Configure e ative o seu sensor OT
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT e descreve como definir as configurações iniciais de configuração e ativar seu sensor de OT.
Várias etapas iniciais de configuração podem ser executadas no navegador ou via CLI.
- Use o navegador se puder conectar cabos físicos do switch ao sensor para identificar suas interfaces corretamente. Certifique-se de reconfigurar o adaptador de rede para corresponder às configurações padrão no sensor.
- Use a CLI se souber os detalhes da rede sem precisar conectar cabos físicos. Use a CLI se você só puder se conectar ao sensor via iLo / iDrac
Configurar sua configuração por meio da CLI ainda requer que você conclua as últimas etapas no navegador.
Pré-requisitos
Para executar os procedimentos neste artigo, você precisa:
Um sensor OT integrado ao Defender for IoT no portal do Azure.
Software de sensor OT instalado no seu aparelho. Certifique-se de que instalou o software por conta própria ou adquiriu um dispositivo pré-configurado.
O arquivo de ativação do sensor, que foi baixado após a integração do sensor. Você precisa de um arquivo de ativação exclusivo para cada sensor OT implantado.
Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que suas máquinas usem apenas ativos assinados.
Nota
Os arquivos de ativação expiram 14 dias após a criação. Se você integrou o sensor, mas não carregou o arquivo de ativação antes que ele expirasse, baixe um novo arquivo de ativação.
Um certificado SSL/TLS. Recomendamos o uso de um certificado assinado por CA e não um certificado autoassinado. Para obter mais informações, consulte Criar certificados SSL/TLS para dispositivos OT.
Acesso ao dispositivo físico ou virtual onde está a instalar o sensor. Para obter mais informações, consulte Quais aparelhos eu preciso?
Esta etapa é executada por suas equipes de implantação.
Configurar a configuração através do navegador
A configuração do sensor através do navegador inclui os seguintes passos:
- Iniciar sessão na consola do sensor e alterar a palavra-passe do utilizador administrador
- Definição de detalhes de rede para o seu sensor
- Definindo as interfaces que você deseja monitorar
- Ativar o sensor
- Definindo configurações de certificado SSL/TLS
Inicie sessão na consola do sensor e altere a palavra-passe predefinida
Este procedimento descreve como entrar no console do sensor OT pela primeira vez. Você será solicitado a alterar a senha padrão para o usuário administrador .
Para iniciar sessão no sensor:
Em um navegador, vá para o
192.168.0.101
endereço IP, que é o endereço IP padrão fornecido para o sensor no final da instalação.A página de início de sessão inicial é apresentada. Por exemplo:
Insira as seguintes credenciais e selecione Login:
- Nome de utilizador:
admin
- Palavra-passe:
admin
Você será solicitado a definir uma nova senha para o usuário administrador .
- Nome de utilizador:
No campo Nova palavra-passe, introduza a sua nova palavra-passe. Sua senha deve conter caracteres alfabéticos minúsculos e maiúsculos, números e símbolos.
No campo Confirmar nova palavra-passe, introduza novamente a nova palavra-passe e, em seguida, selecione Introdução.
Para obter mais informações, consulte Usuários privilegiados padrão.
O Defensor da IoT | A página Visão geral é aberta na guia Interface de gerenciamento .
Definir detalhes de rede do sensor
Na guia Interface de gerenciamento , use os seguintes campos para definir detalhes de rede para seu novo sensor:
Quando terminar, selecione Avançar: Configurações da interface para continuar.
Defina as interfaces que deseja monitorar
A guia Configurações de interface mostra todas as interfaces detetadas pelo sensor por padrão. Use esta guia para ativar ou desativar o monitoramento por interface ou definir configurações específicas para cada interface.
Gorjeta
Recomendamos que você otimize o desempenho do sensor definindo suas configurações para monitorar apenas as interfaces que estão ativamente em uso.
Na guia Configurações de interface, faça o seguinte para definir as configurações para suas interfaces monitoradas:
Selecione a alternância Ativar/Desativar para todas as interfaces que você deseja que o sensor monitore. Você deve selecionar pelo menos uma interface para continuar.
Se você não tiver certeza sobre qual interface usar, selecione o botão Piscar LED da interface física para que a porta selecionada pisque em sua máquina. Selecione qualquer uma das interfaces que você conectou ao seu switch.
