Resolução de problemas do sensor

Este artigo descreve as ferramentas básicas de solução de problemas para o sensor. Além dos itens descritos aqui, você pode verificar a integridade do seu sistema das seguintes maneiras:

• Alertas: Um alerta é criado quando a interface do sensor que monitora o tráfego está inativa.
• SNMP: A integridade do sensor é monitorada através do SNMP. O Microsoft Defender for IoT responde a consultas SNMP enviadas de um servidor de monitoramento autorizado.
• Notificações do sistema: quando um console de gerenciamento controla o sensor, você pode encaminhar alertas sobre backups do sensor com falha e sensores desconectados.

Para quaisquer outros problemas, contacte o Suporte da Microsoft.

Pré-requisitos

Para executar os procedimentos neste artigo, certifique-se de que:

• Acesso ao sensor de rede OT como o usuário administrador padrão. Para obter mais informações, consulte Usuários locais com privilégios padrão.

Verifique o sensor - problemas de conectividade na nuvem

Os sensores OT executam automaticamente verificações de conectividade para garantir que o sensor tenha acesso a todos os pontos finais necessários. Se um sensor não estiver conectado, um erro será indicado no portal do Azure, na página Sites e sensores e na página Visão geral do sensor. Por exemplo:

```

Use a página de solução de problemas de conectividade na nuvem no sensor de OT para saber mais sobre o erro ocorrido e as ações de mitigação recomendadas que você pode tomar.

Para solucionar erros de conectividade, entre no sensor OT e siga um destes procedimentos:

• Na página Visão geral do sensor, selecione o link Solução de problemas* no erro na parte superior da página
• Selecione Configurações > do sistema Gerenciamento do > sensor Integridade e solução de problemas Solução de problemas de > conectividade na nuvem

O painel de solução de problemas de conectividade na nuvem é aberto à direita. Se o sensor estiver conectado ao portal do Azure, o painel indica que O sensor está conectado à nuvem com êxito. Se o sensor não estiver conectado, uma descrição do problema e quaisquer instruções de mitigação serão listadas. Por exemplo:

O painel de solução de problemas de conectividade na nuvem abrange os seguintes tipos de problemas:

Problema	Description
Erros ao estabelecer conexões seguras	Ocorre para erros de SSL, o que normalmente significa que o sensor não confia no certificado encontrado. Isso pode ocorrer devido a uma configuração incorreta do tempo do sensor ou usando um serviço de inspeção SSL. Os serviços de inspeção SSL são frequentemente encontrados em proxies e podem levar a possíveis erros de certificado. Para obter mais informações, consulte Gerenciar certificados SSL/TLS e Sincronizar fusos horários em um sensor OT.
Erros gerais de conexão	Ocorre quando o sensor não consegue se conectar com um ou mais pontos de extremidade necessários. Nesses casos, certifique-se de que todos os endpoints necessários estejam acessíveis a partir do sensor e considere configurar mais endpoints no firewall. Para obter mais informações, consulte Provisionar sensores para gerenciamento de nuvem.
Erros de servidor DNS inacessível	Ocorre quando o sensor não consegue executar a resolução de nomes devido a um servidor DNS inacessível. Nesses casos, verifique se o sensor pode acessar o servidor DNS. Para obter mais informações, consulte Atualizar a configuração de rede do sensor OT
Problemas de autenticação de proxy	Ocorre quando um proxy exige autenticação, mas nenhuma credencial ou credenciais incorretas são fornecidas. Nesses casos, certifique-se de que configurou as credenciais de proxy corretamente. Para obter mais informações, consulte Atualizar a configuração de rede do sensor OT.
Falhas na resolução de nomes	Ocorre quando o sensor não consegue executar a resolução de nomes para um ponto de extremidade específico. Nesses casos, se o servidor DNS estiver acessível, certifique-se de que o servidor DNS está configurado corretamente no sensor. Se a configuração estiver correta, recomendamos entrar em contato com o administrador de DNS. Para obter mais informações, consulte Atualizar a configuração de rede do sensor OT.
