Устранение неполадок с датчиком и локальной консолью управления

В этой статье описываются основные средства устранения неполадок для датчика и локальной консоли управления. В дополнение к описанным здесь элементам работоспособность системы можно проверить следующими способами.

Оповещения: оповещение создается, когда интерфейс датчика, отслеживающий трафик, не работает.

SNMP: отслеживание работоспособности датчика осуществляется через SNMP. Защитник Майкрософт для Интернета вещей реагирует на SNMP-запросы, отправленные с полномочного сервера мониторинга.

Системные уведомления: когда консоль управления управляет датчиком, можно пересылать оповещения о неудачных случаях резервного копирования датчика и отключенных датчиках.

Средства устранения неполадок датчиком

Проверка сбоя пароля при первоначальном входе

При первом входе в предварительно настроенный датчик Arrow необходимо выполнить восстановление пароля.

Чтобы восстановить пароль, сделайте следующее:

  1. На экране входа в защитник для IoT выберите Восстановление пароля. Откроется экран восстановления паролей.

  2. Выберите CyberX или Support (Поддержка) и скопируйте уникальный идентификатор.

  3. Перейдите на портал Azure и выберите Sites and Sensors (Сайты и датчики) .

  4. Выберите раскрывающееся меню More Actions (Дополнительные действия) и щелкните Recover on-premises management console password (Восстановить локальный пароль консоли управления).

     Снимок экрана с параметром восстановления пароля консоли управления в локальной среде.

  5. Введите уникальный идентификатор, полученный на экране Password recovery (Восстановление пароля) , и выберите Recover (Восстановить) . Будет скачан файл password_recovery.zip.

    Снимок экрана. Введите уникальный идентификатор и нажмите кнопку восстановить.

    Примечание

    Не изменяйте файл восстановления пароля. Это подписанный файл, который не будет работать в случае его изменения.

  6. На экране Password recovery (Восстановление пароля) выберите Upload (Отправить) . Откроется окно Upload Password Recovery File (Передача файла восстановления пароля) .

  7. Нажмите кнопку Browse (Обзор) , чтобы найти файл password_recovery.zip, или перетащите password_recovery.zip в окно.

  8. Нажмите кнопку Next (Далее) и выберите пользователя. Откроется созданный системой пароль для консоли управления.

    Примечание

    При входе в датчик или локальную консоль управления в первый раз она будет связана с подпиской, к которой вы ее подключили. Если необходимо сбросить пароль для пользователя CyberX или пользователя поддержки, необходимо выбрать эту подписку. Дополнительные сведения о восстановлении CyberX или пароле пользователя поддержки см. в статье Восстановление пароля для локальной консоли управления или датчика.

Исследование недостатка трафика

Индикатор отображается в верхней части консоли, когда датчик распознает отсутствие трафика на одном из настроенных портов. Этот индикатор видим для всех пользователей.

Снимок экрана предупреждения о том, что трафик не обнаружен.

При появлении этого сообщения можно исследовать, где нет трафика. Убедитесь, что кабель span подключен и в архитектуре span не было изменений.

Для получения сведений о поддержке и устранении неполадок обратитесь в службу Служба поддержки Майкрософт.

Проверьте производительность системы.

При развертывании нового датчика или, например, если датчик работает медленно или не отображает предупреждения, можно проверить производительность системы.

Чтобы проверить производительность системы, выполните следующие действия.

  1. На панели мониторинга убедитесь, что PPS > 0.

    Снимок экрана: пример панели мониторинга.

  2. В боковом меню выберите Devices (Устройства) .

  3. Убедитесь, что в окне Устройств обнаружены устройства.

    Снимок экрана обнаруженных устройств.

  4. В боковом меню выберите Data Mining (Интеллектуальный анализ данных) .

  5. В окне интеллектуального анализа данных выберите ALL (Все) и создайте отчет.

    Снимок экрана: создание нового отчета с помощью экрана интеллектуального анализа данных.

  6. Убедитесь, что отчет содержит данные.

    Снимок экрана: Убедитесь, что отчет содержит экран данных.

  7. В боковом меню выберите Trends & Statistics (Тенденции и статистики) .

  8. В окне Trends & Statistics выберите Add Widget (Добавить мини-приложение) .

    Снимок экрана: Добавление мини-приложения путем его выбора.

  9. Добавьте мини-приложение и убедитесь, что оно отображает данные.

    Снимок экрана мини-приложения, показывающего данные.

  10. Выберите Alerts (Оповещения) в боковом меню. Появится окно Alerts.

  11. Убедитесь, что оповещения созданы.

    Снимок экрана создания оповещений.

Исследование недостатка ожидаемых оповещений на датчике

Если в окне оповещений не отображается ожидаемое оповещение, проверьте следующее.

  • Проверьте, не отображается ли это предупреждение в окне оповещений в качестве реакции на другой экземпляр безопасности. Если да и это оповещение еще не обработано, консоль датчика не будет отображать новое оповещение.

  • Убедитесь, что это оповещение не было исключено с помощью правил исключения предупреждений в консоли управления.

Исследование мини-приложений, которые не отображают данные

Когда мини-приложения в окне Trends & Statistics (Тенденции и статистики) не отображают данные, выполните следующие действия.

Исследование схемы устройств, отображающей только широковещательные устройства

Если устройства, отображаемые на карте, не подключены друг к другу, то, может быть, что-то неверно в конфигурации порта SPAN. То есть вы можете видеть только широковещательные устройства, но не одноадресный трафик.

Снимок экрана: устройства вещания.

В этом случае убедитесь в том, что вы транслируете только широковещательный трафик, а затем попросите инженера сети скорректировать конфигурацию порта SPAN таким образом, чтобы вы могли также видеть одноадресный трафик.

Чтобы убедиться, что вы видите только широковещательный трафик, выполните следующие действия.

  • На экране Data Mining (Интеллектуальный анализ данных) создайте отчет с помощью параметра All (Все) . Затем проверьте, появился ли в отчете широковещательный и многоадресный трафик (без одноадресного трафика).

Или сделайте так:

  • Запишите PCAP непосредственно из коммутатора или подключите портативный компьютер с помощью Wireshark.

Подключите датчик к NTP

Для подключения к NTP-серверу можно настроить автономный датчик и консоль управления с датчиками, связанными с ней.

Чтобы подключить автономный датчик к NTP:

Чтобы подключить датчик, управляемый консолью управления, к NTP:

  • Подключение к NTP настраивается в консоли управления. Все датчики, управляемые консолью управления, получают NTP-подключение автоматически.

Иногда для устройств ICS настраиваются внешние IP-адреса. Эти устройства ICS не отображаются на карте. Вместо устройств на карте отображается интернет-облако. IP-адреса этих устройств включены в облачный образ.

Еще одним указанием на ту же проблему является отображение нескольких оповещений, связанных с Интернетом.

Снимок экрана с несколькими оповещениями, связанными с Интернетом.

Чтобы исправить конфигурацию, выполните следующие действия.

  1. Щелкните правой кнопкой мыши значок облака на карте устройств и выберите Export IP Addresses (Экспорт IP-адресов) . Скопируйте закрытые общедоступные диапазоны и добавьте их в список подсетей. Дополнительные сведения см. в разделе Настройка подсетей.

  2. Создайте новый отчет интеллектуального анализа данных для подключений к Интернету.

  3. В отчете интеллектуального анализа данных выберите , чтобы перейти в режим администратора и удалить IP-адреса ваших устройств ICS.

Корректировка качества обслуживания датчика

Чтобы сэкономить сетевые ресурсы, можно ограничить пропускную способность интерфейса, которую датчик использует для повседневных процедур.

Чтобы ограничить пропускную способность интерфейса, используйте средство CLI cyberx-xsense-limit-interface, которое должно работать с разрешениями sudo. Это средство получает следующие аргументы:

  • * -i: интерфейсы (например eth0).

  • * -l: предел (например 30 Кбит/1 Мбит). Можно использовать следующие единицы пропускной способности: кбит/с, Мбит/с, Кбит, Мбит или бит/с.

  • * -c: очистка (для снятия ограничения пропускной способности интерфейса).

Чтобы настроить качество обслуживания (QoS), сделайте следующее:

  1. Войдите в CLI датчика как пользователь Defender для Интернета вещей и введите sudo cyberx-xsense-limit-interface-I eth0 -l value.

    Например: sudo cyberx-xsense-limit-interface -i eth0 -l 30kbit

    Примечание

    Для физического устройства используйте интерфейс em1.

  2. Чтобы очистить ограничение интерфейса, введите sudo cyberx-xsense-limit-interface -i eth0 -l 1mbps -c.

Средства устранения неполадок локальной консоли управления

Исследование отсутствия ожидаемых оповещений в консоли управления

Если ожидаемое предупреждение не отображается в окне Alerts (Оповещения) , проверьте следующее.

  • Проверьте, не отображается ли это предупреждение в окне оповещений в качестве реакции на другой экземпляр безопасности. Если да и это предупреждение еще не обработано, новое предупреждение не отображается.

  • Убедитесь, что это оповещение не было исключено с помощью правил Alert Exclusion (Исключения предупреждений) в консоли управления.

Настройка качества обслуживания

Чтобы сохранить сетевые ресурсы, можно ограничить число оповещений, отправляемых во внешние системы (таких как сообщения электронной почты или SIEM) в рамках одной операции синхронизации между устройством и локальной консолью управления.

Число по умолчанию — 50. Это означает, что в одном сеансе связи между устройством и локальной консолью управления будет не более 50 оповещений для внешних систем.

Чтобы ограничить количество оповещений, используйте свойство notifications.max_number_to_report, доступное в /var/cyberx/properties/management.properties. После изменения этого свойства перезагрузка не требуется.

Чтобы настроить качество обслуживания (QoS), сделайте следующее:

  1. Войдите в систему как пользователь Defender для Интернета вещей.

  2. Проверьте значения по умолчанию:

    grep \"notifications\" /var/cyberx/properties/management.properties
    

    Отобразятся следующие значения по умолчанию:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  3. Измените параметры по умолчанию:

    sudo nano /var/cyberx/properties/management.properties
    
  4. Измените параметры следующих строк:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  5. Сохраните изменения. Перезагрузка не требуется.

Экспорт сведений из датчика для устранения неполадок

Помимо средств для мониторинга и анализа сети, вы можете отправить сведения в службу поддержки для дальнейшего изучения. При экспорте журналов датчик автоматически создает одноразовый пароль (OTP), уникальный для экспортируемых журналов, в отдельном текстовом файле.

Для экспорта журналов выполните следующие действия.

  1. На левой панели щелкните System Settings (Параметры системы) .

  2. Щелкните Экспорт журналов.

    Снимок экрана с экраном "Экспорт журнала на системную поддержку".

  3. В поле имя файла введите имя файла, которое будет использоваться для экспорта журнала. По умолчанию используется текущая дата.

  4. Чтобы определить, какие данные необходимо экспортировать, выберите категории данных:

    Категория экспорта Описание
    Журналы операционной системы Выберите этот параметр, чтобы получить сведения о состоянии операционной системы.
    Журналы установки и обновления Выберите этот параметр для изучения параметров конфигурации установки и обновления.
    Выходные данные работоспособности системы Выберите этот параметр, чтобы проверить производительность системы.
    Журналы анализа Выберите этот параметр, чтобы разрешить расширенную проверку анализа протоколов.
    Дампы ядра ОС Выберите этот параметр, чтобы экспортировать дамп памяти ядра. Дамп памяти ядра содержит всю память, использовавшуюся ядром во время проблемы, возникшей в этом ядре. Размер файла дампа меньше, чем полный дамп памяти. Как правило, файл дампа составляет примерно треть от размера физической памяти в системе.
    Журналы переадресации Выберите этот параметр для изучения правил переадресации.
    Журналы SNMP Выберите этот параметр, чтобы получить сведения о проверке работоспособности SNMP.
    Журналы основных приложений Выберите этот параметр, чтобы экспортировать данные о конфигурации и операциях основного приложения.
    Журналы взаимодействия с CM Выберите этот параметр, если имеются постоянные проблемы или разрывы подключения к консоли управления.
    Журналы веб-приложений Выберите этот параметр, чтобы получить сведения обо всех запросах, отправленных из веб-интерфейса приложения.
    Резервное копирование системы Выберите этот параметр, чтобы экспортировать резервную копию всех системных данных для изучения точного состояния системы.
    Статистика анализа Выберите этот параметр, чтобы разрешить расширенную проверку статистики протоколов.
    Журналы базы данных Выберите этот параметр, чтобы экспортировать журналы из системной базы данных. Исследование системных журналов помогает определить системные проблемы.
    Конфигурация Выберите этот параметр для экспорта сведений обо всех настраиваемых параметрах, чтобы убедиться, что все настроено правильно.
  5. Чтобы выбрать все параметры, щелкните Выбрать все рядом с Категории.

  6. Щелкните Экспорт журналов.

Экспортированные журналы добавляются в список архивированных журналов. Отправьте OTP группе поддержки с помощью сообщения и носителя, отличающихся от таковых для экспортированных журналов. Группа поддержки сможет извлекать экспортированные журналы только с помощью уникального OTP, который используется для шифрования журналов.

Список архивных журналов может содержать до пяти элементов. Если число элементов в списке выходит за пределы этого числа, самый ранний элемент удаляется.

Экспорт журнала аудита из консоли управления

В журналах аудита сведения о ключах записываются во время возникновения. Журналы аудита полезны, когда вы пытаетесь выяснить, какие изменения были сделаны, и кто. Журналы аудита можно экспортировать в консоли управления и содержать следующие сведения:

Действие Данные зарегистрированы
Обучение и исправление оповещений Идентификатор оповещения
Изменения паролей Пользователь, идентификатор пользователя
Имя входа Пользователь
Создание пользователя Пользователь, роль пользователя
Сброс паролей Имя пользователя
Правила исключения:

— Создание

-Редактирование

— Удаление


Сводка по правилу

Идентификатор правила, сводка правила

Идентификатор правила
Обновление консоли управления Используемый файл обновления
Повторная попытка обновления датчика Идентификатор датчика
Переданный пакет TI Дополнительные сведения не записываются.

Чтобы экспортировать журнал аудита, выполните следующие действия.

  1. в левой области консоли управления выберите System Параметры.

  2. Выберите Экспорт.

  3. В поле имя файла введите имя файла, которое будет использоваться для экспортированного журнала. Если имя не указано, имя файла по умолчанию будет текущей датой.

  4. Выберите журналы аудита.

  5. Выберите Экспорт.

    Снимок экрана: Выберите журналы аудита и щелкните Экспорт, чтобы создать экран файла.

Экспортированный журнал добавляется в список архивированные журналы . Нажмите кнопку, чтобы просмотреть OTP. Отправьте строку OTP группе поддержки в отдельном сообщении из экспортированных журналов. Группа поддержки сможет извлекать экспортированные журналы только с помощью уникального OTP, который используется для шифрования журналов.

Снимок экрана файла, созданного в разделе "архивные файлы" окна "Экспорт сведений об устранении неполадок".

Дальнейшие действия