Mantenimiento de sensores de red de OT desde la consola del sensor

En este artículo se describen las actividades adicionales de mantenimiento del sensor de OT que puede realizar fuera de un proceso de implementación mayor.

Los sensores de OT también se pueden mantener desde la CLI del sensor de OT, el Azure Portal y una consola de administración local.

Precaución

Solo se admiten parámetros de configuración documentados en el sensor de red de OT y la consola de administración local para la configuración del cliente. No cambie ningún parámetro de configuración no documentado o sistemas de propiedades, ya que los cambios pueden provocar comportamientos inesperados y errores del sistema.

La eliminación de paquetes del sensor sin aprobación de Microsoft puede provocar resultados inesperados. Todos los paquetes instalados en el sensor son necesarios para su correcto funcionamiento.

Requisitos previos

Antes de realizar los procedimientos de este artículo, asegúrese de que tiene:

Ver el estado general del sensor de OT

Al iniciar sesión en el sensor de OT, la primera página que se muestra es la página Información general.

Por ejemplo:

Captura de pantalla de la página Información general.

En la página Información general se muestran los widgets siguientes:

Nombre Descripción
Configuración general Muestra una lista de los ajustes básicos de configuración del sensor y el estado de la conectividad.
Supervisión del tráfico Muestra un gráfico que detalla el tráfico en el sensor. El gráfico muestra el tráfico como unidades de Mbps por hora en el día de visualización.
5 protocolos de OT principales Muestra un gráfico de barras que detalla los cinco protocolos de OT más usados. El gráfico de barras también proporciona el número de dispositivos que usan cada uno de esos protocolos.
Tráfico por puerto Muestra un gráfico circular que muestra los tipos de puertos de la red, con la cantidad de tráfico detectado en cada tipo de puerto.
Principales alertas abiertas Muestra una tabla que muestra las alertas abiertas actualmente con niveles de gravedad elevados, incluidos los detalles críticos sobre cada alerta.

Seleccione el vínculo en cada widget para explorar en profundidad para obtener más información en el sensor.

Estado de la validación de conectividad

Compruebe que el sensor de OT está conectado correctamente al Azure Portal directamente desde la página Información general del sensor de OT.

Si hay algún problema de conexión, se muestra un mensaje de desconexión en el área Configuración general de la página Información general y aparece una advertencia de error de conexión de servicio en la parte superior de la página del área Mensajes del sistema. Por ejemplo:

Captura de pantalla de una página del sensor que muestra el estado de conectividad como desconectado.

Para obtener más información sobre el problema, mantenga el puntero sobre el icono de información . Por ejemplo:

Captura de pantalla de un mensaje de error de conectividad.

Para realizar acciones, seleccione la opción Más información en Mensajes del sistema. Por ejemplo:

Captura de pantalla del panel mensajes del sistema.

Descarga de software para sensores de OT

Es posible que tenga que descargar el software para su sensor OT si va a instalar el software Defender para IoT en sus propios aparatos, o actualizar las versiones de software.

En Defender para IoT en Azure Portal, use una de las siguientes opciones:

  • Para una nueva instalación, seleccione Getting started Sensor (Introducción al>sensor). Seleccione una versión en el área Comprar un dispositivo e instalar software y, a continuación, seleccione Descargar.

  • Si va a actualizar el sensor de OT, use las opciones del menú Sitios y sensores de la página >Actualización del sensor (versión preliminar).

Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

Para obtener más información, consulte Actualización del software de supervisión de OT de Defender para IoT.

Cargar un nuevo archivo de activación

Cada sensor de OT se incorpora como sensor de OT conectado a la nube o administrado localmente y se activa mediante un archivo de activación único. En el caso de los sensores conectados a la nube, el archivo de activación se usa para garantizar la conexión entre el sensor y Azure.

Debe cargar un nuevo archivo de activación en su sensor si desea cambiar los modos de gestión del sensor, como pasar de un sensor gestionado localmente a un sensor conectado a la nube, o si está actualizando desde una versión de software reciente. Cargar un nuevo archivo de activación en el sensor incluye eliminar el sensor de Azure Portal e incorporarlo de nuevo.

