Manter os sensores de rede de OT a partir do console do sensor
Este artigo descreve atividades adicionais de manutenção do sensor de OT que você pode executar fora de uma processo de implantação maior.
Os sensores de OT também podem ser mantidos a partir da CLI do sensor de OT, do portal do Azure e de um console de gerenciamento local.
Cuidado
Há suporte apenas para parâmetros de configuração documentados no sensor de rede OT para a configuração do cliente. Não altere os parâmetros de configuração não documentados ou propriedades do sistema, pois essas alterações podem causar comportamentos inesperados e falhas no sistema.
Remover pacotes do sensor sem aprovação da Microsoft pode causar resultados inesperados. Todos os pacotes instalados no sensor são necessários para a funcionalidade correta do sensor.
Pré-requisitos
Antes de executar os procedimentos neste artigo, verifique se você tem:
Um sensor de rede de OT instalado, configurado e ativado e integrado ao Defender para IoT no portal do Azure.
Acesso ao sensor de OT como um usuário Administrador. Os procedimentos selecionados e o acesso à CLI também exigem um usuário privilegiado. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.
Para baixar software para sensores de OT, você precisará acessar o portal do Azure como um usuário Administrador de Segurança, Colaborador ou Proprietário.
Um certificado SSL/TLS preparado se você precisar atualizar o certificado do sensor.
Exibir o status geral do sensor de OT
Quando você entrar no sensor de OT, a primeira página exibida é a página Visão geral.
Por exemplo:
A página Visão geral mostra os seguintes widgets:
Nome | Descrição |
---|---|
Configurações gerais | Exibe uma lista das definições configurações básicas do sensor e o status de conectividade. |
Monitoramento de Tráfego | Exibe um grafo detalhando o tráfego no sensor. O gráfico mostra o tráfego como unidades de Mbps por hora no dia da exibição. |
Cinco principais Protocolos OT | Exibe um grafo de barras que detalha os cinco protocolos OT mais usados. O grafo de barras também fornece o número de dispositivos que estão usando cada um desses protocolos. |
Tráfego por porta | Exibe um gráfico de pizza mostrando os tipos de portas em sua rede, com a quantidade de tráfego detectada em cada tipo de porta. |
Principais alertas abertos | Exibe uma tabela listando todos os alertas abertos no momento com altos níveis de severidade, incluindo detalhes críticos sobre cada alerta. |
Selecione o link em cada widget para analisar detalhadamente mais informações no sensor.
Validar o status de conectividade
Verifique se o sensor de OT está conectado corretamente ao portal do Azure diretamente da página Visão geral do sensor de OT.
Se houver problemas de conexão, uma mensagem de desconexão será mostrada na área Configurações Gerais na página Visão geral, e um aviso de Erro de conexão de serviço aparecerá na parte superior da página, na área Mensagens do Sistema. Por exemplo:
Encontre mais informações sobre o problema passando o mouse sobre o ícone de informações . Por exemplo:
Execute uma ação selecionando a opção Saiba mais em Mensagens do Sistema. Por exemplo:
Baixar software para sensores de OT
Talvez seja necessário baixar o software para o seu sensor de OT se estiver instalando o software Defender para IoT em seus próprios dispositivos ou atualizando versões de software.
No Defender para IoT no portal do Azure, use uma das seguintes opções:
Para uma nova instalação, selecione Introdução>Sensor. Selecione uma versão na área Comprar um dispositivo e instalar software e, em seguida, selecione Baixar.
Se você estiver atualizando o sensor de OT, use as opções da página Sites e sensores, menu >Atualização de sensor (versão prévia).
Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem somente ativos assinados.
Para saber mais, confira Atualizar o software de monitoramento do Defender para IoT/OT.
Carregar um novo arquivo de ativação
Cada sensor de OT é integrado como um sensor de OT conectado à nuvem ou gerenciado localmente e ativado usando um arquivo de ativação exclusivo. Para os sensores conectados à nuvem, o arquivo de ativação é usado para garantir a conexão entre o sensor e o Azure.
