Руководство. Настройка агентов безопасности
В этой статье описаны агенты безопасности Defender для Интернета вещей, а также предоставлены сведения о том, как их изменить и настроить.
- Настройка агентов безопасности
- Изменение поведения агента путем правки свойств двойника
- Обнаружение конфигурации по умолчанию
Агенты
Агенты безопасности Defender для Интернета вещей собирают данные с устройств Интернета вещей и выполняет действия по обеспечению безопасности для устранения обнаруженных уязвимостей. Конфигурация агента безопасности может быть управляемой с помощью набора свойств двойника модуля, которые можно настроить. Как правило, вторичные обновления этих свойств происходят редко.
Объект конфигурации двойника агента безопасности Defender для Интернета вещей — это объект формата JSON. Объект конфигурации — это набор управляемых свойств, которые можно определить для управления поведением агента.
Эти конфигурации помогают настроить агент для каждого необходимого сценария. Например, при настройке этих свойств можно автоматически исключать некоторые события или сохранять энергопотребление на минимальном уровне.
Для внесения изменений воспользуйтесь схемой настройки агента безопасности Defender для Интернета вещей.
Объекты конфигурации
Свойства, связанные со всеми агентами безопасности Defender для Интернета вещей, находятся в объекте конфигурации агента в разделе требуемых свойств модуля azureiotsecurity.
Чтобы изменить конфигурацию, создайте и измените этот объект в двойнике удостоверения модуля azureiotsecurity.
Если объект конфигурации агента не существует в двойника модуля azureiotsecurity, все значения свойств агента безопасности устанавливаются как значение по умолчанию.
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
Схема и проверка конфигурации
Обязательно проверьте конфигурацию агента в соответствии с этой схемой. Агент не будет запущен, если объект конфигурации не соответствует схеме.
Если во время выполнения агента объект конфигурации изменится на объект недопустимой конфигурации (конфигурация не соответствует схеме), агент проигнорирует недопустимую конфигурацию и будет продолжать использовать текущую конфигурацию.
Проверка конфигурации
Агент безопасности Defender для Интернета вещей сообщает о своей текущей конфигурации в разделе "Сообщаемые свойства" двойника удостоверения модуля azureiotsecurity. Агент сообщает обо всех доступных свойствах. Если свойство не было задано пользователем, агент сообщает о конфигурации по умолчанию.
Чтобы проверить конфигурацию, сравните значения, заданные в нужном разделе, со значениями, переданными в разделе с отчетом.
Если обнаружено несоответствие между требуемыми и передаваемыми свойствами, это будет означать, что агент не смог проанализировать конфигурацию.
Проверьте требуемые свойства для схемы, исправьте ошибки и задайте нужные свойства еще раз.
Примечание
Предупреждение об ошибке конфигурации будет вызвано агентом в случае, если агенту не удалось проанализировать нужную конфигурацию. Сравните передаваемый и требуемый раздел, чтобы понять, применимо ли предупреждение.
Изменение свойства
Все пользовательские свойства должны быть заданы внутри объекта конфигурации агента в двойнике модуля azureiotsecurity. Чтобы использовать значение свойства по умолчанию, удалите свойство из объекта конфигурации.
Задание свойства
В Центре Интернета вещей найдите и выберите устройство, которое требуется изменить.
Выберите устройство, а затем щелкните модуль azureiotsecurity.
Щелкните Двойник удостоверения модуля.
Измените свойства, которые требуется изменить в микроагенте Defender для Интернета вещей.
Например, чтобы настроить события подключения с высоким приоритетом и получать события с высоким приоритетом каждые 7 минут, используйте следующую конфигурацию.
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }Нажмите Сохранить.
Используйте значение по умолчанию.
Чтобы использовать значение свойства по умолчанию, удалите свойство из объекта конфигурации.
Свойства по умолчанию
Следующая таблица содержит управляемые свойства агентов безопасности Defender для Интернета вещей.
Значения по умолчанию доступны в соответствующей схеме в GitHub.
| Имя | Состояние | Допустимые значения | Значения по умолчанию | Описание |
|---|---|---|---|---|
| highPriorityMessageFrequency | Обязательно: значение false | Допустимые значения: длительность в формате ISO 8601 | Значение по умолчанию: PT7M | Максимальный интервал времени до отправки сообщений с высоким приоритетом. |
| lowPriorityMessageFrequency | Обязательно: значение false | Допустимые значения: длительность в формате ISO 8601 | Значение по умолчанию: PT5H | Максимальное время перед отправкой сообщений с низким приоритетом. |
| snapshotFrequency | Требуется: значение false | Допустимые значения: длительность в формате ISO 8601 | Значение по умолчанию — PT13H | Интервал времени для создания моментальных снимков состояния устройства. |
| maxLocalCacheSizeInBytes | Обязательно: значение false | Допустимые значения: | Значение по умолчанию: 2 560 000, больше 8 192 | Максимальный объем хранилища (в байтах), разрешенный для кэша сообщений агента. Максимальный объем пространства, разрешенного для хранения сообщений на устройстве перед отправкой сообщений. |
| maxMessageSizeInBytes | Обязательно: значение false | Допустимые значения: положительное число, большее 8 192, меньше 262 144. | Значение по умолчанию: 204 800 | Максимально допустимый размер агента для облачного сообщения. Этот параметр определяет максимальный объем данных, отправляемых в каждом сообщении. |
| eventPriority${EventName} | Обязательно: значение false | Допустимые значения: High, Low, Off (высокий, низкий, выкл.) | Значения по умолчанию: | Приоритет каждого события, создаваемого агентом |
Поддерживаемые события безопасности
| Имя события | PropertyName | Значение по умолчанию | Событие моментального снимка | Состояние сведений |
|---|---|---|---|---|
| Диагностическое событие | eventPriorityDiagnostic | Выключено | Неверно | Диагностические события, связанные с агентом. Используйте это событие для подробного ведения журнала. |
| Ошибка конфигурации | eventPriorityConfigurationError | Низкий | Неверно | Агенту не удалось проанализировать конфигурацию. Проверьте конфигурацию в соответствии со схемой. |
| Статистика удаленных событий | eventPriorityDroppedEventsStatistics | Низкий | True | Статистика событий, связанных с агентом. |
| Подключенное оборудование | eventPriorityConnectedHardware | Низкий | True | Моментальный снимок всего оборудования, подключенного к устройству. |
| Ожидание передачи данных через порты | eventPriorityListeningPorts | Высокий | True | Моментальный снимок всех открытых портов прослушивания на устройстве. |
| Создание процесса | eventPriorityProcessCreate | Низкий | Неверно | Аудит создания процесса на устройстве. |
| Завершение процесса | eventPriorityProcessTerminate | Низкий | Неверно | Аудит завершения процесса на устройстве. |
| Сведения о системе | eventPrioritySystemInformation | Низкий | True | Моментальный снимок сведений о системе (например, ОС или ЦП). |
| Локальные пользователи | eventPriorityLocalUsers | Высокий | True | Моментальный снимок зарегистрированных локальных пользователей в системе. |
| Вход | eventPriorityLogin | Высокий | Неверно | Аудит событий входа на устройство (локальный и удаленный вход в систему). |
| Создание подключения | eventPriorityConnectionCreate | Низкий | Неверно | Выполняет аудит TCP-подключений, созданных к устройству и от него. |
| Настройка брандмауэра | eventPriorityFirewallConfiguration | Низкий | True | Моментальный снимок конфигурации брандмауэра устройства (правила брандмауэра). |
| Базовые показатели ОС | eventPriorityOSBaseline | Низкий | True | Моментальный снимок проверки базовых показателей ОС устройства. |