Zelf studie: beveiligings agenten configurerenTutorial: Configure security agents

In dit artikel worden Azure Security Center voor IoT-beveiligings agenten beschreven en wordt uitgelegd hoe u deze kunt wijzigen en configureren.This article explains Azure Security Center for IoT security agents, and details how to change and configure them.

  • Beveiligingsagents configurerenConfigure security agents
  • Gedrag van agent wijzigen door dubbele eigenschappen te bewerkenChange agent behavior by editing twin properties
  • Standaard configuratie detecterenDiscover default configuration

AgentsAgents

Azure Security Center voor IoT-beveiligings agenten gegevens verzamelen uit IoT-apparaten en beveiligings acties uitvoeren om de gedetecteerde beveiligings problemen te verhelpen.Azure Security Center for IoT security agents collect data from IoT devices and perform security actions to mitigate the detected vulnerabilities. De configuratie van de beveiligings agent kan worden ingesteld met behulp van een set van module-dubbele eigenschappen die u kunt aanpassen.Security agent configuration is controllable using a set of module twin properties you can customize. In het algemeen zijn secundaire updates van deze eigenschappen niet vaak.In general, secondary updates to these properties are infrequent.

Azure Security Center voor een configuratie object van een IoT-beveiligings agent is een JSON-indelings object.Azure Security Center for IoT’s security agent twin configuration object is a JSON format object. Het configuratie object is een verzameling eigenschappen die u kunt definiëren om het gedrag van de agent te bepalen.The configuration object is a set of controllable properties that you can define to control the behavior of the agent.

Deze configuraties helpen u bij het aanpassen van de agent voor elk vereist scenario.These configurations help you customize the agent for each scenario required. Als u bijvoorbeeld een aantal gebeurtenissen uitsluit of het energie verbruik tot een minimum niveau wilt houden, kunt u deze eigenschappen configureren.For example, automatically excluding some events, or keeping power consumption to a minimal level are possible by configuring these properties.

Gebruik het Azure Security Center voor IoT-beveiligings agent configuratie schema om wijzigingen aan te brengen.Use the Azure Security Center for IoT security agent configuration schema to make changes.

Configuratie objectenConfiguration objects

Eigenschappen die betrekking hebben op elke Azure Security Center voor IoT-beveiligings agent bevinden zich in het configuratie object voor de agent, binnen de gewenste eigenschappen sectie van de module azureiotsecurity .Properties related to every Azure Security Center for IoT security agent are located in the agent configuration object, within the desired properties section, of the azureiotsecurity module.

Als u de configuratie wilt wijzigen, maakt en wijzigt u dit object in de azureiotsecurity -module dubbele identiteit.To modify the configuration, create and modify this object inside the azureiotsecurity module twin identity.

Als het configuratie object van de agent niet bestaat in de azureiotsecurity -module dubbele, worden alle waarden van de eigenschappen van de beveiligings agent ingesteld op standaard.If the agent configuration object does not exist in the azureiotsecurity module twin, all security agent property values are set to default.

"desired": {
  "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
  } 
}

Configuratie schema en validatieConfiguration schema and validation

Zorg ervoor dat u de agent configuratie op basis van dit schemavalideert.Make sure to validate your agent configuration against this schema. Een agent wordt niet gestart als het configuratie object niet overeenkomt met het schema.An agent will not launch if the configuration object does not match the schema.

Als, terwijl de agent wordt uitgevoerd, het configuratie object wordt gewijzigd in een niet-geldige configuratie (de configuratie komt niet overeen met het schema), wordt de ongeldige configuratie door de agent genegeerd en blijft de huidige configuratie worden gebruikt.If, while the agent is running, the configuration object is changed to a non-valid configuration (the configuration does not match the schema), the agent will ignore the invalid configuration and will continue using the current configuration.

Configuratie validatieConfiguration validation

Azure Security Center voor IoT-beveiligings agent rapporteert de huidige configuratie in de sectie gerapporteerde eigenschappen van de azureiotsecurity -module dubbele identiteit.Azure Security Center for IoT security agent reports its current configuration inside the reported properties section of the azureiotsecurity module twin identity. De agent rapporteert alle beschik bare eigenschappen, als er geen eigenschap is ingesteld door de gebruiker, de agent rapporteert de standaard configuratie.The agent reports all the available properties, if a property was not set by the user, the agent reports the default configuration.

Als u de configuratie wilt valideren, vergelijkt u de waarden die zijn ingesteld voor de gewenste sectie met de waarden die zijn gerapporteerd in de gerapporteerde sectie.In order to validate your configuration, compare the values set on the desired section with the values reported in the reported section.

Als de gewenste en de gerapporteerde eigenschappen niet overeenkomen, kan de configuratie niet door de agent worden geparseerd.If there is a mismatch between the desired and the reported properties, then the agent was not able to parse the configuration.

Valideer de gewenste eigenschappen voor het schema, Los de fouten op en stel de gewenste eigenschappen opnieuw in.Validate your desired properties against the schema, fix the errors and set your desired properties again!

Notitie

Er wordt een configuratie fout waarschuwing van de agent geactiveerd wanneer de agent de gewenste configuratie niet kan parseren.A configuration error alert will be fired from the agent in case that the agent was not able to parse the desired configuration. De gerapporteerde en gewenste sectie vergelijken om te begrijpen of de waarschuwing nog steeds van toepassing isCompare the reported and desired section to understand if the alert still applies

Een eigenschap bewerkenEditing a property

Alle aangepaste eigenschappen moeten worden ingesteld binnen het configuratie object van de agent in de azureiotsecurity -module.All custom properties must be set inside the agent configuration object within the azureiotsecurity module twin. Als u een standaard waarde voor een eigenschap wilt gebruiken, verwijdert u de eigenschap van het configuratie object.To use a default property value, remove the property from the configuration object.

Een eigenschap instellenSetting a property

  1. Zoek en selecteer het apparaat dat u wilt wijzigen in de IoT Hub.In your IoT Hub, locate and select the device you wish to change.

  2. Klik op uw apparaat en vervolgens op de module azureiotsecurity .Click on your device, and then on azureiotsecurity module.

  3. Klik op module-identiteit, twee.Click on Module Identity Twin.

  4. Bewerk de eigenschappen die u wilt wijzigen in de beveiligings module.Edit the properties you wish to change in the security module.

    Gebruik bijvoorbeeld de volgende configuratie om verbindings gebeurtenissen te configureren als hoge prioriteit en elke 7 minuten gebeurtenissen met een hoge prioriteit te verzamelen.For example, to configure connection events as high priority and collect high priority events every 7 minutes, use the following configuration.

    "desired": {
        "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
            "highPriorityMessageFrequency": {
                "value": "PT7M"
            },
            "eventPriorityConnectionCreate": {
                "value": "High"
            }
        }
    }
    
  5. Klik op Opslaan.Click Save.

Een standaard waarde gebruikenUsing a default value

Als u een standaard waarde voor een eigenschap wilt gebruiken, verwijdert u de eigenschap van het configuratie object.To use a default property value, remove the property from the configuration object.

Standaard eigenschappenDefault properties

De volgende tabel bevat de eigenschappen van Azure Security Center voor IoT-beveiligings agenten.The following table contains the controllable properties of Azure Security Center for IoT security agents.

Standaard waarden zijn beschikbaar in het juiste schema in github.Default values are available in the proper schema in GitHub.

NaamName StatusStatus Geldige waardenValid values StandaardwaardenDefault values BeschrijvingDescription
highPriorityMessageFrequencyhighPriorityMessageFrequency Vereist: onwaarRequired: false Geldige waarden: duration in ISO 8601-indelingValid values: Duration in ISO 8601 Format Standaard waarde: PT7MDefault value: PT7M Het maximale tijds interval voor berichten met een hoge prioriteit worden verzonden.Max time interval before high priority messages are sent.
lowPriorityMessageFrequencylowPriorityMessageFrequency Vereist: onwaarRequired: false Geldige waarden: duration in ISO 8601-indelingValid values: Duration in ISO 8601 Format Standaard waarde: PT5HDefault value: PT5H Maximale tijd waarna berichten met een lage prioriteit worden verzonden.Max time before low-priority messages are sent.
snapshotFrequencysnapshotFrequency Vereist: FalseRequire: false Geldige waarden: duration in ISO 8601-indelingValid values: Duration in ISO 8601 Format Standaard waarde PT13HDefault value PT13H Tijds interval voor het maken van moment opnamen van de Apparaatstatus.Time interval for the creation of device status snapshots.
maxLocalCacheSizeInBytesmaxLocalCacheSizeInBytes Vereist: onwaarRequired: false Geldige waarden:Valid values: Standaard waarde: 2560000, groter dan 8192Default value: 2560000, larger than 8192 Maximale opslag (in bytes) die is toegestaan voor de berichten cache van een agent.Maximum storage (in bytes) allowed for the message cache of an agent. Maximale hoeveelheid ruimte die is toegestaan voor het opslaan van berichten op het apparaat voordat berichten worden verzonden.Maximum amount of space allowed to store messages on the device, before messages are sent.
maxMessageSizeInBytesmaxMessageSizeInBytes Vereist: onwaarRequired: false Geldige waarden: een positief getal groter dan 8192, kleiner dan 262144Valid values: A positive number, larger than 8192, less than 262144 Standaard waarde: 204800Default value: 204800 Maxi maal toegestane grootte van een agent naar een Cloud bericht.Maximum allowed size of an agent to cloud message. Met deze instelling bepaalt u de hoeveelheid gegevens die in elk bericht wordt verzonden.This setting controls the amount of maximum data sent in each message.
eventPriority $ {eventname}eventPriority${EventName} Vereist: onwaarRequired: false Geldige waarden: hoog, laag, uitValid values: High, Low, Off Standaard waarden:Default values: Prioriteit van elke door een agent gegenereerde gebeurtenisPriority of every agent-generated event

Ondersteunde beveiligings gebeurtenissenSupported security events

Gebeurtenis naamEvent name PropertyNamePropertyName Standaard waardeDefault Value Momentopname gebeurtenisSnapshot Event Status DetailsDetails Status
Diagnostische gebeurtenisDiagnostic event eventPriorityDiagnosticeventPriorityDiagnostic UitOff OnwaarFalse Aan een agent gerelateerde diagnostische gebeurtenissen.Agent related diagnostic events. Gebruik deze gebeurtenis voor uitgebreide logboek registratie.Use this event for verbose logging.
Configuratie foutConfiguration error eventPriorityConfigurationErroreventPriorityConfigurationError LaagLow OnwaarFalse Agent kan de configuratie niet parseren.Agent failed to parse the configuration. Controleer de configuratie op basis van het schema.Verify the configuration against the schema.
Statistieken voor verwijderde gebeurtenissenDropped events statistics eventPriorityDroppedEventsStatisticseventPriorityDroppedEventsStatistics LaagLow WaarTrue Gerelateerde gebeurtenis statistieken voor de agent.Agent related event statistics.
Bericht statistiekenMessage statistics eventPriorityMessageStatisticseventPriorityMessageStatistics LaagLow WaarTrue Gerelateerde bericht statistieken voor de agent.Agent related message statistics.
Verbonden hardwareConnected hardware eventPriorityConnectedHardwareeventPriorityConnectedHardware LaagLow WaarTrue Moment opname van alle hardware die is aangesloten op het apparaat.Snapshot of all hardware connected to the device.
Luisterende poortenListening ports eventPriorityListeningPortseventPriorityListeningPorts HoogHigh WaarTrue Moment opname van alle open luisterende poorten op het apparaat.Snapshot of all open listening ports on the device.
Proces makenProcess create eventPriorityProcessCreateeventPriorityProcessCreate LaagLow OnwaarFalse Het proces voor het maken van controles op het apparaat.Audits process creation on the device.
Proces beëindigenProcess terminate eventPriorityProcessTerminateeventPriorityProcessTerminate LaagLow OnwaarFalse Controleert het proces op het apparaat.Audits process termination on the device.
Systeem gegevensSystem information eventPrioritySystemInformationeventPrioritySystemInformation LaagLow WaarTrue Een moment opname van systeem informatie (bijvoorbeeld: besturings systeem of CPU).A snapshot of system information (for example: OS or CPU).
Lokale gebruikersLocal users eventPriorityLocalUserseventPriorityLocalUsers HoogHigh WaarTrue Een moment opname van de geregistreerde lokale gebruikers in het systeem.A snapshot of the registered local users within the system.
AanmeldenLogin eventPriorityLogineventPriorityLogin HoogHigh OnwaarFalse Controleer de aanmeldings gebeurtenissen op het apparaat (lokale en externe aanmeldingen).Audit the login events to the device (local and remote logins).
Verbinding makenConnection create eventPriorityConnectionCreateeventPriorityConnectionCreate LaagLow OnwaarFalse Controleert TCP-verbindingen die zijn gemaakt met en van het apparaat.Audits TCP connections created to and from the device.
Firewall configuratieFirewall configuration eventPriorityFirewallConfigurationeventPriorityFirewallConfiguration LaagLow WaarTrue Moment opname van de firewall configuratie van het apparaat (firewall regels).Snapshot of device firewall configuration (firewall rules).
Basis lijn van besturings systeemOS baseline eventPriorityOSBaselineeventPriorityOSBaseline LaagLow WaarTrue Moment opname van de basis controle van het besturings systeem van het apparaat.Snapshot of device OS baseline check.

Volgende stappenNext steps