Manter o console de gerenciamento local (Legado)

Importante

O Defender para IoT agora recomenda usar os serviços de nuvem da Microsoft ou a infraestrutura de TI existente para monitoramento central e gerenciamento de sensores. Além disso, planeja desativar o console de gerenciamento local em 1º de janeiro de 2025.

Para obter mais informações, consulte Implante o gerenciamento de sensor OT híbrido ou isolado do ar.

Este artigo descreve atividades extras do console de gerenciamento local que você pode executar fora de um processo de implantação maior.

Cuidado

Há suporte apenas para parâmetros de configuração documentados no sensor de rede OT para a configuração do cliente. Não altere parâmetros de configuração não documentados ou propriedades do sistema, pois as alterações podem causar comportamento inesperado e falhas no sistema.

Remover pacotes do sensor sem a aprovação da Microsoft pode causar resultados inesperados. Todos os pacotes instalados no sensor são necessários para a funcionalidade correta do sensor.

Pré-requisitos

Antes de executar os procedimentos neste artigo, verifique se você tem:

• Um console de gerenciamento local instalado e ativado.

• Acesso ao console de gerenciamento local como um administrador usuário. Os procedimentos selecionados e o acesso à CLI também exigem um usuário privilegiado. Para obter mais informações, consulte usuários locais e funções para monitoramento de OT com o Defender para IoT.

• Um certificado SSL/TLS preparado se precisar atualizar o certificado do sensor.

• Se você estiver adicionando uma NIC secundária, precisará ter acesso à CLI como um usuário privilegiado .

Baixar software para o console de gerenciamento local

Talvez seja necessário baixar o software para seu console de gerenciamento local se você estiver instalando o software do Defender para IoT em seus próprios dispositivos ou atualizando as versões de software.

No Defender para IoT no portal do Azure, use uma das seguintes opções:

• Para uma nova instalação ou atualização autônoma, selecione Introdução>console de gerenciamento local.

  • Para uma nova instalação, selecione uma versão na área Comprar um dispositivo e instalar software, e então selecione Baixar.
  • Para obter uma atualização, selecione o cenário de atualização na área do console de gerenciamento local e então selecione Baixar.

• Se você estiver atualizando seu console de gerenciamento local junto com sensores OT conectados, use as opções na página Sites e Sensores menu >Atualização do Sensor (Versão Prévia).

Adicionar uma NIC secundária após a instalação

Aprimore a segurança no console de gerenciamento local adicionando uma NIC secundária dedicada a sensores anexados em um intervalo de endereços IP. Quando você usa uma NIC secundária, a primeira é dedicada para usuários finais e a secundária dá suporte à configuração de um gateway para redes roteadas.

Este procedimento descreve como adicionar uma NIC secundária após instalando seu console de gerenciamento local.

Para adicionar uma NIC secundária:

1. Entre no console de gerenciamento local por meio do SSH para acessar a CLI e execute:

   sudo cyberx-management-network-reconfigure
   

2. Insira as seguintes respostas para as seguintes perguntas:

   

   Parâmetros	Resposta ao entrar
   endereço IP da rede de gerenciamento	N
   máscara de sub-rede	N
   DNS	N
   endereço IP do gateway padrão	N
   interface de monitoramento do sensor Opcional. Relevante quando os sensores estão em um segmento de rede diferente.	Ye selecione um valor possível
   um endereço IP para a interface de monitoramento do sensor	Ye insira um endereço IP acessível pelos sensores
   uma máscara de sub-rede para a interface de monitoramento do sensor	Ye insira um endereço IP acessível pelos sensores
   Nome de host	Insira o nome do host

3. Examine todas as opções e insira Y para aceitar as alterações. O sistema é reinicializado.

Carregar um novo arquivo de ativação

Você ativou seu console de gerenciamento local como parte de sua implantação.

Talvez seja necessário reativar o console de gerenciamento local como parte dos procedimentos de manutenção, como se o número total de dispositivos monitorados excedesse o número de dispositivos licenciados para.

Para carregar um novo arquivo de ativação no console de gerenciamento local:

1. No Defender para IoT no portal do Azure, selecione Planos e preços.

2. Selecione seu plano e selecione Baixar o arquivo de ativação do console de gerenciamento local.

   Salve o arquivo baixado em um local acessível no console de gerenciamento local.

   Todos os arquivos baixados do portal do Azure são assinados por uma cadeia de confiança para que suas máquinas usem apenas ativos assinados.

3. Conecte-se ao console de gerenciamento local e selecione Configurações do Sistema>Ativação.

4. Na caixa de diálogo Ativação , selecione ESCOLHER ARQUIVO e navegue até o arquivo de ativação baixado anteriormente.

5. Selecione Fechar para salvar suas alterações.

Gerenciar certificados SSL/TLS

Se você estiver trabalhando com um ambiente de produção, implantou uma certificado SSL/TLS assinado por CA como parte da implantação do console de gerenciamento local. É recomendável usar certificados autoassinados apenas para fins de teste.

Os procedimentos a seguir descrevem como implantar certificados SSL/TLS atualizados, como se o certificado tivesse expirado.

implantar um certificado assinado por CA

Para implantar um certificado assinado pela CA:

1. Entre no console de gerenciamento local e selecione Configurações do Sistema>certificados SSL/TLS.

2. Na caixa de diálogo certificados SSL/TLS, selecione + Adicionar Certificado e insira os seguintes valores:

   Parâmetro	Descrição
   nome do certificado	Insira o nome do certificado.
   frase secreta - opcional	Insira uma frase secreta .
   Chave Privada (arquivo KEY)	Carregar uma chave privada (arquivo chave).
   Certificado (arquivo CRT)	Carregar um certificado (arquivo CRT).
   Cadeia de Certificados (arquivo PEM) - opcional	Carregar uma cadeia de certificados (arquivo PEM).

   Por exemplo:

   

   Se o upload falhar, entre em contato com o administrador de TI ou segurança. Para obter mais informações, consulte requisitos de certificado SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.

3. Selecione a opção Habilitar validação de certificado para ativar a validação em todo o sistema para certificados SSL/TLS com a de autoridade de certificação emissora e listas de revogação de certificados.

   Se essa opção estiver ativada e a validação falhar, a comunicação entre componentes relevantes será interrompida e um erro de validação será mostrado no sensor. Para obter mais informações, consulte requisitos de arquivo CRT.

4. Selecione Salvar para salvar suas alterações.

Criar e implantar um certificado autoassinado

Cada console de gerenciamento local é instalado com um certificado autoassinado que recomendamos que você use apenas para fins de teste. Em ambientes de produção, recomendamos que você sempre use um certificado assinado por uma Autoridade Certificadora.

Certificados autoassinados levam a um ambiente menos seguro, pois o proprietário do certificado não pode ser validado e a segurança do sistema não pode ser mantida.

Para criar um certificado autoassinado, baixe o arquivo de certificado do console de gerenciamento local e use uma plataforma de gerenciamento de certificados para criar os arquivos de certificado que você precisará carregar de volta para o console de gerenciamento local.

Para criar um certificado autoassinado:

Vá para o endereço IP do console de gerenciamento local em um navegador e, em seguida:

1. Selecione o alerta Não seguro na barra de endereços do navegador da Web e selecione o ícone > ao lado da mensagem de aviso "Sua conexão com este site não é segura". Por exemplo:

   

2. Selecione o ícone Mostrar certificado para exibir o certificado de segurança deste site.

3. No painel do Visualizador de Certificados do , selecione a guia Detalhes e selecione Exportar para inserir um nome para o arquivo exportado e salvá-lo no computador local.

4. Use uma plataforma de gerenciamento de certificados para criar os seguintes tipos de arquivos de certificado SSL/TLS:

   Tipo de arquivo	Descrição
   Arquivo de contêiner de certificado .crt	Um arquivo .pemou .der, com uma extensão diferente para suporte no Windows Explorer.
   .key – Arquivo de chave privada	Um arquivo de chave está no mesmo formato de um arquivo de .pem, com uma extensão diferente para suporte no Windows Explorer.
   .pem – arquivo de contêiner de certificado (opcional)	Opcional. Um arquivo de texto com uma codificação Base64 do texto do certificado e um cabeçalho de texto sem formatação e rodapé para marcar o início e o fim do certificado.

   Por exemplo:

   1. Abra o arquivo de certificado baixado e selecione a guia Detalhes>Copiar para arquivo para executar o Assistente de Exportação de Certificados .

   2. No Assistente de Exportação de Certificados , selecione Avançar>codificado em binário DER X.509 (.CER)> e selecione Avançar novamente.

   3. Na tela Arquivo para Exportar, selecione Procurar, escolha um local para armazenar o certificado e selecione Avançar.

   4. Selecione Concluir para exportar o certificado.

Nota

Talvez seja necessário converter tipos de arquivos existentes em tipos com suporte.

Quando terminar, use os seguintes procedimentos para validar seus arquivos de certificado:

• verificar o acesso ao servidor CRL
• Importar o certificado SSL/TLS para um repositório confiável
• Teste seus certificados SSL/TLS

Implantar um certificado autoassinado:

1. Entre no console de gerenciamento local e selecione Configurações do sistema>certificados SSL/TLS.

2. Na caixa de diálogo certificados SSL/TLS, mantenha selecionada a opção padrão certificado autoassinado gerado localmente (inseguro, não recomendado).

3. Selecione CONFIRMAR para reconhecer o aviso.

4. Selecione a opção Habilitar validação de certificado para validar o certificado em um servidor de CRL . O certificado é verificado uma vez durante o processo de importação.

   Se essa opção estiver ativada e a validação falhar, a comunicação entre componentes relevantes será interrompida e um erro de validação será mostrado no sensor. Para mais informações, consulte os requisitos de arquivo CRT.

5. Selecione Salvar para salvar as configurações do certificado.

Solucionar problemas de erros de upload de certificado

Você não poderá carregar certificados em seus sensores OT se os certificados não forem criados corretamente ou forem inválidos. Use a tabela a seguir para entender como executar uma ação se o upload do certificado falhar e uma mensagem de erro for mostrada:

erro de validação de certificado	de recomendação
frase secreta não corresponde à chave	Verifique se você tem a frase secreta correta. Se o problema continuar, tente recriar o certificado usando a frase secreta correta. Para obter mais informações, consulte caracteres com suporte para chaves e frases secretas.
Não é possível validar a cadeia de confiança. O certificado fornecido e a Autoridade Certificadora Raiz não coincidem.	Verifique se um arquivo .pem está correlacionado ao arquivo .crt. Se o problema continuar, tente recriar o certificado usando a cadeia de confiança correta, conforme definido pelo arquivo .pem.
esse certificado SSL expirou e não é considerado válido.	Crie um novo certificado com datas válidas.
esse certificado foi revogado pela CRL e não pode ser confiável para uma conexão segura	Crie um novo certificado não revogado.
O local da CRL (Lista de Revogação de Certificados) não é acessível. Verifique se a URL pode ser acessada por meio deste dispositivo	Verifique se a configuração de rede permite que o sensor alcance o servidor CRL definido no certificado. Para obter mais informações, consulte Verificar o acesso ao servidor CRL.
falha na validação do certificado	Isso indica um erro geral no dispositivo. Entre em contato com o suporte da Microsoft.

Alterar o nome do console de gerenciamento local

O nome padrão do console de gerenciamento local é console de gerenciamentoe é mostrado na GUI do console de gerenciamento local e nos logs de solução de problemas.

Para alterar o nome do console de gerenciamento local:

1. Entre no console de gerenciamento local e selecione o nome na parte inferior esquerda, logo acima do número da versão.

2. Na caixa de diálogo de configuração do console de gerenciamento Editar, insira seu novo nome. O nome deve ter no máximo 25 caracteres. Por exemplo:

   

3. Selecione Salvar para salvar suas alterações.

Recuperar uma senha de usuário com privilégios

Se você não tiver mais acesso ao console de gerenciamento local como um usuário privilegiado, recupere o acesso do portal do Azure.

Para recuperar o acesso de usuário privilegiado:

1. Vá para a página de login do console de gerenciamento no local e selecione Recuperação de Senha.

2. Selecione o usuário para o qual deseja recuperar o acesso: o usuário de Suporte ou o usuário CyberX .

3. Copie o identificador que é exibido na caixa de diálogo de Recuperação de Senha para um local seguro.

4. Acesse o Defender para IoT no portal do Azure e verifique se você está exibindo a assinatura usada para integrar os sensores OT atualmente conectados ao console de gerenciamento local.

5. Selecione Sites e sensores>Mais ações>Recuperar uma senha do console de gerenciamento local.

6. Insira o identificador secreto que você copiou anteriormente de seu console de gerenciamento local e selecione Recuperar.

   Um arquivo password_recovery.zip é baixado do navegador.

   Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem apenas ativos assinados.

7. Na caixa de diálogo de Recuperação de Senha no console de gerenciamento local, selecione Carregar e selecione o arquivo password_recovery.zip que você baixou.

Suas novas credenciais são exibidas.

Editar o nome do host

O nome do host do console de gerenciamento local deve corresponder ao nome do host configurado no servidor DNS organizacional.

Editar o nome do host salvo no console de gerenciamento local:

1. Faça login no console de gerenciamento local e selecione Configurações do Sistema.

2. Na área de rede do console de gerenciamento , selecione a Rede .

3. Insira o novo nome do host e selecione SALVAR para salvar suas alterações.

Definir nomes de VLAN

Os nomes de VLAN não são sincronizados entre um sensor OT e o console de gerenciamento local. Se você nomes de VLAN definidos no sensor OT, recomendamos que você defina nomes de VLAN idênticos no console de gerenciamento local.

Para definir nomes de VLAN:

1. Faça login no console de gerenciamento local e selecione Configurações do Sistema.

2. Na área de rede do console de Gerenciamento , selecione VLAN .

3. Na caixa de diálogo Editar Configuração de VLAN, selecione Adicionar VLAN e, em seguida, insira sua ID de VLAN e o nome, um de cada vez.

4. Selecione SALVAR para salvar suas alterações.

Definir configurações do servidor de email SMTP

Defina as configurações do servidor de email SMTP no console de gerenciamento local para que você configure o console de gerenciamento local para enviar dados para outros servidores e serviços parceiros.

Por exemplo, você precisará de um servidor de email SMTP configurado para o encaminhamento de emails e para definir regras de alerta de encaminhamento.

pré-requisitos:

Verifique se você pode acessar o servidor SMTP no console de gerenciamento local.

Para configurar um servidor SMTP no console de gerenciamento local:

1. Entre no console de gerenciamento local como um de usuário privilegiado por meio do SSH/Telnet.

2. Correr:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Insira os seguintes detalhes do servidor SMTP conforme solicitado:

   • mail.smtp_server
   • mail.port. A porta padrão é 25.
   • mail.sender

Próximas etapas

Para obter mais informações, consulte:

• Atualizar o software do sistema OT
• Gerenciar sensores do console de gerenciamento
• Solucionar problemas do console de gerenciamento local