Configurare e attivare il sensore OT

  • Articolo

Questo articolo fa parte di una serie che descrive il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e come sfruttare le impostazioni di configurazione iniziali e attivare il sensore OT.

Diagramma di un indicatore di stato con l'opzione Distribuisci i sensori evidenziata.

È possibile eseguire diversi passaggi di configurazione iniziali nel browser o tramite l'interfaccia della riga di comando.

  • Usare il browser se è possibile connettere cavi fisici dal commutatore al sensore per identificare correttamente le interfacce. Assicurarsi di riconfigurare la scheda di rete in modo che corrisponda alle impostazioni predefinite nel sensore.
  • Usare l'interfaccia della riga di comando se si conoscono i dettagli di rete senza dover connettere cavi fisici. Usare l'interfaccia della riga di comando se è possibile connettersi solo al sensore tramite iLo/iDrac

Per effettuare la configurazione tramite l'interfaccia della riga di comando è comunque necessario completare gli ultimi passaggi nel browser.

Prerequisiti

Per eseguire le procedure in questo articolo sono necessari gli elementi seguenti:

  • Un sensore OT di cui è stato eseguito l'onboarding in Defender per IoT nel portale di Azure.

  • Software del sensore OT installato nell'appliance. Assicurarsi di aver installato il software manualmente o acquistato un'appliance preconfigurata.

  • Il file di attivazione del sensore, scaricato dopo l'onboarding del sensore. È necessario un file di attivazione univoco per ogni sensore OT distribuito.

    Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.

    Nota

    I file di attivazione scadono 14 giorni dopo la creazione. Se è stato eseguito l'onboarding del sensore ma non è stato caricato il file di attivazione prima della scadenza, scaricare un nuovo file di attivazione.

  • Certificato SSL/TLS. È consigliabile usare un certificato firmato dalla CA e non un certificato autofirmato. Per altre informazioni, vedere Creare certificati SSL/TLS per appliance OT.

  • Accesso all'appliance fisica o virtuale in cui si sta installando il sensore. Per altre informazioni, vedere Quali appliance sono necessarie?

Questo passaggio viene eseguito dai team di distribuzione.

Effettuare la configurazione tramite il browser

La configurazione del sensore tramite il browser include i passaggi seguenti:

  • Accesso alla console del sensore e modifica della password utente dell'amministratore
  • Definizione dei dettagli di rete per il sensore
  • Definizione delle interfacce da monitorare
  • Attivazione del sensore
  • Configurazione delle impostazioni del certificato SSL/TLS

Accedere alla console del sensore e modificare la password predefinita

Questa procedura descrive come accedere alla console del sensore OT per la prima volta. Viene richiesto di modificare la password predefinita per l'utente amministratore.

Per accedere al sensore:

  1. In un browser passare all'indirizzo IP 192.168.0.101, ovvero l'indirizzo predefinito fornito per il sensore alla fine dell'installazione.

    Viene visualizzata la pagina di accesso iniziale. Ad esempio:

    Screenshot della pagina di accesso iniziale del sensore.

  2. Immettere le credenziali seguenti e selezionare Accedi:

    • Nome utente: admin
    • Password: admin

    Viene chiesto di definire una nuova password per l'utente amministratore.

  3. Nel campo Nuova password immettere la nuova password. La password deve contenere caratteri alfabetici minuscoli e maiuscoli, numeri e simboli.

    Nel campo Conferma nuova password immettere di nuovo la nuova password e quindi selezionare Inizia.

    Per altre informazioni, vedere Utenti con privilegi predefiniti.

Si apre la pagina Defender per IoT | Panoramica e viene visualizzata la scheda Interfaccia di gestione.

Definire i dettagli della rete dei sensori

Nella scheda Interfaccia di gestione usare i campi seguenti per definire i dettagli di rete per il nuovo sensore:

Nome Descrizione
Interfaccia di gestione Selezionare l'interfaccia da usare come interfaccia di gestione per connettersi al portale di Azure o a una console di gestione locale.

Per identificare un'interfaccia fisica nel computer, selezionare un'interfaccia e quindi selezionare LED dell'interfaccia fisica lampeggiante. La porta che corrisponde all'interfaccia selezionata si accende in modo da poter collegare correttamente il cavo.
Indirizzo IP Immettere l'indirizzo IP da usare per il sensore. Questo è l'indirizzo IP usato dal team per connettersi al sensore tramite il browser o l'interfaccia della riga di comando.
Subnet mask Immettere l'indirizzo da usare come subnet mask del sensore.
Gateway predefinito Immettere l'indirizzo da usare come gateway predefinito del sensore.
DNS Immettere l'indirizzo IP del server DNS del sensore.
Hostname (Nome host) Immettere il nome host da assegnare al sensore. Assicurarsi di usare lo stesso nome host definito nel server DNS.
Abilitare il proxy per la connettività cloud (facoltativo) Selezionare questa opzione per definire un server proxy per il sensore.

Se si usa un certificato SSL/TSL per accedere al server proxy, selezionare certificato client e caricare il certificato.

Al termine, selezionare Avanti: Configurazioni dell'interfaccia per continuare.

Definire le interfacce da monitorare

La scheda Configurazioni interfaccia mostra tutte le interfacce rilevate dal sensore per impostazione predefinita. Usare questa scheda per attivare o disattivare il monitoraggio per ogni interfaccia o definire impostazioni specifiche per ogni interfaccia.

Suggerimento

È consigliabile ottimizzare le prestazioni nel sensore configurando le impostazioni per monitorare solo le interfacce in uso.

Nella scheda Configurazioni interfaccia eseguire le operazioni seguenti per configurare le impostazioni per le interfacce monitorate:

  1. Selezionare l'interruttore Abilita/Disabilita per tutte le interfacce che si vuole monitorare dal sensore. È necessario selezionare almeno un'interfaccia per continuare.

    Se non si è certi dell'interfaccia da usare, selezionare il pulsante LED dell'interfaccia fisica lampeggiane per far lampeggiare la porta selezionata nel computer. Selezionare una delle interfacce connesse al commutatore.

  2. (Facoltativo) Per ogni interfaccia selezionata per il monitoraggio, selezionare il pulsante Impostazioni avanzate per modificare una delle impostazioni seguenti:

    Nome Descrizione
    Modalità Selezionare uno degli elementi seguenti:
    - Traffico SPAN (senza incapsulamento) per usare il mirroring delle porte SPAN predefinito.
    - ERSPAN se si usa il mirroring ERSPAN.

    Per altre informazioni, vedere Scegliere un metodo di mirroring del traffico per i sensori OT.
    Descrizione Immettere una descrizione facoltativa per l'interfaccia. Questa operazione verrà visualizzata più avanti nella pagina Impostazioni di sistema > Configurazioni dell'interfaccia del sensore e queste descrizioni possono essere utili per comprendere lo scopo di ogni interfaccia.
    Negoziazione automatica Rilevante solo per i computer fisici. Utilizzare questa opzione per determinare quale tipo di metodi di comunicazione vengono utilizzati o se i metodi di comunicazione vengono definiti automaticamente tra i componenti.

    Importante: è consigliabile modificare questa impostazione solo in base ai consigli del team di rete.

    Seleziona Salva per salvare le modifiche.

  3. Selezionare Avanti: Riavviare > per continuare e quindi Avvia riavvio per riavviare il computer del sensore. Dopo l'avvio del sensore, si viene reindirizzati automaticamente all'indirizzo IP definito in precedenza come indirizzo IP del sensore.

    Selezionare Annulla per attendere il riavvio.

Attivare il sensore OT

Questa procedura descrive come attivare il nuovo sensore OT.

Se le impostazioni iniziali sono state configurate tramite l'interfaccia della riga di comando fino a oggi, si avvierà la configurazione basata su browser in questo passaggio. Dopo il riavvio del sensore, si viene reindirizzati alla stessa pagina Defender per IoT | Panoramica, nella scheda Attivazione.

Per attivare il sensore:

  1. Nella scheda Attivazione selezionare Carica per caricare il file di attivazione del sensore scaricato dal portale di Azure.
  2. Selezionare l'opzione Termini e condizioni e quindi selezionare Attiva.
  3. Selezionare Avanti: Certificati.

Definire le impostazioni del certificato SSL/TLS

Usare la scheda Certificati per distribuire un certificato SSL/TLS nel sensore OT. È consigliabile usare un certificato con firma CA per tutti gli ambienti di produzione.

Per definire le impostazioni del certificato SSL/TLS:

  1. Nella scheda Certificati selezionare Importa certificato CA attendibile (scelta consigliata) per distribuire un certificato firmato dalla CA.

    Immettere il nome del certificato e la passphrase, quindi selezionare Carica per caricare il file di chiave privata, il file del certificato e un file di catena di certificati facoltativo.

    Potrebbe essere necessario aggiornare la pagina dopo il caricamento dei file. Per altre informazioni, vedere Risolvere gli errori di caricamento dei certificati.

    Suggerimento

    Se si lavora a un ambiente di test, è anche possibile usare il certificato autofirmato generato localmente durante l'installazione. Se si sceglie di usare un certificato autofirmato, assicurarsi di selezionare l'opzione Conferma sulle raccomandazioni.

    Per altre informazioni, vedere Gestire i certificati SSL/TLS.

  2. Nell'area Convalida del certificato della console di gestione locale selezionare Obbligatorio per convalidare il certificato di una console di gestione locale rispetto a un elenco di revoche di certificati (CRL), come configurato nel certificato.

    Per altre informazioni, vedere Requisiti dei certificati SSL/TLS per le risorse locali e Creare certificati SSL/TLS per appliance OT.

  3. Selezionare Fine per completare la configurazione iniziale e aprire la console del sensore.

Effettuare la configurazione tramite l'interfaccia della riga di comando

Usare questa procedura per configurare le impostazioni di installazione iniziali seguenti tramite l'interfaccia della riga di comando:

  • Accesso alla console del sensore e configurazione di una password utente dell'amministratore
  • Definizione dei dettagli di rete per il sensore
  • Definizione delle interfacce da monitorare

Continuare con l'attivazione e la configurazione delle impostazioni del certificato SSL/TLS nel browser.

Per configurare le impostazioni di installazione iniziali tramite l'interfaccia della riga di comando:

  1. Nella schermata di installazione, dopo aver visualizzato i dettagli di rete predefiniti, premere INVIO per continuare.

  2. Al prompt D4Iot login accedere con le credenziali predefinite seguenti:

    • Nome utente: admin
    • Password: admin

    Quando si immette la password, i suoi caratteri non vengono visualizzati sullo schermo. Assicurarsi di immetterli attentamente.

  3. Al prompt immettere una nuova password per l'utente amministratore. La password deve contenere caratteri alfabetici minuscoli e maiuscoli, numeri e simboli.

    Quando viene richiesto di confermare la password, immettere ancora una volta la nuova password. Per altre informazioni, vedere Utenti con privilegi predefiniti.

    Verrà visualizzata la configurazione guidata di Package configuration Linux. In questa procedura guidata usare le frecce Su o Giù per spostarsi e la barra spaziatrice per selezionare un'opzione. Premere INVIO per passare alla schermata successiva.

  4. Nella schermata Select monitor interfaces della procedura guidata selezionare una delle interfacce da monitorare con questo sensore.

    Il sistema seleziona la prima interfaccia che trova come interfaccia di gestione; si consiglia di lasciare la selezione predefinita. Se si decide di usare una porta diversa come interfaccia di gestione, la modifica viene implementata solo dopo il riavvio del sensore. In questi casi, assicurarsi che il sensore sia connesso in base alle esigenze.

    Ad esempio:

    Screenshot della schermata Seleziona interfacce di monitoraggio.

    Importante

    Assicurarsi di selezionare solo le interfacce connesse.

    Se si selezionano interfacce abilitate ma non connesse, il sensore visualizzerà una notifica sull'integrità Nessun traffico monitorato nel portale di Azure. Se si connettono più origini di traffico dopo l'installazione e si vuole monitorarle con Defender per IoT, è possibile aggiungerle in un secondo momento tramite l'interfaccia della riga di comando.

  5. Nella schermata Select management interface selezionare l'interfaccia da usare per connettersi al portale di Azure o a una console di gestione locale.

    Ad esempio:

    Screenshot della schermata Seleziona interfaccia di gestione.

  6. Nella schermata Enter sensor IP address immettere l'indirizzo IP da usare per questo sensore. Usare questo indirizzo IP per connettersi al sensore tramite l'interfaccia della riga di comando o il browser. Ad esempio:

    Screenshot della schermata Immetti l'indirizzo IP del sensore.

  7. Nella schermata Enter path to the mounted backups folder immettere il percorso dei backup montati del sensore. È consigliabile usare il percorso predefinito di /opt/sensor/persist/backups. Ad esempio:

    Screenshot della configurazione della cartella backup montata.

  8. Nella schermata Enter Subnet Mask immettere l'indirizzo IP per la subnet mask del sensore. Ad esempio:

    Screenshot della schermata Immetti subnet mask.

  9. Nella schermata Enter Gateway immettere l'indirizzo IP del gateway predefinito del sensore. Ad esempio:

    Screenshot della schermata Immetti gateway.

  10. Nella schermata Enter DNS server immettere l'indirizzo IP del server DNS del sensore. Ad esempio:

    Screenshot della schermata Immetti server DNS.

  11. Nella schermata Enter hostname immettere un nome da usare come nome host del sensore. Assicurarsi di usare lo stesso nome host definito nel server DNS. Ad esempio:

    Screenshot della schermata Immetti nome host.

  12. Nella schermata Run this sensor as a proxy server (Preview) selezionare <Yes> solo se si vuole configurare un proxy e quindi immettere le credenziali proxy come richiesto. Per altre informazioni, vedere Configurare le impostazioni proxy in un sensore OT.

    La configurazione predefinita è senza proxy.

  13. Il processo di configurazione avvia l'esecuzione, esegue il riavvio e quindi chiede di eseguire di nuovo l'accesso. Ad esempio:

    Screenshot del prompt di accesso finale al termine della configurazione iniziale dell'interfaccia della riga di comando.

A questo punto, aprire un browser per l'indirizzo IP definito per il sensore e continuare la configurazione nel browser. Per altre informazioni, vedere Attivare il sensore OT.

Nota

Durante l'installazione iniziale, le opzioni per le porte di monitoraggio ERSPAN sono disponibili solo nella procedura basata su browser.

Se si definiscono i dettagli di rete tramite l'interfaccia della riga di comando e si vogliono configurare le porte di monitoraggio ERSPAN, eseguire questa operazione in un secondo momento tramite la pagina Impostazioni > Connessioni interfaccia del sensore. Per altre informazioni, vedere Aggiornare le interfacce di monitoraggio di un sensore (configurare ERSPAN).

Passaggi successivi

« Convalidare un'installazione software del sensore OT

Configurare le impostazioni proxy in un sensore OT »