Vad är agentbaserad lösning för enhetsbyggare

  • Artikel
  • 2 minuter för att läsa

I den här artikeln beskrivs den funktionella systemarkitekturen i den agentbaserade lösningen Defender for IoT. Microsoft Defender for IoT erbjuder två uppsättningar funktioner som passar din miljös behov, en agentlös lösning för organisationer och en agentbaserad lösning för enhetsbyggare.

Inbyggd säkerhet för IoT Hub

Defender for IoT är aktiverat som standard i varje IoT Hub som skapas. Defender for IoT tillhandahåller övervakning, rekommendationer och aviseringar i realtid utan agentinstallation på några enheter och använder avancerad analys på loggade IoT Hub-metadata för att analysera och skydda dina fältenheter och IoT-hubbar.

Defender for IoT-mikroagent

Defender for IoT-mikroagenten ger djupgående säkerhetsskydd och insyn i enhetens beteende. samlar in, sammanställer och analyserar råa säkerhetshändelser från dina enheter. Råsäkerhetshändelser kan omfatta IP-anslutningar, processskapande, användarinloggningar och annan säkerhetsrelevensinformation. Defender for IoT-enhetsagenter hanterar även händelsesammanställning för att undvika högt nätverksgenomflöde. Agenterna är mycket anpassningsbara, så att du kan använda dem för specifika uppgifter, till exempel skicka endast viktig information på det snabbaste serviceavtalet, eller för att aggregera omfattande säkerhetsinformation och kontext i större segment för att undvika högre tjänstkostnader.

Enhetsagenter och andra program använder SDK för säkerhetsmeddelanden i Azure för att skicka säkerhetsinformation till Azure IoT Hub. IoT Hub hämtar den här informationen och vidarebefordrar den till Defender for IoT-tjänsten.

När Defender for IoT-tjänsten har aktiverats skickar IoT Hub, utöver vidarebefordrade data, även ut alla interna data för analys av Defender for IoT. Dessa data omfattar enhetsmolnåtgärdsloggar, enhetsidentiteter och hubbkonfiguration. All den här informationen hjälper dig att skapa Defender for IoT-analyspipelinen.

Defender for IoT-analyspipeline tar även emot andra hotinformationsströmmar från olika källor inom Microsoft och Microsoft-partner. Defender for IoT-hela analyspipelinen fungerar med alla kundkonfigurationer som görs i tjänsten (till exempel anpassade aviseringar och användning av SDK för att skicka säkerhetsmeddelanden).

Med hjälp av analyspipelinen kombinerar Defender for IoT alla strömmar av information för att generera användbara rekommendationer och aviseringar. Pipelinen innehåller både anpassade regler som skapats av säkerhetsforskare och experter samt maskininlärningsmodeller som söker efter avvikelser från standardenhetsbeteende och riskanalys.

Defender for IoT-rekommendationer och -aviseringar (pipelineanalysutdata) skrivs till Log Analytics-arbetsytan för varje kund. Genom att inkludera råhändelser i arbetsytan och aviseringar och rekommendationer kan du göra djupgående undersökningar och frågor med hjälp av exakt information om de misstänkta aktiviteter som har identifierats.

Arkitekturen för mikroagenten.

Nästa steg

Läs vanliga frågor och svar om Microsoft Defender for IoT-agenten.