Você precisará carregar um novo arquivo de ativação no sensor se quiser alterar os modos de gerenciamento do sensor, como mover de um sensor gerenciado localmente para um sensor conectado à nuvem ou se estiver atualizando de uma versão de software recente. Carregar um novo arquivo de ativação no sensor inclui excluir o sensor do portal do Azure e integrá-lo novamente.
Para adicionar um novo arquivo de ativação:
Realize um dos seguintes procedimentos:
Integre o sensor do zero:
Em Defender para IoT no portal do Azure>Sites e sensores, localize e exclua o sensor de OT.
Selecione Sensor de OT Integrado > OT para integrar o sensor novamente do zero e fazer o download do novo arquivo de ativação. Para obter mais informações, veja Integrar sensores de OT.
Baixe o arquivo de ativação do sensor atual: na página Sites e sensores, localize o sensor que você acabou de adicionar. Selecione os três pontos (...) na linha do sensor e selecione Baixar arquivo de ativação. Salve o arquivo em um local acessível ao sensor.
Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem somente ativos assinados.
Entre no console do sensor do Defender para IoT e selecione Configurações do Sistema>Gerenciamento do sensor>Assinatura e Modo de Ativação.
Selecione Carregar e navegue até o arquivo que você baixou do portal do Azure.
Selecione Ativar para carregar o novo arquivo de ativação.
Solucionar problemas de upload do arquivo de ativação
Você receberá uma mensagem de erro se o arquivo de ativação não puder ser carregado. Os seguintes eventos podem ter ocorrido:
O sensor não pode se conectar à Internet: verifique a configuração de rede do sensor. Se o sensor precisar se conectar por meio de um proxy Web para acessar a Internet, verifique se o servidor proxy está configurado corretamente na tela Configuração de rede do sensor. Verifique se os pontos de extremidade necessários são permitidos no firewall e/ou proxy.
Para sensores OT versão 22.x, baixe a lista de pontos de extremidade necessários na página Sites e sensores no portal do Azure. Selecione um sensor OT com uma versão de software compatível ou um local com um ou mais sensores com suporte. E, então, selecione Mais ações>Baixe detalhes do terminal. Para sensores com versões anteriores, veja Acesso do Sensor ao portal do Azure.
O arquivo de ativação é válido, mas o Defender para IoT o rejeitou: se você não conseguir resolver esse problema, poderá baixar outra ativação na página Sites e sensores no portal do Azure. Se isso não funcionar, entre em contato com Suporte da Microsoft.
Observação
Os arquivos de ativação expiram 14 dias após a criação. Se você integrou o sensor, mas não carregou o arquivo de ativação antes de expirar, baixe um novo arquivo de ativação.
Gerenciar certificados SSL/TLS
Se você estiver trabalhando em um ambiente de produção, deve ter implantado um certificado SSL/TLS assinado pela autoridade de certificação (CA) como parte da implantação do sensor de OT. É recomendável usar certificados autoassinados apenas para fins de teste.
Os procedimentos a seguir descrevem como implantar certificados SSL/TLS atualizados, como no caso do certificado ter expirado.
Para implantar um certificado SSL/TLS assinado pela AC:
Entre no seu sensor de OT e selecione Configurações do Sistema>Básico>Certificado SSL/TLS.
No painel Certificados SSL/TLS, selecione a opção Importar certificado de AC confiável (recomendado). Por exemplo:
Insira os parâmetros s seguir:
Parâmetro Descrição Nome do Certificado Insira o nome do certificado. Frase secreta - Opcional Digite a frase secreta. Chave Privada (arquivo KEY) Carregar uma Chave Privada (arquivo KEY). Certificado (arquivo CRT) Carregar um certificado (arquivo CRT). Cadeia de Certificados (arquivo PEM) - Opcional Carregar uma Cadeia de Certificados (arquivo PEM). Selecione Usar CRL (Lista de Certificados Revogados) para verificar o status do certificado para validar o certificado em relação a um servidor CRL. O certificado é verificado uma vez durante o processo de importação.
Se um upload falhar, entre em contato com a segurança ou seu administrador de TI. Para obter mais informações, veja Requisitos de certificado SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos de OT.
Na área Validação para certificados do console de gerenciamento local, selecione Obrigatório se a validação do certificado SSL/TLS for necessária. Caso contrário, selecione Nenhum.
Se você tiver selecionado Obrigatório e a validação falhar, a comunicação entre os componentes relevantes será interrompida e um erro de validação será mostrado no console. Para obter mais informações, veja Requisitos do arquivo CRT.
Selecione Salvar para salvar suas configurações de certificado.
Solucionar problemas de erros de upload de certificado
Você não poderá carregar certificados em seus sensores OT se os certificados não forem criados corretamente ou forem inválidos. Use a tabela a seguir para entender como executar uma ação se o upload do certificado falhar e uma mensagem de erro for mostrada:
Erro de validação de certificado | Recomendação |
---|---|
A frase secreta não corresponde à chave | Verifique se você tem a frase secreta correta. Se o problema persistir, tente recriar o certificado usando a frase secreta correta. Para obter mais informações, consulte Caracteres com suporte para chaves e frases secretas. |
Não é possível validar a cadeia de confiança. O certificado e a AC raiz fornecidos não correspondem. | Verifique se um arquivo .pem está correlacionado com o arquivo .crt . Se o problema persistir, tente recriar o certificado usando a cadeia de confiança correta (definida pelo arquivo .pem ). |
Este certificado SSL expirou e não é considerado válido. | Crie um novo certificado com datas válidas. |
Este certificado foi revogado pela CRL e não é confiável para uma conexão segura | Crie um novo certificado com a revogação cancelada. |
O local da CRL (lista de certificados revogados) não está acessível. Verifique se é possível acessar a URL neste dispositivo | Verifique se a configuração de rede permite que o sensor alcance o servidor CRL definido no certificado. Para obter mais informações, veja Verificar acesso ao servidor CRL. |
Falha na validação do certificado | Isso indica um erro geral no dispositivo. Entre em contato com o Suporte da Microsoft. |
Atualizar a configuração de rede do sensor de OT
Você definiu a configuração de rede do sensor de OT durante a instalação. Convém fazer alterações como parte da manutenção do sensor de OT, como modificar os valores de rede ou configurar uma configuração de proxy.
Para atualizar a configuração do sensor de OT:
Entre no sensor de OT e selecione Configurações do Sistema>Básico>Configurações de rede do sensor.
No painel Configurações de rede do sensor, atualize os seguintes detalhes para o sensor de OT conforme necessário:
- Endereço IP. A alteração do endereço IP pode exigir que os usuários entrem novamente no sensor de OT.
- Máscara de sub-rede
- Gateway padrão
- DNS. Use o mesmo nome do host configurado no servidor DNS da sua organização.
- Nome do host (opcional)
Ative ou desative a opção Habilitar Proxy, se necessário. Se você estiver usando um proxy, insira os seguintes valores:
- Host de proxy
- Porta do proxy
- Nome de usuário do proxy (opcional)
- Senha do proxy (opcional)
Selecione Salvar para salvar as alterações.
Desativar o modo de aprendizado manualmente
Um senhor de rede OT do Microsoft Defender para IoT começa a monitorar sua rede automaticamente assim que ela estiver conectada à rede e você entrar. Os dispositivos de rede começam a aparecer no inventário de dispositivos e os alertas são disparados para qualquer incidente operacional ou de segurança que ocorra em sua rede.
Inicialmente, essa atividade ocorre no modo de aprendizado, o que instrui o sensor de OT a aprender a atividade usual da rede, incluindo os dispositivos e protocolos em sua rede e as transferências de arquivos regulares que ocorrem entre dispositivos específicos. Qualquer atividade detectada regularmente se torna o tráfego de linha de base de sua rede.
Este procedimento descreve como desativar o modo de aprendizado manualmente quando os alertas atuais refletem com precisão sua atividade de rede.
Para desativar o modo de aprendizado:
Entre no sensor de rede de OT e selecione Configurações do sistema > Monitoramento de rede > Mecanismos de detecção e modelagem de rede.
Desative uma ou ambas as seguintes opções:
Aprendizado. Desative essa opção cerca de duas a seis semanas após a implantação do sensor, quando você achar que as detecções do sensor de OT refletem com precisão sua atividade de rede.
Aprendizado de TI Inteligente. Mantenha essa opção ativada para manter o número de alertas e notificações não determinísticos baixo.
O comportamento não determinístico inclui alterações que são o resultado da atividade de TI normal, como solicitações HTTP e DNS. Desativar a opção Aprendizado de TI Inteligente pode disparar muitos alertas de falsos positivos de violação de política.
Na mensagem de confirmação, selecione OK e, em seguida, selecione Fechar para salvar suas alterações.
Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN)
Talvez você queira alterar as interfaces usadas pelo sensor para monitorar o tráfego. Você configurou originalmente esses detalhes como parte da configuração inicial do sensor, mas pode ser necessário modificar as configurações como parte da manutenção do sistema, como configurar o monitoramento ERSPAN.
Para mais informações, consulte portas ERSPAN
Observação
Esse procedimento reinicia o software do sensor para implementar as alterações feitas.
Para atualizar as interfaces de monitoramento do sensor:
Entre no seu sensor OT e selecione Configurações do sistema>Básico>conexões de interface.
Na grade, localize a interface que você deseja configurar. Execute um destes procedimentos:
Selecione a alternância Habilitar/Desabilitar para todas as interfaces que você deseja que o sensor monitore. Você deve ter pelo menos uma interface habilitada para cada sensor.
Se você não tiver certeza sobre qual interface usar, selecione o botão Piscar o LED da interface física para que a porta selecionada pisque no computador.
Dica
Recomendamos que você otimize o desempenho no sensor definindo suas configurações para monitorar apenas as interfaces que estão ativamente em uso.
Para cada interface que você selecionar para monitorar, selecione o botão Configurações avançadas para modificar qualquer uma das seguintes configurações:
Nome Descrição Modo Selecione uma das seguintes:
- SPAN Traffic (sem encapsulamento) para usar o espelhamento de porta SPAN padrão.
- ERSPAN se você estiver usando o espelhamento ERSPAN.
Para obter mais informações, confira Escolher um método de espelhamento de tráfego para sensores de OT.Descrição Insira uma descrição opcional para a interface. Você verá isso posteriormente na página Configurações do sistema > Configurações da interface, e essas descrições podem ser úteis para entender a finalidade de cada interface. Negociação automática Relevante somente para computadores físicos. Use essa opção para determinar qual tipo de métodos de comunicação são usados ou se os métodos de comunicação são definidos automaticamente entre componentes.
Importante: recomendamos que você altere essa configuração somente se orientado por sua equipe de rede.
Por exemplo:
Selecione Salvar para salvar as alterações. O software do sensor é reiniciado para implementar as alterações.
Sincronizar fusos horários em um sensor de OT
Convém configurar o sensor de OT com um fuso horário específico para que todos os usuários vejam os mesmos horários, independentemente da localização do usuário.
Os fusos horários são usados em alertas, widgets de tendências e estatísticas, relatórios de mineração de dados, relatórios de avaliação de risco e relatórios de vetor de ataque.
Para configurar o fuso horário de um sensor de OT:
Entre no seu sensor de OT e selecione Configurações do sistema>Básico>Hora e Região.
No painel Hora e Região, insira os seguintes detalhes:
Fuso Horário: selecione o fuso horário que você deseja usar
Formato de Data: selecione o formato de data e hora que você deseja usar. Os formatos com suporte incluem:
dd/MM/yyyy HH:mm:ss
MM/dd/yyyy HH:mm:ss
yyyy/MM/dd HH:mm:ss
O campo Data e Hora é atualizado automaticamente com a hora atual no formato selecionado.
Selecione Salvar para salvar as alterações.
Definir as configurações do servidor de email SMTP
Defina as configurações do servidor de email SMTP no sensor de OT a fim de configurar o sensor de OT para enviar dados a outros servidores e serviços de parceiros.
Você precisará de um servidor de email SMTP configurado para habilitar alertas de email sobre sensores desconectados, recuperações de backup de sensor com falha e falhas de porta de monitoramento de SPAN do console de gerenciamento local e também precisará configurar o encaminhamento de emails e regras de alerta de encaminhamento.
Pré-requisitos:
Verifique se você pode acessar o servidor SMTP na porta de gerenciamento do sensor.
Para configurar um servidor SMTP no sensor de OT:
Entre no sensor de OT e selecione Configurações do sistema>Integrações>Servidor de email.
No painel Editar Configuração do Servidor de Email exibido, defina os valores do servidor SMTP da seguinte maneira:
Parâmetro Descrição Endereço do Servidor SMTP Insira o endereço IP ou o endereço de domínio do servidor SMTP. Porta do Servidor SMTP Padrão = 25. Ajuste o valor conforme o necessário. Conta de Email de Saída Insira um endereço de email a ser usado como a conta de email de saída do sensor. SSL Ative as conexões seguras do sensor. Autenticação Ative essa opção e insira um nome de usuário e uma senha para a conta de email. Usar NTLM Ative essa opção para habilitar o NTLM. Essa opção só aparece quando a opção Autenticação é ativada. Selecione Salvar ao terminar.
Carregue e reproduza arquivos PCAP
Ao solucionar problemas do sensor de OT, convém examinar os dados registrados por um arquivo PCAP específico. Para isso, carregue um arquivo PCAP no sensor de OT e reproduza os dados gravados.
A opção Reproduzir PCAP está habilitada por padrão nas configurações do console do sensor.
O tamanho máximo dos arquivos carregados é de 2 GB.
Para mostrar o player PCAP no console do sensor:
No console do sensor, acesse Configurações do sistema> Gerenciamento do sensor > Configurações avançadas.
No painel Configurações avançadas, selecione a categoria Pcaps.
Nas configurações exibidas, altere
enabled=0
paraenabled=1
e selecione Salvar.
A opção Executar PCAP agora está disponível nas configurações do console do sensor em Configurações do sistema> Básico > Executar PCAP.
Para carregar e executar um arquivo PCAP:
No console do sensor, selecione Configurações do sistema > Básico > Executar PCAP.
No painel PLAYER PCAP, selecione Carregar, acesse o arquivo ou os arquivos que você deseja carregar e clique nele.
Selecione Executar para reproduzir o arquivo PCAP ou Reproduzir tudo para reproduzir todos os arquivos PCAP carregados no momento.
Dica
Selecione Limpar tudo para limpar o sensor de todos os arquivos PCAP carregados.
Desativar mecanismos de análise específicos
Por padrão, cada sensor de rede de OT analisa dados ingeridos usando mecanismos de análise internos e dispara alertas com base no tráfego em tempo real e gravado previamente.
Embora seja recomendável manter todos os mecanismos de análise ligados, convém desativar mecanismos de análise específicos em seus sensores de OT para limitar o tipo de anomalias e riscos monitorados por esse sensor de OT.
Importante
Quando você desabilita um mecanismo de política, as informações geradas pelo mecanismo não estarão disponíveis para o sensor. Por exemplo, se desabilitar o mecanismo de Anomalias, você não vai receber alertas sobre anomalias de rede. Se você criou uma regra de alerta de encaminhamento, as anomalias que o mecanismo aprende não são enviadas.
Para gerenciar os mecanismos de análise de um sensor de OT:
Entre no sensor de OT e selecione Configurações do sistema > Monitoramento de rede > Personalização > Mecanismos de detecção e modelagem de rede.
No painel Mecanismos de detecção e modelagem de rede, na área Mecanismos, desative um ou mais dos seguintes mecanismos:
- Violação de protocolo
- Violação de Política
- Malware
- Anomalia
- Operacional
Ative novamente o mecanismo para reiniciar o rastreamento de anomalias e atividades relacionadas.
