Řešení potíží se senzory a místní konzolou pro správu

Tento článek popisuje základní nástroje pro řešení potíží pro senzor a místní konzolu pro správu. Kromě zde popsaných položek můžete zjistit stav systému následujícími způsoby:

Výstrahy: výstraha se vytvoří, když rozhraní snímače, které monitoruje provoz, je mimo provoz.

SNMP: stav senzoru se sleduje prostřednictvím protokolu SNMP. Microsoft Defender pro IoT reaguje na dotazy SNMP odeslané z autorizovaného monitorovacího serveru.

Systémová oznámení: když Konzola pro správu ovládá senzor, můžete přeposílat výstrahy týkající se neúspěšných záloh senzorů a odpojených senzorů.

Nástroje pro řešení potíží senzorů

Při počátečním přihlašování prozkoumat chybu hesla

Při prvním přihlášení k předkonfigurovanému senzoru šipek budete muset provést obnovení hesla.

Postup obnovení hesla:

  1. Na přihlašovací obrazovce Defender for IoT vyberte obnovení hesla. Otevře se obrazovka pro obnovení hesla .

  2. Vyberte buď CyberX , nebo podporu, a zkopírujte jedinečný identifikátor.

  3. Přejděte na Azure Portal a vyberte weby a senzory.

  4. Vyberte rozevírací nabídku Další akce a vyberte obnovit místní heslo konzoly pro správu.

     Snímek obrazovky s možností hesla obnovení místní konzoly pro správu

  5. Zadejte jedinečný identifikátor, který jste dostali na obrazovce pro obnovení hesla , a vyberte obnovit. password_recovery.zipSoubor se stáhne.

    Snímek obrazovky s jedinečným identifikátorem zadejte a pak vyberte obnovit.

    Poznámka

    Neměňte soubor pro obnovení hesla. Jedná se o podepsaný soubor a nebude fungovat, pokud s ním budete manipulovat.

  6. Na obrazovce obnovení hesla vyberte Upload. otevře se okno Upload soubor pro obnovení hesla .

  7. Vyberte Procházet a vyhledejte password_recovery.zip soubor, nebo ho přetáhněte password_recovery.zip do okna.

  8. Pak se zobrazí možnost Další a uživatel a heslo generované systémem pro konzolu pro správu.

    Poznámka

    Když se přihlásíte ke senzoru nebo místní konzole pro správu nástroje poprvé, připojí se k předplatnému, ke kterému jste připojili. Pokud budete potřebovat resetovat heslo pro CyberX nebo uživatele podpory, budete muset toto předplatné vybrat. Další informace o obnovení CyberX nebo podpoře hesla uživatele najdete v tématu obnovení hesla pro místní konzolu pro správu nebo na senzor.

Prozkoumat nedostatek provozu

V horní části konzoly se zobrazí indikátor, pokud senzor rozpozná, že na jednom z konfigurovaných portů není žádný provoz. Tento indikátor je viditelný pro všechny uživatele.

Snímek obrazovky s upozorněním, že nebyl zjištěn žádný provoz.

Po zobrazení této zprávy můžete prozkoumat, kde nedochází k žádným přenosům. Zajistěte, aby byl kabel rozsahu připojen a v architektuře rozpětí se nezměnila žádná změna.

Informace o podpoře a odstraňování potíží vám poskytne Podpora Microsoftu.

Kontrolovat výkon systému

Když je nasazen nový senzor, nebo například senzor pracuje pomalu nebo nezobrazuje žádné výstrahy, můžete kontrolovat výkon systému.

Postup kontroly výkonu systému:

  1. Ujistěte se, že je na řídicím panelu PPS > 0 .

    Snímek obrazovky s ukázkovým řídicím panelem

  2. V postranní nabídce vyberte zařízení.

  3. V okně zařízení se ujistěte, že jsou zařízení zjištěna.

    Snímek obrazovky zjištěných zařízení.

  4. V postranní nabídce vyberte dolování dat.

  5. V okně dolování dat vyberte vše a vygenerujte sestavu.

    Snímek obrazovky s vygenerováním nové sestavy pomocí obrazovky dolování dat

  6. Ujistěte se, že sestava obsahuje data.

    Snímek obrazovky s informacemi o tom, zda sestava obsahuje data

  7. V postranní nabídce vyberte trendy & statistiku.

  8. V okně trendy & Statistika vyberte Přidat widget.

    Snímek obrazovky s přidáním widgetu tak, že ho vyberete

  9. Přidejte widget a ujistěte se, že zobrazuje data.

    Snímek obrazovky widgetu znázorňující data

  10. V postranní nabídce vyberte výstrahy. Zobrazí se okno výstrahy .

  11. Ujistěte se, že se výstrahy vytvořily.

    Snímek obrazovky s upozorněními byl vytvořen.

Prozkoumejte nedostatek očekávaných výstrah na senzoru

Pokud okno výstrahy nezobrazuje výstrahu, kterou jste očekávali, ověřte následující:

  • Ověřte, zda se stejná výstraha již v okně výstrahy zobrazila jako reakce na jinou instanci zabezpečení. Pokud ano a tato výstraha ještě nebyla zpracována, konzola senzorů nezobrazuje novou výstrahu.

  • Ujistěte se, že jste toto upozornění nevyloučili pomocí pravidel vyloučení výstrah v konzole pro správu.

Prozkoumat widgety, které nezobrazují žádná data

Když widgety v okně trendy & Statistika nezobrazí žádná data, udělejte toto:

  • Kontroluje výkon systému.

  • Ujistěte se, že nastavení času a oblasti jsou správně nakonfigurované a nejsou nastavená na budoucí čas.

Prozkoumat mapu zařízení, která zobrazuje jenom zařízení všesměrového vysílání

Pokud se zařízení zobrazená na mapě jeví jako nepřipojená, může dojít k chybě s konfigurací portu SPAN. To znamená, že se můžete setkat jenom s vysíláním zařízení a bez jednosměrového přenosu.

Snímek obrazovky se zařízeními pro vysílání

V takovém případě Ověřte, zda pouze všesměrově vysíláte, a pak požádejte síťového inženýra o opravu konfigurace portů rozsahu, aby bylo možné zobrazit také provoz jednosměrového vysílání.

Ověření, že se zobrazuje jenom přenos všesměrového vysílání:

  • Na obrazovce dolování dat vytvořte sestavu pomocí možnosti vše . Pak se v sestavě zobrazí pouze přenosy všesměrového a vícesměrového vysílání (a žádný přenos jednosměrového vysílání).

Ani

  • Záznam PCAP přímo z přepínače nebo připojení přenosného počítače pomocí nástroje Wireshark.

Připojení senzoru na NTP

Můžete nakonfigurovat samostatný senzor a konzolu pro správu se senzory, které s ní souvisejí, pro připojení k NTP.

Postup připojení samostatného senzoru k NTP:

Postup připojení senzoru kontrolovaného konzolou pro správu na NTP:

  • Připojení k NTP je konfigurováno v konzole pro správu. Všechny senzory, které konzola pro správu řídí, obdrží připojení NTP automaticky.

Někdy jsou u zařízení ICS nakonfigurovaná externí IP adresa. Tato zařízení ICS se na mapě nezobrazují. Místo zařízení se na mapě zobrazí internetový Cloud. Do bitové kopie cloudu jsou zahrnuté IP adresy těchto zařízení.

Dalším označením stejného problému je, že se zobrazí více výstrah souvisejících s internetem.

Snímek obrazovky s více výstrahami souvisejících s internetem.

Postup opravy konfigurace:

  1. Klikněte pravým tlačítkem na ikonu cloudu na mapě zařízení a vyberte exportovat IP adresy. Zkopírujte veřejné rozsahy, které jsou soukromé, a přidejte je do seznamu podsítí. Další informace najdete v tématu Konfigurace podsítí.

  2. Vygenerujte novou sestavu dolování dat pro připojení k Internetu.

  3. V sestavě dolování dat vyberte možnost zadat režim správce a odstraňte IP adresy vašich zařízení ICS.

Vylepšení technologie QoS (Quality of Service) snímače

Pokud chcete ušetřit síťové prostředky, můžete omezit šířku pásma rozhraní, kterou senzor používá pro každodenní postupy.

Pokud chcete omezit šířku pásma rozhraní, použijte nástroj rozhraní příkazového řádku, cyberx-xsense-limit-interface který je potřeba spustit s oprávněními sudo. Nástroj získá následující argumenty:

  • * -i: rozhraní (příklad: eth0).

  • * -l: limit (příklad: 30 kbit / 1 mb). Můžete použít následující jednotky šířky pásma: kbps, Mb/s, kbit, mb/s nebo b/s.

  • * -c: clear (vymazání omezení šířky pásma rozhraní)

Úprava technologie QoS (Quality of Service):

  1. Přihlaste se k rozhraní příkazového řádku senzoru jako uživatel služby Defender for IoT a zadejte sudo cyberx-xsense-limit-interface-I eth0 -l value .

    Příklad: sudo cyberx-xsense-limit-interface -i eth0 -l 30kbit

    Poznámka

    Pro fyzické zařízení použijte rozhraní em1.

  2. Pokud chcete vymazat omezení rozhraní, zadejte sudo cyberx-xsense-limit-interface -i eth0 -l 1mbps -c .

Nástroje pro řešení potíží s místní konzolou pro správu

Prozkoumání chybějících očekávaných výstrah v konzole pro správu

Pokud se v okně Výstrahy nezobrazí očekávaná výstraha, ověřte následující:

  • Zkontrolujte, jestli se stejná výstraha už v okně Výstrahy zobrazuje jako reakce na jinou instanci zabezpečení. Pokud ano a tato výstraha ještě nebyla zpracována, nezobrazí se nová výstraha.

  • Pomocí pravidel vyloučení výstrah v místní konzole pro správu ověřte, že jste tuto výstrahu nevyloučili.

Úprava technologie QoS (Quality of Service)

Pokud chcete uložit síťové prostředky, můžete omezit počet výstrah odeslaných do externích systémů (například e-mailů nebo SIEM) v jedné operaci synchronizace mezi zařízením a místní konzolou pro správu.

Výchozí hodnota je 50. To znamená, že v jedné komunikační relaci mezi zařízením a místní konzolou pro správu nebude externích systémů více než 50 výstrah.

Pokud chcete omezit počet výstrah, použijte vlastnost notifications.max_number_to_report dostupnou v /var/cyberx/properties/management.properties . Po změně této vlastnosti není potřeba žádné restartování.

Úprava technologie QoS (Quality of Service):

  1. Přihlaste se jako uživatel služby Defender for IoT.

  2. Ověřte výchozí hodnoty:

    grep \"notifications\" /var/cyberx/properties/management.properties
    

    Zobrazí se následující výchozí hodnoty:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  3. Upravte výchozí nastavení:

    sudo nano /var/cyberx/properties/management.properties
    
  4. Upravte nastavení následujících řádků:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  5. Uložte změny. Není nutné žádné restartování.

Export informací ze senzoru pro účely řešení potíží

Kromě nástrojů pro monitorování a analýzu sítě můžete odeslat informace týmu podpory k dalšímu šetření. Při exportu protokolů senzor v samostatném textovém souboru automaticky vygeneruje jednorázová hesla jedinečná pro exportované protokoly.

Export protokolů:

  1. V levém podokně vyberte System Nastavení.

  2. Vyberte Export protokolů.

    Snímek obrazovky s exportem protokolu do podpory systému

  3. Do pole Název souboru zadejte název souboru, který chcete použít pro export protokolu. Výchozí hodnota je aktuální datum.

  4. Pokud chcete definovat, jaká data chcete exportovat, vyberte kategorie dat:

    Kategorie exportu Description
    Protokoly operačního systému Tuto možnost vyberte, pokud chcete získat informace o stavu operačního systému.
    Protokoly instalace/upgradu Tuto možnost vyberte, pokud chcete prošetření parametrů konfigurace instalace a upgradu.
    System Sanity Output Tuto možnost vyberte, pokud chcete zkontrolovat výkon systému.
    Disekce protokolů Tuto možnost vyberte, pokud chcete povolit rozšířenou kontrolu disekce protokolu.
    Výpisy paměti jádra operačního systému Tuto možnost vyberte, pokud chcete exportovat výpis paměti jádra. Výpis paměti jádra obsahuje všechu paměť, kterou jádro používá v době, kdy došlo k problému v tomto jádru. Velikost souboru s výpisem paměti je menší než kompletní výpis paměti. Soubor s výpisem paměti je obvykle přibližně o jednu třetinu velikosti fyzické paměti v systému.
    Předávání protokolů Tuto možnost vyberte, pokud chcete prošeetření pravidel předávání.
    Protokoly SNMP Tuto možnost vyberte, pokud chcete přijímat informace o kontrole stavu protokolu SNMP.
    Základní protokoly aplikací Tuto možnost vyberte, pokud chcete exportovat data o konfiguraci a provozu základní aplikace.
    Komunikace s protokoly CM Tuto možnost vyberte, pokud dochází k nepřetržitým problémům nebo přerušením připojení pomocí konzoly pro správu.
    Protokoly webových aplikací Tuto možnost vyberte, pokud chcete získat informace o všech požadavcích odeslaných z webového rozhraní aplikace.
    Zálohování systému Tuto možnost vyberte, pokud chcete exportovat zálohu všech systémových dat pro prozkoumání přesného stavu systému.
    Disekce statistiky Tuto možnost vyberte, pokud chcete povolit pokročilou kontrolu statistik protokolu.
    Protokoly databáze Tuto možnost vyberte, pokud chcete exportovat protokoly ze systémové databáze. Zkoumání systémových protokolů pomáhá identifikovat systémové problémy.
    Konfigurace Tuto možnost vyberte, pokud chcete exportovat informace o všech konfigurovatelných parametrech, abyste se ujistili, že je vše správně nakonfigurované.
  5. Pokud chcete vybrat všechny možnosti, vyberte Vybrat vše vedle možnosti Zvolit kategorie.

  6. Vyberte Export protokolů.

Exportované protokoly se přidávají do seznamu Archivované protokoly. Odešlete ověřování jednorázovým heslem týmu podpory v samostatné zprávě a médium z exportovaných protokolů. Tým podpory bude moct extrahovat exportované protokoly pouze pomocí jedinečného ověřování jednorázovým heslem, které se používá k šifrování protokolů.

Seznam archivovaných protokolů může obsahovat až pět položek. Pokud počet položek v seznamu přesahuje toto číslo, nejstarší položka se odstraní.

Export protokolu auditu z konzoly pro správu

Protokoly auditu zaznamenávat informace o klíči v době výskytu. Protokoly auditu jsou užitečné, když se snažíte zjistit, jaké změny a kdo provedl. Protokoly auditu je možné exportovat v konzole pro správu a obsahují následující informace:

Akce Protokolované informace
Informace a náprava výstrah ID výstrahy
Změny hesel Uživatel, ID uživatele
Přihlásit Uživatel
Vytvoření uživatele Uživatel, role uživatele
Resetování hesla Uživatelské jméno
Pravidla vyloučení:

-Vytvoření

– Úpravy

– Odstranění


Souhrn pravidla

ID pravidla, Souhrn pravidla

ID pravidla
Upgrade konzoly pro správu Použitý soubor upgradu
Opakování upgradu senzoru ID senzoru
Nahrání balíčku ČŘ Nebyly zaznamenány žádné další informace.

Export protokolu auditu:

  1. v konzole pro správu nástroje v levém podokně vyberte možnost systém Nastavení.

  2. Vyberte Exportovat.

  3. Do pole název souboru zadejte název souboru, který chcete použít pro exportovaný protokol. Pokud název nezadáte, bude výchozím názvem souboru aktuální datum.

  4. Vyberte protokoly auditu.

  5. Vyberte Exportovat.

    Snímek obrazovky s výběrem protokolů auditu a pak vyberte Exportovat. tím vytvoříte obrazovku souboru.

Exportovaný protokol se přidá do seznamu archivovaných protokolů . Vyberte tlačítko pro zobrazení jednorázového hesla. Odešlete řetězec jednorázového hesla týmu podpory v samostatné zprávě z exportovaných protokolů. Tým podpory bude moci extrahovat exportované protokoly pouze pomocí jedinečného jednorázového hesla, které se používá k šifrování protokolů.

Snímek obrazovky se souborem, který jste vytvořili v části archivované soubory v okně Exportovat informace pro řešení potíží.

Další kroky