(Opcional) Para cada interface selecionada para monitorar, selecione o botão Configurações avançadas para modificar qualquer uma das seguintes configurações:
Nome Descrição Modo Selecione uma das seguintes opções:
- Tráfego SPAN (sem encapsulamento) para usar o espelhamento de porta SPAN padrão.
- ERSPAN se você estiver usando o espelhamento ERSPAN.
Para obter mais informações, consulte Escolher um método de espelhamento de tráfego para sensores OT.Descrição Insira uma descrição opcional para a interface. Você verá isso mais adiante na página Configurações da interface de configurações > do sistema do sensor, e essas descrições podem ser úteis para entender o objetivo de cada interface. Auto negociação Relevante apenas para máquinas físicas. Use esta opção para determinar que tipo de métodos de comunicação são usados ou se os métodos de comunicação são definidos automaticamente entre componentes.
Importante: Recomendamos que você altere essa configuração somente seguindo o conselho de sua equipe de rede.Para adicionar o túnel ERSPAN à sua interface:
Na opção Modo, selecione Túnel na lista suspensa.
Para configurar o túnel, atualize os seguintes detalhes do sensor OT:
- Descrição (opcional).
- Interface IP.
- Sub-rede.
Por exemplo:
Selecione Guardar para guardar as alterações.
Selecione Seguinte: Reinicializar > para continuar e, em seguida , Iniciar reinicialização para reiniciar a máquina do sensor. Depois que o sensor for reiniciado, você será automaticamente redirecionado para o endereço IP definido anteriormente como o endereço IP do sensor.
Selecione Cancelar para aguardar a reinicialização.
Ative o seu sensor OT
Este procedimento descreve como ativar o seu novo sensor OT.
Se você tiver configurado as configurações iniciais por meio da CLI até agora, iniciará a configuração baseada em navegador nesta etapa. Depois que o sensor for reinicializado, você será redirecionado para o mesmo Defender for IoT | Página de visão geral , na guia Ativação .
Para ativar o sensor:
- Na guia Ativação, selecione Carregar para carregar o arquivo de ativação do sensor que você baixou do portal do Azure.
- Selecione a opção termos e condições e, em seguida, selecione Ativar.
- Selecione Next: Certificates.
Se você tiver um problema de conexão entre o sensor baseado em nuvem e o portal do Azure durante o processo de ativação que faz com que a ativação falhe, uma mensagem será exibida abaixo do botão Ativar. Para resolver o problema de conectividade, selecione Saiba mais e o painel Conectividade na nuvem será aberto. O painel lista as causas do problema e as recomendações para resolvê-lo.
Mesmo sem resolver o problema, você pode continuar para a próxima etapa, selecionando Next: Certificates.
O único problema de conexão que deve ser corrigido antes de passar para o próximo estágio, é quando um desvio de tempo é detetado e o sensor não está sincronizado com a nuvem. Neste caso, o sensor deve estar corretamente sincronizado, conforme descrito nas recomendações, antes de passar para a próxima etapa.
Definir configurações de certificado SSL/TLS
Use a guia Certificados para implantar um certificado SSL/TLS em seu sensor OT. Recomendamos que você use um certificado assinado por CA para todos os ambientes de produção.
Para definir as configurações do certificado SSL/TLS:
Na guia Certificados, selecione Importar certificado de autoridade de certificação confiável (recomendado) para implantar um certificado assinado por autoridade de certificação.
Introduza o nome e a frase secreta do certificado e, em seguida, selecione Carregar para carregar o ficheiro de chave privada, o ficheiro de certificado e um ficheiro de cadeia de certificados opcional.
Poderá ter de atualizar a página depois de carregar os seus ficheiros. Para obter mais informações, consulte Solucionar problemas de erros de carregamento de certificados.
Gorjeta
Se você estiver trabalhando em um ambiente de teste, também poderá usar o certificado autoassinado gerado localmente durante a instalação. Se você optar por usar um certificado autoassinado, certifique-se de selecionar a opção Confirmar sobre as recomendações.
Para obter mais informações, consulte Gerenciar certificados SSL/TLS.
Na área Validação do certificado do console de gerenciamento local, selecione Obrigatório para validar o certificado de um console de gerenciamento local em relação a uma lista de revogação de certificados (CRL), conforme configurado no certificado.
Para obter mais informações, consulte Requisitos de certificado SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.
Selecione Concluir para concluir a configuração inicial e abrir o console do sensor.
Configurar a instalação através da CLI
Use este procedimento para definir as seguintes configurações iniciais de configuração via CLI:
- Iniciar sessão na consola do sensor e definir uma nova palavra-passe de utilizador administrador
- Definição de detalhes de rede para o seu sensor
- Definindo as interfaces que você deseja monitorar
Continue ativando e definindo as configurações do certificado SSL/TLS no navegador.
Nota
As informações neste artigo aplicam-se à versão do sensor 24.1.5. Se você estiver executando uma versão anterior, consulte configurar o espelhamento ERSPAN.
Para definir as configurações iniciais de configuração via CLI:
Na tela de instalação, depois que os detalhes de rede padrão forem mostrados, pressione ENTER para continuar.
D4Iot login
No prompt, entre com as seguintes credenciais padrão:- Nome de utilizador:
admin
- Palavra-passe:
admin
Quando introduz a sua palavra-passe, os carateres da palavra-passe não são apresentados no ecrã. Certifique-se de inseri-los cuidadosamente.
- Nome de utilizador:
No prompt, digite uma nova senha para o usuário administrador . Sua senha deve conter caracteres alfabéticos minúsculos e maiúsculos, números e símbolos.
Quando lhe for pedido para confirmar a sua palavra-passe, introduza novamente a sua nova palavra-passe. Para obter mais informações, consulte Usuários privilegiados padrão.
Depois de alterar a senha, o
Sensor Config
assistente é iniciado automaticamente. Continue para a etapa 5.Se estiver a iniciar sessão em ocasiões subsequentes, avance para o passo 4.
Para iniciar o
Sensor Config
assistente, no prompt digitenetwork reconfigure
. Se você estiver usando o usuário cyberx, digiteERSPAN=1 python3 -m cyberx.config.configure
.A
Sensor Config
tela mostra a configuração atual das interfaces. Certifique-se de que uma interface esteja definida como interface de gerenciamento. Neste assistente, use as setas para cima ou para baixo para navegar e a barra de espaço para selecionar uma opção. Pressione ENTER para avançar para a próxima tela.Selecione a interface que deseja configurar, por exemplo:
Na tela, selecione o
Select type
novo tipo de configuração para esta interface.
Importante
Certifique-se de selecionar apenas interfaces que estão conectadas.
Se você selecionar interfaces habilitadas, mas não conectadas, o sensor mostrará uma notificação de integridade sem tráfego monitorado no portal do Azure. Se você conectar mais fontes de tráfego após a instalação e quiser monitorá-las com o Defender for IoT, poderá adicioná-las posteriormente por meio da CLI.
Uma interface pode ser definida como Gerenciamento, Monitor, Túnel ou Não utilizado. Você pode definir uma interface como Não utilizada como uma configuração temporária, para redefini-la ou se um erro foi cometido na configuração original.
Para configurar uma interface de gerenciamento :
Selecione a interface.
Selecione Gerenciamento.
Digite o endereço IP do sensor, o endereço IP do servidor DNS e o endereço IP do gateway padrão.
Selecione Anterior.
Para configurar uma interface do Monitor :
- Selecione a interface.
- Selecione Monitorizar. A tela Configuração do sensor é atualizada.
Para configurar uma interface de túnel ERSPAN:
Selecione Interface IP e adicione os detalhes de IP e Sub-rede .
Selecione Confirmar.
Selecione Túneis e adicione um Nome, IP de origem e um ID numerado entre 1 e 1023.
Selecione Confirmar.
Para configurar uma interface como Não utilizada:
- Selecione a interface.
- Selecione o status existente.
- Selecione Não utilizado. A tela Configuração do sensor é atualizada.
Depois de configurar todas as interfaces, selecione Salvar.
Localização automática da pasta de backup
O sensor cria automaticamente uma pasta de backup. Para alterar o local dos backups montados, você deve:
- Faça login no sensor usando o usuário administrador .
- Digite o seguinte código na interface CLI:
system backup path
e, em seguida, adicione o local do caminho, por exemplo/opt/sensor/backup
. - O backup é executado automaticamente e pode levar até um minuto.
Nota
Durante a configuração inicial, as opções para portas de monitoramento ERSPAN estão disponíveis apenas no procedimento baseado em navegador.
Se estiver a definir os detalhes da sua rede através da CLI e pretender configurar portas de monitorização ERSPAN, faça-o posteriormente através da página de ligações da Interface de Definições > do sensor. Para obter mais informações, consulte Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN).