Résoudre les problèmes du capteur

Cet article décrit les outils de dépannage de base du capteur. Outre les éléments décrits ici, vous pouvez vérifier l’intégrité de votre système des manières suivantes :

• Alertes : Une alerte est créée lorsque l’interface du capteur qui surveille le trafic est défaillante.
• SNMP : L’intégrité du capteur est analysée via protocole SNMP. Microsoft Defender pour IoT répond aux requêtes SNMP envoyées à partir d’un serveur d’analyse autorisé.
• Notifications système : Quand une console de gestion contrôle le capteur, vous pouvez transférer des alertes concernant les échecs de sauvegarde de capteur et les capteurs déconnectés.

Pour tout autre problème, contactez Support Microsoft.

Prérequis

Pour effectuer les procédures décrites dans cet article, vérifiez que vous avez bien :

• Accès au capteur réseau OT en tant qu’utilisateur administrateur par défaut. Pour plus d’informations, consultez Utilisateurs locaux privilégiés par défaut.

Vérifier les problèmes de connectivité entre capteur et cloud

Les capteurs OT exécutent automatiquement des vérifications de connectivité pour s’assurer que votre capteur a accès à tous les points de terminaison requis. Si un capteur n’est pas connecté, une erreur est indiquée dans le portail Azure, dans la page Sites et capteurs et dans la page Vue d’ensemble du capteur. Par exemple :

```

Utilisez la page Résolution des problèmes de connectivité cloud dans votre capteur OT pour en savoir plus sur l’erreur qui s’est produite et les actions d’atténuation recommandées que vous pouvez prendre.

Pour résoudre les erreurs de connectivité, connectez-vous à votre capteur OT et effectuez l’une des opérations suivantes :

• Dans la page Vue d’ensemble du capteur, sélectionnez le lien Dépanner* dans l’erreur en haut de la page
• Sélectionnez Paramètres système et gestion des capteurs> Intégrité et résolution des problèmes > Résolution des problèmes de connectivité cloud

Le volet Résolution des problèmes de connectivité cloud s’ouvre à droite. Si le capteur est connecté au portail Azure, le volet indique que Le capteur est connecté au cloud. Si le capteur n’est pas connecté, une description du problème et des instructions d’atténuation sont répertoriées à la place. Par exemple :

Le volet Résolution des problèmes de connectivité cloud couvre les types de problèmes suivants :

Problème	Description
Erreurs lors de l’établissement de connexions sécurisées	Se produit pour les erreurs SSL, ce qui signifie généralement que le capteur n’approuve pas le certificat trouvé. Cela peut se produire en raison d’une configuration d’heure de capteur incorrecte ou de l’utilisation d’un service d’inspection SSL. Les services d’inspection SSL se trouvent souvent dans des proxys et peuvent entraîner des erreurs de certificat. Pour en savoir plus, consultez Gérer les certificats SSL/TLS et Synchroniser les fuseaux horaires sur un capteur OT.
Erreurs de connexion générales	Se produit lorsque le capteur ne peut pas se connecter à un ou plusieurs points de terminaison requis. Dans ce cas, assurez-vous que tous les points de terminaison requis sont accessibles à partir de votre capteur et envisagez de configurer d’autres points de terminaison dans votre pare-feu. Pour plus d'informations, consultez Approvisionner des capteurs pour la gestion cloud.
Erreurs de serveur DNS inaccessibles	Se produit lorsque le capteur ne peut pas effectuer la résolution de noms en raison d’un serveur DNS inaccessible. Dans ce cas, vérifiez que votre capteur peut accéder au serveur DNS. Pour plus d’informations, consultez Mettre à jour la configuration réseau du capteur OT.
Problèmes d’authentification de proxy	Se produit lorsqu’un proxy demande une authentification, mais qu’aucune information d’identification n’est fournie ou que des informations d’identification incorrectes sont indiquées. Dans ce cas, vérifiez que vous avez correctement configuré les informations d’identification du proxy. Pour plus d’informations, consultez Mettre à jour la configuration réseau du capteur OT.
Échecs de résolution de noms	Se produit lorsque le capteur ne peut pas effectuer la résolution de noms pour un point de terminaison spécifique. Dans ce cas, si votre serveur DNS est accessible, assurez-vous que le serveur DNS est configuré sur votre capteur. Si la configuration est correcte, nous vous recommandons de contacter votre administrateur DNS. Pour plus d’informations, consultez Mettre à jour la configuration réseau du capteur OT.
Erreurs de serveur proxy inaccessibles	Se produit lorsque le capteur ne peut pas établir de connexion avec le serveur proxy. Dans ce cas, vérifiez l’accessibilité de votre serveur proxy auprès de votre équipe réseau. Pour plus d’informations, consultez Mettre à jour la configuration réseau du capteur OT.
Dérive temporelle détectée	Se produit lorsque l’heure UTC du capteur n’est pas synchronisée avec Defender pour IoT sur le Portail Azure. Dans ce cas, configurez un serveur NTP (Network Time Protocol) pour synchroniser le capteur sur l’heure UTC. Pour plus d’informations, consultez Configurer les paramètres de capteur OT à partir du portail Azure.

Vérifier l’intégrité du système

Contrôlez l’intégrité de votre système à partir du capteur.

Pour accéder à l’outil d’intégrité du système :

1. Connectez-vous au capteur avec les informations d’identification de l’utilisateur administrateur, puis sélectionnez Paramètres système>Contrôle d’intégrité du système.

2. Dans le volet Contrôle d’intégrité du système, sélectionnez une commande du menu pour afficher plus de détails dans la zone. Par exemple :

   

Les vérifications d’intégrité du système sont les suivantes :

Nom	Description
Validité
- Appliance	Exécute la vérification de l’intégrité de l’appliance. Vous pouvez effectuer la même vérification à l’aide de la commande CLI system-sanity.
- Version	Affiche la version de l’appliance.
- Propriétés réseau	Affiche les paramètres réseau du capteur.
Redis
- Mémoire	Fournit une vue d’ensemble de l’utilisation de la mémoire, par exemple la quantité de mémoire utilisée et la quantité restante.
- Clé la plus longue	Affiche les clés les plus longues qui peuvent entraîner une utilisation intensive de la mémoire.
Système
- Journal principal	Fournit les 500 dernières lignes du journal principal, ce qui vous permet de visualiser les lignes de journal récentes sans exporter l’intégralité du journal système.
- Gestionnaire des tâches	Traduit les tâches qui s’affichent dans le tableau des processus en couches comme suit : - Couche persistante (Redis) - Couche de cache (SQL)
- Statistiques relatives au réseau	Affiche les statistiques de votre réseau.
- TOP	Affiche la table des processus. Il s’agit d’une commande Linux qui fournit une vue dynamique en temps réel du système en cours d’exécution.
- Vérification de la mémoire de sauvegarde	Indique l’état de la mémoire de sauvegarde, en vérifiant les éléments suivants : - Emplacement du dossier de sauvegarde - Taille du dossier de sauvegarde - Limitations du dossier de sauvegarde - Date et heure de la dernière sauvegarde - Espace disponible pour les fichiers de sauvegarde supplémentaires
- ifconfig	Affiche les paramètres des interfaces physiques de l’appliance.
- CyberX nload	Affiche le trafic et la bande passante en utilisant les tests de six secondes.
- Erreurs du journal Core	Affiche les erreurs du fichier journal principal.

Vérifier l’intégrité du système à l’aide de l’interface de ligne de commande

Vérifiez que le système est opérationnel et qu’il est en cours d’exécution avant de tester l’intégrité du système.

Pour plus d’informations, consultez Informations de référence sur les commandes CLI à partir de capteurs réseau OT.

Pour tester l’intégrité du système :

1. Connectez-vous à l’interface CLI avec le terminal Linux (par exemple PuTTY) et l’utilisateur administrateur.

2. Entrez system sanity.

3. Vérifiez que tous les services sont en vert (en cours d’exécution).

   

4. Vérifiez que System is UP! (prod) [Le système est opérationnel ! (prod)] s’affiche en bas.

Vérifiez que la version correcte est utilisée :

Pour vérifier la version du système :

1. Connectez-vous à l’interface CLI avec le terminal Linux (par exemple PuTTY) et l’utilisateur administrateur.

2. Entrez system version.

3. Vérifiez que la version correcte s’affiche.

Vérifiez que toutes les interfaces d’entrée configurées pendant le processus d’installation fonctionnent :

Pour valider l’état du réseau du système :

1. Connectez-vous à l’interface CLI avec le terminal Linux (par exemple PuTTY) et l’utilisateur administrateur.

2. Entrez network list (l’équivalent de la commande Linux ifconfig).

3. Confirmez que les interfaces d’entrée requises s’affichent. Par exemple, si deux cartes réseau Cuivre 4 ports sont installées, la liste doit compter 10 interfaces.

   

Vérifiez que vous pouvez accéder à la GUI web de la console :

Pour vérifier que la gestion a accès à l’interface utilisateur :

1. Connectez un ordinateur portable au port de gestion (Gb1) à l’aide d’un câble Ethernet.

2. Définissez l’adresse de la carte réseau de l’ordinateur portable pour qu’elle soit dans la même plage que celle de l’appliance.

   

3. Effectuez un test ping sur l’adresse IP de l’appliance à partir de l’ordinateur portable pour vérifier la connectivité (par défaut : 10.100.10.1).

4. Ouvrez le navigateur Chrome sur l’ordinateur portable et entrez l’adresse IP de l’appliance.

5. Dans la fenêtre Votre connexion n’est pas privée, sélectionnez Avancé et continuez.

6. Le test est réussi lorsque l’écran de connexion Defender pour IoT s’affiche.

   

Télécharger un journal de diagnostic pour la prise en charge

Cette procédure explique comment télécharger un journal de diagnostic à envoyer au support en lien avec un ticket de support spécifique.

Cette fonctionnalité est prise en charge pour les versions de capteur suivantes :

• 22.1.1 : Téléchargez un journal de diagnostic à partir de la console du capteur.
• 22.1.3 et version ultérieure – Pour les capteurs gérés localement, chargez un journal de diagnostic à partir de la page Sites et capteurs du Portail Azure. Ce fichier est automatiquement envoyé au support lorsque vous ouvrez un ticket sur un capteur connecté au cloud.

Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

Pour télécharger un journal de diagnostic :

1. Dans la console du capteur, sélectionnez Paramètres système > Gestion des capteurs > Intégrité et résolution des problèmes > Sauvegarde et restauration > Sauvegarde.

2. Sous Journaux, sélectionnez Diagnostics des tickets de support, puis Exporter.

   

3. Pour un capteur géré localement, version 22.1.3 ou ultérieure, poursuivez avec Charger un journal de diagnostic pour la prise en charge.

Récupérer les données forensiques

Les types de données d’investigation suivants sont stockés localement sur les capteurs OT, pour les appareils détectés par ce capteur :

• Données d’appareil
• Données d’alerte
• Fichiers PCAP d’alerte
• Données de chronologie des événements
• Fichiers journaux

Sur un capteur de réseau OT, utilisez les rapports d’exploration des données ou les classeurs Azure Monitor du capteur OT pour extraire les données forensiques de son stockage. Chaque type de données présente une période de rétention et une capacité maximale différentes.

Pour en savoir plus, consultez Conservation de données dans Microsoft Defender pour IoT.

Vous ne pouvez pas vous connecter à l’aide d’une interface web

1. Vérifiez que l’ordinateur que vous essayez de connecter se trouve sur le même réseau que l’appliance.

2. Vérifiez que le réseau de l’interface graphique utilisateur est connecté au port de gestion.

3. Effectuez un test ping sur l’adresse IP de l’appliance. S’il n’y a pas de ping :

   1. Connectez un moniteur et un clavier à l’appliance.

   2. Utilisez l’utilisateur et le mot de passe administrateur pour vous connecter.

   3. Utilisez la commande network list pour afficher l’adresse IP actuelle.

4. Si les paramètres du réseau sont mal configurés, utilisez la procédure suivante pour les modifier :

   1. Utilisez la commande network edit-settings.

   2. Pour modifier l’adresse IP du réseau de gestion, sélectionnez O.

   3. Pour modifier le masque de sous-réseau, sélectionnez O.

   4. Pour modifier le DNS, sélectionnez O.

   5. Pour modifier l’adresse IP de la passerelle par défaut, sélectionnez O.

   6. Pour la modification de l’interface d’entrée (capteur uniquement), sélectionnez N.

   7. Pour appliquer les paramètres, sélectionnez O.

5. Après le redémarrage, connectez-vous avec les informations d’identification de l’utilisateur administrateur et utilisez la commande network list pour vérifier que les paramètres ont été modifiés.

6. Essayez d’effectuer un test ping et de vous reconnecter à partir de l’interface graphique utilisateur.

L’appliance ne répond pas

1. Connectez un moniteur et un clavier à l’appliance, ou utilisez PuTTY pour vous connecter à distance à l’interface de ligne de commande.

2. Utilisez les informations d’identification de l’utilisateur administrateur pour vous connecter.

3. Utilisez la commande system sanity et vérifiez que tous les processus sont en cours d’exécution. Par exemple :

   

Pour tout autre problème, contactez Support Microsoft.

Examiner l’échec du mot de passe lors de la connexion initiale

Lorsque vous vous connectez pour la première fois à un capteur préconfiguré, vous devez récupérer le mot de passe comme suit :

1. Sur l’écran de connexion Defender pour IoT, sélectionnez Récupération du mot de passe. L’écran Récupération du mot de passe s’ouvre.

2. Sélectionnez Administrateur ou CyberX, puis copiez l’identificateur unique.

3. Accédez au Portail Azure et sélectionnez Sites et capteurs.

4. Sélectionnez le menu déroulant Autres actions, puis sélectionnez Récupérer le mot de passe de la console de gestion locale.

   

5. Entrez l’identificateur unique que vous avez reçu sur l’écran Récupération du mot de passe, puis sélectionnez Récupérer. Le fichier password_recovery.zip est téléchargé. N’extrayez pas ou ne modifiez pas le fichier zip.

   

6. Sur l’écran Récupération du mot de passe, sélectionnez Charger. La fenêtre Charger le fichier de récupération du mot de passe s’ouvre.

7. Sélectionnez Parcourir pour localiser votre fichier password_recovery.zip ou faites glisser password_recovery.zip sur la fenêtre.

8. Sélectionnez Suivant, et votre utilisateur et un mot de passe généré par le système pour votre console de gestion s’affichent alors.

   Remarque

   Quand vous vous connectez à un capteur pour la première fois, il est lié à votre abonnement Azure, dont vous aurez besoin si vous devez récupérer le mot de passe pour l’utilisateur administrateur. Pour plus d’informations, consultez Récupérer l’accès privilégié à un capteur.

Examiner un manque de trafic

Un indicateur apparaît en haut de la console lorsque le capteur détecte qu’il n’y a aucun trafic sur l’un des ports configurés. Cet indicateur est visible pour tous les utilisateurs. Lorsque ce message s’affiche, vous pouvez rechercher l’emplacement où il n’y a aucun trafic. Assurez-vous que le câble SPAN est connecté et que l’architecture SPAN n’a pas été modifiée.

Vérifier les performances du système.

Quand un nouveau capteur est déployé, ou un capteur fonctionne lentement ou n’affiche aucune alerte, vous pouvez vérifier les performances du système.

1. Connectez-vous au capteur et sélectionnez Vue d’ensemble. Assurez-vous que PPS est supérieur à 0 et que les appareils sont découverts.
2. Dans la page Exploration de données, générez un rapport.
3. Dans la page Tendances et statistiques, créez un tableau de bord.
4. Dans la page Alertes, vérifiez que l’alerte a été créée.

Examiner un manque d’alertes attendues

Si la fenêtre Alertes n’affiche pas une alerte que vous attendiez, vérifiez les points suivants :

1. Vérifiez si la même alerte apparaît déjà dans la fenêtre Alertes en réaction à une instance de sécurité différente. Si c’est le cas, et si cette alerte n’a pas encore été traitée, la console du capteur n’affiche pas de nouvelle alerte.
2. Vérifiez que vous n’avez pas exclu cette alerte à l’aide des règles Exclusion d’alerte dans la console de gestion.

Examiner un tableau de bord qui n’affiche aucune donnée

Lorsque les tableaux de bord de la fenêtre Tendances et statistiques n’affichent aucune donnée, procédez comme suit :

1. Vérifiez les performances du système.
2. Assurez-vous que les paramètres de l’heure et de la région sont correctement configurés et qu’ils ne sont pas définis sur une heure ultérieure.

Examiner une carte des appareils qui affiche uniquement les appareils de diffusion

Lorsque les appareils indiqués sur la carte des appareils semblent ne pas être connectés entre eux, il est possible qu’il y ait un problème dans la configuration du port SPAN. Autrement dit, vous ne voyez peut-être que des appareils de diffusion et aucun trafic de monodiffusion.

1. Confirmez que vous ne voyez que le trafic de diffusion. Pour ce faire, dans Exploration de données, sélectionnez Créer un rapport. Dans Créer un rapport, spécifiez les champs du rapport. Dans Choisir une catégorie, choisissez Sélectionner tout.
2. Enregistrez le rapport, puis vérifiez s’il ne contient que le trafic de diffusion et de multidiffusion (et non le trafic de monodiffusion). Si c’est le cas, contactez votre service Réseau pour lui demander de corriger la configuration du port SPAN afin que vous puissiez voir également le trafic de monodiffusion. Vous pouvez également enregistrer un PCAP directement à partir du commutateur, ou connecter un ordinateur portable en utilisant Wireshark.

Pour plus d'informations, consultez les pages suivantes :

• Configurer une mise en miroir du trafic
• Charger et lire des fichiers PCAP

Connecter le capteur à NTP

Vous pouvez configurer un capteur autonome et une console de gestion, avec les capteurs qui y sont associés, pour vous connecter à NTP.

Conseil

Lorsque vous êtes prêt à gérer vos paramètres de capteur OT à grande échelle, définissez les paramètres NTP à partir du Portail Azure. Une fois que vous avez appliqué les paramètres à partir du portail Azure, les paramètres définis sur la console du capteur sont en lecture seule. Pour plus d’informations, consultez Configurer les paramètres de capteur OT à partir du portail Azure (préversion publique).

Pour connecter un capteur autonome à NTP :

• Consultez la documentation CLI.

Pour connecter un capteur contrôlé par la console de gestion à NTP :

• La connexion à NTP est configurée sur la console de gestion. Tous les capteurs contrôlés par la console de gestion obtiennent automatiquement la connexion à NTP.

Déterminer quand des appareils ne sont pas affichés sur la carte ou que vous avez plusieurs alertes relatives à Internet

Parfois, les périphériques ICS sont configurés avec des adresses IP externes. Ces périphériques ICS ne sont pas affichés sur la carte. Au lieu des périphériques, un cloud Internet apparaît sur la carte. Les adresses IP de ces périphériques sont incluses dans l’image du cloud. Une autre indication du même problème est lorsque plusieurs alertes liées à Internet s’affichent. Corrigez le problème comme suit :

1. Cliquez avec le bouton droit sur l’icône du cloud sur la carte des appareils, puis sélectionnez Exporter des adresses IP.
2. Copiez les plages publiques qui sont privées et ajoutez-les à la liste des sous-réseaux. Pour plus d’informations, consultez Affiner votre liste de sous-réseaux.
3. Générez un nouveau rapport d’exploration de données pour les connexions Internet.
4. Dans le rapport d’exploration de données, passez en mode administrateur et supprimez les adresses IP de vos périphériques ICS.

Effacer les données de capteur

Dans les cas où le capteur doit être déplacé ou effacé, toutes les données apprises peuvent être effacées du capteur.

Pour en savoir plus sur l’effacement des données système, consultez Effacer les données du capteur OT.

Exporter les journaux du capteur pour la résolution des problèmes de la console

Pour plus de résolution des problèmes, vous pouvez exporter les journaux à envoyer à l’équipe de support technique, tels que les journaux de base de données ou de système d’exploitation.

Pour exporter des données de journal:

1. Dans la console du capteur, accédez à Paramètres système>Gestion des capteurs>Sauvegarde et restauration>Sauvegarde.

2. Dans la boîte de dialogue Exporter les informations de dépannage :

   1. Dans le champ Nom de fichier, entrez un nom explicite pour le journal exporté. Le nom de fichier par défaut utilise la date actuelle, par exemple 13:10-June-14-2022.tar.gz.

   2. Sélectionnez les journaux que vous voulez exporter.

   3. Sélectionnez Exporter.

   Le fichier est exporté et lié à partir de la liste Fichiers archivés en bas de la boîte de dialogue Exporter les informations de dépannage.

   Par exemple :

   

3. Sélectionnez le lien de fichier pour télécharger le journal exporté, puis sélectionnez également le bouton pour afficher son mot de passe à usage unique.

4. Pour ouvrir les journaux exportés, transférez le fichier téléchargé et le mot de passe à usage unique à l’équipe du support technique. Les journaux exportés ne peuvent être ouverts qu’avec l’équipe de support Microsoft.

   Pour sécuriser vos journaux, veillez à transférer le mot de passe séparément du journal téléchargé.

Notes

Les diagnostics de ticket de support peuvent être téléchargés à partir de la console du capteur, puis chargés directement dans l’équipe du support technique dans le Portail Azure. Pour plus d'informations sur le téléchargement des journaux de diagnostic, voir Télécharger un journal de diagnostic pour le support.

Étapes suivantes

• Afficher les alertes

• Configurer le monitoring de l’intégrité MIB SNMP sur un capteur OT

• Superviser les capteurs OT déconnectés