسلة | إرجاع الاسم النصي للمستخدم المسؤول لجهاز الاستشعار هذا |
| المورد | 1.3.6.1.2.1.1.4.0 | سلسلة | دعم Microsoft (support.microsoft.com) |
| sysName | 1.3.6.1.2.1.1.5 | عرض السلسلة | إرجاع اسم الجهاز |
| اسم الجهاز | 1.3.6.1.2.1.1.5.0 | سلسلة | اسم الجهاز لوحدة التحكم في الإدارة المحلية |
| sysLocation | 1.3.6.1.2.1.1.6 | عرض السلسلة | إرجاع الموقع الافتراضي Portal.azure.com |
| sysServices | 1.3.6.1.2.1.1.7 | INTEGER | إرجاع قيمة تشير إلى الخدمة التي يقدمها هذا الكيان، على سبيل المثال، 7 تشير إلى "التطبيقات" |
| ifIndex | 1.3.6.1.2.1.2.2.1.1 | GAUGE32 | إرجاع أرقام المعرف التسلسلية لكل بطاقة شبكة |
| ifDescription | 1.3.6.1.2.1.2.2.1.2 | عرض السلسلة | إرجاع سلسلة من وصف الأجهزة لكل بطاقة واجهة شبكة |
| ifType | 1.3.6.1.2.1.2.2.1.3 | INTEGER | إرجاع نوع محول الشبكة، على سبيل المثال 1.3.6.1.2.1.2.2.1.3.117 يشير إلى Gigabit Ethernet |
| ifMtu | 1.3.6.1.2.1.2.2.1.4 | GAUGE32 | إرجاع قيمة MTU لمحول الشبكة هذا. لاحظ أن واجهات المراقبة لا تعرض قيمة MTU |
| ifspeed | 1.3.6.1.2.1.2.2.1.5 | GAUGE32 | إرجاع سرعة الواجهة لمحول الشبكة هذا |
| الرقم التسلسلي | 1.3.6.1.4.1.53313.1 | سلسلة | السلسلة التي يستخدمها الترخيص |
| إصدار البرنامج | 1.3.6.1.4.1.53313.2 | سلسلة | سلسلة الإصدار الكامل من Xsense وإدارة سلسلة الإصدار الكامل |
| استخدام وحدة المعالجة المركزية | 1.3.6.1.4.1.53313.3.1 | GAUGE32 | إشارة من صفر إلى 100 |
| درجة حرارة وحدة المعالجة المركزية | 1.3.6.1.4.1.53313.3.2 | سلسلة | إشارة مئوية من الصفر إلى 100 استنادًا إلى إدخال Linux. يقوم أي جهاز ليس لديه مستشعر درجة حرارة فعلي فعلي (على سبيل المثال VMs) بإرجاع "لم يتم العثور على أجهزة استشعار" |
| استخدام الذاكرة | 1.3.6.1.4.1.53313.3.3 | GAUGE32 | إشارة من صفر إلى 100 |
| استخدام القرص | 1.3.6.1.4.1.53313.3.4 | GAUGE32 | إشارة من صفر إلى 100 |
| حالة الخدمة | 1.3.6.1.4.1.53313.5 | سلسلة | الاتصال بالإنترنت أو عدم الاتصال بالإنترنت إذا فشل أحد المكونات الأربعة المهمة |
| متصل محليا/سحابي | 1.3.6.1.4.1.53313.6 | سلسلة | وضع تنشيط هذا الجهاز: متصل بالسحابة / متصل محليًا |
| حالة الترخيص | 1.3.6.1.4.1.53313.7 | سلسلة | فترة تنشيط هذا الجهاز: نشط / تاريخ انتهاء الصلاحية / منتهٍ الصلاحية |
لاحظ ما يلي:
- تستجيب المفاتيح غير موجودة باستخدام null، HTTP 200.
- يجب اختبار MIBs المتعلقة بالأجهزة (استخدام وحدة المعالجة المركزية ودرجة حرارة وحدة المعالجة المركزية واستخدام الذاكرة واستخدام القرص) على جميع البنيات وأجهزة الاستشعار المادية. من المتوقع أن تكون درجة حرارة وحدة المعالجة المركزية على الأجهزة الظاهرية غير قابلة للتطبيق.
الخطوات التالية
لمزيد من المعلومات، راجع الاحتفاظ بأجهزة استشعار شبكة OT من واجهة المستخدم الرسومية.