Partilhar via


Configure e ative o seu sensor OT

Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT e descreve como definir as configurações iniciais de configuração e ativar seu sensor de OT.

Diagrama de uma barra de progresso com Implantar seus sensores realçado.

Várias etapas iniciais de configuração podem ser executadas no navegador ou via CLI.

  • Use o navegador se puder conectar cabos físicos do switch ao sensor para identificar suas interfaces corretamente. Certifique-se de reconfigurar o adaptador de rede para corresponder às configurações padrão no sensor.
  • Use a CLI se souber os detalhes da rede sem precisar conectar cabos físicos. Use a CLI se você só puder se conectar ao sensor via iLo / iDrac

Configurar sua configuração por meio da CLI ainda requer que você conclua as últimas etapas no navegador.

Pré-requisitos

Para executar os procedimentos neste artigo, você precisa:

  • Um sensor OT integrado ao Defender for IoT no portal do Azure.

  • Software de sensor OT instalado no seu aparelho. Certifique-se de que instalou o software por conta própria ou adquiriu um dispositivo pré-configurado.

  • O arquivo de ativação do sensor, que foi baixado após a integração do sensor. Você precisa de um arquivo de ativação exclusivo para cada sensor OT implantado.

    Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que suas máquinas usem apenas ativos assinados.

    Nota

    Os arquivos de ativação expiram 14 dias após a criação. Se você integrou o sensor, mas não carregou o arquivo de ativação antes que ele expirasse, baixe um novo arquivo de ativação.

  • Um certificado SSL/TLS. Recomendamos o uso de um certificado assinado por CA e não um certificado autoassinado. Para obter mais informações, consulte Criar certificados SSL/TLS para dispositivos OT.

  • Acesso ao dispositivo físico ou virtual onde está a instalar o sensor. Para obter mais informações, consulte Quais aparelhos eu preciso?

Esta etapa é executada por suas equipes de implantação.

Configurar a configuração através do navegador

A configuração do sensor através do navegador inclui os seguintes passos:

  • Iniciar sessão na consola do sensor e alterar a palavra-passe do utilizador administrador
  • Definição de detalhes de rede para o seu sensor
  • Definindo as interfaces que você deseja monitorar
  • Ativar o sensor
  • Definindo configurações de certificado SSL/TLS

Inicie sessão na consola do sensor e altere a palavra-passe predefinida

Este procedimento descreve como entrar no console do sensor OT pela primeira vez. Você será solicitado a alterar a senha padrão para o usuário administrador .

Para iniciar sessão no sensor:

  1. Em um navegador, vá para o 192.168.0.101 endereço IP, que é o endereço IP padrão fornecido para o sensor no final da instalação.

    A página de início de sessão inicial é apresentada. Por exemplo:

    Captura de ecrã da página de início de sessão inicial do sensor.

  2. Insira as seguintes credenciais e selecione Login:

    • Nome de utilizador: admin
    • Palavra-passe: admin

    Você será solicitado a definir uma nova senha para o usuário administrador .

  3. No campo Nova palavra-passe, introduza a sua nova palavra-passe. Sua senha deve conter caracteres alfabéticos minúsculos e maiúsculos, números e símbolos.

    No campo Confirmar nova palavra-passe, introduza novamente a nova palavra-passe e, em seguida, selecione Introdução.

    Para obter mais informações, consulte Usuários privilegiados padrão.

O Defensor da IoT | A página Visão geral é aberta na guia Interface de gerenciamento .

Definir detalhes de rede do sensor

Na guia Interface de gerenciamento , use os seguintes campos para definir detalhes de rede para seu novo sensor:

Nome Descrição
Interface de gestão Selecione a interface que você deseja usar como interface de gerenciamento para se conectar ao portal do Azure ou a um console de gerenciamento local.

Para identificar uma interface física na sua máquina, selecione uma interface e, em seguida, selecione Piscar LED de interface física. A porta que corresponde à interface selecionada acende-se para que possa ligar o cabo corretamente.
Endereço IP Introduza o endereço IP que pretende utilizar para o seu sensor. Este é o endereço IP que sua equipe usa para se conectar ao sensor através do navegador ou da CLI.
Máscara de sub-rede Introduza o endereço que pretende utilizar como máscara de sub-rede do sensor.
Gateway padrão Introduza o endereço que pretende utilizar como gateway predefinido do sensor.
DNS Insira o endereço IP do servidor DNS do sensor.
Nome de Anfitrião Introduza o nome de anfitrião que pretende atribuir ao sensor. Certifique-se de usar o mesmo nome de host definido no servidor DNS.
Habilitar proxy para conectividade na nuvem (opcional) Selecione esta opção para definir um servidor proxy para o sensor.

Se você usar um certificado SSL/TSL para acessar o servidor proxy, selecione Certificado de cliente e carregue seu certificado.

Quando terminar, selecione Avançar: Configurações da interface para continuar.

Defina as interfaces que deseja monitorar

A guia Configurações de interface mostra todas as interfaces detetadas pelo sensor por padrão. Use esta guia para ativar ou desativar o monitoramento por interface ou definir configurações específicas para cada interface.

Gorjeta

Recomendamos que você otimize o desempenho do sensor definindo suas configurações para monitorar apenas as interfaces que estão ativamente em uso.

Na guia Configurações de interface, faça o seguinte para definir as configurações para suas interfaces monitoradas:

  1. Selecione a alternância Ativar/Desativar para todas as interfaces que você deseja que o sensor monitore. Você deve selecionar pelo menos uma interface para continuar.

    Se você não tiver certeza sobre qual interface usar, selecione o botão Piscar LED da interface física para que a porta selecionada pisque em sua máquina. Selecione qualquer uma das interfaces que você conectou ao seu switch.

  2. (Opcional) Para cada interface selecionada para monitorar, selecione o botão Configurações avançadas para modificar qualquer uma das seguintes configurações:

    Nome Descrição
    Modo Selecione uma das seguintes opções:
    - Tráfego SPAN (sem encapsulamento) para usar o espelhamento de porta SPAN padrão.
    - ERSPAN se você estiver usando o espelhamento ERSPAN.

    Para obter mais informações, consulte Escolher um método de espelhamento de tráfego para sensores OT.
    Descrição Insira uma descrição opcional para a interface. Você verá isso mais adiante na página Configurações da interface de configurações > do sistema do sensor, e essas descrições podem ser úteis para entender o objetivo de cada interface.
    Auto negociação Relevante apenas para máquinas físicas. Use esta opção para determinar que tipo de métodos de comunicação são usados ou se os métodos de comunicação são definidos automaticamente entre componentes.

    Importante: Recomendamos que você altere essa configuração somente seguindo o conselho de sua equipe de rede.

    Para adicionar o túnel ERSPAN à sua interface:

    1. Na opção Modo, selecione Túnel na lista suspensa.

    2. Para configurar o túnel, atualize os seguintes detalhes do sensor OT:

      • Descrição (opcional).
      • Interface IP.
      • Sub-rede.

    Por exemplo:

    Captura de tela de como configurar as configurações do ERSPAN nas configurações do sensor OT.

  3. Selecione Guardar para guardar as alterações.

  4. Selecione Seguinte: Reinicializar > para continuar e, em seguida , Iniciar reinicialização para reiniciar a máquina do sensor. Depois que o sensor for reiniciado, você será automaticamente redirecionado para o endereço IP definido anteriormente como o endereço IP do sensor.

    Selecione Cancelar para aguardar a reinicialização.

Ative o seu sensor OT

Este procedimento descreve como ativar o seu novo sensor OT.

Se você tiver configurado as configurações iniciais por meio da CLI até agora, iniciará a configuração baseada em navegador nesta etapa. Depois que o sensor for reinicializado, você será redirecionado para o mesmo Defender for IoT | Página de visão geral , na guia Ativação .

Para ativar o sensor:

  1. Na guia Ativação, selecione Carregar para carregar o arquivo de ativação do sensor que você baixou do portal do Azure.
  2. Selecione a opção termos e condições e, em seguida, selecione Ativar.
  3. Selecione Next: Certificates.

Se você tiver um problema de conexão entre o sensor baseado em nuvem e o portal do Azure durante o processo de ativação que faz com que a ativação falhe, uma mensagem será exibida abaixo do botão Ativar. Para resolver o problema de conectividade, selecione Saiba mais e o painel Conectividade na nuvem será aberto. O painel lista as causas do problema e as recomendações para resolvê-lo.

Mesmo sem resolver o problema, você pode continuar para a próxima etapa, selecionando Next: Certificates.

O único problema de conexão que deve ser corrigido antes de passar para o próximo estágio, é quando um desvio de tempo é detetado e o sensor não está sincronizado com a nuvem. Neste caso, o sensor deve estar corretamente sincronizado, conforme descrito nas recomendações, antes de passar para a próxima etapa.

Definir configurações de certificado SSL/TLS

Use a guia Certificados para implantar um certificado SSL/TLS em seu sensor OT. Recomendamos que você use um certificado assinado por CA para todos os ambientes de produção.

Para definir as configurações do certificado SSL/TLS:

  1. Na guia Certificados, selecione Importar certificado de autoridade de certificação confiável (recomendado) para implantar um certificado assinado por autoridade de certificação.

    Introduza o nome e a frase secreta do certificado e, em seguida, selecione Carregar para carregar o ficheiro de chave privada, o ficheiro de certificado e um ficheiro de cadeia de certificados opcional.

    Poderá ter de atualizar a página depois de carregar os seus ficheiros. Para obter mais informações, consulte Solucionar problemas de erros de carregamento de certificados.

    Gorjeta

    Se você estiver trabalhando em um ambiente de teste, também poderá usar o certificado autoassinado gerado localmente durante a instalação. Se você optar por usar um certificado autoassinado, certifique-se de selecionar a opção Confirmar sobre as recomendações.

    Para obter mais informações, consulte Gerenciar certificados SSL/TLS.

  2. Na área Validação do certificado do console de gerenciamento local, selecione Obrigatório para validar o certificado de um console de gerenciamento local em relação a uma lista de revogação de certificados (CRL), conforme configurado no certificado.

    Para obter mais informações, consulte Requisitos de certificado SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.

  3. Selecione Concluir para concluir a configuração inicial e abrir o console do sensor.

Configurar a instalação através da CLI

Use este procedimento para definir as seguintes configurações iniciais de configuração via CLI:

  • Iniciar sessão na consola do sensor e definir uma nova palavra-passe de utilizador administrador
  • Definição de detalhes de rede para o seu sensor
  • Definindo as interfaces que você deseja monitorar

Continue ativando e definindo as configurações do certificado SSL/TLS no navegador.

Nota

As informações neste artigo aplicam-se à versão do sensor 24.1.5. Se você estiver executando uma versão anterior, consulte configurar o espelhamento ERSPAN.

Para definir as configurações iniciais de configuração via CLI:

  1. Na tela de instalação, depois que os detalhes de rede padrão forem mostrados, pressione ENTER para continuar.

  2. D4Iot login No prompt, entre com as seguintes credenciais padrão:

    • Nome de utilizador: admin
    • Palavra-passe: admin

    Quando introduz a sua palavra-passe, os carateres da palavra-passe não são apresentados no ecrã. Certifique-se de inseri-los cuidadosamente.

  3. No prompt, digite uma nova senha para o usuário administrador . Sua senha deve conter caracteres alfabéticos minúsculos e maiúsculos, números e símbolos.

    Quando lhe for pedido para confirmar a sua palavra-passe, introduza novamente a sua nova palavra-passe. Para obter mais informações, consulte Usuários privilegiados padrão.

  4. Depois de alterar a senha, o Sensor Config assistente é iniciado automaticamente. Continue para a etapa 5.

    Se estiver a iniciar sessão em ocasiões subsequentes, avance para o passo 4.

  5. Para iniciar o Sensor Config assistente, no prompt digite network reconfigure. Se você estiver usando o usuário cyberx, digite ERSPAN=1 python3 -m cyberx.config.configure.

  6. A Sensor Config tela mostra a configuração atual das interfaces. Certifique-se de que uma interface esteja definida como interface de gerenciamento. Neste assistente, use as setas para cima ou para baixo para navegar e a barra de espaço para selecionar uma opção. Pressione ENTER para avançar para a próxima tela.

    Selecione a interface que deseja configurar, por exemplo:

    Captura de ecrã do ecrã Selecionar interfaces do monitor.

  7. Na tela, selecione o Select type novo tipo de configuração para esta interface.

Importante

Certifique-se de selecionar apenas interfaces que estão conectadas.

Se você selecionar interfaces habilitadas, mas não conectadas, o sensor mostrará uma notificação de integridade sem tráfego monitorado no portal do Azure. Se você conectar mais fontes de tráfego após a instalação e quiser monitorá-las com o Defender for IoT, poderá adicioná-las posteriormente por meio da CLI.

Uma interface pode ser definida como Gerenciamento, Monitor, Túnel ou Não utilizado. Você pode definir uma interface como Não utilizada como uma configuração temporária, para redefini-la ou se um erro foi cometido na configuração original.

  1. Para configurar uma interface de gerenciamento :

    1. Selecione a interface.

    2. Selecione Gerenciamento.

    3. Digite o endereço IP do sensor, o endereço IP do servidor DNS e o endereço IP do gateway padrão.

      Captura de tela da tela Gerenciamento de interface.

    4. Selecione Anterior.

  2. Para configurar uma interface do Monitor :

    1. Selecione a interface.
    2. Selecione Monitorizar. A tela Configuração do sensor é atualizada.
  3. Para configurar uma interface de túnel ERSPAN:

    1. Selecione Interface IP e adicione os detalhes de IP e Sub-rede .

    2. Selecione Confirmar.

    3. Selecione Túneis e adicione um Nome, IP de origem e um ID numerado entre 1 e 1023.

      Screenshot do ecrã Túneis da interface.

    4. Selecione Confirmar.

  4. Para configurar uma interface como Não utilizada:

    1. Selecione a interface.
    2. Selecione o status existente.
    3. Selecione Não utilizado. A tela Configuração do sensor é atualizada.
  5. Depois de configurar todas as interfaces, selecione Salvar.

Localização automática da pasta de backup

O sensor cria automaticamente uma pasta de backup. Para alterar o local dos backups montados, você deve:

  1. Faça login no sensor usando o usuário administrador .
  2. Digite o seguinte código na interface CLI: system backup path e, em seguida, adicione o local do caminho, por exemplo /opt/sensor/backup.
  3. O backup é executado automaticamente e pode levar até um minuto.

Nota

Durante a configuração inicial, as opções para portas de monitoramento ERSPAN estão disponíveis apenas no procedimento baseado em navegador.

Se estiver a definir os detalhes da sua rede através da CLI e pretender configurar portas de monitorização ERSPAN, faça-o posteriormente através da página de ligações da Interface de Definições > do sensor. Para obter mais informações, consulte Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN).

Próximos passos