Configurare le impostazioni del sensore OT dal portale di Azure (anteprima pubblica)
Dopo l'onboarding di un nuovo sensore di rete OT in Microsoft Defender per IoT, è possibile definire diverse impostazioni direttamente nella console del sensore OT, ad esempio aggiungendo utenti locali.
Anche le impostazioni del sensore OT elencate in questo articolo sono disponibili direttamente dal portale di Azure. Usare il portale di Azure per applicare queste impostazioni in blocco tra più sensori OT connessi al cloud alla volta o in tutti i sensori OT connessi al cloud in un sito o in una zona specifica. Questo articolo descrive come visualizzare e configurare le impostazioni del sensore di rete OT dal portale di Azure.
Nota
La pagina Impostazioni sensore in Defender per IoT è disponibile in ANTEPRIMA. Le condizioni supplementari per l'anteprima di Azure includono altri termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Prerequisiti
Per definire le impostazioni del sensore OT, assicurarsi di disporre dei seguenti elementi:
Una sottoscrizione di Azure di cui è stato eseguito l'onboarding in Defender per IoT. Se è necessario, iscriversi per ottenere un account gratuito e quindi usare la guida introduttiva: Introduzione a Defender per IoT per avviare una versione di valutazione gratuita.
Autorizzazioni:
Per visualizzare le impostazioni definite da altri utenti, accedere con un ruolo con autorizzazioni di lettura per la sicurezza, amministratore della sicurezza, collaboratore o proprietario per la sottoscrizione.
Per definire o aggiornare le impostazioni, accedere con il ruolo Amministratore della sicurezza, Collaboratore o Proprietario .
Per altre informazioni, vedere Ruoli utente e autorizzazioni di Azure per Defender per IoT.
Uno o più sensori di rete OT connessi al cloud. Per altre informazioni, vedere Eseguire l'onboarding di sensori OT in Defender per IoT.
Definire una nuova impostazione del sensore
Definire una nuova impostazione ogni volta che si desidera definire una configurazione specifica per uno o più sensori di rete OT. Ad esempio, se si desidera definire i limiti di larghezza di banda per tutti i sensori OT in un sito o una zona specifica o definirli per un singolo sensore OT in una posizione specifica nella rete.
Per definire una nuova impostazione:
In Defender per IoT nella portale di Azure selezionare Siti e sensori>Impostazioni sensore (anteprima).
Nella pagina Impostazioni sensore (anteprima) selezionare + Aggiungi e quindi usare la procedura guidata per definire i valori seguenti per l'impostazione. Al termine di ogni scheda della procedura guidata, selezionare Avanti per passare al passaggio successivo.
Nome scheda Descrizione Nozioni di base Selezionare la sottoscrizione in cui applicare l'impostazione e il tipo di impostazione.
Immettere un nome significativo e una descrizione facoltativa per l'impostazione.Impostazione Definire i valori per il tipo di impostazione selezionato.
Per informazioni dettagliate sulle opzioni disponibili per ogni tipo di impostazione, trovare il tipo di impostazione selezionato nel riferimento alle impostazioni del sensore riportato di seguito.Applica Usare i menu a discesa Seleziona siti, Seleziona zone e Seleziona sensori per definire dove applicare l'impostazione.
Importante: la selezione di un sito o di una zona applica l'impostazione a tutti i sensori OT connessi, inclusi eventuali sensori OT aggiunti al sito o alla zona in un secondo momento.
Se si sceglie di applicare le impostazioni a un intero sito, non è necessario selezionarne anche le zone o i sensori.Rivedi e crea Controllare le selezioni effettuate per l'impostazione.
Se la nuova impostazione sostituisce un'impostazione esistente, viene visualizzato un
avviso per indicare l'impostazione esistente.
Quando si è soddisfatti della configurazione dell'impostazione, selezionare Crea.
La nuova impostazione è ora elencata nella pagina Impostazioni sensore (anteprima) sotto il tipo di impostazione e nella pagina dei dettagli del sensore per qualsiasi sensore OT correlato. Le impostazioni del sensore vengono visualizzate come di sola lettura nella pagina dei dettagli del sensore. Ad esempio:
Suggerimento
È possibile configurare le eccezioni per le impostazioni per un sensore o una zona OT specifica. In questi casi, creare un'impostazione aggiuntiva per l'eccezione.
Impostazioni eseguire l'override tra loro in modo gerarchico, in modo che, se l'impostazione viene applicata a un sensore OT specifico, esegue l'override di tutte le impostazioni correlate applicate all'intera zona o sito. Per creare un'eccezione per un'intera zona, aggiungere un'impostazione per tale zona per eseguire l'override di tutte le impostazioni correlate applicate all'intero sito.
Visualizzare e modificare le impostazioni correnti del sensore OT
Per visualizzare le impostazioni correnti già definite per la sottoscrizione:
In Defender per IoT nella portale di Azure selezionare Siti e sensori>Impostazioni sensore (anteprima)
La pagina Impostazioni sensore (anteprima) mostra le impostazioni già definite per le sottoscrizioni, elencate in base al tipo di impostazione. Espandere o comprimere ogni tipo per visualizzare configurazioni dettagliate. Ad esempio:
Selezionare un'impostazione specifica per visualizzare la configurazione esatta e il sito, le zone o i singoli sensori in cui viene applicata l'impostazione.
Per modificare la configurazione dell'impostazione, selezionare Modifica e quindi usare la stessa procedura guidata usata per creare l'impostazione per apportare gli aggiornamenti necessari. Al termine, selezionare Applica per salvare le modifiche.
Eliminare un'impostazione del sensore OT esistente
Per eliminare completamente un'impostazione del sensore OT:
- Nella pagina Impostazioni sensore (anteprima) individuare l'impostazione da eliminare.
- Selezionare il menu opzioni ... nell'angolo in alto a destra della scheda dell'impostazione e quindi selezionare Elimina.
Ad esempio:
Modificare le impostazioni per i sensori OT disconnessi
Questa procedura descrive come modificare le impostazioni del sensore OT se il sensore OT è attualmente disconnesso da Azure, ad esempio durante un evento imprevisto di sicurezza in corso.
Per impostazione predefinita, se si configurano impostazioni dal portale di Azure, tutte le impostazioni configurabili sia dal portale di Azure che dal sensore OT vengono impostate in sola lettura sul sensore OT stesso. Ad esempio, se si configura una VLAN dal portale di Azure, le impostazioni del limite di larghezza di banda, della subnet e della VLAN sono tutte impostate su sola lettura e non sono state apportate modifiche al sensore OT.
Se si è in una situazione in cui il sensore OT è disconnesso da Azure ed è necessario modificare una di queste impostazioni, è prima necessario ottenere l'accesso in scrittura a tali impostazioni.
Per ottenere l'accesso in scrittura alle impostazioni bloccate del sensore OT:
Nella pagina Impostazioni sensore (anteprima) della portale di Azure individuare l'impostazione da modificare e aprirla per la modifica. Per altre informazioni, vedere Visualizzare e modificare le impostazioni correnti del sensore OT sopra.
Modificare l'ambito dell'impostazione in modo che non includa più il sensore OT e le modifiche apportate mentre il sensore OT viene disconnesso non vengono sovrascritti quando lo si connette ad Azure.
Importante
Impostazioni definite nel portale di Azure sempre eseguire l'override delle impostazioni definite nel sensore OT.
Accedere alla console del sensore OT interessata e selezionare Impostazioni > Configurazioni>avanzate di Configurazione remota di Azure.
Nella casella di codice modificare il
block_local_configvalore da1a0e selezionare Chiudi. Ad esempio:
Continuare aggiornando l'impostazione pertinente direttamente nel sensore di rete OT. Per altre informazioni, vedere Gestire singoli sensori.
Informazioni di riferimento sulle impostazioni del sensore
Usare le sezioni seguenti per altre informazioni sulle singole impostazioni del sensore OT disponibili nella portale di Azure:
Active Directory
Per configurare le impostazioni di Active Directory dal portale di Azure, definire i valori per le opzioni seguenti:
| Nome | Descrizione |
|---|---|
| FQDN del controller di dominio | Il nome di dominio completo (FQDN), esattamente come appare nel server LDAP. Ad esempio, immettere host1.subdomain.contoso.com. Se si verifica un problema con l'integrazione usando il nome di dominio completo, controllare la configurazione DNS. È anche possibile immettere l'indirizzo IP esplicito del server LDAP anziché il nome di dominio completo durante la configurazione dell'integrazione. |
| Porta controller di dominio | Porta in cui è configurato LDAP. Ad esempio, usare la porta 636 per le connessioni LD piattaforma di strumenti analitici (SSL). |
| Dominio primario | Nome di dominio, ad esempio subdomain.contoso.com, e quindi selezionare il tipo di connessione per la configurazione LDAP. I tipi di connessione supportati includono: LD piattaforma di strumenti analitici/NTLMv3 (scelta consigliata), LDAP/NTLMv3 o LDAP/SASL-MD5 |
| Gruppi di Active Directory | Selezionare + Aggiungi per aggiungere un gruppo di Active Directory a ogni livello di autorizzazione elencato, in base alle esigenze. Quando si immette un nome di gruppo, assicurarsi di immettere il nome del gruppo esattamente come definito nella configurazione di Active Directory nel server LDAP. Questi nomi di gruppo vengono usati quando si aggiungono nuovi utenti del sensore con Active Directory. I livelli di autorizzazione supportati includono sola lettura, analista della sicurezza, Amministrazione e domini attendibili. |
Importante
Quando si immettono parametri LDAP:
- Definire i valori esattamente come vengono visualizzati in Active Directory, ad eccezione del caso.
- Solo caratteri minuscoli dell'utente, anche se la configurazione in Active Directory usa caratteri maiuscoli.
- LDAP e LD piattaforma di strumenti analitici non possono essere configurati per lo stesso dominio. Tuttavia, è possibile configurarli in domini diversi e quindi usarli contemporaneamente.
Per aggiungere un altro server Active Directory, selezionare + Aggiungi server e definire tali valori del server.
Limite di larghezza di banda
Per un limite di larghezza di banda, definire la larghezza di banda massima che il sensore deve usare per la comunicazione in uscita dal sensore al cloud, in Kbps o Mbps.
Impostazione predefinita: 1500 Kbps
Minimo necessario per una connessione stabile ad Azure: 350 Kbps. A questa impostazione minima, le connessioni alla console del sensore potrebbero essere più lente del solito.
NTP
Per configurare un server NTP per il sensore dal portale di Azure, definire un indirizzo IP/dominio di un server NTP IPv4 valido usando la porta 123.
Subnet locali
Per concentrarsi sull'inventario dei dispositivi di Azure nei dispositivi inclusi nell'ambito OT, è necessario modificare manualmente l'elenco di subnet in modo da includere solo le subnet monitorate localmente che si trovano nell'ambito OT.
Le subnet nell'elenco di subnet vengono configurate automaticamente come subnet ICS, il che significa che Defender per IoT riconosce queste subnet come reti OT. È possibile modificare questa impostazione quando si configurano le subnet.
Dopo aver configurato le subnet, il percorso di rete dei dispositivi viene visualizzato nella colonna Percorso di rete (anteprima pubblica) nell'inventario dei dispositivi di Azure. Tutti i dispositivi associati alle subnet elencate vengono visualizzati come locali, mentre i dispositivi associati alle subnet rilevate non inclusi nell'elenco vengono visualizzati come instradati.
Configurare le subnet nel portale di Azure
Nella portale di Azure passare a Siti e sensori>Impostazioni sensore.
In Subnet locali esaminare le subnet configurate. Per concentrarsi sull'inventario dei dispositivi e visualizzare i dispositivi locali nell'inventario, eliminare tutte le subnet che non si trovano nell'ambito IoT/OT selezionando il menu delle opzioni (...) in qualsiasi subnet da eliminare.
Per modificare impostazioni aggiuntive, selezionare una subnet e quindi selezionare Modifica per le opzioni seguenti:
Selezionare Importa subnet per importare un elenco delimitato da virgole di indirizzi IP e maschere della subnet. Selezionare Esporta subnet per esportare un elenco di dati attualmente configurati oppure Cancella tutto per iniziare da zero.
Immettere i valori nei campi Indirizzo IP, Maschera e Nome per aggiungere manualmente i dettagli della subnet. Selezionare Aggiungi subnet per aggiungere altre subnet in base alle esigenze.
La subnet ICS è attivata per impostazione predefinita, il che significa che Defender per IoT riconosce la subnet come rete OT. Per contrassegnare una subnet come non ICS, disattivare la subnet ICS.
Denominazione VLAN
Per definire una VLAN per il sensore OT, immettere l'ID VLAN e un nome significativo.
Selezionare Aggiungi VLAN per aggiungere altre VLAN in base alle esigenze.