教學課程:設定安全性代理程式
本文說明適用於 IoT 的 Defender 安全性代理程式,並詳述如何對其進行變更和設定。
- 設定安全性代理程式
- 編輯對應項屬性來變更代理程式列為
- 探索預設設定
客服專員
適用於 IoT 的 Defender 安全性代理程式會從 IoT 裝置收集資料,並執行安全性動作來減輕偵測到的弱點。 安全性代理程式設定可以使用一組您可自訂的模組對應項屬性進行控制。 一般而言,不常進行這些屬性的次要更新。
適用於 IoT 的 Defender 安全性代理程式對應項設定物件是 JSON 格式物件。 設定物件是一組可控制的屬性,您可以定義這些屬性來控制代理程式的行為。
這些設定可協助您自訂每個所需案例的代理程式。 例如,設定這些屬性,即可自動排除某些事件,或可能將耗電量保持在最低層級。
使用適用於 IoT 的 Defender 安全性代理程式設定結構描述來進行變更。
設定物件
與每個適用於 IoT 的 Defender 安全性代理程式相關的屬性位於所需屬性區段內 azureiotsecurity 模組的代理程式設定物件中。
若要修改設定,請在 azureiotsecurity 模組對應項身分識別內建立和修改此物件。
如果代理程式設定物件不存在於 azureiotsecurity 模組對應項中,則所有安全性代理程式屬性值都會設定為預設值。
"desired": {
"ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": {
}
}
設定結構描述和驗證
請務必針對此結構描述驗證代理程式設定。 如果設定物件不符合結構描述,則不會啟動代理程式。
代理程式正在執行時,如果設定物件變更為無效的設定 (設定不符合結構描述),則代理程式將會忽略無效的設定,並且將繼續使用目前的設定。
設定驗證
適用於 IoT 的 Defender 安全性代理程式會在 azureiotsecurity 模組對應項身分識別的已報告屬性區段中報告其目前設定。 代理程式會報告所有可用的屬性,如果使用者未設定屬性,則代理程式會報告預設設定。
若要驗證您的設定,請將所需區段上所設定的值與已報告區段中所報告的值進行比較。
如果所需屬性與已報告屬性不符,則代理程式無法剖析設定。
針對結構描述驗證所需屬性、修正錯誤,並再次設定所需屬性!
注意
如果代理程式無法剖析所需設定,則會從代理程式引發設定錯誤警示。 比較已報告和所需區段,以了解是否仍然發出警示
編輯屬性
所有自訂屬性都必須設定於 azureiotsecurity 模組對應項的代理程式設定物件內。 若要使用預設屬性值,請從設定物件中移除屬性。
設定屬性
在 IoT 中樞內,找到並選取想要變更的裝置。
按一下您的裝置,然後按一下 [azureiotsecurity] 模組。
按一下 [模組身分識別對應項]。
編輯 Defender-IoT-micro-agent 中您想要變更的屬性。
例如,若要將連線事件設定為高優先順序,並每隔 7 分鐘收集高優先順序事件,請使用下列設定。
"desired": { "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration": { "highPriorityMessageFrequency": { "value": "PT7M" }, "eventPriorityConnectionCreate": { "value": "High" } } }按一下 [檔案] 。
使用預設值
若要使用預設屬性值,請從設定物件中移除屬性。
預設屬性
下表包含適用於 IoT 的 Defender 安全性代理程式的可控制屬性。
預設值位於 GitHub 的適當結構描述中。
| 名稱 | 狀態 | 有效值 | 預設值 | 描述 |
|---|---|---|---|---|
| highPriorityMessageFrequency | 必要:false | 有效值:ISO 8601 格式的持續時間 | 預設值:PT7M | 傳送高優先順序訊息之前的時間間隔上限。 |
| lowPriorityMessageFrequency | 必要:false | 有效值:ISO 8601 格式的持續時間 | 預設值:PT5H | 傳送低優先順序訊息之前的時間上限。 |
| snapshotFrequency | 必要:false | 有效值:ISO 8601 格式的持續時間 | 預設值:PT13H | 建立裝置狀態快照集的時間間隔。 |
| maxLocalCacheSizeInBytes | 必要:false | 有效值: | 預設值:2560000、大於 8192 | 代理程式訊息快取允許的儲存體上限 (位元組)。 傳送訊息之前,允許在裝置上儲存訊息的空間量上限。 |
| maxMessageSizeInBytes | 必要:false | 有效值:正數、大於 8192、小於 262144 | 預設值:204800 | 代理程式到雲端訊息的允許大小上限。 此設定控制每個訊息中傳送的資料上限。 |
| eventPriority${EventName} | 必要:false | 有效值:High、Low、Off | 預設值: | 每個代理程式所產生事件的優先順序 |
支援的安全性事件
| 事件名稱 | PropertyName | 預設值 | 快照集事件 | 詳細資料狀態 |
|---|---|---|---|---|
| 診斷事件 | eventPriorityDiagnostic | 關閉 | False | 代理程式相關診斷事件。 使用此事件進行詳細資訊記錄。 |
| 設定錯誤 | eventPriorityConfigurationError | 低 | False | 代理程式無法剖析設定。 針對結構描述驗證設定。 |
| 已卸除的事件統計資料 | eventPriorityDroppedEventsStatistics | 低 | True | 代理程式相關事件統計資料。 |
| 已連線的硬體 | eventPriorityConnectedHardware | 低 | True | 連線至裝置之所有硬體的快照集。 |
| 接聽連接埠 | eventPriorityListeningPorts | 高 | True | 裝置上所有已開啟接聽連接埠的快照集。 |
| 程序建立 | eventPriorityProcessCreate | 低 | False | 稽核裝置上的程序建立。 |
| 程序終止 | eventPriorityProcessTerminate | 低 | False | 稽核裝置上的程序終止。 |
| 系統資訊 | eventPrioritySystemInformation | 低 | True | 系統資訊 (例如:OS 或 CPU) 的快照集。 |
| 本機使用者 | eventPriorityLocalUsers | 高 | True | 系統內已註冊本機使用者的快照集。 |
| 登入 | eventPriorityLogin | 高 | False | 稽核裝置的登入事件 (本機和遠端登入)。 |
| 連線建立 | eventPriorityConnectionCreate | 低 | False | 稽核與裝置之間建立的 TCP 連線。 |
| 防火牆設定 | eventPriorityFirewallConfiguration | 低 | True | 裝置防火牆設定的快照集 (防火牆規則)。 |
| OS 基準 | eventPriorityOSBaseline | 低 | True | 裝置 OS 基準檢查的快照集。 |