Kurz: Konfigurace agentů zabezpečení
Tento článek vysvětluje agenty zabezpečení Defenderu for IoT a podrobně popisuje, jak je změnit a nakonfigurovat.
- Konfigurace agentů zabezpečení
- Změna chování agenta úpravou vlastností dvojčat
- Zjištění výchozí konfigurace
Agenti
Agenti zabezpečení Defenderu for IoT shromažďují data ze zařízení IoT a provádějí akce zabezpečení ke zmírnění zjištěných ohrožení zabezpečení. Konfigurace agenta zabezpečení se dá řídit pomocí sady vlastností dvojčete modulu, které si můžete přizpůsobit. Obecně platí, že sekundární aktualizace těchto vlastností nejsou časté.
Objekt konfigurace dvojčete agenta zabezpečení defenderu pro IoT je objekt formátu JSON. Objekt konfigurace je sada říditelných vlastností, které můžete definovat pro řízení chování agenta.
Tyto konfigurace vám pomůžou přizpůsobit agenta pro každý požadovaný scénář. Konfigurace těchto vlastností umožňuje například automatické vyloučení některých událostí nebo udržování spotřeby energie na minimální úrovni.
Ke změnám použijte schéma konfigurace agenta zabezpečení Defenderu pro IoT.
Objekty konfigurace
Vlastnosti související s každým agentem zabezpečení Defenderu for IoT se nacházejí v objektu konfigurace agenta v části požadované vlastnosti modulu azureiotsecurity .
Pokud chcete upravit konfiguraci, vytvořte a upravte tento objekt uvnitř identity dvojčete modulu azureiotsecurity .
Pokud objekt konfigurace agenta ve dvojčeti modulu azureiotsecurity neexistuje, jsou všechny hodnoty vlastností agenta zabezpečení nastaveny na výchozí.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Schéma konfigurace a ověření
Nezapomeňte ověřit konfiguraci agenta pro toto schéma. Agent se nespustí, pokud objekt konfigurace neodpovídá schématu.
Pokud se během spuštění agenta objekt konfigurace změní na neplatnou konfiguraci (konfigurace neodpovídá schématu), agent bude neplatnou konfiguraci ignorovat a bude dál používat aktuální konfiguraci.
Ověření konfigurace
Agent zabezpečení Defender for IoT hlásí svou aktuální konfiguraci v části ohlášených vlastností identity dvojčete modulu azureiotsecurity . Agent hlásí všechny dostupné vlastnosti. Pokud uživatel nenastavil vlastnost, agent hlásí výchozí konfiguraci.
Pokud chcete ověřit konfiguraci, porovnejte hodnoty nastavené v požadovaném oddílu s hodnotami hlášenými v nahlášené části.
Pokud dojde k neshodě mezi požadovanými a hlášenými vlastnostmi, agent nemohl analyzovat konfiguraci.
Ověřte požadované vlastnosti ve schématu, opravte chyby a znovu nastavte požadované vlastnosti.
Poznámka
V případě, že agent nemohl analyzovat požadovanou konfiguraci, se z agenta aktivuje upozornění na chybu konfigurace. Porovnejte nahlášenou a požadovanou část a zjistěte, jestli upozornění stále platí.
Úprava vlastnosti
Všechny vlastní vlastnosti musí být nastaveny uvnitř objektu konfigurace agenta v rámci dvojčete modulu azureiotsecurity . Pokud chcete použít výchozí hodnotu vlastnosti, odeberte vlastnost z objektu konfigurace.
Nastavení vlastnosti
V IoT Hub vyhledejte a vyberte zařízení, které chcete změnit.
Klikněte na své zařízení a pak na modul azureiotsecurity .
Klikněte na Dvojče identity modulu.
Upravte vlastnosti, které chcete změnit v Defender-IoT-micro-agent.
Pokud například chcete nakonfigurovat události připojení jako události s vysokou prioritou a shromažďovat události s vysokou prioritou každých 7 minut, použijte následující konfiguraci.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Klikněte na Uložit.
Použití výchozí hodnoty
Pokud chcete použít výchozí hodnotu vlastnosti, odeberte vlastnost z objektu konfigurace.
Výchozí vlastnosti
Následující tabulka obsahuje říditelné vlastnosti agentů zabezpečení Defenderu for IoT.
Výchozí hodnoty jsou k dispozici ve správném schématu v GitHubu.
| Name | Stav | Platné hodnoty | Výchozí hodnoty | Popis |
|---|---|---|---|---|
| highPriorityMessageFrequency | Povinné: false | Platné hodnoty: Doba trvání ve formátu ISO 8601 | Výchozí hodnota: PT7M | Maximální časový interval před odesláním zpráv s vysokou prioritou. |
| lowPriorityMessageFrequency | Povinné: false | Platné hodnoty: Doba trvání ve formátu ISO 8601 | Výchozí hodnota: PT5H | Maximální doba před odesláním zpráv s nízkou prioritou |
| snapshotFrequency | Vyžadovat: false | Platné hodnoty: Doba trvání ve formátu ISO 8601 | Výchozí hodnota PT13H | Časový interval pro vytváření snímků stavu zařízení. |
| maxLocalCacheSizeInBytes | Povinné: false | Platné hodnoty: | Výchozí hodnota: 2560000, větší než 8192 | Maximální velikost úložiště (v bajtech) povolená pro mezipaměť zpráv agenta. Maximální velikost místa povoleného pro ukládání zpráv na zařízení před odesláním zpráv. |
| maxMessageSizeInBytes | Povinné: false | Platné hodnoty: Kladné číslo větší než 8192, menší než 262144 | Výchozí hodnota: 204800 | Maximální povolená velikost zprávy agenta do cloudu Toto nastavení řídí maximální množství dat odeslaných v každé zprávě. |
| eventPriority${EventName} | Povinné: false | Platné hodnoty: Vysoká, Nízká, Vypnuto | Výchozí hodnoty: | Priorita každé události vygenerované agentem |
Podporované události zabezpečení
| Název události | PropertyName | Výchozí hodnota | Událost snímku | Stav podrobností |
|---|---|---|---|---|
| Diagnostická událost | eventPriorityDiagnostic | Vypnout | Ne | Události diagnostiky související s agentem. Tuto událost použijte pro podrobné protokolování. |
| Chyba konfigurace | eventPriorityConfigurationError | Nízká | Ne | Agenti se nepodařilo analyzovat konfiguraci. Ověřte konfiguraci proti schématu. |
| Statistiky vyřazených událostí | eventPriorityDroppedEventsStatistics | Nízká | Ano | Statistika událostí souvisejících s agentem. |
| Připojený hardware | eventPriorityConnectedHardware | Nízká | Ano | Snímek veškerého hardwaru připojeného k zařízení |
| Naslouchající porty | eventPriorityListeningPorts | Vysoká | Ano | Snímek všech otevřených naslouchajících portů na zařízení |
| Vytvoření procesu | eventPriorityProcessVytvořit | Nízká | Ne | Audituje vytváření procesů na zařízení. |
| Ukončení procesu | eventPriorityProcessTerminate | Nízká | Ne | Audituje ukončení procesu na zařízení. |
| Systémové informace | eventPrioritySystemInformation | Nízká | Ano | Snímek systémových informací (například operační systém nebo procesor). |
| Místní uživatelé | eventPriorityLocalUsers | Vysoká | Ano | Snímek registrovaných místních uživatelů v systému. |
| Přihlásit | eventPriorityLogin | Vysoká | Ne | Auditujte události přihlášení k zařízení (místní a vzdálená přihlášení). |
| Vytvoření připojení | eventPriorityConnectionCreate | Nízká | Ne | Audituje připojení TCP vytvořená k zařízení a z zařízení. |
| Konfigurace brány firewall | eventPriorityFirewallConfiguration | Nízká | Ano | Snímek konfigurace brány firewall zařízení (pravidla brány firewall) |
| Standardní hodnoty operačního systému | eventPriorityOSBaseline | Nízká | Ano | Snímek základní kontroly operačního systému zařízení |