Para agregar un nuevo archivo de activación:

  1. Realice una de las siguientes acciones:

    • Incorpore el sensor desde cero:

      1. En Defender para IoT en Azure Portal>Sitios y sensores, busque y elimine el sensor de OT.

      2. Seleccione Incorporar sensor de OT > OT para volver a incorporar el sensor desde cero y descargar el nuevo archivo de activación. Para más información, consulte Incorporación de sensores de OT.

    • Descargue el archivo de activación del sensor actual: en la página Sitios y sensores, busque el sensor que acaba de agregar. Seleccione los tres puntos (...) de la fila de sensores y elija Descargar archivo de activación. Guarde el archivo en una ubicación accesible para el sensor.

    Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

  2. Inicie sesión en la consola del sensor de Defender para IoT y seleccione Configuración del sistema>Administración de sensores>Suscripción y Modo de activación.

  3. Seleccione Cargar y vaya al archivo que descargó de Azure Portal.

  4. Seleccione Activar para cargar el nuevo archivo de activación.

Solución de problemas de carga de archivos de activación

Recibirá un mensaje de error si no se ha podido cargar el archivo de activación. Puede que se hayan producido los siguientes eventos:

  • El sensor no puede conectarse a Internet: compruebe la configuración de red del sensor. Si el sensor necesita conectarse mediante un proxy web para tener acceso a Internet, compruebe que el servidor proxy está configurado correctamente en la pantalla Sensor Network Configuration (Configuración de red del sensor). Compruebe que los puntos de conexión necesarios están permitidos en el firewall o en el proxy.

    Para los sensores de OT versión 22.x, descargue la lista de puntos de conexión necesarios de la página Sitios y sensores de Azure Portal. Seleccione un sensor de OT con una versión de software compatible o un sitio con uno o varios sensores admitidos. A continuación, seleccione Más acciones>Descargar detalles del punto de conexión. Para ver los sensores con versiones anteriores, consulte Sensor de acceso a Azure Portal.

  • El archivo de activación es válido, pero Defender para IoT lo rechazó: Si no puede resolver este problema, puede descargar otra activación desde la página Sitios y sensores en el Azure Portal. Si esto no funciona, póngase en contacto con Soporte técnico de Microsoft.

Nota

Los archivos de activación expiran 14 días después de la creación. Si ha incorporado el sensor pero no ha cargado el archivo de activación antes de que expire, descargue un nuevo archivo de activación.

Administrar certificados SSL/TLS

Si trabaja con un entorno de producción, implementaría un certificado SSL/TLS firmado por CA como parte de la implementación del sensor de OT. Se recomienda usar certificados autofirmados solo para propósitos de prueba.

En los procedimientos siguientes se describe cómo implementar certificados SSL/TLS actualizados, como si el certificado ha expirado.

Para implementar un certificado SSL/TLS firmado por una entidad de certificación:

  1. Inicie sesión en su sensor de OT y seleccione Configuración del sistema>Básico>Certificado SSL/TLS.

  2. En el panel Certificados SSL/TLS, seleccione la opción Importar certificado de CA de confianza (recomendado). Por ejemplo:

    Captura de pantalla de la importación de un certificado de CA de confianza.

  3. Escriba los siguientes parámetros:

    Parámetro Descripción
    Nombre del certificado Escriba el nombre del certificado.
    Frase de contraseña - Opcional Especifique una frase de contraseña.
    Clave privada (archivo KEY) Cargue una clave privada (archivo KEY).
    Certificado (archivo CRT) Cargue un certificado (archivo CRT).
    Cadena de certificados (archivo PEM) - Opcional Cargue una cadena de certificados (archivo PEM).

    Seleccione Usar CRL (lista de revocación de certificados) para comprobar el estado del certificado para validar el certificado en un servidor CRL. El certificado se comprueba una vez durante el proceso de importación.

    Si se produce un error en una carga, póngase en contacto con el administrador de TI o de seguridad. Para más información, consulte Requisitos de certificados SSL/TLS para recursos locales y Creación de certificados SSL/TLS para dispositivos OT.

  4. En el área Validación de certificados de la consola de administración local, seleccione Obligatorio si se requiere la validación de certificados SSL/TLS. De lo contrario, seleccione Ninguno.

    Si ha seleccionado Obligatorio y se produce un error en la validación, se detiene la comunicación entre los componentes pertinentes y se muestra un error de validación en el sensor. Para obtener más información, consulte Requisitos de archivos de CRT.

  5. Seleccione Guardar para guardar la configuración de la conexión.

Solución de problemas de errores de carga de certificados

No podrá cargar certificados en los sensores de OT ni en las consolas de administración locales si los certificados no se crean correctamente o no son válidos. Use la siguiente tabla para saber cómo actuar si falla la carga del certificado y se muestra un mensaje de error:

Error de validación de certificado Recomendación
La frase de contraseña no coincide con la clave Asegúrese de tener la frase de contraseña correcta. Si el problema continúa, intente volver a crear el certificado con la frase de contraseña correcta. Para obtener más información, vea Caracteres admitidos para claves y frases de contraseña.
No se puede validar la cadena de confianza. El certificado y la CA raíz proporcionados no coinciden. Asegúrese de que un archivo .pem se correlaciona con el archivo .crt.
Si el problema persiste, intente volver a crear el certificado usando la cadena de confianza correcta, tal y como se define en el archivo .pem.
Este certificado SSL ha expirado y no se considera válido. Cree un certificado nuevo con fechas válidas.
La CRL ha revocado este certificado y no se puede confiar en él para una conexión segura Cree un nuevo certificado sin revocar.
No se puede acceder a la ubicación de la CRL (lista de revocación de certificados). Compruebe que se puede acceder a la dirección URL desde este dispositivo Asegúrese de que la configuración de su red permite que el sensor o la consola de administración local puedan llegar al servidor CRL definido en el certificado.
Para más información, consulte Comprobar el acceso al servidor CRL.
Error de validación de certificado Esto indica un error general en el dispositivo.
Póngase en contacto con Soporte técnico de Microsoft.

Actualización de la configuración de red del sensor de OT

Configuraría la red del sensor de OT durante la instalación. Es posible que tenga que realizar cambios como parte del mantenimiento del sensor de OT, como modificar los valores de red o establecer una configuración de proxy.

Para actualizar la configuración del sensor de OT:

  1. Inicie sesión en el sensor de OT y seleccione Configuración del sistema >Básico>Configuración de red del sensor.

  2. En el panel Configuración de red del sensor, actualice los detalles siguientes del sensor de OT según sea necesario:

    • Dirección IP. Cambiar la dirección IP puede requerir que los usuarios inicien sesión de nuevo en el sensor de OT.
    • Máscara de subred
    • Puerta de enlace predeterminada
    • DNS. Asegúrese de usar el mismo nombre de host configurado en el servidor DNS de la organización.
    • Nombre de host (opcional)
  3. Active o desactive la opción Habilitar proxy si es necesario. Si usa un proxy, escriba los valores siguientes:

    • Host de proxy
    • Puerto de proxy
    • Nombre de usuario de proxy (opcional)
    • Contraseña de proxy (opcional)
  4. Haga clic en Guardar para guardar los cambios.

Desactivar el modo de aprendizaje manualmente

Un sensor de red de OT de Microsoft Defender para IoT comienza a supervisar la red automáticamente en cuanto se conecta a la red y luego de que usted haya iniciado sesión. Los dispositivos de red comienzan a aparecer en el inventario de dispositivos y las alertas se desencadenan para cualquier incidente de seguridad u operativo que se produzca en la red.

Inicialmente, esta actividad se produce en modo de aprendizaje, lo que indica al sensor de OT que aprenda la actividad habitual de la red, incluidos los dispositivos y protocolos de la red, y las transferencias de archivos normales que se producen entre dispositivos específicos. Cualquier actividad detectada periódicamente se convierte en el tráfico de línea base de la red.

En este procedimiento se describe cómo desactivar el modo de aprendizaje manualmente si cree que las alertas actuales reflejan con precisión la actividad de red.

Desactivar el modo de aprendizaje manualmente:

  1. Inicie sesión en el sensor de red de OT y seleccione Configuración del sistema> Supervisión de red > Motores de detección y modelado de red.

  2. Desactive una o ambas de las opciones siguientes:

    • Aprendizaje. Desactive esta opción aproximadamente dos o seis semanas después de haber implementado el sensor, cuando sienta que las detecciones del sensor de OT reflejan con precisión la actividad de la red.

    • Aprendizaje inteligente de TI. Mantenga activada esta opción para mantener el número de alertas y notificaciones no deterministas bajas.

    El comportamiento no determinista incluye cambios que son el resultado de la actividad normal de TI, como las solicitudes DNS y HTTP. Al desactivar la opción Aprendizaje inteligente de TI, se pueden desencadenar muchas alertas de falsos positivos de infracción de directivas.

  3. En el mensaje de confirmación, seleccione Aceptar y, a continuación, seleccione Cerrar para guardar los cambios.

Actualización de las interfaces de supervisión de un sensor (configurar ERSPAN)

Es posible que quiera cambiar las interfaces que usa el sensor para supervisar el tráfico. Originalmente definiría estos detalles como parte de la configuración inicial del sensor, pero es posible que tenga que modificar la configuración como parte del mantenimiento del sistema, como para configurar la supervisión de ERSPAN.

Para obtener más información, consulte Puertos de ERSPAN.

Nota

Este procedimiento reinicia el software del sensor para implementar los cambios realizados.

Para actualizar las interfaces de supervisión del sensor:

  1. Inicie sesión en el sensor de OT y seleccione Configuración del sistema>Básico>Conexiones de interfaz.

  2. En la cuadrícula, busque la interfaz que desea configurar. Realice alguna de las acciones siguientes:

    • Seleccione el botón de alternancia Habilitar o deshabilitar para las interfaces que desea que el sensor supervise. Debe tener al menos una interfaz habilitada para cada sensor.

      Si no está seguro de qué interfaz usar, seleccione el botón Hacer parpadear LED de interfaz física para que el puerto seleccionado parpadee en la máquina.

      Sugerencia

      Se recomienda optimizar el rendimiento en el sensor mediante la configuración de los valores para supervisar solo las interfaces que están en uso activo.

    • Para cada interfaz que elija supervisar, seleccione el botón Configuración avanzada para modificar cualquiera de los valores siguientes:

      Nombre Descripción
      Modo Seleccione uno de los siguientes:

      - Tráfico de SPAN (sin encapsulación) para usar la creación predeterminada de reflejos del puerto SPAN.
      - ERSPAN si usa la creación de reflejos de ERSPAN.

      Para obtener más información, consulte Elección de un método de creación de reflejos para los sensores de OT.
      Descripción Escriba una descripción opcional para la interfaz. Verá esto más adelante en la página Configuración del sistema >Configuraciones de interfaz del sensor. Estas descripciones pueden resultar útiles para comprender el propósito de cada interfaz.
      Negociación automática Pertinente solo para las máquinas físicas. Use esta opción para determinar qué tipo de métodos de comunicación se usan o si los métodos de comunicación se definen automáticamente entre componentes.

      Importante: Se recomienda cambiar esta configuración solo si el equipo de redes lo aconseja.

    Por ejemplo:

    Captura de pantalla sobre cómo configurar ERSPAN en la página Configuraciones de interfaz.

  3. Haga clic en Guardar para guardar los cambios. El software del sensor se reinicia para implementar los cambios.

Sincronización de zonas horarias en el sensor de OT

Es posible que quiera configurar el sensor de OT con una zona horaria específica para que todos los usuarios vean las mismas horas independientemente de la ubicación del usuario.

Las zonas horarias se usan en alertas, tendencias y widgets de estadísticas, informes de minería de datos, informes de evaluación de riesgos e informes de vectores de ataque.

Para configurar la zona horaria de un sensor de OT:

  1. Inicie sesión en su sensor de OT y seleccione Configuración del sistema>Básico>Hora y Región.

  2. En el panel Hora y Región, escriba los detalles siguientes:

    • Zona horaria: seleccione la zona horaria que desea usar

    • Formato de fecha: seleccione el formato de fecha y hora que desea usar. Entre los formatos de archivos admitidos se incluyen:

      • dd/MM/yyyy HH:mm:ss
      • MM/dd/yyyy HH:mm:ss
      • yyyy/MM/dd HH:mm:ss

    El campo Fecha y hora se actualiza automáticamente con la hora actual en el formato seleccionado.

  3. Seleccione Guardar para guardar los cambios.

Configuración del servidor de correo SMTP

Defina la configuración del servidor de correo SMTP en el sensor de OT para que lo configure para enviar datos a otros servidores y servicios de asociados.

Necesita un servidor de correo SMTP configurado para habilitar alertas de correo electrónico sobre sensores desconectados, recuperaciones de copia de seguridad de sensores con errores y errores de puerto de supervisión SPAN desde la consola de administración local y para configurar el reenvío de correo y configurar reglas de reenvío de alertas.

Requisitos previos:

Asegúrese de que puede acceder al servidor SMTP desde el puerto de administración del sensor.

Para configurar un servidor SMTP en el sensor de OT:

  1. Inicie sesión en el sensor de OT y seleccione Configuración del sistema>Integraciones>Servidor de correo.

  2. En el panel Editar configuración del servidor de correo que aparece, defina los valores del servidor SMTP de la siguiente manera:

    Parámetro Descripción
    Dirección del servidor SMTP Escriba la dirección IP o la dirección de dominio del servidor SMTP.
    Puerto del servidor SMTP Valor predeterminado = 25 Ajuste el valor según sea necesario.
    Cuenta de correo saliente Escriba una dirección de correo electrónico que se usará como cuenta de correo saliente del sensor.
    SSL Active la opción para proteger las conexiones desde el sensor.
    Autenticación Active y escriba un nombre de usuario y una contraseña para su cuenta de correo electrónico.
    Uso de NTLM Active para habilitar NTLM. Esta opción solo aparece cuando tiene activada la opción Autenticación.
  3. Cuando haya terminado, haga clic en Guardar.

Carga y reproducción de archivos PCAP

Al solucionar problemas de sensor de OT, es posible que desee examinar los datos registrados por un archivo PCAP específico. Para ello, puede cargar un archivo PCAP en la consola del sensor de OT y reproducir los datos registrados.

La opción Play PCAP está habilitada de forma predeterminada en la configuración de la consola del sensor.

El tamaño máximo de los archivos cargados es de 2 GB.

Para mostrar el reproductor PCAP en la consola del sensor:

  1. En la consola del sensor, vaya a Configuración del sistema > Configuración del sensor > Configuraciones avanzadas.

  2. En el panel Configuraciones avanzadas, seleccione la categoría Pcaps.

  3. En las configuraciones que se muestran, cambie enabled=0 a enabled=1 y seleccione Guardar.

La opción Reproducir PCAP ahora está disponible en la configuración de la consola del sensor, en: Configuración del sistema > Básica > Reproducir PCAP.

Para cargar y reproducir un archivo PCAP:

  1. En la consola del sensor, seleccione Configuración del sistema > Básica > Reproducir PCAP.

  2. En el panel REPRODUCTOR DE PCAP, seleccione Cargar y, después, vaya al archivo (o archivos) que quiere cargar y selecciónelo.

    Captura de pantalla de la carga de archivos PCAP en el panel REPRODUCTOR DE PCAP en la consola del sensor.

  3. Seleccione Reproducir para reproducir el archivo PCAP o Reproducir todo para reproducir todos los archivos PCAP cargados actualmente.

Sugerencia

Seleccione Borrar todo para borrar el sensor de todos los archivos PCAP cargados.

Desactivar motores de análisis específicos

De forma predeterminada, cada sensor de red de OT analiza los datos ingeridos mediante motores de análisis integrados y desencadena alertas basadas en el tráfico en tiempo real y previamente registrado.

Aunque se recomienda mantener activados todos los motores de análisis, es posible que desee desactivar motores de análisis específicos en los sensores de OT para limitar el tipo de anomalías y riesgos supervisados por ese sensor de OT.

Importante

Al deshabilitar un motor de directivas, la información que genera el motor no estará disponible para el sensor. Por ejemplo, si deshabilita el motor de anomalías, no recibirá alertas sobre anomalías de la red. Si ha creado una regla de alerta de reenvío, no se enviarán las anomalías que aprenda el motor.

Para administrar los motores de análisis de un sensor de OT:

  1. Inicie sesión en el sensor de red de OT y seleccione Configuración del sistema> Supervisión de red > Personalización > Motores de detección y modelado de red.

  2. En el panel Motores de detección y modelado de red, en el área Motores, desactive uno o varios de los motores siguientes:

    • Infracción del protocolo
    • Infracción de la directiva
    • Malware
    • Anomalía
    • Operativos

    Vuelva a activar el motor para iniciar el seguimiento de las anomalías relacionadas y las actividades de nuevo.

    Para obtener más información, consulte Motores de análisis de Defender para IoT.

  3. Seleccione Cerrar para guardar los cambios.

Para administrar motores de análisis desde una consola de administración local:

  1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema.

  2. En la sección Configuración del motor de sensor, seleccione uno o varios sensores de OT para los que quiera aplicar la configuración y desactive cualquiera de las opciones siguientes:

    • Infracción del protocolo
    • Infracción de la directiva
    • Malware
    • Anomalía
    • Operativos
  3. Seleccione GUARDAR CAMBIOS para guardar los cambios.

Borrar datos del sensor de OT

Si necesita reubicar o borrar el sensor de OT, restablézcalo para borrar todos los datos detectados o aprendidos en el sensor de OT.

Después de borrar los datos en un sensor conectado a la nube:

  • El inventario de dispositivos del Azure Portal se actualiza en paralelo.
  • Ya no se admiten algunas acciones en las alertas correspondientes en el Azure Portal, como descargar archivos PCAP o alertas de aprendizaje.

Nota

La configuración de red, como IP/DNS/GATEWAY, no se cambiará al restablecer los datos del sistema.

Para restablecer los datos del sistema:

  1. Inicie sesión en el sensor de OT como usuario administrador. Para más información, consulte Usuarios locales con privilegios predeterminados.

  2. Seleccione Admitir>Borrar datos.

  3. En el cuadro de diálogo de confirmación, seleccione para confirmar que quiere borrar todos los datos del sensor y restablecerlos. Por ejemplo:

    Captura de pantalla de la eliminación de datos del sistema en la página de soporte técnico de la consola del sensor.

Aparece un mensaje de confirmación de que la acción se realizó correctamente. Todos los datos aprendidos, listas de permitidos, directivas y opciones de configuración se borran del sensor.

Administración de complementos de sensor y supervisión del rendimiento del complemento

Vea los datos de cada protocolo supervisado por el sensor mediante la página Protocolos PPP (complementos de Horizon) en la consola del sensor.

  1. Inicie sesión en la consola del sensor de OT y seleccione Configuración del sistema > Supervisión de red > Protocolos DPI (complementos de Horizon).

  2. Realice una de las siguientes acciones:

    • Para limitar los protocolos supervisados por el sensor, seleccione el botón de alternancia Habilitar o deshabilitar para cada complemento según sea necesario.

    • Para supervisar el rendimiento del complemento, vea los datos que se muestran en la página Protocolos PPP (Complementos de Horizon) para cada complemento. Para facilitar la localización de un complemento específico, use el cuadro Buscar, donde puede escribir parte del nombre del complemento.

La página DPI de protocolos (complementos de Horizon) enumera los siguientes datos por complemento:

Nombre de la columna Descripción
Complemento Define el nombre del complemento.
Tipo Tipo de complemento, como APLICACIÓN o INFRAESTRUCTURA.
Time Hora a la que el complemento analizó los datos por última vez. La marca de tiempo se actualiza cada cinco segundos.
PPS Número de paquetes que el complemento analiza por segundo.
Ancho de banda Promedio del ancho de banda detectado en los últimos cinco segundos.
Malforms (Formato incorrecto) Número de errores de formato incorrecto detectados en los últimos cinco segundos. Se utilizan validaciones de formato incorrecto después de que el protocolo se haya validado de forma positiva. Si se produce un error al procesar los paquetes basados en el protocolo, se devuelve una respuesta de error.
Advertencias Número de advertencias detectadas (por ejemplo, cuando los paquetes coinciden con la estructura y las especificaciones, pero se detecta un comportamiento inesperado), en función de la configuración de advertencia del complemento.
Errores Número de errores detectados en los últimos cinco segundos para los paquetes que no superaron la validación de protocolo básica para los paquetes que coinciden con las definiciones de protocolo.

Los datos de registro están disponibles para exportarlos en los archivos de registro de Estadísticas de disección y Registros de disección. Para más información, consulte el artículo sobre la exportación de registros de solución de problemas.

Pasos siguientes

Para más información, consulte: