你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从传感器控制台维护 OT 网络传感器
本文介绍了可能在更大的部署过程之外执行的额外 OT 传感器维护活动。
还可以从 OT 传感器 CLI、Azure 门户 和 本地管理控制台 维护 OT 传感器。
注意
客户配置仅支持 OT 网络传感器和本地管理控制台上记录的配置参数。 不要更改任何未记录的配置参数或系统属性,因为更改可能会导致意外行为和系统故障。
未经 Microsoft 批准从传感器中移除包可能会导致意外结果。 传感器上安装的所有包都是正确的传感器功能所必需的。
先决条件
在执行本文中的过程之前,请确保你有:
以 管理员 用户身份访问传感器。 要访问所选过程和 CLI,还需要是特权用户。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
如果需要更新传感器的证书,请 准备好 SSL/TLS 证书。
查看总体 OT 传感器状态
登录到 OT 传感器后,显示的第一页是“概述”页面。
例如:
“概述”页面显示以下小组件:
| 名称 | 描述 |
|---|---|
| 常规设置 | 显示传感器的基本配置设置的列表和连接状态。 |
| 流量监视 | 显示一张图,其中详细说明了传感器中的流量。 该图以查看当天每小时 Mbps 为单位显示流量。 |
| 前 5 个 OT 协议 | 显示一张条形图,其中详细说明了前五个最常用的 OT 协议。 条形图还提供使用这些协议的设备数。 |
| 按端口显示的流量 | 显示一张饼图,其中显示了网络中端口的类型,以及每种类型的端口中检测到的流量。 |
| 常见待处理警报 | 显示一个表,其中列出了当前未处理的任何具有高严重性级别的警报,包括有关每个警报的关键详细信息。 |
选择每个小组件中的链接以向下钻取传感器中的详细信息。
验证连接状态
直接从 OT 传感器的“概述”页面验证 OT 传感器已成功连接到 Azure 门户。
如果存在任何连接问题,则“概述”页的“常规设置”区域会显示断开连接消息,而且页面顶部的
“系统消息”区域会显示“服务连接错误”警告。 例如:
将鼠标悬停在 
信息图标上,查找有关此问题的详细信息。 例如:
通过选择“系统消息”下的“了解详细信息”选项来执行操作。 例如:
下载 OT 传感器软件
如果要在自己的设备上安装 Defender for IoT 软件或更新软件版本,则可能需要下载 OT 传感器软件。
在 Azure 门户的 Defender for IoT 中,使用以下选项之一:
对于新安装,请选择“入门”>“传感器”。 在“购买设备并安装软件”区域中选择一个版本,然后选择“下载”。
若要更新 OT 传感器,请使用“站点和传感器”页 >“传感器更新(预览版)”菜单中的选项。
从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。
有关详细信息,请参阅更新 Defender for IoT OT 监视软件。
上传新的激活文件
每个 OT 传感器都作为连接到云或本地管理的 OT 传感器载入,并使用唯一的激活文件激活。 对于连接到云的传感器,激活文件用于确保传感器与 Azure 之间的连接。
如果要切换传感器管理模式(例如从本地管理的传感器移动到连接到云的传感器,或者要从最近的软件版本进行更新),需要将新的激活文件上传到传感器。 将新的激活文件上传到传感器包括从 Azure 门户中删除传感器,然后重新加入它。
若要添加新的激活文件,请执行以下操作:
执行下列操作之一:
从头开始加入你的传感器:
在 Azure 门户上的 Defender for IoT>“站点和传感器”中,找到并删除 OT 传感器。
选择“载入 OT 传感器 > OT”,从头开始重新载入传感器并下载新的激活文件。 有关详细信息,请参阅 载入 OT 传感器。
下载当前传感器的激活文件:在“站点和传感器”页上,找到刚刚添加的传感器。 选择传感器相应行上的三个点 (...),然后选择“下载激活文件”。 将文件保存在传感器可访问的位置。
从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。
登录到 Defender for IoT 传感器控制台,然后选择“系统设置”>“传感器管理”>“订阅和激活模式”。
选择“上传”,然后浏览到从 Azure 门户下载的文件。
选择“激活”以上传新的激活文件。
排查激活文件上传问题
如果激活文件无法上传,你将收到一条错误消息。 可能发生了以下事件:
传感器无法连接到 Internet:检查传感器的网络配置。 如果传感器需要通过 Web 代理建立连接才能访问 Internet,请验证是否已在“传感器网络配置”屏幕上正确配置了代理服务器。 验证防火墙和/或代理中是否允许所需的终结点。
对于 OT 传感器版本 22.x,请从 Azure 门户上的“站点和传感器”页下载所需终结点列表。 请选择具有受支持的软件版本的 OT 传感器,或者选择具有一个或多个受支持传感器的站点。 然后选择“更多操作”>“下载终结点详细信息”。 对于早期版本的传感器,请参阅传感器对 Azure 门户的访问权限。
激活文件有效,但 Defender for IoT 已拒绝: 如果无法解决此问题,可以从 Azure 门户 的“站点和传感器”页面下载另一个激活。 如果仍不起作用,请联系 Microsoft 支持部门。
注意
激活文件在创建后 14 天过期。 如果已载入传感器,但在激活文件过期前未将其上传,请下载新的激活文件。
管理 SSL/TLS 证书
如果使用的是生产环境,则已在 OT 传感器部署过程中 部署 CA 签名的 SSL/TLS 证书。 建议仅将自签名证书用于测试目的。
以下过程介绍了如何部署更新的 SSL/TLS 证书,例如证书已过期时。
提示
要部署 CA 签名的 SSL/TLS 证书:
登录到 OT 传感器,然后选择“系统设置”>“基本”>“SSL/TLS 证书”。
在“SSL/TLS 证书”窗格中,选择“导入受信任的 CA 证书(推荐)”选项。 例如:
输入以下参数:
参数 说明 证书名称 输入证书名称。 密码 - 可选 输入通行短语。 私钥(密钥文件) 上传私钥(密钥文件)。 证书(CRT 文件) 上传证书(CRT 文件)。 证书链(PEM 文件) - 可选 上传证书链(PEM 文件)。 选择“使用 CRL (证书吊销列表)检查证书状态”,以针对 CRL 服务器验证证书。 在导入过程中检查证书一次。
如果上传失败,请联系安全管理员或 IT 管理员。 有关详细信息,请参阅 本地资源的 SSL/TLS 证书要求 和 为 OT 设备创建 SSL/TLS 证书。
在“本地管理控制台证书验证”区域中,如果要求进行 SSL/TLS 证书验证,请选择“强制”。 否则,请选择“无”。
如果已选择“强制”且验证失败,则相关组件之间的通信会停止,并且传感器上会显示验证错误。 有关详细信息,请参阅 CRT 文件要求。
选择“保存”以保存证书设置。
“不安全”警报,然后选择警告消息“你与此网站的连接不安全”旁边的 > 图标。 例如:
“显示证书”图标以查看该网站的安全证书。排查证书上传错误
如果证书未正确创建或无效,你将无法将证书上传到 OT 传感器或本地管理控制台。 如果证书上传失败并显示错误消息,请使用下表了解如何采取措施:
| 证书验证错误 | 建议 |
|---|---|
| 密码与密钥不匹配 | 确保你有正确的密码。 如果问题持续出现,请尝试使用正确的密码重新创建证书。 有关详细信息,请参阅密钥和通行短语支持的字符。 |
| 无法验证信任链。 提供的证书和根 CA 不匹配。 | 确保 .pem 文件与 .crt 文件相关联。 如果问题仍然存在,请尝试使用 .pem 文件定义的正确信任链重新创建证书。 |
| 此 SSL 证书已过期,被视为无效。 | 创建具有有效日期的新证书。 |
| 此证书已被 CRL 吊销,因此在安全连接中不可信 | 创建新的未吊销证书。 |
| 无法访问 CRL(证书吊销列表)位置。 验证是否可以从此设备访问 URL | 确保网络配置允许传感器或本地管理控制台访问证书中定义的 CRL 服务器。 有关详细信息,请参阅 验证 CRL 服务器访问。 |
| 证书验证失败 | 这表示设备中出现常规错误。 请联系 Microsoft 支持部门。 |
更新 OT 传感器网络配置
你在 安装 期间已配置 OT 传感器网络配置。 可能需要在 OT 传感器维护过程中进行更改,例如修改网络值或设置代理配置。
要更新 OT 传感器配置:
登录到 OT 传感器,然后选择“系统设置”>“基本”>“传感器网络设置”。
在“传感器网络设置”窗格中,根据需要更新 OT 传感器的以下详细信息:
- IP 地址。 更改 IP 地址可能需要用户再次登录到 OT 传感器。
- 子网掩码
- 默认网关
- DNS。 请确保使用在组织的 DNS 服务器中配置的同一主机名。
- 主机名(可选)
根据需要打开或关闭“启用代理”选项。 如果使用代理,请输入以下值:
- 代理主机
- 代理端口
- 代理用户名(可选)
- 代理密码(可选)
选择“保存” 以保存更改。
手动关闭学习模式
Microsoft Defender for IoT 的 OT 网络传感器会在连接到网络并且你已进行登录后立即自动开始监视网络。 网络设备开始显示在 设备清单 中,并且网络中发生任何安全或操作事件时都会触发 警报。
最初,此活动在“学习”模式下发生,这会指示 OT 传感器了解网络的常规活动,包括网络中的设备和协议,以及在特定设备之间发生的常规文件传输。 任何定期检测到的活动都会成为网络的 基线流量。
此过程介绍了如何在认为当前警报准确反映网络活动时手动关闭学习模式。
要手动关闭学习模式:
登录到 OT 网络传感器,然后选择“系统设置>”“网络监视 >”“检测引擎和网络建模”。
关闭以下一个或两个选项:
学习。 当认为 OT 传感器检测准确反映网络活动时,在部署传感器大约两到六周后关闭此选项。
智能 IT 学习。 保持此选项处于打开状态,从而使 不确定的 警报和通知数保持在较低水平。
不确定的行为包括正常 IT 活动(例如 DNS 和 HTTP 请求)导致的更改。 关闭“智能 IT 学习”选项可能会触发许多假正策略冲突警报。
在确认消息中,依次选择“确定”、“关闭”以保存更改。
更新传感器的监视接口(配置 ERSPAN)
你可能想要更改传感器用于监视流量的接口。 你最初已在初始传感器设置中配置了这些详细信息,但可能需要在系统维护过程中修改这些设置,例如配置 ERSPAN 监视。
有关详细信息,请参阅 ERSPAN 端口。
注意
此过程会重启传感器软件,以实现所做的任何更改。
更新传感器的监视接口:
登录 OT 传感器并选择“系统设置”>“基本”>“接口连接”。
在网格中,找到要配置的接口。 执行以下任一操作:
为希望传感器监视的任何接口选择“启用/禁用”切换开关。 必须为每个传感器至少启用一个接口。
如果不确定要使用哪个接口,请选择“
闪烁物理接口 LED”按钮,使所选端口在计算机上闪烁。提示
建议通过将设置配置为仅监视正在使用的接口来优化传感器的性能。
为选择要监视的每个接口选择“
高级设置”按钮以修改以下任何设置:名称 说明 模式 选择以下方案之一:
- SPAN 流量(不使用封装)使用默认 SPAN 端口镜像。
- ERSPAN 如果使用的是 ERSPAN 镜像。
有关详细信息,请参阅为 OT 传感器选择流量镜像方法。说明 输入接口的可选说明。 稍后会在传感器的“系统设置>接口配置”页上看到输入的说明,这些说明可帮助了解每个接口的用途。 自动协商 仅与物理计算机相关。 使用此选项可以确定使用哪种通信方法,或者通信方法是否在组件之间自动定义。
重要提示:建议仅在网络团队的设备上更改此设置。
例如:
选择“保存”以保存更改。 传感器软件将重启以实现更改。
同步 OT 传感器上的时区
你可能要使用特定时区配置 OT 传感器,以便所有用户看到相同的时间,而不考虑用户的位置。
时区用于 警报、趋势和统计信息小组件、数据挖掘报告、风险评估报告 和 攻击途径报告。
要配置 OT 传感器的时区:
登录到 OT 传感器,然后选择“系统设置”>“基本”>“时间与区域”。
在“时间与区域”窗格中,输入以下详细信息:
时区:选择要使用的时区
日期格式:选择要使用的时间和日期格式。 受支持的格式包括:
dd/MM/yyyy HH:mm:ssMM/dd/yyyy HH:mm:ssyyyy/MM/dd HH:mm:ss
“日期和时间”字段自动更新为所选格式的当前时间。
选择“保存”以保存更改。
配置 SMTP 邮件服务器设置
在 OT 传感器上定义 SMTP 邮件服务器设置,以便将 OT 传感器配置为将数据发送到其他服务器和合作伙伴服务。
你需要对 SMTP 邮件服务器进行相关配置,以便从本地管理控制台启用有关传感器断开连接、传感器备份检索失败和 SPAN 监视端口故障的电子邮件警报,并设置邮件转发和配置转发警报规则。
先决条件:
确保可以从传感器的管理端口访问 SMTP 服务器。
要在传感器上配置 SMTP 服务器:
登录到 OT 传感器,然后选择“系统设置”>“集成”>“邮件服务器”。
在出现的“编辑邮件服务器配置”窗格中,定义 SMTP 服务器的值,如下所示:
参数 描述 SMTP 服务器地址 输入 SMTP 服务器的 IP 地址或域地址。 SMTP 服务器端口 默认值 = 25。 根据需要调整此值。 待发邮件帐户 输入一个电子邮件地址,将其用作从传感器出站的邮件的帐户。 SSL 打开从传感器进行的安全连接。 身份验证 打开连接后,输入电子邮件帐户的用户名和密码。 使用 NTLM 通过切换启用 NTLM。 仅当“身份验证”选项处于打开状态时,才会显示此选项。 完成时选择“保存” 。
上传和播放 PCAP 文件
对 OT 传感器进行故障排除时,可能要检查特定 PCAP 文件记录的数据。 为此,可以将 PCAP 文件上传到 OT 传感器并重播记录的数据。
默认情况下,传感器控制台设置中的“播放 PCAP”选项处于启用状态。
已上传文件的最大大小为 2 GB。
若要在传感器控制台中显示 PCAP 播放器,请执行以下操作:
在传感器控制台上,转到“系统设置”>“传感器管理”>“高级配置”。
在“高级配置”窗格中,选择“Pcaps”类别。
在显示的配置中,将
enabled=0更改为enabled=1,并选择“保存”。
“播放 PCAP”选项现已在传感器控制台的设置中的“系统设置”>“基本设置”>“播放 PCAP”下提供。
若要上传并播放 PCAP 文件,请执行以下操作:
在传感器主机上,选择“系统设置”>“基本设置”>“播放 PCAP”。
在“PCAP 播放器”窗格中,选择“上传”,然后导航到要上传的单个或多个文件并将其选择。
选择“播放”以播放 PCAP 文件,或选择“全部播放”以播放当前加载的所有 PCAP 文件。
提示
选择“全部清除”以清除加载的所有 PCAP 文件的传感器。
关闭特定分析引擎
默认情况下,每个 OT 网络传感器都使用 内置分析引擎 分析引入的数据,并根据预记录的实时流量触发警报。
虽然建议保持所有分析引擎都处于打开状态,但可能要在 OT 传感器上关闭特定分析引擎,从而限制该 OT 传感器监视的异常类型和风险。
重要
如果禁用策略引擎,传感器将无法使用该引擎生成的信息。 例如,如果禁用异常引擎,则不会收到有关网络异常的警报。 如果已创建 转发警报规则,不会发送该引擎学习的异常。
要管理 OT 传感器的分析引擎:
登录到 OT 传感器,然后选择“系统设置>”“网络监视 >”“自定义>”“检测引擎和网络建模”。
在“检测引擎和网络建模”窗格的“引擎” 区域中,关闭以下一个或多个引擎:
- 协议冲突
- 策略冲突
- 恶意软件
- 异常
- 可运行
重新打开引擎以再次开始跟踪相关异常和活动。
有关详细信息,请参阅 Defender for IoT API 分析引擎。
选择“关闭”以保存更改。
要从本地管理控制台管理分析引擎:
登录到本地管理控制台,然后选择“系统设置”。
在“传感器引擎配置”部分中,选择要应用设置的一个或多个 OT 传感器,并清除以下任一选项:
- 协议冲突
- 策略冲突
- 恶意软件
- 异常
- 可运行
选择“保存更改”以保存更改。
清除 OT 传感器数据
如果需要重定位或擦除 OT 传感器,请重置它以清除 OT 传感器上所有检测到的或学习的数据。
在已连接到云的传感器上清除数据后:
- Azure 门户上的设备清单会并行更新。
- 不再支持对 Azure 门户中的相应警报执行一些操作,例如下载 PCAP 文件或学习警报。
注意
清除系统数据不会更改网络设置,例如 IP/DNS/网关。
清理系统数据:
以管理员用户身份登录到 OT 传感器。 有关详细信息,请参阅默认特权本地用户。
选择“支持”>“清除数据”。
在确认对话框中,选择“是”以确认要清除传感器中的所有数据并重置它。 例如:
此时会显示一条确认消息,指出操作成功。 所有学习数据、允许列表、策略和配置设置均从传感器中清除。
管理传感器插件和监视插件性能
使用传感器控制台中的“协议 DPI (Horizon 插件)”页面查看传感器监视的每个协议的数据。
登录到 OT 传感器控制台,然后选择“系统设置”>”网络监视”>“协议 DPI (Horizon 插件”。
执行下列操作之一:
若要限制传感器监视的协议,请根据需要为每个插件选择“启用/禁用”切换开关。
若要监视插件性能,请查看每个插件的“协议 DPI (Horizon 插件)”页面上显示的数据。 若要查找特定插件,请使用“搜索”框输入部分或整个插件名称。
“协议 DPI (Horizon 插件)”列出了每个插件的以下数据:
| 列名称 | 说明 |
|---|---|
| 插件 | 定义插件名称。 |
| 类型 | 插件类型,包括“应用程序”或“基础结构”。 |
| 时间 | 上次使用插件分析数据的时间。 时间戳每五秒更新一次。 |
| PPS | 插件每秒分析的数据包数。 |
| 带宽 | 插件在过去五秒内检测到的平均带宽。 |
| 不当格式 | 在过去五秒内检测到的格式错误数。 在协议通过了验证后使用了格式不当的验证。 如果未能基于协议处理数据包,将返回失败响应。 |
| 警告 | 检测到的警告数,例如数据包与结构和规范匹配,但检测到意外行为,具体取决于插件警告配置。 |
| 错误 | 过去五秒内检测到的数据包的错误数,这些数据包包括未能通过基本协议验证的数据包,以及与协议定义匹配的数据包。 |
“剖析统计信息”和“剖析日志”日志文件中的日志数据可以导出。 有关详细信息,请参阅导出故障排除日志。
后续步骤
有关详细信息,请参阅: