Underhålla den lokala hanteringskonsolen (äldre)
Viktigt!
Defender för IoT rekommenderar nu att du använder Microsofts molntjänster eller befintlig IT-infrastruktur för central övervakning och sensorhantering och planerar att dra tillbaka den lokala hanteringskonsolen den 1 januari 2025.
Mer information finns i Distribuera hybrid- eller luftgapade OT-sensorhantering.
Den här artikeln beskriver extra lokala hanteringskonsolaktiviteter som du kan utföra utanför en större distributionsprocess.
Varning
Endast dokumenterade konfigurationsparametrar i OT-nätverkssensorn och den lokala hanteringskonsolen stöds för kundkonfiguration. Ändra inte några odokumenterade konfigurationsparametrar eller systemegenskaper eftersom ändringar kan orsaka oväntat beteende och systemfel.
Att ta bort paket från sensorn utan Microsofts godkännande kan orsaka oväntade resultat. Alla paket som är installerade på sensorn krävs för rätt sensorfunktionalitet.
Förutsättningar
Kontrollera att du har följande innan du utför procedurerna i den här artikeln:
En lokal hanteringskonsol installerad och aktiverad.
Åtkomst till den lokala hanteringskonsolen som administratörsanvändare. Valda procedurer och CLI-åtkomst kräver också en privilegierad användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.
Ett SSL/TLS-certifikat som har förberetts om du behöver uppdatera sensorns certifikat.
Om du lägger till ett sekundärt nätverkskort behöver du åtkomst till CLI som en privilegierad användare.
Ladda ned programvara för den lokala hanteringskonsolen
Du kan behöva ladda ned programvara för den lokala hanteringskonsolen om du installerar Defender för IoT-programvara på dina egna apparater eller uppdaterar programvaruversioner.
I Defender för IoT i Azure-portalen använder du något av följande alternativ:
Om du vill ha en ny installation eller fristående uppdatering väljer du Komma igång>lokal hanteringskonsol.
- För en ny installation väljer du en version i området Köp en installation och installerar programvara och väljer sedan Ladda ned.
- För en uppdatering väljer du ditt uppdateringsscenario i området Lokal hanteringskonsol och väljer sedan Ladda ned.
Om du uppdaterar den lokala hanteringskonsolen tillsammans med anslutna OT-sensorer använder du alternativen på sidan >Platser och sensorer Sensoruppdatering (förhandsversion).
Lägga till ett sekundärt nätverkskort efter installationen
Förbättra säkerheten för din lokala hanteringskonsol genom att lägga till ett sekundärt nätverkskort som är dedikerat för anslutna sensorer inom ett IP-adressintervall. När du använder ett sekundärt nätverkskort är det första dedikerat för slutanvändare, och den sekundära stöder konfigurationen av en gateway för routade nätverk.
Den här proceduren beskriver hur du lägger till ett sekundärt nätverkskort när du har installerat den lokala hanteringskonsolen.
Så här lägger du till ett sekundärt nätverkskort:
Logga in på din lokala hanteringskonsol via SSH för att få åtkomst till CLI och kör:
sudo cyberx-management-network-reconfigure
Ange följande svar på följande frågor:
Parametrar Svar att ange IP-adress för hanteringsnätverk N
Nätmask N
DNS N
Ip-adress för standardgateway N
Gränssnitt för sensorövervakning
Valfritt. Relevant när sensorer finns i ett annat nätverkssegment.Y
och välj ett möjligt värdeEn IP-adress för sensorövervakningsgränssnittet Y
och ange en IP-adress som är tillgänglig för sensorernaEn nätmask för sensorövervakningsgränssnittet Y
och ange en IP-adress som är tillgänglig för sensorernaVärdnamn Ange värdnamnet Granska alla alternativ och ange
Y
för att acceptera ändringarna. Systemet startas om.
Ladda upp en ny aktiveringsfil
Du hade aktiverat den lokala hanteringskonsolen som en del av distributionen.
Du kan behöva återaktivera den lokala hanteringskonsolen som en del av underhållsprocedurerna, till exempel om det totala antalet övervakade enheter överskrider det antal enheter som du är licensierad för.
Så här laddar du upp en ny aktiveringsfil till den lokala hanteringskonsolen:
I Defender för IoT på Azure-portalen väljer du Abonnemang och priser.
Välj din plan och välj sedan Ladda ned aktiveringsfilen för den lokala hanteringskonsolen.
Spara den nedladdade filen på en plats som är tillgänglig från den lokala hanteringskonsolen.
Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.
Logga in på den lokala hanteringskonsolen och välj System Inställningar> Activation.
I dialogrutan Aktivering väljer du VÄLJ FIL och bläddrar till aktiveringsfilen som du laddade ned tidigare.
Spara ändringarna genom att välja Stäng .
Hantera SSL/TLS-certifikat
Om du arbetar med en produktionsmiljö hade du distribuerat ett CA-signerat SSL/TLS-certifikat som en del av distributionen av den lokala hanteringskonsolen. Vi rekommenderar att du endast använder självsignerade certifikat i testsyfte.
Följande procedurer beskriver hur du distribuerar uppdaterade SSL/TLS-certifikat, till exempel om certifikatet har upphört att gälla.
Så här distribuerar du ett CA-signerat certifikat:
Logga in på den lokala hanteringskonsolen och välj System Inställningar> SSL/TLS-certifikat.
I dialogrutan SSL/TLS-certifikat väljer du + Lägg till certifikat och anger följande värden:
Parameter Description Certifikatnamn Ange certifikatnamnet. Lösenfras - valfritt Ange en lösenfras. Privat nyckel (nyckelfil) Ladda upp en privat nyckel (nyckelfil). Certifikat (CRT-fil) Ladda upp ett certifikat (CRT-fil). Certifikatkedja (PEM-fil) - Valfritt Ladda upp en PEM-fil (Certificate Chain). Till exempel:
Om uppladdningen misslyckas kontaktar du din säkerhets- eller IT-administratör. Mer information finns i SSL/TLS-certifikatkrav för lokala resurser och Skapa SSL/TLS-certifikat för OT-enheter.
Välj alternativet Aktivera certifikatverifiering för att aktivera systemomfattande validering för SSL/TLS-certifikat med utfärdande certifikatutfärdare och listor över återkallade certifikat.
Om det här alternativet är aktiverat och verifieringen misslyckas stoppas kommunikationen mellan relevanta komponenter och ett verifieringsfel visas på sensorn. Mer information finns i KRAV för CRT-filer.
Välj Spara för att spara dina ändringar.
Felsöka fel vid uppladdning av certifikat
Du kommer inte att kunna ladda upp certifikat till dina OT-sensorer eller lokala hanteringskonsoler om certifikaten inte har skapats korrekt eller är ogiltiga. Använd följande tabell för att förstå hur du vidtar åtgärder om certifikatuppladdningen misslyckas och ett felmeddelande visas:
Certifikatverifieringsfel | Rekommendation |
---|---|
Lösenfrasen matchar inte nyckeln | Kontrollera att du har rätt lösenfras. Om problemet kvarstår kan du försöka återskapa certifikatet med rätt lösenfras. Mer information finns i Tecken som stöds för nycklar och lösenfraser. |
Det går inte att verifiera förtroendekedjan. Det angivna certifikatet och rotcertifikatutfärdare matchar inte. | Kontrollera att en .pem fil korrelerar med .crt filen. Om problemet kvarstår kan du försöka återskapa certifikatet med rätt förtroendekedja, enligt vad som definieras av .pem filen. |
Det här SSL-certifikatet har upphört att gälla och anses inte vara giltigt. | Skapa ett nytt certifikat med giltiga datum. |
Det här certifikatet har återkallats av CRL och kan inte vara betrott för en säker anslutning | Skapa ett nytt oåterkalleligt certifikat. |
Crl-platsen (listan över återkallade certifikat) kan inte nås. Kontrollera att URL:en kan nås från den här installationen | Kontrollera att nätverkskonfigurationen tillåter att sensorn eller den lokala hanteringskonsolen når den CRL-server som definierats i certifikatet. Mer information finns i Verifiera åtkomst till CRL-servern. |
Certifikatverifieringen misslyckades | Detta indikerar ett allmänt fel i installationen. Kontakta Microsoft Support. |
Ändra namnet på den lokala hanteringskonsolen
Standardnamnet för den lokala hanteringskonsolen är Hanteringskonsol och visas i det lokala hanteringskonsolens GUI och felsökningsloggar.
Så här ändrar du namnet på den lokala hanteringskonsolen:
Logga in på den lokala hanteringskonsolen och välj namnet längst ned till vänster, precis ovanför versionsnumret.
I dialogrutan Redigera konfiguration av hanteringskonsolen anger du ditt nya namn. Namnet måste innehålla högst 25 tecken. Till exempel:
Välj Spara för att spara dina ändringar.
Återställa ett privilegierat användarlösenord
Om du inte längre har åtkomst till din lokala hanteringskonsol som privilegierad användare kan du återställa åtkomsten från Azure-portalen.
Så här återställer du privilegierad användaråtkomst:
Gå till inloggningssidan för den lokala hanteringskonsolen och välj Återställning av lösenord.
Välj den användare som du vill återställa åtkomsten för, antingen supporten eller CyberX-användaren.
Kopiera identifieraren som visas i dialogrutan Lösenordsåterställning till en säker plats.
Gå till Defender för IoT i Azure-portalen och se till att du visar prenumerationen som användes för att registrera de OT-sensorer som för närvarande är anslutna till den lokala hanteringskonsolen.
Välj Platser och sensorer>Fler åtgärder>Återställ ett lösenord för den lokala hanteringskonsolen.
Ange den hemliga identifierare som du kopierade tidigare från den lokala hanteringskonsolen och välj Återställ.
En
password_recovery.zip
fil laddas ned från webbläsaren.Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.
I dialogrutan Lösenordsåterställning i den lokala hanteringskonsolen väljer du Ladda upp och väljer den
password_recovery.zip
fil som du hade laddat ned.
Dina nya autentiseringsuppgifter visas.
Redigera värdnamnet
Värdnamnet för den lokala hanteringskonsolen måste matcha värdnamnet som konfigurerats på organisationens DNS-server.
Så här redigerar du värdnamnet som sparats i den lokala hanteringskonsolen:
Logga in på den lokala hanteringskonsolen och välj System Inställningar.
I området Hanteringskonsolens nätverk väljer du Nätverk.
Ange det nya värdnamnet och välj SPARA för att spara ändringarna.
Definiera VLAN-namn
VLAN-namn synkroniseras inte mellan en OT-sensor och den lokala hanteringskonsolen. Om du har definierat VLAN-namn på ot-sensorn rekommenderar vi att du definierar identiska VLAN-namn i den lokala hanteringskonsolen.
Så här definierar du VLAN-namn:
Logga in på den lokala hanteringskonsolen och välj System Inställningar.
Välj VLAN i hanteringskonsolens nätverksområde.
I dialogrutan Redigera VLAN-konfiguration väljer du Lägg till VLAN och anger sedan ditt VLAN-ID och namn, ett i taget.
Spara ändringarna genom att välja SPARA .
Konfigurera INSTÄLLNINGAR för SMTP-e-postserver
Definiera INSTÄLLNINGAR för SMTP-e-postserver i den lokala hanteringskonsolen så att du konfigurerar den lokala hanteringskonsolen för att skicka data till andra servrar och partnertjänster.
Du behöver till exempel en SMTP-e-postserver konfigurerad för att konfigurera vidarebefordran av e-post och konfigurera aviseringsregler för vidarebefordran.
Förutsättningar:
Kontrollera att du kan nå SMTP-servern från den lokala hanteringskonsolen.
Så här konfigurerar du en SMTP-server i den lokala hanteringskonsolen:
Logga in på din lokala hanteringskonsol som en privilegierad användare via SSH/Telnet.
Kör:
nano /var/cyberx/properties/remote-interfaces.properties
Ange följande SMTP-serverinformation enligt uppmaningen:
mail.smtp_server
mail.port
. Standardporten är25
.mail.sender
Nästa steg
Mer information finns i: