Algılayıcı ve şirket içi yönetim konsolunda sorun giderme

Bu makalede algılayıcı ve şirket içi yönetim konsolu için temel sorun giderme araçları açıklanmıştır. Burada açıklanan öğelere ek olarak, aşağıdaki yollarla sistem durumunu da kontrol edin:

Uyarılar: Trafiği izleyen algılayıcı arabirimi kapatılan bir uyarı oluşturulur.

SNMP: Algılayıcının sistem durumu SNMP aracılığıyla izlenir. IoT için Microsoft Defender, yetkili bir izleme sunucusundan gönderilen SNMP sorgularına yanıt verir.

Sistem bildirimleri: Bir yönetim konsolu algılayıcıyı kontrol edinca, başarısız algılayıcı yedeklemeleri ve bağlantısı kesilmiş algılayıcılar hakkında uyarılar iletebilirsiniz.

Algılayıcı sorun giderme araçları

İlk oturum açma sırasında parola hatasını araştırma

Önceden yapılandırılmış bir Ok algılayıcısı üzerinde ilk kez oturum apar toparsanız parola kurtarma gerçekleştirmeniz gerekir.

Parolanızı kurtarmak için:

  1. IoT için Defender oturum açma ekranında Parola kurtarma'ya tıklayın. Parola kurtarma ekranı açılır.

  2. CyberX veya Destek'i seçin ve benzersiz tanımlayıcıyı kopyalayın.

  3. Uygulamanın üst Azure portal Siteler ve Algılayıcılar'ı seçin.

  4. Diğer Eylemler açılan menüsünü seçin ve Şirket içi yönetim konsolu parolasını kurtar'ı seçin.

     Şirket içi yönetim konsolu parolasını kurtarma seçeneğinin ekran görüntüsü.

  5. Parola kurtarma ekranına alınan benzersiz tanımlayıcıyı girin ve Kurtar'ı seçin. Dosya password_recovery.zip indirilir.

    Benzersiz tanımlayıcıyı girin ve kurtar'ı seçme ekran görüntüsü.

    Not

    Parola kurtarma dosyasını değiştirme. Bu imzalı bir dosyadır ve üzerinde oynanırsanız çalışmaz.

  6. Parola kurtarma ekranında, parolayı Upload. Upload Parola Kurtarma Dosyası penceresi açılır.

  7. Dosyanızı bulmak için password_recovery.zip Gözat'ı seçin veya öğesini password_recovery.zip pencereye sürükleyin.

  8. Sonraki 'yi seçerek, kullanıcınız ve yönetim konsolunuzun sistem tarafından oluşturulan parolası görüntülenir.

    Not

    Bir algılayıcıda veya şirket içi yönetim konsolunda ilk kez oturum asanız, bu sensör, bağlantınız olan aboneliğe bağlanır. CyberX veya Destek kullanıcısı için parolayı sıfırlamanız gerekirse bu aboneliği seçmeniz gerekir. CyberX veya Destek kullanıcı parolasını kurtarma hakkında daha fazla bilgi için bkz. Şirket içi yönetim konsolu veya algılayıcı için parolayı kurtarma.

Trafik eksikliğini araştırma

Algılayıcı, yapılandırılan bağlantı noktalarından biri üzerinde trafik olmadığını fark ettiyse konsolun en üstünde bir gösterge görünür. Bu gösterge tüm kullanıcılar tarafından görülebilir.

Trafik algılanmadı uyarısının ekran görüntüsü.

Bu ileti görüntülendiğinde, trafiğin nerede olmadığını araştırabilirsiniz. Yayma kablosunun bağlı olduğundan ve span mimarisinde değişiklik olmadığını emin olun.

Destek ve sorun giderme bilgileri için Microsoft Desteği.

Sistem performansını denetleme

Yeni bir algılayıcı dağıtıldığında veya örneğin algılayıcı yavaş çalışırken veya herhangi bir uyarı göstermeden sistem performansını kontrol edin.

Sistem performansını kontrol etmek için:

  1. Panoda olduğundan emin PPS > 0 olun.

    Örnek panonun ekran görüntüsü.

  2. Yan menüden Cihazlar'ı seçin.

  3. Cihazlar penceresinde cihazların bulundur olduğundan emin olun.

    Bulunan cihazların ekran görüntüsü.

  4. Yan menüden Veri Madenciliği'ne tıklayın.

  5. Veri Madenciliği penceresinde ALL'i seçin ve bir rapor üretin.

    Veri madenciliği kullanarak yeni rapor oluşturma ekranı ekran görüntüsü.

  6. Raporda veri olduğundan emin olun.

    Raporun veri içerdiğini doğrula ekran görüntüsü.

  7. Yan menüden Eğilimler ve İstatistikler'& seçin.

  8. Eğilimler ve & penceresinde Pencere Öğesi Ekle'yi seçin.

    Seçerek pencere öğesi ekleme ekran görüntüsü.

  9. Bir pencere öğesi ekleyin ve veri gösterir.

    Verileri gösteren pencere öğesi ekran görüntüsü.

  10. Yan menüden Uyarılar'ı seçin. Uyarılar penceresi görüntülenir.

  11. Uyarıların oluşturulduktan emin olun.

    Oluşturulan uyarıların ekran görüntüsü.

Algılayıcıda beklenen uyarı olmamasını araştırma

Uyarılar penceresinde beklenen bir uyarı gösterlenmiyorsa, aşağıdakini doğrulayın:

  • Aynı uyarının Uyarılar penceresinde farklı bir güvenlik örneğine tepki olarak zaten görüntülendiğinden kontrol edin. Evet ise ve bu uyarı henüz işlanmadı ise, algılayıcı konsolu yeni bir uyarı göstermez.

  • Yönetim konsolunda Uyarı Dışlama kurallarını kullanarak bu uyarıyı dışlamamadan emin olun.

Veri göstermeyen pencere öğelerini araştırma

Eğilimler ve İstatistikler & pencere öğeleri veri göstermeden şunları yapın:

Yalnızca yayın cihazlarını gösteren bir cihaz haritasını araştırma

Haritada gösterilen cihazlar birbirine bağlı değil gibi görünüyorsa, SPAN bağlantı noktası yapılandırmasında bir sorun olabilir. Başka bir ifadeyle, yalnızca cihaz yayınını görüyor ve tek noktaya yayın trafiği görmüyor olabilirsiniz.

Yayın cihazlarının ekran görüntüsü.

Böyle bir durumda, yalnızca yayın trafiğinin siz olduğunu doğrular ve ardından ağ mühendisinin tek noktaya yayın trafiğini de görene kadar SPAN bağlantı noktası yapılandırmasını düzeltmesini iste.

Yalnızca yayın trafiğinin olduğunu doğrulamak için:

  • Veri Madenciliği ekranında, All seçeneğini kullanarak bir rapor oluşturun. Ardından raporda yalnızca yayın ve çok noktaya yayın trafiğinin (tek noktaya yayın trafiği olup olmadığını) görme.

Veya:

  • Doğrudan anahtardan bir PCAP kaydedin veya Wireshark kullanarak bir dizüstü bilgisayar bağlayın.

Bağlan NTP'ye

NTP'ye bağlanmak için tek başına algılayıcıyı ve yönetim konsolunu algılayıcılarla birlikte yapılandırabilirsiniz.

Tek başına algılayıcıyı NTP'ye bağlamak için:

Yönetim konsolu tarafından denetlenen bir algılayıcıyı NTP'ye bağlamak için:

  • NTP bağlantısı yönetim konsolunda yapılandırılır. Yönetim konsolunu kontrol eden tüm algılayıcılar NTP bağlantısını otomatik olarak elde eder.

Bazen ICS cihazları dış IP adresleriyle yapılandırılır. Bu ICS cihazları haritada gösterilmez. Haritada cihazlar yerine bir İnternet bulutu görünür. Bu cihazların IP adresleri bulut görüntüsüne dahil edilir.

Aynı sorunun bir diğer göstergesi de İnternet ile ilgili birden çok uyarının görünmesidir.

İnternet ile ilgili birden çok uyarının ekran görüntüsü.

Yapılandırmasını düzeltmek için:

  1. Cihaz haritasında bulut simgesine sağ tıklayın ve IP Adreslerini Dışarı Aktar'ı seçin. Özel olan genel aralıkları kopyalayın ve bunları alt ağ listesine ekleyin. Daha fazla bilgi için bkz. Alt ağları yapılandırma.

  2. İnternet bağlantıları için yeni bir veri madenciliği raporu oluşturma.

  3. Veri madenciliği raporunda yönetici moduna girmeyi ve ICS cihazlarınızı IP adreslerini silmeyi seçin.

Algılayıcının Hizmet Kalitesi(QoS) ayarı

Ağ kaynaklarınızı kaydetmek için, sensörin günlük yordamlar için kullandığı arabirim bant genişliğini sınırlayabilirsiniz.

Arabirim bant genişliğini sınırlandırmak için, cyberx-xsense-limit-interface sudo izinleriyle çalıştırılması gereken CLI aracını kullanın. Araç aşağıdaki bağımsız değişkenleri alır:

  • * -i: arabirimler (örnek: eth0).

  • * -l: limit (örnek: 30 kbit/1 Mbit). Şu bant genişliği birimlerini kullanabilirsiniz: Kbps, Mbps, kbit, Mbit veya bps.

  • * -c: Clear (arabirim bant genişliği sınırlamasını temizlemek için).

Hizmet kalitesini (QoS) Ince ayar için:

  1. Bir IoT kullanıcısı için bir Defender olarak algılayıcı CLı 'da oturum açın ve girin sudo cyberx-xsense-limit-interface-I eth0 -l value .

    Örnek: sudo cyberx-xsense-limit-interface -i eth0 -l 30kbit

    Not

    Fiziksel bir gereç için EM1 arabirimini kullanın.

  2. Arabirim sınırlamasını temizlemek için girin sudo cyberx-xsense-limit-interface -i eth0 -l 1mbps -c .

Şirket içi yönetim konsolu sorun giderme araçları

Yönetim konsolunda beklenen uyarıların eksik olduğunu araştırın

Uyarılar penceresinde beklenen bir uyarı gösterilmezse, aşağıdakileri doğrulayın:

  • Aynı uyarının, farklı bir güvenlik örneğine yeniden eylem olarak Uyarılar penceresinde zaten görünüp göründüğünü denetleyin. Yanıt Evet ise ve bu uyarı henüz işlenmediyse yeni bir uyarı gösterilmez.

  • Şirket içi yönetim konsolundaki Uyarı dışlama kurallarını kullanarak bu uyarıyı dışlamadınız emin olun.

İnce ayar hizmet kalitesini (QoS)

Ağ kaynaklarınızı kaydetmek için, bir gereç ve şirket içi yönetim konsolu arasında tek bir eşitleme işleminde dış sistemlere (e-postalar veya SıEM gibi) gönderilen uyarı sayısını sınırlayabilirsiniz.

Varsayılan değer 50 ' dir. Yani, bir gereç ve şirket içi yönetim konsolu arasındaki bir iletişim oturumunda, dış sistemlere 50 'den fazla uyarı olmayacaktır.

Uyarı sayısını sınırlandırmak için ' de bulunan özelliği kullanın notifications.max_number_to_report /var/cyberx/properties/management.properties . Bu özelliği değiştirdikten sonra yeniden başlatma gerekmez.

Hizmet kalitesini (QoS) Ince ayar için:

  1. IoT kullanıcısı için bir Defender olarak oturum açın.

  2. Varsayılan değerleri doğrulayın:

    grep \"notifications\" /var/cyberx/properties/management.properties
    

    Aşağıdaki varsayılan değerler görünür:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  3. Varsayılan ayarları düzenleyin:

    sudo nano /var/cyberx/properties/management.properties
    
  4. Aşağıdaki satırların ayarlarını düzenleyin:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  5. Değişiklikleri kaydedin. Yeniden başlatma gerekmez.

Sorun giderme için sensörden bilgileri dışarı aktar

Ağınızı izlemeye ve çözümlemeye yönelik araçların yanı sıra, daha fazla araştırma için destek ekibine bilgi gönderebilirsiniz. Günlükleri dışa aktardığınızda, algılayıcı ayrı bir metin dosyasında dışa aktarılmış Günlükler için otomatik olarak bir kerelik parola (OTP) oluşturur.

Günlükleri dışarı aktarmak için:

  1. sol bölmede sistem Ayarlar' yi seçin.

  2. Günlükleri Dışarı Aktar öğesini seçin.

    Sistem desteği 'ne günlük dışa aktarma ekranının ekran görüntüsü.

  3. Dosya adı alanına, günlük dışarı aktarma için kullanmak istediğiniz dosya adını girin. Varsayılan değer geçerli tarihtir.

  4. Dışarı aktarmak istediğiniz verileri tanımlamak için veri kategorilerini seçin:

    Kategoriyi dışarı aktar Description
    İşletim sistemi günlükleri İşletim sistemi durumu hakkında bilgi almak için bu seçeneği belirleyin.
    Yükleme/yükseltme günlükleri Yükleme ve yükseltme yapılandırma parametrelerinin araştırılması için bu seçeneği belirleyin.
    Sistem Sanity çıkışı Sistem performansını denetlemek için bu seçeneği belirleyin.
    Dissection günlükleri Protokol Dissection 'ın gelişmiş incelemesini sağlamak için bu seçeneği belirleyin.
    İşletim sistemi çekirdeği dökümleri Çekirdek bellek dökümünü dışarı aktarmak için bu seçeneği belirleyin. Çekirdek bellek dökümü, bu çekirdekte oluşan sorun sırasında çekirdeğin kullandığı tüm belleği içerir. Döküm dosyasının boyutu, tüm bellek dökümünden daha küçüktür. Genellikle, döküm dosyası sistemdeki fiziksel belleğin tek üçte biridir.
    Günlükler iletiliyor İletme kurallarının araştırılması için bu seçeneği belirleyin.
    SNMP günlükleri SNMP sistem durumu denetimi bilgilerini almak için bu seçeneği belirleyin.
    Çekirdek uygulama günlükleri Çekirdek uygulama yapılandırması ve işlemle ilgili verileri dışarı aktarmak için bu seçeneği belirleyin.
    CM günlükleriyle iletişim Yönetim konsoluyla sürekli sorunlar veya bağlantı kesintileri varsa bu seçeneği belirleyin.
    Web uygulaması günlükleri Uygulamanın web arabiriminden gönderilen tüm istekler hakkında bilgi almak için bu seçeneği belirleyin.
    Sistem yedeklemesi Sistemin tam durumunu araştırmak için tüm sistem verilerinin bir yedeklemesini dışarı aktarmak için bu seçeneği belirleyin.
    Dissection Istatistikleri Protokol istatistiklerinin gelişmiş incelemesini sağlamak için bu seçeneği belirleyin.
    Veritabanı günlükleri Günlükleri sistem veritabanından dışarı aktarmak için bu seçeneği belirleyin. Sistem günlüklerini araştırmak, sistem sorunlarını belirlemenize yardımcı olur.
    Yapılandırma Her şeyin doğru şekilde yapılandırıldığından emin olmak için tüm yapılandırılabilir parametrelerle ilgili bilgileri dışarı aktarmak için bu seçeneği belirleyin.
  5. Tüm seçenekleri belirlemek için Kategoriler Seç' ın yanındaki Tümünü Seç ' i seçin.

  6. Günlükleri Dışarı Aktar öğesini seçin.

İçe aktarılmış Günlükler arşivlenmiş günlükler listesine eklenir. OTP 'yi destek ekibine ayrı bir ileti ile ve orta/veya orta düzeydeki günlüklere gönderin. Destek ekibi, yalnızca günlükleri şifrelemek için kullanılan benzersiz OTP 'yi kullanarak dışarı aktarılmış günlükleri ayıklayabilecektir.

Arşivlenmiş günlüklerin listesi en fazla beş öğe içerebilir. Listedeki öğe sayısı bu sayının ötesine geçtiğinde, en erken öğe silinir.

Yönetim konsolundan denetim günlüğünü dışarı aktar

Denetim günlükleri, oluşma sırasında anahtar bilgilerini kaydeder. Denetim günlükleri, hangi değişikliklerin yapıldığını ve kim tarafından ne zaman yapıldığını anlamak istediğinizde faydalıdır. Denetim günlükleri yönetim konsoluna aktarılabilir ve aşağıdaki bilgileri içerebilir:

Eylem Günlüğe kaydedilen bilgiler
Uyarıları öğrenin ve düzeltme yapın Uyarı KIMLIĞI
Parola değişiklikleri Kullanıcı, Kullanıcı KIMLIĞI
Oturum aç Kullanıcı
Kullanıcı oluşturma Kullanıcı, Kullanıcı rolü
Parola sıfırlama Kullanıcı adı
Dışlama kuralları:

-Oluşturma

-Düzenle

-Silme


Kural Özeti

Kural KIMLIĞI, kural Özeti

Kural Kimliği
Yönetim Konsolu yükseltmesi Kullanılan yükseltme dosyası
Algılayıcı yükseltme yeniden denemesi Algılayıcı Kimliği
TI paketi karşıya yüklendi Kayıtlı ek bilgi yok.

Denetim günlüğünü dışarı aktarmak için:

  1. yönetim konsolunda, sol bölmede sistem Ayarlar' yi seçin.

  2. Export (Dışarı aktar) öğesini seçin.

  3. Dosya adı alanına, verdiğiniz günlük için kullanmak istediğiniz dosya adını girin. Ad girilmezse, varsayılan dosya adı geçerli tarih olacaktır.

  4. Denetim günlükleri' ni seçin.

  5. Export (Dışarı aktar) öğesini seçin.

    Denetim günlüklerinin Seç ekranının ekran görüntüsü ve ardından dosya ekranınızı oluşturmak için dışarı aktar ' ı seçin.

İçe aktarılmış günlük, arşivlenmiş günlükler listesine eklenir. OTP 'yi görüntülemek için düğmeyi seçin. OTP dizesini, farklı bir iletideki destek ekibine gönder günlüklerinden gönderin. Destek ekibi, yalnızca günlükleri şifrelemek için kullanılan benzersiz OTP 'yi kullanarak dışarı aktarılmış günlükleri ayıklayabilecektir.

Sorun giderme bilgilerini dışarı aktarma penceresinin arşivlenmiş dosyalar bölümünde oluşturduğunuz dosyanın ekran görüntüsü.

Sonraki adımlar