Felsöka sensorn

I den här artikeln beskrivs grundläggande felsökningsverktyg för sensorn. Förutom de objekt som beskrivs här kan du kontrollera systemets hälsotillstånd på följande sätt:

• Aviseringar: En avisering skapas när sensorgränssnittet som övervakar trafiken är nere.
• SNMP: Sensorhälsa övervakas via SNMP. Microsoft Defender för IoT svarar på SNMP-frågor som skickas från en auktoriserad övervakningsserver.
• Systemmeddelanden: När en hanteringskonsol styr sensorn kan du vidarebefordra aviseringar om misslyckade sensorsäkerhetskopior och frånkopplade sensorer.

Kontakta Microsoft Support om du har andra problem.

Förutsättningar

Kontrollera att du har följande för att utföra procedurerna i den här artikeln:

• Åtkomst till OT-nätverkssensorn som standardadministratörsanvändare. Mer information finns i Standardprivilegierade lokala användare.

Kontrollera sensorn – problem med molnanslutning

OT-sensorer kör automatiskt anslutningskontroller för att säkerställa att sensorn har åtkomst till alla nödvändiga slutpunkter. Om en sensor inte är ansluten visas ett fel i Azure-portalen, på sidan Platser och sensorer och på sensorns översiktssida. Till exempel:

```

Använd felsökningssidan för molnanslutningar i ot-sensorn för att lära dig mer om felet som inträffade och rekommenderade åtgärdsåtgärder som du kan vidta.

Om du vill felsöka anslutningsfel loggar du in på ot-sensorn och gör något av följande:

• På sensorns översiktssida väljer du länken Felsök* i felet överst på sidan
• Välj Systeminställningar > Sensorhantering > Hälsa och felsökning av felsökning av > molnanslutningar

Felsökningsfönstret För molnanslutning öppnas till höger. Om sensorn är ansluten till Azure-portalen anger fönstret att sensorn är ansluten till molnet. Om sensorn inte är ansluten visas en beskrivning av problemet och eventuella åtgärdsinstruktioner i stället. Till exempel:

Felsökningsfönstret för molnanslutning omfattar följande typer av problem:

Problem	beskrivning
Fel vid upprättande av säkra anslutningar	Inträffar för SSL-fel, vilket vanligtvis innebär att sensorn inte litar på det certifikat som hittades. Detta kan inträffa på grund av en felaktig sensortidskonfiguration eller en SSL-inspektionstjänst. SSL-inspektionstjänster finns ofta i proxyservrar och kan leda till potentiella certifikatfel. Mer information finns i Hantera SSL/TLS-certifikat och Synkronisera tidszoner på en OT-sensor.
Allmänna anslutningsfel	Inträffar när sensorn inte kan ansluta med en eller flera nödvändiga slutpunkter. I sådana fall bör du se till att alla nödvändiga slutpunkter är tillgängliga från sensorn och överväg att konfigurera fler slutpunkter i brandväggen. Mer information finns i Etablera sensorer för molnhantering.
Dns-serverfel som inte kan nås	Inträffar när sensorn inte kan utföra namnmatchning på grund av en DNS-server som inte kan nås. I sådana fall kontrollerar du att sensorn kan komma åt DNS-servern. Mer information finns i Uppdatera nätverkskonfigurationen för OT-sensorn
Problem med proxyautentisering	Inträffar när en proxy kräver autentisering, men inga autentiseringsuppgifter eller felaktiga autentiseringsuppgifter anges. I sådana fall kontrollerar du att du har konfigurerat proxyautentiseringsuppgifterna korrekt. Mer information finns i Uppdatera nätverkskonfigurationen för OT-sensorn.
Namnmatchningsfel	Inträffar när sensorn inte kan utföra namnmatchning för en specifik slutpunkt. Om DNS-servern i sådana fall kan nås kontrollerar du att DNS-servern är korrekt konfigurerad på sensorn. Om konfigurationen är korrekt rekommenderar vi att du kontaktar DNS-administratören. Mer information finns i Uppdatera nätverkskonfigurationen för OT-sensorn.
Ogiltiga proxyserverfel	Inträffar när sensorn inte kan upprätta en anslutning till proxyservern. I sådana fall kan du bekräfta att proxyservern är nåbar med nätverksteamet. Mer information finns i Uppdatera nätverkskonfigurationen för OT-sensorn.
Tidsavvikelse identifierad	Inträffar när UTC-tiden för sensorn inte synkroniseras med Defender för IoT på Azure-portalen. I det här fallet konfigurerar du en NTP-server (Network Time Protocol) för att synkronisera sensorn i UTC-tid. Mer information finns i Konfigurera INSTÄLLNINGAR för OT-sensor från Azure-portalen.

Kontrollera systemets hälsa

Kontrollera systemets hälsa från sensorn.

Så här kommer du åt systemets hälsoverktyg:

1. Logga in på sensorn med administratörsanvändarens autentiseringsuppgifter och välj System Inställningar> Systemhälsokontroll.

2. I kryssrutan Systemhälsa väljer du ett kommando på menyn för att visa mer information i rutan. Till exempel:

   

Hälsokontroller för systemet omfattar följande:

Name	beskrivning
Förstånd
-Apparaten	Kör enhetens sanitetskontroll. Du kan utföra samma kontroll med hjälp av CLI-kommandot system-sanity.
-Version	Visar installationsversionen.
– Nätverksegenskaper	Visar sensornätverksparametrarna.
Redis
- Minne	Ger en övergripande bild av minnesanvändning, till exempel hur mycket minne som användes och hur mycket som återstod.
- Längst nyckel	Visar de längsta nycklarna som kan orsaka omfattande minnesanvändning.
System
– Kärnlogg	Innehåller de sista 500 raderna i kärnloggen så att du kan visa de senaste loggraderna utan att exportera hela systemloggen.
-Aktivitetshanteraren	Översätter de uppgifter som visas i tabellen med processer till följande lager: - Beständiga lager (Redis) – Cachelager (SQL)
– Nätverksstatistik	Visar nätverksstatistiken.
-TOPP	Visar processtabellen. Det är ett Linux-kommando som ger en dynamisk realtidsvy över det system som körs.
– Säkerhetskopia av minneskontroll	Anger status för säkerhetskopieringsminnet och kontrollerar följande: – Platsen för säkerhetskopieringsmappen – Storleken på säkerhetskopieringsmappen – Begränsningarna i mappen för säkerhetskopiering – När den senaste säkerhetskopieringen inträffade – Hur mycket utrymme det finns för de extra säkerhetskopieringsfilerna
-Ifconfig	Visar parametrarna för enhetens fysiska gränssnitt.
- CyberX nload	Visar nätverkstrafik och bandbredd med hjälp av sexsekunderstesterna.
– Fel från kärnloggen	Visar fel från kärnloggfilen.

Kontrollera systemets hälsotillstånd med hjälp av CLI

Kontrollera att systemet är igång innan du testar systemets förstånd.

Mer information finns i CLI-kommandoreferens från OT-nätverkssensorer.

Så här testar du systemets förstånd:

1. Anslut till CLI med Linux-terminalen (till exempel PuTTY) och användaradministratören.

2. Ange system sanity.

3. Kontrollera att alla tjänster är gröna (körs).

   

4. Kontrollera att systemet är UPP! (prod) visas längst ned.

Kontrollera att rätt version används:

Så här kontrollerar du systemets version:

1. Anslut till CLI med Linux-terminalen (till exempel PuTTY) och användaradministratören.

2. Ange system version.

3. Kontrollera att rätt version visas.

Kontrollera att alla indatagränssnitt som konfigurerats under installationsprocessen körs:

Så här verifierar du systemets nätverksstatus:

1. Anslut till CLI med Linux-terminalen (till exempel PuTTY) och administratörsanvändaren.

2. Ange network list (motsvarigheten till Linux-kommandot ifconfig).

3. Kontrollera att de nödvändiga indatagränssnitten visas. Om till exempel två fyrfaldade NIC-enheter för koppar installeras bör det finnas 10 gränssnitt i listan.

   

Kontrollera att du har åtkomst till konsolens webbgränssnitt:

Så här kontrollerar du att hanteringen har åtkomst till användargränssnittet:

1. Anslut en bärbar dator med en Ethernet-kabel till hanteringsporten (Gb1).

2. Definiera den bärbara datorns NIC-adress så att den är inom samma intervall som enheten.

   

3. Pinga enhetens IP-adress från den bärbara datorn för att verifiera anslutningen (standard: 10.100.10.1).

4. Öppna Webbläsaren Chrome på den bärbara datorn och ange enhetens IP-adress.

5. I fönstret Din anslutning är inte privat väljer du Avancerat och fortsätter.

6. Testet lyckas när inloggningsskärmen för Defender for IoT visas.

   

Ladda ned en diagnostiklogg för support

Den här proceduren beskriver hur du laddar ned en diagnostiklogg som ska skickas till supporten i samband med ett specifikt supportärende.

Den här funktionen stöds för följande sensorversioner:

• 22.1.1 – Ladda ned en diagnostiklogg från sensorkonsolen.
• 22.1.3 och senare – För lokalt hanterade sensorer laddar du upp en diagnostiklogg från sidan Platser och sensorer i Azure-portalen. Den här filen skickas automatiskt till support när du öppnar ett ärende på en molnansluten sensor.

Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.

Så här laddar du ned en diagnostiklogg:

1. I sensorkonsolen väljer du Systeminställningar > Sensorhantering > Hälsa och felsökning av säkerhetskopiering > och återställning > av säkerhetskopiering.

2. Under Loggar väljer du Supportbiljettdiagnostik och sedan Exportera.

   

3. För en lokalt hanterad sensor, version 22.1.3 eller senare, fortsätter du med Ladda upp en diagnostiklogg för support.

Hämta kriminaltekniska data

Följande typer av kriminaltekniska data lagras lokalt på OT-sensorer för enheter som identifieras av sensorn:

• Enhetsdata
• Aviseringsdata
• Varna PCAP-filer
• Händelsetidsdata
• Loggfiler

Använd OT-sensorns datautvinningsrapporter eller Azure Monitor-arbetsböcker på en OT-nätverkssensor för att hämta kriminaltekniska data från sensorns lagring. Varje typ av data har olika kvarhållningsperiod och maximal kapacitet.

Mer information finns i Datakvarhållning i Microsoft Defender för IoT.

Du kan inte ansluta med hjälp av ett webbgränssnitt

1. Kontrollera att datorn som du försöker ansluta till finns i samma nätverk som enheten.

2. Kontrollera att GUI-nätverket är anslutet till hanteringsporten.

3. Pinga enhetens IP-adress. Om det inte finns någon ping:

   1. Anslut en bildskärm och ett tangentbord till apparaten.

   2. Använd administratörsanvändaren och lösenordet för att logga in.

   3. Använd kommandot network list för att se den aktuella IP-adressen.

4. Om nätverksparametrarna är felkonfigurerade använder du följande procedur för att ändra dem:

   1. Använd kommandot network edit-settings.

   2. Om du vill ändra IP-adressen för hanteringsnätverket väljer du Y.

   3. Om du vill ändra nätmasken väljer du Y.

   4. Om du vill ändra DNS väljer du Y.

   5. Om du vill ändra standard-IP-adressen för gatewayen väljer du Y.

   6. För ändring av indatagränssnittet (endast sensor) väljer du N.

   7. Om du vill tillämpa inställningarna väljer du Y.

5. Efter omstarten ansluter du med administratörsanvändarens autentiseringsuppgifter och använder network list kommandot för att verifiera att parametrarna har ändrats.

6. Försök att pinga och ansluta från användargränssnittet igen.

Installationen svarar inte

1. Anslut en bildskärm och ett tangentbord till apparaten eller använd PuTTY för att fjärransluta till CLI.

2. Använd administratörsanvändarautentiseringsuppgifterna för att logga in.

3. system sanity Använd kommandot och kontrollera att alla processer körs. Till exempel:

   

Kontakta Microsoft Support om du har andra problem.

Undersöka lösenordsfel vid inledande inloggning

När du loggar in på en förkonfigurerad sensor för första gången måste du utföra lösenordsåterställning på följande sätt:

1. På inloggningsskärmen för Defender för IoT väljer du Lösenordsåterställning. Skärmen Lösenordsåterställning öppnas.

2. Välj antingen Administratör eller CyberX och kopiera den unika identifieraren.

3. Gå till Azure-portalen och välj Platser och sensorer.

4. Välj listrutan Fler åtgärder och välj Återställ lösenord för den lokala hanteringskonsolen.

   

5. Ange den unika identifierare som du fick på skärmen Lösenordsåterställning och välj Återställ. Filen password_recovery.zip laddas ned. Extrahera eller ändra inte zip-filen.

   

6. På skärmen Lösenordsåterställning väljer du Ladda upp. Fönstret Ladda upp lösenordsåterställningsfil öppnas.

7. Välj Bläddra för att hitta password_recovery.zip filen eller dra till password_recovery.zip fönstret.

8. Välj Nästa och användaren och ett systemgenererat lösenord för hanteringskonsolen visas sedan.

   Kommentar

   När du loggar in på en sensor för första gången länkas den till din Azure-prenumeration, som du behöver om du behöver återställa lösenordet för administratörsanvändaren. Mer information finns i Återställa privilegierad åtkomst till en sensor.

Undersöka brist på trafik

En indikator visas överst i konsolen när sensorn ser att det inte finns någon trafik på någon av de konfigurerade portarna. Den här indikatorn är synlig för alla användare. När det här meddelandet visas kan du undersöka var det inte finns någon trafik. Kontrollera att span-kabeln är ansluten och att det inte har skett någon ändring i span-arkitekturen.

Kontrollera systemets prestanda

När en ny sensor distribueras eller en sensor fungerar långsamt eller inte visar några aviseringar kan du kontrollera systemets prestanda.

1. Logga in på sensorn och välj Översikt. Kontrollera att PPS är större än 0 och att Enheter identifieras.
2. Generera en rapport på sidan Datautvinning .
3. På sidan Trender och statistik skapar du en instrumentpanel.
4. På sidan Aviseringar kontrollerar du att aviseringen har skapats.

Undersöka brist på förväntade aviseringar

Om fönstret Aviseringar inte visar en avisering som du förväntade dig kontrollerar du följande:

1. Kontrollera om samma avisering redan visas i fönstret Aviseringar som en reaktion på en annan säkerhetsinstans. Om ja, och den här aviseringen inte har hanterats ännu, visar sensorkonsolen ingen ny avisering.
2. Se till att du inte utesluter den här aviseringen med hjälp av reglerna för aviseringsundantag i hanteringskonsolen.

Undersöka instrumentpanelen som inte visar några data

När instrumentpanelerna i fönstret Trender och statistik inte visar några data gör du följande:

1. Kontrollera systemets prestanda.
2. Kontrollera att inställningarna för tid och region är korrekt konfigurerade och inte inställda på en framtida tid.

Undersök en enhetskarta som endast visar sändningsenheter

När enheter som visas på enhetskartan inte verkar vara anslutna till varandra kan något vara fel med SPAN-portkonfigurationen. Du kanske bara ser sändningsenheter och ingen unicast-trafik.

1. Kontrollera att du bara ser sändningstrafiken. Det gör du genom att välja Skapa rapport i Datautvinning. I Skapa ny rapport anger du rapportfälten. I Välj kategori väljer du Välj alla.
2. Spara rapporten och granska den för att se om endast sändnings- och multicast-trafik (och ingen unicast-trafik) visas. I så fall kontaktar du nätverksteamet för att åtgärda SPAN-portkonfigurationen så att du även kan se unicast-trafiken. Alternativt kan du spela in en PCAP direkt från växeln eller ansluta en bärbar dator med hjälp av Wireshark.

Mer information finns i:

• Konfigurera trafikspegling
• Ladda upp och spela upp PCAP-filer

Anslut sensorn till NTP

Du kan konfigurera en fristående sensor och en hanteringskonsol, med de sensorer som är relaterade till den, för att ansluta till NTP.

Dricks

När du är redo att börja hantera dina OT-sensorinställningar i stor skala definierar du NTP-inställningar från Azure-portalen. När du har tillämpat inställningar från Azure-portalen är inställningarna i sensorkonsolen skrivskyddade. Mer information finns i Konfigurera INSTÄLLNINGAR för OT-sensor från Azure-portalen (offentlig förhandsversion).

Så här ansluter du en fristående sensor till NTP:

• Se CLI-dokumentationen.

Så här ansluter du en sensor som styrs av hanteringskonsolen till NTP:

• Anslutningen till NTP konfigureras i hanteringskonsolen. Alla sensorer som styr hanteringskonsolen hämtar NTP-anslutningen automatiskt.

Undersök när enheter inte visas på kartan eller om du har flera Internetrelaterade aviseringar

Ibland konfigureras ICS-enheter med externa IP-adresser. Dessa ICS-enheter visas inte på kartan. I stället för enheterna visas ett Internetmoln på kartan. IP-adresserna för dessa enheter ingår i molnbilden. En annan indikation på samma problem är när flera Internetrelaterade aviseringar visas. Åtgärda problemet på följande sätt:

1. Högerklicka på molnikonen på enhetskartan och välj Exportera IP-adresser.
2. Kopiera de offentliga intervall som är privata och lägg till dem i undernätslistan. Mer information finns i Finjustera undernätslistan.
3. Generera en ny datautvinningsrapport för Internetanslutningar.
4. I rapporten för datautvinning anger du administratörsläget och tar bort IP-adresserna för dina ICS-enheter.

Rensa sensordata

Om sensorn behöver flyttas eller raderas kan alla inlärda data rensas från sensorn.

Mer information om hur du rensar systemdata finns i Rensa OT-sensordata.

Exportera loggar från sensorkonsolen för felsökning

För ytterligare felsökning kanske du vill exportera loggar som ska skickas till supportteamet, till exempel databas- eller operativsystemloggar.

Så här exporterar du loggdata:

1. I sensorkonsolen går du till Systeminställningar>Sensorhantering>Säkerhetskopiering och återställning>av säkerhetskopiering.

2. I dialogrutan Exportera felsökningsinformation:

   1. I fältet Filnamn anger du ett beskrivande namn för den exporterade loggen. Standardfilnamnet använder det aktuella datumet, till exempel 13:10-June-14-2022.tar.gz.

   2. Välj de loggar som du vill exportera.

   3. Välj Exportera.

   Filen exporteras och länkas från listan Arkiverade filer längst ned i dialogrutan Exportera felsökningsinformation .

   Till exempel:

   

3. Välj fillänken för att ladda ned den exporterade loggen och välj även knappen för att visa dess engångslösenord .

4. Om du vill öppna de exporterade loggarna vidarebefordrar du den nedladdade filen och engångslösenordet till supportteamet. Exporterade loggar kan endast öppnas tillsammans med Microsofts supportteam.

   Om du vill skydda loggarna måste du vidarebefordra lösenordet separat från den nedladdade loggen.

Kommentar

Supportbegäransdiagnostik kan laddas ned från sensorkonsolen och sedan laddas upp direkt till supportteamet i Azure-portalen. Mer information om hur du laddar ned diagnostikloggar finns i Ladda ned en diagnostiklogg för support.

Nästa steg

• Visa aviseringar

• Konfigurera SNMP MIB-hälsoövervakning på en OT-sensor

• Övervaka frånkopplade OT-sensorer