Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT
Bei der Arbeit mit OT-Netzwerken stehen Defender for IoT-Dienste und -Daten über Azure hinaus auch über lokale OT-Netzwerksensoren und die lokale Sensorverwaltungskonsole zur Verfügung.
Dieser Artikel enthält Folgendes:
- Eine Beschreibung der privilegierten Standardbenutzer, die mit der Installation der Defender for IoT-Software zur Verfügung gestellt werden
- Eine Referenz der Aktionen, die für jede lokale Benutzerrolle verfügbar sind, sowohl für OT-Netzwerksensoren als auch in der lokalen Verwaltungskonsole
Wichtig
Defender for IoT empfiehlt jetzt die Verwendung von Microsoft-Clouddiensten oder vorhandener IT-Infrastruktur für die zentrale Überwachung und Sensorverwaltung und plant, die lokale Verwaltungskonsole am 1. Januar 2025 auszuschalten.
Weitere Informationen finden Sie unter Bereitstellen einer hybriden oder Air-Gapped-OT-Sensorverwaltung.
Lokale Standardbenutzer mit Privilegien
Standardmäßig wird jeder Sensor mit einem standardmäßigen, privilegierten Administratorbenutzer installiert, mit Zugriff auf erweiterte Tools für die Problembehandlung und Einrichtung, z. B. die CLI.
Melden Sie sich beim ersten Einrichten Ihres Sensors mit dem Administratorbenutzer an, erstellen Sie einen ersten Benutzer mit einer Administratorrolle und verwenden Sie dann diesen Administratorbenutzer, um andere Benutzer mit anderen Rollen zu erstellen.
Weitere Informationen finden Sie unter:
- Installieren von OT-Überwachungssoftware auf OT-Sensoren
- Konfigurieren und Aktivieren des OT-Sensors
- Erstellen und Verwalten von Benutzer*innen auf einem OT-Netzwerksensor
Ältere Benutzer
| Legacy-Szenario | Beschreibung |
|---|---|
| Sensorversionen vor 23.2.0 | In Sensorversionen vor 23.2.0 wird der standardmäßige AdministratorbenutzerSupport benannt. Der Supportbenutzer ist nur für Versionen vor 23.2.0 verfügbar und unterstützt. Die Dokumentation bezieht sich auf den Administratorbenutzer, um der neuesten Version der Software zu entsprechen. |
| Sensorsoftwareversionen vor 23.1.x | In Sensorsoftwareversionen vor 23.1.x sind auch die privilegierten cyberx- und cyberx_host-Benutzer in Gebrauch. In neu installierten Versionen 23.1.x und höher sind cyberx- und cyberx_host-Benutzer verfügbar, aber nicht standardmäßig aktiviert. Damit diese zusätzlichen privilegierten Benutzer z. B. die Defender for IoT CLI verwenden können, ändern Sie ihre Kennwörter. Weitere Informationen finden Sie unter Wiederherstellen des privilegierten Zugriffs auf einen Sensor. |
| Lokale Verwaltungskonsole | Die lokale Verwaltungskonsole wird mit berechtigtem Support und Cyberx-Benutzern installiert. Melden Sie sich beim Einrichten der lokalen Verwaltungskonsole zuerst mit dem Support-Benutzer an, erstellen Sie einen ersten Benutzer mit einer Administrator-Rolle, und verwenden Sie dann diesen Administratorbenutzer, um andere Benutzer mit anderen Rollen zu erstellen. |
Zugriff pro berechtigtem Benutzer
In der folgenden Tabelle wird der Zugriff beschrieben, der für die einzelnen berechtigten Benutzer verfügbar ist, einschließlich Legacybenutzern.
| Name | Stellt eine Verbindung mit | Berechtigungen |
|---|---|---|
| admin | configuration shell des OT-Sensors |
Ein Administratorkonto mit weitreichenden Berechtigungen und Zugriff auf: - Alle CLI-Befehle - Verwaltung von Protokolldateien - Starten und Beenden von Diensten Dieser Benutzer hat keinen Dateisystemzugriff. In älteren Softwareversionen wird dieser Benutzer Support benannt. |
| support | configuration shell der lokalen Verwaltungskonsole Dieser Benutzer ist auch in älteren Sensorversionen vorhanden |
Ein Administratorkonto mit weitreichenden Berechtigungen und Zugriff auf: - Alle CLI-Befehle - Verwaltung von Protokolldateien - Starten und Beenden von Diensten Dieser Benutzer verfügt nicht über Dateisystemzugriff. |
| cyberx | terminal (root) des OT-Sensors oder der lokalen Verwaltungskonsole |
Dient als Stammbenutzer und verfügt über unbegrenzte Berechtigungen für die Appliance. Wird nur für die folgenden Aufgaben verwendet: - Ändern von Standardkennwörtern - Problembehandlung - Dateisystemzugriff |
| cyberx_host | terminal (root) des Hostbetriebssystems des OT-Sensors |
Dient als Stammbenutzer und verfügt über unbegrenzte Berechtigungen für das Hostbetriebssystem der Appliance. Wird für Folgendes verwendet: - Netzwerkkonfiguration - Anwendungscontainersteuerung - Dateisystemzugriff |
Lokale Benutzerrollen
Die folgenden Rollen sind auf OT-Netzwerksensoren und lokalen Verwaltungskonsolen verfügbar:
| Rolle | BESCHREIBUNG |
|---|---|
| Administrator | Administratorbenutzer haben Zugriff auf alle Tools, einschließlich Systemkonfigurationen, der Erstellung und Verwaltung von Benutzern usw. |
| Sicherheitsanalyst | Sicherheitsanalysten verfügen nicht über Berechtigungen auf Administratorebene für Konfigurationen, können aber Aktionen auf Geräten ausführen, Warnungen bestätigen und Untersuchungstools verwenden. Sicherheitsanalysten können auf die Optionen des Sensors zugreifen, die in den Menüs Entdecken und Analysieren des Sensors sowie in den Menüs NAVIGATION und ANALYSE in der lokalen Verwaltungskonsole angezeigt werden. |
| Nur Lesezugriff | Benutzer mit Leseberechtigung führen Aufgaben wie das Anzeigen von Warnungen und Geräten in den Gerätezuordnungen aus. Benutzer, die nur Leseberechtigung haben, können auf Optionen zugreifen, die in den Menüs Entdecken und Analysieren auf dem Sensor, im schreibgeschützten Modus und im Navigationsmenü der lokalen Verwaltungskonsole angezeigt werden. |
Melden Sie sich bei der Erstbereitstellung eines OT-Überwachungssystems bei Ihren Sensoren und der lokalen Verwaltungskonsole mit einem der oben beschriebenen privilegierten Standardbenutzer an. Erstellen Sie Ihren ersten Administratorbenutzer, und verwenden Sie diesen Benutzer dann, um weitere Benutzer zu erstellen und sie Rollen zuzuweisen.
Die auf die einzelnen Rollen angewendeten Berechtigungen unterscheiden sich zwischen dem Sensor und der lokalen Verwaltungskonsole. Weitere Informationen finden Sie in den folgenden Tabellen für die Berechtigungen, die auf dem Sensor und in der lokalen Verwaltungskonsole für die einzelnen Rollen verfügbar sind.
Rollenbasierte Berechtigungen für OT-Netzwerksensoren
| Berechtigung | Nur Leseberechtigung | Sicherheitsanalyst | Administrator |
|---|---|---|---|
| Anzeigen des Dashboards | ✔ | ✔ | ✔ |
| Steuern der Vergrößerung von Zuordnungsansichten | - | - | ✔ |
| Anzeigen von Warnungen | ✔ | ✔ | ✔ |
| Verwalten von Warnungen: Bestätigen, Erlernen und Stummschalten | - | ✔ | ✔ |
| Anzeigen von Ereignissen auf einer Zeitachse | ✔ | ✔ | ✔ |
| Autorisieren von Geräten, bekannten Scannergeräten, programmierbaren Geräten | - | ✔ | ✔ |
| Zusammenführen und Löschen von Geräten | - | - | ✔ |
| Anzeigen von Untersuchungsdaten | ✔ | ✔ | ✔ |
| Verwalten von Systemeinstellungen | - | - | ✔ |
| Verwalten von Benutzern | - | - | ✔ |
| Ändern von Kennwörtern | - | - | ✔* |
| DNS-Server für Reverse-Lookup | - | - | ✔ |
| Senden von Warnungsdaten an Partner | - | ✔ | ✔ |
| Erstellen von Warnungskommentaren | - | ✔ | ✔ |
| Anzeigen des Verlauf von Programmieränderungen | ✔ | ✔ | ✔ |
| Erstellen angepasster Warnungsregeln | - | ✔ | ✔ |
| Verwalten mehrerer Benachrichtigungen gleichzeitig | - | ✔ | ✔ |
| Verwalten von Zertifikaten | - | - | ✔ |
Hinweis
Administratorbenutzer können Kennwörter nur für sich selbst und andere Benutzer mit den Rollen Sicherheitsanalyst und Schreibgeschützt ändern.
Rollenbasierte Berechtigungen für die lokale Verwaltungskonsole
| Berechtigung | Nur Leseberechtigung | Sicherheitsanalyst | Administrator |
|---|---|---|---|
| Anzeigen und Filtern der Gerätezuordnungen im Unternehmen | ✔ | ✔ | ✔ |
| Erstellen eines Standorts | - | - | ✔ |
| Verwalten eines Standorts (Hinzufügen und Bearbeiten von Zonen) | - | - | ✔ |
| Anzeigen und Filtern des Gerätebestands | ✔ | ✔ | ✔ |
| Anzeigen und Verwalten von Warnungen: Bestätigen, Erlernen und Stummschalten | ✔ | ✔ | ✔ |
| Generieren von Berichten | - | ✔ | ✔ |
| Anzeigen von Risikobewertungsberichten | - | ✔ | ✔ |
| Festlegen von Warnungsausschlüssen | - | ✔ | ✔ |
| Anzeigen oder Definieren von Zugriffsgruppen | - | - | ✔ |
| Verwalten von Systemeinstellungen | - | - | ✔ |
| Verwalten von Benutzern | - | - | ✔ |
| Ändern von Kennwörtern | - | - | ✔* |
| Senden von Warnungsdaten an Partner | - | - | ✔ |
| Verwalten von Zertifikaten | - | - | ✔ |
Hinweis
Administratorbenutzer können Kennwörter nur für sich selbst und andere Benutzer mit den Rollen Sicherheitsanalyst und Schreibgeschützt ändern.
Nächste Schritte
Weitere Informationen finden Sie unter