Para obter mais informações, veja Mecanismos de análise do Defender para IoT.
Selecione Fechar para salvar as alterações.
Para gerenciar mecanismos de análise a partir de um console de gerenciamento local:
Entre no console de gerenciamento local e selecione Configurações do Sistema.
Na seção Configuração do Mecanismo do Sensor, selecione um ou mais sensores de OT aos quais você deseja aplicar as configurações e desmarque qualquer uma das seguintes opções:
- Violação de protocolo
- Violação de Política
- Malware
- Anomalia
- Operacional
Selecione SALVAR ALTERAÇÕES para salvar as alterações.
Limpar dados do sensor de OT
Se você precisar realocar ou apagar o sensor de OT, redefina-o para limpar todos os dados detectados ou aprendidos no sensor de OT.
Depois de limpar dados em um sensor conectado à nuvem:
- O inventário de dispositivos no portal do Azure é atualizado em paralelo.
- Não há mais suporte para algumas ações em alertas correspondentes no portal do Azure, como baixar arquivos PCAP ou alertas de aprendizado.
Observação
As configurações de rede, como IP/DNS/GATEWAY, não serão alteradas ao limpar os dados do sistema.
Para limpar dados do sistema:
Entrar no sensor OT como o usuário administrador. Para obter mais informações, confira Usuários locais com privilégios padrão.
Selecione Suporte>Limpar dados.
Na caixa de diálogo de confirmação, selecione Sim para confirmar que você deseja limpar todos os dados do sensor e redefini-los. Por exemplo:
Uma mensagem de confirmação é exibida informando que a ação foi bem-sucedida. Todos os dados aprendidos, as listas de permitidos, as políticas e as definições de configurações são apagadas do sensor.
Gerenciar plug-ins de sensor e monitorar o desempenho do plug-in
Exiba os dados de cada protocolo monitorado pelo seu sensor usando a página Protocolos DPI (Plug-ins do Horizon) no console do sensor.
Entre no console do sensor OT e selecione Configurações do sistema > Monitoramento de rede > Protocolos DPI (Plug-ins do Horizon).
Siga um destes procedimentos:
Para limitar os protocolos monitorados pelo seu sensor, selecione o botão Ativar/Desativar para cada plug-in, conforme necessário.
Para monitorar o desempenho do plug-in, visualize os dados mostrados na página Protocolos DPI (Plug-ins do Horizon) para cada plug-in. Para ajudar a localizar um plug-in específico, use a caixa Pesquisar para inserir parte ou todo o nome do plug-in.
A DPI de protocolos (plug-ins Horizon) lista os seguintes dados por plug-in:
Nome da coluna | Descrição |
---|---|
Plug-in | Define o nome do plug-in. |
Tipo | O tipo de plug-in, incluindo APPLICATION ou INFRASTRUCTURE. |
Hora | A hora em que os dados foram analisados pela última vez usando o plug-in. O carimbo de data/hora é atualizado a cada cinco segundos. |
PPS | O número de pacotes analisados por segundo pelo plug-in. |
Largura de banda | A largura de banda média detectada pelo plug-in nos últimos cinco segundos. |
Má formação | O número de erros de má forma detectados nos últimos cinco segundos. Validações com má formação são usadas depois que o protocolo tiver sido validado positivamente. Se houver uma falha ao processar os pacotes com base no protocolo, será enviada uma resposta de falha. |
Warnings | O número de avisos detectados, como quando os pacotes correspondem à estrutura e às especificações, mas um comportamento inesperado é detectado, com base na configuração de aviso do plug-in. |
Erros | O número de erros detectados nos últimos cinco segundos para pacotes que falharam nas validações básicas de protocolo para os pacotes que correspondem às definições de protocolo. |
Os dados de registro estão disponíveis para exportação nos arquivos de registro Estatísticas de dissecção e Registros de dissecção. Para obter mais informações, confira Exportar logs de solução de problemas.
Próximas etapas
Para obter mais informações, consulte: