Tutorial: incorporación y activación de un sensor de OT virtual
Este tutorial describe los aspectos básicos de la configuración de un sensor OT de Microsoft Defender para IoT, utilizando una suscripción de prueba de Microsoft Defender para IoT y su propia máquina virtual.
Para una implementación completa de un extremo a otro, asegúrese de seguir los pasos necesarios para planear y preparar el sistema, así como calibrar y ajustar completamente la configuración. Para obtener más información, consulte Implementación de Defender para IoT para la supervisión de OT.
Nota
Si desea configurar la supervisión de la seguridad para sistemas IoT empresariales, consulte Habilitación la seguridad de IoT empresarial en Defender para punto de conexión.
En este tutorial, aprenderá a:
- Crear una máquina virtual para el sensor
- Incorporación de un sensor virtual
- Configurar un puerto SPAN virtual
- Aprovisionamiento para la administración en la nube
- Descargar software para un sensor virtual
- Instalar el software del sensor virtual
- Activación del sensor virtual
Requisitos previos
Antes de empezar, asegúrese de que dispone de lo siguiente:
Se ha completado el Inicio rápido: Introducción a Defender para IoT para agregar una suscripción de Azure a Defender para IoT.
Acceso al Azure Portal como Administración de seguridad, Colaborador o Propietario. Para obtener más información, consulte Roles de usuario de Azure para la supervisión de OT e IoT empresarial con Defender para IoT.
Asegúrese de que tiene un conmutador de red que admita la supervisión del tráfico a través de un puerto SPAN. También necesitará al menos un dispositivo para supervisarlo, conectado al puerto SPAN del conmutador.
VMware, ESXi 5.5 o posterior está instalado y operativo en el sensor.
Recursos de hardware disponibles para la máquina virtual como se indica a continuación:
Tipo de implementación Corporativos Enterprise SMB Ancho de banda máximo 2,5 GB/s 800 MB/s 160 MB/s Número máximo de dispositivos protegidos 12,000 10 000 800 Conocimientos sobre la supervisión de OT con aplicaciones virtuales.
Detalles de los siguientes parámetros de red que se usarán para el dispositivo del sensor:
- Dirección IP de la red de administración
- Máscara de subred del sensor
- Nombre de host del dispositivo
- Dirección DNS
- Puerta de enlace predeterminada
- Cualquier interfaz de entrada
Creación de una máquina virtual para el sensor
En este procedimiento, se describe cómo crear una máquina virtual para el sensor con VMware ESXi.
Defender para IoT también admite otros procesos, como el uso de Hyper-V o sensores físicos. Para más información, vea Instalación de Defender para IoT.
Para crear una máquina virtual para el sensor:
Asegúrese de que VMware está en ejecución en su equipo.
Inicie sesión en la máquina ESXi, elija el almacén de datos pertinente y seleccione Explorador del almacén de datos.
Cargue la imagen y seleccione Cerrar.
Vaya a Virtual Machines (máquinas virtuales) y, a continuación, seleccione Create/Register VM (crear/registrar máquina virtual).
Seleccione Create new virtual machine (crear nueva máquina virtual) y después seleccione Next (siguiente).
Agregue un nombre de sensor y, a continuación, defina las siguientes opciones:
Compatibilidad: <última versión de ESXi>
Familia del SO invitado: Linux
Versión del SO invitado: Debian
Seleccione Siguiente.
Elija el almacén de datos pertinente y seleccione Next (siguiente).
Cambie los parámetros del hardware virtual según las especificaciones requeridas para sus necesidades. Para más información, consulte la tabla de la sección Requisitos previos anterior.
Su máquina virtual ya está preparada para la instalación de software de Defender para IoT. Continúe instalando el software más adelante en este tutorial, después de incorporar el sensor en Azure Portal, configurar la creación de reflejo del tráfico y aprovisionar la máquina para la administración en la nube.
Incorporación del sensor virtual
Para poder empezar a usar el sensor de Defender para IoT, deberá incorporar el nuevo sensor virtual a la suscripción de Azure.
Para incorporar el sensor virtual:
En Azure Portal, vaya a la página Defender para IoT > Introducción.
En la parte inferior izquierda, seleccione Set up OT/ICS Security (Configurar la seguridad de OT/ICS).
Como alternativa, en la página Sitios y sensores de Defender para IoT, seleccione Incorporar sensor>de OT.
De forma predeterminada, en la página Set up OT/ICS Security (Configurar la seguridad de OT/ICS), Step 1: Did you set up a sensor? (Paso 1: ¿ha configurado un sensor?) y Step 2: Configure SPAN port or TAP (Paso 2: configurar el puerto SPAN o TAP) del asistente están contraídos.
Instalará el software y configurará la creación de reflejo de tráfico más adelante en el proceso de implementación, pero debería tener sus dispositivos listos y el método de creación de reflejo de tráfico planificado.
En Step 3: Register this sensor with Microsoft Defender for IoT (Paso 3: Registrar este sensor en Microsoft Defender para IoT), defina los siguientes valores:
Nombre del campo Descripción Nombre del recurso Seleccione el sitio al que quiera adjuntar los sensores o seleccione Crear sitio para crear uno nuevo.
Si va a crear un sitio nuevo:
1. En el campo Nuevo sitio, escriba el nombre del sitio y seleccione el botón de marca de verificación.
2. En el menú Tamaño del sitio, seleccione el tamaño del sitio. Los tamaños que se muestran en este menú son aquellos para los que tiene licencia, en función de las licencias que compró en el Centro de administración de Microsoft 365.Nombre para mostrar Escriba un nombre descriptivo para el sitio, que se mostrará en Defender para IoT. Etiquetas Escriba la clave y los valores de etiqueta que le ayudarán a identificar y localizar el sitio y el sensor en Azure Portal. Zona Seleccione la zona que quiere usar para el sensor de OT o seleccione Crear zona para crear una nueva. Para obtener más información, consulte Planificación de sitios y zonas de OT.
Cuando haya terminado con todos los demás campos, seleccione Registrar para agregar el sensor a Defender para IoT. Se muestra un mensaje de confirmación y el archivo de activación se descarga automáticamente. El archivo de activación es único para el sensor y contiene instrucciones sobre el modo de administración del sensor.
Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.
Guarde el archivo de activación descargado en una ubicación que sea accesible para el usuario que inicie sesión por primera vez en la consola para que pueda activar el sensor.
También puede descargar el archivo manualmente seleccionando el vínculo correspondiente en el cuadro Activate your sensor (Activar el sensor). Usará este archivo para activar el sensor, tal como se describe debajo.
En el cuadro Add outbound allow rules (Agregar reglas de permiso de salida), seleccione el vínculo Descargar detalles del punto de conexión para descargar una lista JSON de los puntos de conexión que debe configurar como puntos de conexión seguros desde el sensor.
Guarde el archivo descargado de forma local. Use los puntos de conexión que se enumeran en el archivo descargado más adelante en este tutorial para asegurarse de que el nuevo sensor puede conectarse correctamente a Azure.
Sugerencia
También puede acceder a la lista de puntos de conexión necesarios desde la página Sites and sensors (Sitios y sensores). Para más información, consulte Opciones de administración de sensores desde Azure Portal.
En la parte inferior izquierda de la página, seleccione Finish (Finalizar). Ahora puede ver el nuevo sensor en la página Sites and sensors (Sitios y sensores) de Defender para IoT.
Hasta que active el sensor, el estado del mismo se mostrará como Activación pendiente.
Para más información, consulte Administración de sensores con Defender para IoT en Azure Portal.
Configurar un puerto SPAN
Los conmutadores virtuales no tienen funcionalidades de creación de reflejo. Sin embargo, para este tutorial puede usar el modo promiscuo en un entorno de conmutador virtual para ver todo el tráfico de red que pasa por el conmutador virtual.
En este procedimiento, se describe cómo configurar un puerto SPAN mediante una solución alternativa con VMware ESXi.
Nota
El modo promiscuo es un modo operativo y una técnica de supervisión de seguridad para las interfaces de una máquina virtual en el mismo nivel de grupo de puertos que el conmutador virtual para ver el tráfico de red del conmutador. El modo promiscuo está deshabilitado de manera predeterminada, pero se puede definir en el nivel de conmutador virtual o de grupo de puertos.
Para configurar una interfaz de supervisión con el modo Promiscuo en un conmutador virtual de ESXi:
Abra la página de propiedades de vSwitch y seleccione Agregar conmutador virtual estándar.
Escriba Red SPAN como etiqueta de red.
En el campo MTU, escriba 4096.
Seleccione Security (seguridad) y compruebe que la directiva Promiscuous Mode (modo promiscuo) esté establecida en el modo Accept (aceptar).
Seleccione Agregar para cerrar las propiedades del conmutador virtual.
Resalte el vSwitch que acaba de crear y seleccione Agregar vínculo superior.
Seleccione la NIC física que usará para el tráfico SPAN, cambie el MTU a 4096 y, a continuación, seleccione Guardar.
Abra la página de propiedades Grupo de puertos y seleccione Agregar grupo de puertos.
Introduzca Grupo de puertos SPAN como nombre, introduzca 4095 como id. de VLAN y seleccione Red SPAN en la lista desplegable de vSwitch y, a continuación, seleccione Agregar.
Abra las propiedades de la Máquina virtual del sensor de red de OT.
En Network Adapter 2 (adaptador de red 2), seleccione la red SPAN.
Seleccione Aceptar.
Conéctese al sensor y compruebe que la solución de creación de reflejo funcione.
Validar la creación de reflejo del tráfico
Después de configurar la creación de reflejo del tráfico, intente recibir un ejemplo de tráfico grabado (archivo PCAP) desde el puerto SPAN o reflejo del conmutador.
Un archivo PCAP de ejemplo le ayudará a:
- Validar la configuración del conmutador
- Confirmar que el tráfico que pasa por el conmutador es relevante para la supervisión
- Identificar el ancho de banda y una cantidad estimada de dispositivos detectados por el conmutador
Use una aplicación de analizador de protocolos de red, como Wireshark, para registrar un archivo PCAP de ejemplo durante unos minutos. Por ejemplo, conecte un portátil a un puerto en el que haya configurado la supervisión del tráfico.
Compruebe que los paquetes de unidifusión estén presentes en el tráfico de la grabación. El tráfico de unidifusión es el que se envía de una dirección a otra.
Si la mayor parte del tráfico son mensajes ARP, la configuración de creación de reflejo del tráfico no es correcta.
Compruebe que los protocolos de OT estén presentes en el tráfico analizado.
Por ejemplo:
Aprovisionamiento para la administración en la nube
En esta sección se describe cómo configurar puntos de conexión para definir en las reglas de firewall, garantizando que sus sensores de OT puedan conectarse a Azure.
Para obtener más información, consulte Métodos para conectar sensores a Azure.
Para configurar los detalles del punto de conexión:
Abra el archivo que descargó anteriormente para ver la lista de puntos de conexión necesarios. Configure las reglas de firewall para que el sensor pueda acceder a cada uno de los puntos de conexión necesarios, a través del puerto 443.
Sugerencia
También puede descargar la lista de puntos de conexión necesarios de la página Sitios y sensores de Azure Portal. Vaya a Sitios y sensores>Más acciones>Descargar detalles del punto de conexión. Para más información, consulte Opciones de administración de sensores desde Azure Portal.
Para más información, consulte Aprovisionamiento de sensores para la administración en la nube.
Descarga de software para el sensor virtual
En esta sección se describe cómo descargar e instalar el software del sensor en su propia máquina.
Para descargar software para los sensores virtuales:
En Azure Portal, vaya a la página Defender para IoT > Introducción y seleccione la pestaña Sensor.
En el cuadro Purchase an appliance and install software (Comprar un dispositivo e instalar el software), asegúrese de que la opción predeterminada esté seleccionada para la versión de software más reciente y recomendada y, a continuación, seleccione Download (Descargar).
Guarde el software descargado en una ubicación a la que se pueda acceder desde la máquina virtual.
Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.
Instalación del software del sensor
En este procedimiento, se describe cómo instalar el software del sensor en la máquina virtual.
Nota
Al final del proceso, se le indicarán los nombres de usuario y las contraseñas para el dispositivo. Asegúrese de copiarlas, ya que estas contraseñas no se volverán a presentar.
Para instalar el software en el sensor virtual:
Si ha cerrado la máquina virtual, vuelva a iniciar sesión en ESXi y abra la configuración de la máquina virtual.
En CD/DVD Drive 1 (Unidad de CD/DVD 1), seleccione Datastore ISO file (Archivo ISO del almacén de datos) y seleccione el software de Defender para IoT que descargó anteriormente.
Seleccione Siguiente>Finalizar.
Encienda la máquina virtual y abra una consola.
Cuando se inicie la instalación, se le pedirá que inicie el proceso de instalación. Seleccione el elemento Install iot-sensor-
<version number>
para continuar o deje que se inicie automáticamente después de 30 segundos. Por ejemplo:Nota
Si usa una versión heredada del BIOS, se le pedirá que seleccione un idioma y las opciones de instalación se presentan en la parte superior izquierda en lugar de en el centro. Cuando se le solicite, seleccione
English
y, a continuación, la opción Install iot-sensor-<version number>
para continuar.La instalación comienza, lo que le proporciona mensajes de estado actualizados a medida que avanza. Todo el proceso de instalación tarda hasta 20-30 minutos y puede variar en función del tipo de medio que use.
Una vez completada la instalación, se muestra el siguiente conjunto de detalles de red predeterminados.
IP: 172.23.41.83, SUBNET: 255.255.255.0, GATEWAY: 172.23.41.1, UID: 91F14D56-C1E4-966F-726F-006A527C61D
Use la dirección IP predeterminada proporcionada para acceder al sensor para la configuración inicial y la activación.
Validación después de la instalación
En este procedimiento se describe cómo validar la instalación mediante las propias comprobaciones de estado del sistema del sensor y está disponible para el usuario administrador predeterminado.
Para validar la instalación:
Inicie sesión en el sensor de OT como usuario
admin
.Seleccione System Settings>Sensor management>System Health Check (Configuración del sistema > Administración de sensores > Comprobar estado del sistema).
Seleccione los siguientes comandos:
- Appliance (Dispositivo) para comprobar que el sistema se está ejecutando. Compruebe que cada elemento de línea se muestre como En ejecución y que la última línea indique que el sistema está activo.
- Version (Versión) para comprobar que tiene instalada la versión correcta.
- ifconfig para comprobar que todas las interfaces de entrada configuradas durante la instalación estén en ejecución.
Para obtener más pruebas de validación posteriores a la instalación, como puertas de enlace, DNS o comprobaciones de firewall, consulte Validación de una instalación de software del sensor de OT.
Definición de la configuración inicial
En el procedimiento siguiente se describe cómo configurar las opciones de configuración inicial del sensor, entre las que se incluyen:
- Inicio de sesión en la consola del sensor y cambio de la contraseña del usuario administrador
- Definir los detalles de red para el sensor
- Definir las interfaces que desea supervisar
- Activar el sensor
- Configurar los valores de certificado SSL/TLS
Iniciar sesión en la consola del sensor y cambiar la contraseña predeterminada
En este procedimiento se describe cómo iniciar sesión por primera vez en la consola del sensor de OT. Se le pedirá que cambie la contraseña predeterminada para el usuario administrador.
Para iniciar sesión en el sensor:
En un explorador, vaya a la dirección IP
192.168.0.101
, que es la dirección IP predeterminada proporcionada para el sensor al final de la instalación.Aparece la página de inicio de sesión inicial. Por ejemplo:
Escriba las siguientes credenciales y seleccione Iniciar sesión:
- Nombre de usuario:
support
- Contraseña:
support
Se le pide que defina una nueva contraseña para el usuario administrador.
- Nombre de usuario:
En el campo Nueva contraseña, escriba la nueva contraseña. La contraseña debe contener caracteres alfabéticos en minúsculas y mayúsculas, números y símbolos.
En el campo Confirmar nueva contraseña, vuelva a escribir la nueva contraseña y, a continuación, seleccione Empezar.
Para obtener más información, consulte Usuarios con privilegios predeterminados.
Se abre la página Defender para IoT | Información general en la pestaña Interfaz de administración.
Definición de los detalles de red del sensor
En la pestaña Interfaz de administración, use los campos siguientes para definir los detalles de red del nuevo sensor:
Para este tutorial, deje Omitir las configuraciones de proxy en el área Habilitar proxy para la conectividad en la nube (opcional).
Cuando haya terminado, seleccione Siguiente: Configuraciones de interfaz para continuar.
Definición de las interfaces que desea supervisar
La pestaña Conexiones de interfaz muestra todas las interfaces detectadas por el sensor de manera predeterminada. Use esta pestaña para activar o desactivar la supervisión por interfaz o definir una configuración específica para cada interfaz.
Sugerencia
Se recomienda optimizar el rendimiento en el sensor mediante la configuración de los valores para supervisar solo las interfaces que están en uso activo.
En la pestaña Configuraciones de interfaz, haga lo siguiente para configurar las opciones de las interfaces supervisadas:
Seleccione el botón de alternancia Habilitar o deshabilitar para las interfaces que desea que el sensor supervise. Debe seleccionar al menos una interfaz para continuar.
Si no está seguro de qué interfaz usar, seleccione el botón Hacer parpadear LED de interfaz física para que el puerto seleccionado parpadee en la máquina. Seleccione cualquiera de las interfaces que ha conectado al conmutador.
Para este tutorial, omita cualquier configuración avanzada y seleccione Siguiente: Reiniciar > para continuar.
Cuando se le solicite, seleccione Iniciar reinicio para reiniciar la máquina del sensor. Después de que el sensor se inicie de nuevo, se le redirigirá automáticamente a la dirección IP que había definido anteriormente como la dirección IP del sensor.
Seleccione Cancelar para esperar para el reinicio.
Activación del sensor de OT
En este procedimiento se describe cómo activar el nuevo sensor de OT.
Para activar el sensor:
En la pestaña Activación, seleccione Cargar para cargar el archivo de activación del sensor que había descargado de Azure Portal.
Seleccione la opción de términos y condiciones y, a continuación, seleccione Siguiente: Certificados.
Definición de la configuración del certificado SSL/TLS
Use la pestaña Certificados para implementar un certificado SSL/TLS en el sensor de OT. Aunque se recomienda usar un certificado firmado por la entidad de certificación para todos los entornos de producción, para este tutorial, seleccione Usar un certificado autofirmado.
Para establecer la configuración del certificado SSL/TLS:
En la pestaña Certificados, seleccione Usar certificado autofirmado generado localmente (no recomendado) y seleccione la opción Confirmar .
Para más información, consulte Requisitos de certificados SSL/TLS para recursos locales y Creación de certificados SSL/TLS para dispositivos OT.
Seleccione Finalizar para completar la configuración inicial y abrir la consola del sensor.