Erros de servidor proxy inacessível	Ocorre quando o sensor não consegue estabelecer uma conexão com o servidor proxy. Nesses casos, confirme a acessibilidade do seu servidor proxy com a sua equipa de rede. Para obter mais informações, consulte Atualizar a configuração de rede do sensor OT.
Desvio de tempo detetado	Ocorre quando a hora UTC do sensor não está sincronizada com o Defender for IoT no portal do Azure. Nesse caso, configure um servidor NTP (Network Time Protocol) para sincronizar o sensor no horário UTC. Para obter mais informações, consulte Definir configurações do sensor OT no portal do Azure.

Verificar a integridade do sistema

Verifique a integridade do sistema a partir do sensor.

Para acessar a ferramenta de integridade do sistema:

1. Entre no sensor com as credenciais de usuário administrador e selecione Configurações>do sistema Verificação de integridade do sistema.

2. No painel Verificação de integridade do sistema, selecione um comando no menu para exibir mais detalhes na caixa. Por exemplo:

   

As verificações de integridade do sistema incluem o seguinte:

Nome	Descrição
Sanidade mental
- Eletrodoméstico	Executa a verificação de sanidade do aparelho. Você pode executar a mesma verificação usando o comando system-sanityCLI .
-Versão	Exibe a versão do aparelho.
- Propriedades da rede	Exibe os parâmetros de rede do sensor.
Redis
- Memória	Fornece uma imagem geral do uso da memória, como a quantidade de memória usada e a quantidade restante.
- Chave mais longa	Exibe as teclas mais longas que podem causar uso extensivo de memória.
Sistema
- Log do núcleo	Fornece as últimas 500 linhas do log principal, para que você possa exibir as linhas de log recentes sem exportar todo o log do sistema.
- Gestor de Tarefas	Traduz as tarefas que aparecem na tabela de processos para as seguintes camadas: - Camada persistente (Redis) - Camada de cache (SQL)
- Estatísticas da rede	Exibe as estatísticas da rede.
-INÍCIO	Mostra a tabela de processos. É um comando Linux que fornece uma visão dinâmica em tempo real do sistema em execução.
- Verificação de memória de backup	Fornece o status da memória de backup, verificando o seguinte: - A localização da pasta de backup - O tamanho da pasta de backup - As limitações da pasta de backup - Quando aconteceu o último backup - Quanto espaço há para os arquivos de backup extras
- ifconfig	Exibe os parâmetros para as interfaces físicas do aparelho.
- CyberX nload	Exibe o tráfego de rede e a largura de banda usando os testes de seis segundos.
- Erros do log principal	Exibe erros do arquivo de log principal.

Verificar a integridade do sistema usando a CLI

Verifique se o sistema está instalado e funcionando antes de testar a sanidade do sistema.

Para obter mais informações, consulte Referência de comando CLI de sensores de rede OT.

Para testar a sanidade do sistema:

1. Conecte-se à CLI com o terminal Linux (por exemplo, PuTTY) e o administrador do usuário.

2. Introduzir system sanity.

3. Verifique se todos os serviços estão verdes (em execução).

   

4. Verifique se o sistema está UP! (PROD) aparece na parte inferior.

Verifique se a versão correta é usada:

Para verificar a versão do sistema:

1. Conecte-se à CLI com o terminal Linux (por exemplo, PuTTY) e o administrador do usuário.

2. Introduzir system version.

3. Verifique se a versão correta aparece.

Verifique se todas as interfaces de entrada configuradas durante o processo de instalação estão em execução:

Para validar o estado da rede do sistema:

1. Conecte-se à CLI com o terminal Linux (por exemplo, PuTTY) e o usuário administrador .

2. Enter network list (o equivalente ao comando ifconfigLinux ).

3. Valide se as interfaces de entrada necessárias aparecem. Por exemplo, se duas NICs quad Copper estiverem instaladas, deve haver 10 interfaces na lista.

   

Verifique se você pode acessar o GUI da Web do console:

Para verificar se o gerenciamento tem acesso à interface do usuário:

1. Conecte um laptop com um cabo Ethernet à porta de gerenciamento (Gb1).

2. Defina o endereço NIC do laptop para estar no mesmo intervalo do aparelho.

   

3. Execute ping no endereço IP do aparelho a partir do laptop para verificar a conectividade (padrão: 10.100.10.1).

4. Abra o navegador Chrome no portátil e introduza o endereço IP do aparelho.

5. Na janela Sua conexão não é privada, selecione Avançado e continue.

6. O teste é bem-sucedido quando a tela de entrada do Defender for IoT é exibida.

   

Baixar um log de diagnóstico para suporte

Este procedimento descreve como baixar um log de diagnóstico para enviar ao suporte em conexão com um tíquete de suporte específico.

Esta funcionalidade é suportada para as seguintes versões de sensores:

• 22.1.1 - Transfira um registo de diagnóstico a partir da consola do sensor.
• 22.1.3 e superior - Para sensores gerenciados localmente, carregue um log de diagnóstico da página Sites e sensores no portal do Azure. Esse arquivo é enviado automaticamente para o suporte quando você abre um ticket em um sensor conectado à nuvem.

Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que suas máquinas usem apenas ativos assinados.

Para transferir um registo de diagnóstico:

1. No console do sensor, selecione Configurações do sistema > Gerenciamento do > sensor Integridade e solução de problemas > Backup & restaurar > backup.

2. Em Logs, selecione Diagnóstico de tíquete de suporte e, em seguida, selecione Exportar.

   

3. Para um sensor gerenciado localmente, versão 22.1.3 ou superior, continue com Carregar um log de diagnóstico para obter suporte.

Recuperar dados forenses

Os seguintes tipos de dados forenses são armazenados localmente em sensores OT, para dispositivos detetados por esse sensor:

• Dados do dispositivo
• Dados de alerta
• Alertar arquivos PCAP
• Dados da linha do tempo do evento
• Ficheiros de registo

Use os relatórios de mineração de dados do sensor OT ou as pastas de trabalho do Azure Monitor em um sensor de rede OT para recuperar dados forenses do armazenamento desse sensor. Cada tipo de dados tem um período de retenção diferente e capacidade máxima.

Para obter mais informações, consulte Retenção de dados no Microsoft Defender para IoT.

Não é possível conectar-se usando uma interface da Web

1. Verifique se o computador que você está tentando conectar está na mesma rede que o aparelho.

2. Verifique se a rede GUI está conectada à porta de gerenciamento.

3. Execute ping no endereço IP do aparelho. Se não houver ping:

   1. Ligue um monitor e um teclado ao aparelho.

   2. Utilize o utilizador administrador e a palavra-passe para iniciar sessão.

   3. Use o comando network list para ver o endereço IP atual.

4. Se os parâmetros de rede estiverem configurados incorretamente, use o procedimento a seguir para alterá-los:

   1. Utilize o comando network edit-settings.

   2. Para alterar o endereço IP da rede de gerenciamento, selecione Y.

   3. Para alterar a máscara de sub-rede, selecione Y.

   4. Para alterar o DNS, selecione Y.

   5. Para alterar o endereço IP do gateway padrão, selecione Y.

   6. Para a alteração da interface de entrada (apenas sensor), selecione N.

   7. Para aplicar as configurações, selecione Y.

5. Após a reinicialização, conecte-se com as credenciais do usuário administrador e use o network list comando para verificar se os parâmetros foram alterados.

6. Tente executar ping e conectar-se a partir da GUI novamente.

O aparelho não está respondendo

1. Conecte um monitor e teclado ao aparelho ou use o PuTTY para se conectar remotamente à CLI.

2. Use as credenciais de usuário administrador para entrar.

3. Use o system sanity comando e verifique se todos os processos estão em execução. Por exemplo:

   

Para quaisquer outros problemas, contacte o Suporte da Microsoft.

Investigar falha de senha no login inicial

Ao entrar em um sensor pré-configurado pela primeira vez, você precisará executar a recuperação de senha da seguinte maneira:

1. Na tela de entrada do Defender for IoT, selecione Recuperação de senha. A tela Recuperação de senha é aberta.

2. Selecione Admin ou CyberX e copie o identificador exclusivo.

3. Navegue até o portal do Azure e selecione Sites e sensores.

4. Selecione o menu suspenso Mais ações e selecione Recuperar senha do console de gerenciamento local.

   

5. Insira o identificador exclusivo que você recebeu na tela Recuperação de senha e selecione Recuperar. O password_recovery.zip arquivo é baixado. Não extraia nem modifique o ficheiro zip.

   

6. Na tela Recuperação de senha, selecione Carregar. A janela Upload Password Recovery File será aberta.

7. Selecione Procurar para localizar o password_recovery.zip arquivo ou arraste o password_recovery.zip para a janela.

8. Selecione Avançar e seu usuário e uma senha gerada pelo sistema para o console de gerenciamento aparecerão.

   Nota

   Quando você entra em um sensor pela primeira vez, ele é vinculado à sua assinatura do Azure, que você precisará se precisar recuperar a senha do usuário administrador . Para obter mais informações, consulte Recuperar acesso privilegiado a um sensor.

Investigar a falta de tráfego

Um indicador aparece na parte superior do console quando o sensor reconhece que não há tráfego em uma das portas configuradas. Este indicador é visível para todos os utilizadores. Quando essa mensagem for exibida, você poderá investigar onde não há tráfego. Verifique se o cabo de span está conectado e se não houve alteração na arquitetura do span.

Verificar o desempenho do sistema

Quando um novo sensor é implantado ou um sensor está funcionando lentamente ou não mostrando nenhum alerta, você pode verificar o desempenho do sistema.

1. Inicie sessão no sensor e selecione Descrição Geral. Certifique-se de que o PPS é maior que 0 e que os dispositivos estão sendo descobertos.
2. Na página Mineração de Dados, gere um relatório.
3. Na página Tendências & Estatísticas, crie um painel.
4. Na página Alertas, verifique se o alerta foi criado.

Investigar a falta de alertas esperados

Se a janela Alertas não mostrar um alerta esperado, verifique o seguinte:

1. Verifique se o mesmo alerta já aparece na janela Alertas como uma reação a uma instância de segurança diferente. Se sim, e esse alerta ainda não foi manipulado, o console do sensor não mostra um novo alerta.
2. Certifique-se de que não excluiu este alerta utilizando as regras de Exclusão de Alertas na consola de gestão.

Investigar painel que não mostra dados

Quando os painéis na janela Tendências & Estatísticas não mostrarem dados, faça o seguinte:

1. Verifique o desempenho do sistema.
2. Verifique se as configurações de hora e região estão configuradas corretamente e não definidas para uma hora futura.

Investigar um mapa de dispositivo que mostra apenas dispositivos de difusão

Quando os dispositivos mostrados no mapa do dispositivo aparecem não conectados uns aos outros, algo pode estar errado com a configuração da porta SPAN. Ou seja, você pode estar vendo apenas dispositivos de transmissão e nenhum tráfego unicast.

1. Valide se você está vendo apenas o tráfego de transmissão. Para fazer isso, em Mineração de Dados, selecione Criar relatório. Em Criar novo relatório, especifique os campos de relatório. Em Escolher categoria, escolha Selecionar tudo.
2. Salve o relatório e revise-o para ver se apenas o tráfego de difusão e multicast (e nenhum tráfego de unicast) aparece. Em caso afirmativo, entre em contato com sua equipe de rede para corrigir a configuração da porta SPAN para que você possa ver o tráfego de unicast também. Como alternativa, você pode gravar um PCAP diretamente do switch ou conectar um laptop usando o Wireshark.

Para obter mais informações, consulte:

• Configurar o espelhamento de tráfego
• Carregue e reproduza ficheiros PCAP

Conecte o sensor ao NTP

Você pode configurar um sensor autônomo e um console de gerenciamento, com os sensores relacionados a ele, para se conectar ao NTP.

Gorjeta

Quando estiver pronto para começar a gerir as definições do sensor OT em escala, defina as definições NTP a partir do portal do Azure. Depois de aplicar as configurações do portal do Azure, as configurações no console do sensor são somente leitura. Para obter mais informações, consulte Configurar configurações do sensor OT no portal do Azure (visualização pública).

Para conectar um sensor autônomo ao NTP:

• Consulte a documentação da CLI.

Para conectar um sensor controlado pelo console de gerenciamento ao NTP:

• A conexão com NTP é configurada no console de gerenciamento. Todos os sensores que o console de gerenciamento controla obtêm a conexão NTP automaticamente.

Investigue quando os dispositivos não são mostrados no mapa ou quando você tem vários alertas relacionados à Internet

Às vezes, os dispositivos ICS são configurados com endereços IP externos. Esses dispositivos ICS não são mostrados no mapa. Em vez dos dispositivos, uma nuvem de internet aparece no mapa. Os endereços IP desses dispositivos estão incluídos na imagem da nuvem. Outro indício do mesmo problema é quando aparecem vários alertas relacionados com a Internet. Corrija o problema da seguinte forma:

1. Clique com o botão direito do mouse no ícone de nuvem no mapa do dispositivo e selecione Exportar endereços IP.
2. Copie os intervalos públicos que são privados e adicione-os à lista de sub-redes. Para obter mais informações, consulte Ajustar sua lista de sub-redes.
3. Gere um novo relatório de mineração de dados para conexões com a Internet.
4. No relatório de mineração de dados, insira o modo de administrador e exclua os endereços IP de seus dispositivos ICS.

Limpar dados do sensor

Nos casos em que o sensor precisa ser realocado ou apagado, todos os dados aprendidos podem ser apagados do sensor.

Para obter mais informações sobre como limpar dados do sistema, consulte Limpar dados do sensor OT.

Exportar logs do console do sensor para solução de problemas

Para solução de problemas adicionais, convém exportar logs para enviar à equipe de suporte, como logs de banco de dados ou do sistema operacional.

Para exportar dados de log:

1. No console do sensor, vá para Configurações do sistema>Gerenciamento do>sensor Backup & restaurar>backup.

2. Na caixa de diálogo Exportar informações de solução de problemas:

   1. No campo Nome do arquivo, insira um nome significativo para o log exportado. O nome do arquivo padrão usa a data atual, como 13:10-June-14-2022.tar.gz.

   2. Selecione os logs que deseja exportar.

   3. Selecione Exportar.

   O arquivo é exportado e vinculado a partir da lista Arquivos arquivados na parte inferior da caixa de diálogo Exportar informações de solução de problemas.

   Por exemplo:

   

3. Selecione o link do arquivo para baixar o log exportado e também selecione o botão para visualizar sua senha de uso único.

4. Para abrir os logs exportados, encaminhe o arquivo baixado e a senha de uso único para a equipe de suporte. Os logs exportados só podem ser abertos junto com a equipe de suporte da Microsoft.

   Para manter seus logs seguros, certifique-se de encaminhar a senha separadamente do log baixado.

Nota

Os diagnósticos de tíquete de suporte podem ser baixados do console do sensor e, em seguida, carregados diretamente para a equipe de suporte no portal do Azure. Para obter mais informações sobre como baixar logs de diagnóstico, consulte Baixar um log de diagnóstico para obter suporte.

Próximos passos

• Ver alertas

• Configurar o monitoramento de integridade MIB SNMP em um sensor OT

• Monitore sensores OT desconectados