Esercitazione: Configurare gli agenti di sicurezza
Questo articolo illustra Defender per gli agenti di sicurezza IoT e illustra in dettaglio come modificarli e configurarli.
- Configurare gli agenti di sicurezza
- Modificare il comportamento dell'agente modificando le proprietà gemelle
- Individuare la configurazione predefinita
Agenti
Gli agenti di sicurezza Defender per IoT raccolgono dati dai dispositivi IoT ed eseguono azioni di sicurezza per attenuare le vulnerabilità rilevate. La configurazione dell'agente di sicurezza è controllabile usando un set di proprietà gemelle del modulo che è possibile personalizzare. In generale, gli aggiornamenti secondari a queste proprietà non sono frequenti.
L'oggetto di configurazione dell'agente di sicurezza di Defender per IoT gemello è un oggetto di formato JSON. L'oggetto di configurazione è un set di proprietà controllabili che è possibile definire per controllare il comportamento dell'agente.
Queste configurazioni consentono di personalizzare l'agente per ogni scenario richiesto. Ad esempio, escludere automaticamente alcuni eventi o mantenere il consumo di energia a un livello minimo è possibile configurando queste proprietà.
Usare lo schema di configurazione dell'agente di sicurezza Defender per IoT per apportare modifiche.
Oggetti di configurazione
Le proprietà correlate a ogni agente di sicurezza Defender per IoT si trovano nell'oggetto di configurazione dell'agente, all'interno della sezione delle proprietà desiderate, del modulo azureiotsecurity .
Per modificare la configurazione, creare e modificare questo oggetto all'interno dell'identità gemella del modulo azureiotsecurity .
Se l'oggetto di configurazione dell'agente non esiste nel modulo azureiotsecurity gemello, tutti i valori delle proprietà dell'agente di sicurezza sono impostati su impostazione predefinita.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Schema di configurazione e convalida
Assicurarsi di convalidare la configurazione dell'agente rispetto a questo schema. Un agente non verrà avviato se l'oggetto di configurazione non corrisponde allo schema.
Se, mentre l'agente è in esecuzione, l'oggetto di configurazione viene modificato in una configurazione non valida (la configurazione non corrisponde allo schema), l'agente ignora la configurazione non valida e continuerà a usare la configurazione corrente.
Convalida della configurazione
Defender per l'agente di sicurezza IoT segnala la configurazione corrente all'interno della sezione delle proprietà segnalate dell'identità gemella del modulo azureiotsecurity . L'agente segnala tutte le proprietà disponibili, se una proprietà non è stata impostata dall'utente, l'agente segnala la configurazione predefinita.
Per convalidare la configurazione, confrontare i valori impostati nella sezione desiderata con i valori segnalati nella sezione segnalata.
Se si verifica una mancata corrispondenza tra le proprietà desiderate e le proprietà segnalate, l'agente non è stato in grado di analizzare la configurazione.
Convalidare le proprietà desiderate sullo schema, correggere gli errori e impostare di nuovo le proprietà desiderate.
Nota
Un avviso di errore di configurazione verrà generato dall'agente nel caso in cui l'agente non fosse in grado di analizzare la configurazione desiderata. Confrontare la sezione segnalata e desiderata per comprendere se l'avviso si applica ancora
Modifica di una proprietà
Tutte le proprietà personalizzate devono essere impostate all'interno dell'oggetto di configurazione dell'agente all'interno del modulo azureiotsecurity gemello. Per usare un valore di proprietà predefinito, rimuovere la proprietà dall'oggetto di configurazione.
Impostazione di una proprietà
Nell'hub IoT trovare e selezionare il dispositivo da modificare.
Fare clic sul dispositivo e quindi sul modulo azureiotsecurity .
Fare clic su Module Identity Twin ( Identità modulo gemello).
Modificare le proprietà da modificare nell'agente Defender-IoT-micro-agent.
Ad esempio, per configurare gli eventi di connessione come priorità elevata e raccogliere eventi con priorità elevata ogni 7 minuti, usare la configurazione seguente.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Fare clic su Save (Salva).
Uso di un valore predefinito
Per usare un valore di proprietà predefinito, rimuovere la proprietà dall'oggetto di configurazione.
Proprietà predefinite
La tabella seguente contiene le proprietà controllabili di Defender per gli agenti di sicurezza IoT.
I valori predefiniti sono disponibili nello schema appropriato in GitHub.
| Nome | Stato | Valori validi | Valori predefiniti | Descrizione |
|---|---|---|---|---|
| highPriorityMessageFrequency | Obbligatorio: false | Valori validi: Durata in formato ISO 8601 | Valore predefinito: PT7M | Intervallo massimo di tempo prima dell'invio di messaggi con priorità elevata. |
| lowPriorityMessageFrequency | Obbligatorio: false | Valori validi: Durata in formato ISO 8601 | Valore predefinito: PT5H | Tempo massimo prima dell'invio di messaggi con priorità bassa. |
| snapshotFrequency | Richiedi: false | Valori validi: Durata in formato ISO 8601 | Valore predefinito PT13H | Intervallo di tempo per la creazione di snapshot di stato del dispositivo. |
| maxLocalCacheSizeInBytes | Obbligatorio: false | Valori validi: | Valore predefinito: 2560000, maggiore di 8192 | Archiviazione massima (in byte) consentita per la cache dei messaggi di un agente. Quantità massima di spazio consentito per archiviare i messaggi nel dispositivo, prima dell'invio dei messaggi. |
| maxMessageSizeInBytes | Obbligatorio: false | Valori validi: numero positivo, maggiore di 8192, minore di 262144 | Valore predefinito: 204800 | Dimensioni massime consentite di un agente per il messaggio cloud. Questa impostazione controlla la quantità di dati massimi inviati in ogni messaggio. |
| eventPriority${EventName} | Obbligatorio: false | Valori validi: High, Low, Off | Valori predefiniti: | Priorità di ogni evento generato dall'agente |
Eventi di sicurezza supportati
| Nome evento | PropertyName | Valore predefinito | Evento snapshot | Stato dettagli |
|---|---|---|---|---|
| Evento di diagnostica | eventPriorityDiagnostic | Off | Falso | Eventi di diagnostica correlati all'agente. Usare questo evento per la registrazione dettagliata. |
| Errore di configurazione | eventPriorityConfigurationError | Basso | Falso | L'agente non è riuscito ad analizzare la configurazione. Verificare la configurazione rispetto allo schema. |
| Statistiche sugli eventi eliminati | eventPriorityDroppedEventsStatistics | Basso | True | Statistiche degli eventi correlati all'agente. |
| Hardware connesso | eventPriorityConnectedHardware | Basso | True | Snapshot di tutti gli hardware connessi al dispositivo. |
| Porte in ascolto | eventPriorityListeningPorts | Alto | Vero | Snapshot di tutte le porte di ascolto aperte nel dispositivo. |
| Processo di creazione | eventPriorityProcessCreate | Basso | Falso | Controlla la creazione del processo nel dispositivo. |
| Terminazione del processo | eventPriorityProcessTerminate | Basso | Falso | Controlla la terminazione del processo nel dispositivo. |
| Informazioni di sistema | eventPrioritySystemInformation | Basso | True | Snapshot delle informazioni di sistema, ad esempio sistema operativo o CPU. |
| Utenti locali | eventPriorityLocalUsers | Alto | Vero | Snapshot degli utenti locali registrati all'interno del sistema. |
| Accedi | eventPriorityLogin | Alto | Falso | Controllare gli eventi di accesso al dispositivo (account di accesso locali e remoti). |
| Creazione connessione | eventPriorityConnectionCreate | Basso | Falso | Controlla le connessioni TCP create da e verso il dispositivo. |
| Configurazione del firewall | eventPriorityFirewallConfiguration | Basso | True | Snapshot della configurazione del firewall del dispositivo (regole del firewall). |
| Baseline del sistema operativo | eventPriorityOSBaseline | Basso | Vero | Snapshot del controllo della baseline del sistema operativo del dispositivo. |