Defina as configurações do sensor de OT no portal do Azure (Versão preliminar pública)
Após integrar um novo sensor de rede de OT ao Microsoft Defender para IoT, talvez você queira definir diretamente no console do sensor de OT várias configurações, como, por exemplo, adicionar usuários locais.
As configurações do sensor de OT listadas neste artigo também estão disponíveis diretamente no portal do Azure. Use o portal do Azure para aplicar essas configurações em massa a vários sensores de OT conectados à nuvem em determinado momento ou a todos os sensores de OT conectados à nuvem em um site ou zona específico. Este artigo descreve como exibir e configurar a exibição das configurações do sensor de rede OT no portal do Azure.
Observação
A página Configurações do sensor no Microsoft Defender para IoT está na VERSÃO PRELIMINAR. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Pré-requisitos
Para definir as configurações do sensor de OT, verifique se você possui o seguinte:
Uma assinatura do Azure integrada ao Microsoft Defender para IoT. Se precisar, inscreva-se em uma conta gratuita e use o Início Rápido: introdução ao Microsoft Defender para IoT para iniciar uma avaliação gratuita.
Permissões:
Para exibir as configurações que outras pessoas definiram, entre com uma função de Leitor de Segurança, Administrador de Segurança, Colaborador ou Proprietário da assinatura.
Para definir ou atualizar as configurações, entre com a função de Administrador de segurança, Colaborador ou Proprietário.
Para obter mais informações, consulte Funções e permissões de usuário do Azure para o Defender para IoT.
Um ou mais sensores de rede OT conectados à nuvem . Para obter mais informações, confira Integrar sensores de OT ao Defender para IoT.
Definir uma nova configuração do sensor
Defina uma nova configuração sempre que desejar definir uma configuração específica para um ou mais sensores de rede OT. Por exemplo, se você quiser definir limites de largura de banda para todos os sensores de OT em um site ou zona específico, ou defini-los para um único sensor de OT em um local específico em sua rede.
Para definir uma nova configuração:
No Defender para IoT no portal do Azure, selecione Sites e sensores>Configurações do sensor (versão prévia).
Na página Configurações do sensor (Pré-visualização), selecione + Adicionar e use o assistente para definir os seguintes valores para sua configuração. Selecione Avançar quando terminar cada guia no assistente para avançar para a próxima etapa.
Nome da guia Descrição Noções básicas Selecione a assinatura na qual deseja aplicar sua configuração e o tipo de configuração.
Insira um nome significativo e uma descrição opcional para sua configuração.Configuração Defina os valores para o tipo de configuração selecionado.
Para obter detalhes sobre as opções disponíveis para cada tipo de configuração, encontre o tipo de configuração selecionado na Referência de configuração do sensor abaixo.Aplicar Use os menus suspensos Selecionar sites, Selecionar zonas e Selecionar sensores para definir onde você gostaria aplicar sua configuração.
Importante: a seleção de um site ou zona aplica a configuração a todos os sensores OT conectados, incluindo quaisquer sensores OT adicionados ao local ou zona posteriormente.
Se você optar por aplicar suas configurações a um site inteiro, também não precisará selecionar suas zonas ou sensores.Examinar e criar Verifique as seleções feitas para a sua configuração.
Se sua nova configuração substituir uma configuração existente, um aviso será mostrado para indicar a configuração existente.
Quando estiver satisfeito com a configuração, definida selecione Criar.
Sua nova configuração agora está listada na página Configurações do sensor (visualização) em seu tipo de configuração e na página de detalhes do sensor para qualquer sensor de OT relacionado. As configurações do sensor são mostradas como somente leitura na página de detalhes do sensor. Por exemplo:
Dica
Você pode querer configurar exceções às suas configurações para uma zona ou sensor de OT específico. Nesses casos, crie uma configuração extra para a exceção.
As configurações se substituem de maneira hierárquica, de modo que, se sua configuração for aplicada a um sensor de OT específico, ela substituirá quaisquer configurações relacionadas aplicadas a toda a zona ou site. Para criar uma exceção para uma zona inteira, adicione uma configuração para essa zona para substituir todas as configurações relacionadas aplicadas a todo o site.
Exibir e editar as atuais configurações do sensor de OT
Para exibir as configurações atuais já definidas em sua assinatura:
No Defender para IoT no portal do Azure, selecione Sites e sensores>Configurações do sensor (versão prévia)
A página Configurações do sensor (Pré-visualização) mostra todas as configurações já definidas para suas assinaturas, listadas por tipo de configuração. Expanda ou recolha cada tipo para exibir as configurações detalhadas. Por exemplo:
Selecione uma configuração específica para exibir sua configuração exata e o site, as zonas ou os sensores individuais em que a configuração é aplicada.
Para editar a definição da configuração, selecione Editar e use o mesmo assistente usado para criar a configuração e fazer as atualizações necessárias. Quando terminar, selecione Aplicar para salvar as alterações.
Excluir uma configuração existente do sensor de OT
Para excluir completamente uma configuração do sensor de OT:
- Na página Configurações do sensor (Pré-visualização), localize a configuração que deseja excluir.
- Selecione o menu de opções ... no canto superior direito do cartão da configuração e selecione Excluir.
Por exemplo:
Editar configurações de sensores OT desconectados
Esse procedimento descreve como editar as configurações do sensor de OT se seu sensor de OT estiver atualmente desconectado do Azure, como durante um incidente de segurança em andamento.
Por padrão, se você definir qualquer configuração do portal do Azure, todas as configurações configuráveis do portal do Azure e do sensor de OT serão definidas como somente leitura no próprio sensor de OT. Por exemplo, se você configurar uma VLAN no portal do Azure, todas as configurações de largura de banda, sub-rede e VLAN serão definidas como somente leitura e bloqueadas contra modificações no sensor de OT.
Se você estiver em uma situação em que o sensor de OT está desconectado do Azure e precisar modificar uma dessas configurações, primeiro você deverá obter acesso de gravação a essas configurações.
Para obter o acesso de gravação às configurações bloqueadas do sensor de OT :
No portal do Azure, na página Configurações do sensor (Pré-visualização), localize a configuração que você deseja editar e abra-a para edição. Para obter mais informações, consulte Exibir e editar as atuais configurações do sensor de OT acima.
Edite o escopo da configuração para que ela não inclua mais o sensor de OT e quaisquer alterações feitas enquanto o sensor de OT estiver desconectado não sejam substituídas quando você o conectar novamente ao Azure.
Importante
As configurações definidas no portal do Azure sempre substituem as configurações definidas no sensor de OT.
Entre no console do sensor de OT afetado e selecione Configurações > Configurações avançadas>Configuração remota do Azure.
Na caixa de código, modifique o valor
block_local_config
de1
para0
e selecione Fechar. Por exemplo:
Continue atualizando a configuração relevante diretamente no sensor de rede OT. Para obter mais informações, confira Gerenciar sensores individuais.
Referência de configuração do sensor
Use as seções a seguir para saber mais sobre as configurações individuais do sensor de OT disponíveis no portal do Microsoft Azure:
Active Directory
Para definir as configurações do Active Directory no portal do Azure, defina valores para as seguintes opções:
Nome | Descrição |
---|---|
FQDN do Controlador de Domínio | O FQDN (nome de domínio totalmente qualificado) exatamente como ele aparece no servidor LDAP. Por exemplo, insira host1.subdomain.contoso.com . Se você encontrar um problema com a integração usando o FQDN, verifique sua configuração de DNS. Você também pode inserir o IP explícito do servidor LDAP em vez do FQDN ao configurar a integração. |
Portas do Controlador de Domínio | A porta onde o LDAP está configurado. Por exemplo, utilize a porta 636 para conexões LDAPS (SSL). |
Domínio primário | O nome de domínio, como subdomain.contoso.com , e selecione o tipo de conexão para a configuração do LDAP. Os tipos de conexão com suporte incluem: LDAPS/NTLMv3 (recomendado), LDAP/NTLMv3 ou LDAP/SASL-MD5 |
Grupos do Active Directory | Selecione + Adicionar para adicionar um grupo do Active Directory a cada nível de permissão listado, conforme necessário. Ao inserir um nome de grupo, insira o nome do grupo exatamente como definido na configuração do Active Directory no servidor LDAP. Você usa esses nomes de grupo ao adicionar novos usuários de sensor com o Active Directory. Os níveis de permissão com suporte incluem Somente leitura, Analista de segurança, Administração e Domínios confiáveis. |
Importante
Ao inserir parâmetros LDAP:
- Defina valores exatamente como eles aparecem no Active Directory, exceto para o caso.
- Somente caracteres minúsculos do usuário, mesmo que a configuração no Active Directory use maiúsculas.
- LDAP e LDAPS não podem ser configurados para o mesmo domínio. No entanto, você pode configurar cada um em domínios diferentes e usá-los ao mesmo tempo.
Para adicionar outro servidor do Active Directory, selecione + Adicionar Servidor e defina os valores desse servidor.
Limite de Largura de Banda
Para um limite de largura de banda, defina a largura de banda máxima que você deseja que o sensor use para a comunicação de saída do sensor para a nuvem, em Kbps ou Mbps.
Padrão: 1500 Kbps
Mínimo necessário para uma conexão estável com o Azure: 350 Kbps. Nessa configuração mínima, as conexões com o console do sensor podem ser mais lentas do que o normal.
NTP
Para configurar um servidor NTP para seu sensor a partir do portal do Azure, defina um endereço IP/domínio de um servidor IPv4 NTP válido usando a porta 123.
Sub-redes locais
Para concentrar o inventário de dispositivos do Azure em dispositivos dentro do seu escopo de OT, você precisa editar a lista de sub-redes manualmente de modo a incluir apenas sub-redes monitoradas localmente que estão dentro do seu escopo de OT.
As sub-redes na lista de sub-redes são configuradas automaticamente como sub-redes de ICS, o que significa que o Defender para IoT as reconhece como redes de OT. Você pode editar essa configuração quando configurar as sub-redes.
Depois que as sub-redes estão configuradas, o local da rede dos dispositivos é mostrado na coluna Local de rede (pré-visualização pública) no inventário de dispositivos do Azure. Todos os dispositivos associados às sub-redes listadas são exibidos como locais, enquanto os dispositivos associados a sub-redes detectadas não incluídas na lista são exibidos como roteados.
Configurar sub-redes no portal do Azure
No portal do Azure, acesse Sites e sensores>Configurações do sensor.
Em Sub-redes locais, revise as sub-redes configuradas. Para concentrar o inventário de dispositivos e exibir dispositivos locais no inventário, exclua todas as sub-redes que não estejam no escopo de IoT/OT selecionando o menu de opções (...) em qualquer sub-rede que você deseje excluir.
Para modificar configurações adicionais, selecione qualquer sub-rede e, em seguida, selecione Editar para as seguintes opções:
Selecione Importar sub-redes para importar uma lista separada por vírgulas de endereços IP e máscaras de sub-rede. Selecione Exportar sub-redes para exportar uma lista de dados atualmente configurados ou Limpar tudo para começar do zero.
Insira valores nos campos Endereço IP, Máscara e Nome para adicionar os detalhes da sub-rede manualmente. Selecione Adicionar sub-rede para adicionar sub-redes conforme necessário.
A Sub-Rede de ICS é ativada por padrão, o que significa que o Defender para IoT a reconhece como uma rede de OT. Para marcar uma sub-rede como não de ICS, desative o botão de alternância Sub-Rede de ICS.
Nomenclatura da VLAN
Para definir uma VLAN para seu sensor de OT, insira a ID da VLAN e um nome significativo.
Selecione Adicionar VLAN para adicionar mais VLANs conforme necessário.