Gestire la console di gestione locale (legacy)

Importante

Defender per IoT consiglia ora di usare i servizi cloud Microsoft o l'infrastruttura IT esistente per il monitoraggio centrale e la gestione dei sensori e prevede di ritirare la console di gestione locale il 1° gennaio 2025.

Per altre informazioni, vedere Distribuire la gestione dei sensori OT ibrida o air-gapped.

Questo articolo descrive le attività aggiuntive della console di gestione locale che è possibile eseguire all'esterno di un processo di distribuzione più ampio.

Attenzione

Per la configurazione dei clienti sono supportati solo i parametri di configurazione documentati nel sensore di rete OT e nella console di gestione locale. Non modificare parametri di configurazione o proprietà di sistema non documentati, perché le modifiche possono causare errori imprevisti e comportamenti di sistema.

La rimozione di pacchetti dal sensore senza l'approvazione di Microsoft può causare risultati imprevisti. Tutti i pacchetti installati nel sensore sono necessari per la corretta funzionalità del sensore.

Prerequisiti

Prima di eseguire le procedure descritte in questo articolo, assicurarsi di disporre di:

Scaricare il software per la console di gestione locale

Potrebbe essere necessario scaricare il software per la console di gestione locale se si installa il software Defender per IoT nelle proprie appliance o si aggiornano le versioni software.

In Defender per IoT nella portale di Azure usare una delle opzioni seguenti:

  • Per un nuovo aggiornamento autonomo o di installazione, selezionare Guida introduttiva>alla console di gestione locale.

    • Per una nuova installazione, selezionare una versione nell'area Acquistare un'appliance e installare il software e quindi selezionare Scarica.
    • Per un aggiornamento, selezionare lo scenario di aggiornamento nell'area Console di gestione locale e quindi selezionare Scarica.
  • Se si aggiorna la console di gestione locale insieme ai sensori OT connessi, usare le opzioni nel menu Aggiornamento sensore pagina Siti e sensori >(anteprima).

Aggiungere una scheda di interfaccia di rete secondaria dopo l'installazione

Migliorare la sicurezza per la console di gestione locale aggiungendo una scheda di interfaccia di rete secondaria dedicata ai sensori collegati all'interno di un intervallo di indirizzi IP. Quando si usa una scheda di interfaccia di rete secondaria, la prima è dedicata per gli utenti finali e la secondaria supporta la configurazione di un gateway per le reti indirizzate.

Questa procedura descrive come aggiungere una scheda di interfaccia di rete secondaria dopo l'installazione della console di gestione locale.

Per aggiungere una scheda di interfaccia di rete secondaria:

  1. Accedere alla console di gestione locale tramite SSH per accedere all'interfaccia della riga di comando ed eseguire:

    sudo cyberx-management-network-reconfigure
    
  2. Immettere le risposte seguenti alle domande seguenti:

    Screenshot of the required answers to configure your appliance.

    Parametri Risposta da immettere
    Indirizzo IP di rete di gestione N
    Subnet mask N
    DNS N
    Indirizzo IP del gateway predefinito N
    Interfaccia di monitoraggio dei sensori
    Facoltativo. Rilevante quando i sensori si trovano in un segmento di rete diverso.
    Ye selezionare un valore possibile
    Indirizzo IP per l'interfaccia di monitoraggio del sensore Ye immettere un indirizzo IP accessibile dai sensori
    Subnet mask per l'interfaccia di monitoraggio del sensore Ye immettere un indirizzo IP accessibile dai sensori
    Hostname (Nome host) Immettere il nome host
  3. Esaminare tutte le scelte e immettere Y per accettare le modifiche. Il sistema viene riavviato.

Caricare un nuovo file di attivazione

È stata attivata la console di gestione locale come parte della distribuzione.

Potrebbe essere necessario riattivare la console di gestione locale come parte delle procedure di manutenzione, ad esempio se il numero totale di dispositivi monitorati supera il numero di dispositivi concessi in licenza.

Per caricare un nuovo file di attivazione nella console di gestione locale:

  1. In Defender per IoT nella portale di Azure selezionare Piani e prezzi.

  2. Selezionare il piano e quindi scaricare il file di attivazione della console di gestione locale.

    Salvare il file scaricato in un percorso accessibile dalla console di gestione locale.

    Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.

  3. Accedere alla console di gestione locale e selezionare System Impostazioni Activation ( Sistema Impostazioni> Attivazione).

  4. Nella finestra di dialogo Attivazione selezionare CHOO edizione Standard FILE e passare al file di attivazione scaricato in precedenza.

  5. Selezionare Chiudi per salvare le modifiche.

Gestire i certificati SSL/TLS

Se si usa un ambiente di produzione, è stato distribuito un certificato SSL/TLS firmato dalla CA come parte della distribuzione della console di gestione locale. È consigliabile usare certificati autofirmato solo a scopo di test.

Le procedure seguenti descrivono come distribuire certificati SSL/TLS aggiornati, ad esempio se il certificato è scaduto.

Per distribuire un certificato firmato dalla CA:

  1. Accedere alla console di gestione locale e selezionare System Impostazioni SSL/TLS Certificates (Certificati system Impostazioni> SSL/TLS).

  2. Nella finestra di dialogo Certificati SSL/TLS selezionare + Aggiungi certificato e immettere i valori seguenti:

    Parametro Descrizione
    Nome certificato Immettere il nome del certificato.
    Passphrase - facoltativa Immettere una passphrase.
    Chiave privata (file KEY) Caricare una chiave privata (file KEY).
    Certificato (file CRT) Caricare un certificato (file CRT).
    Catena di certificati (file PEM) - Facoltativo Caricare una catena di certificati (file PEM).

    Ad esempio:

    Screenshot of importing a trusted CA certificate.

    Se il caricamento non riesce, contattare l'amministratore IT o la sicurezza. Per altre informazioni, vedere Requisiti dei certificati SSL/TLS per le risorse locali e Creare certificati SSL/TLS per appliance OT.

  3. Selezionare l'opzione Abilita convalida certificati per attivare la convalida a livello di sistema per i certificati SSL/TLS con l'autorità di certificazione e gli elenchi di revoche di certificati emittente.

    Se questa opzione è attivata e la convalida ha esito negativo, la comunicazione tra i componenti pertinenti viene interrotta e viene visualizzato un errore di convalida nel sensore. Per altre informazioni, vedere Requisiti dei file CRT.

  4. Seleziona Salva per salvare le modifiche.

Risolvere gli errori di caricamento dei certificati

Non sarà possibile caricare i certificati nei sensori OT o nelle console di gestione locali se i certificati non vengono creati correttamente o non sono validi. Usare la tabella seguente per comprendere come intervenire se il caricamento del certificato non riesce e viene visualizzato un messaggio di errore:

Errore di convalida del certificato Consiglio
La passphrase non corrisponde alla chiave Assicurarsi di avere la passphrase corretta. Se il problema persiste, provare a ricreare il certificato usando la passphrase corretta. Per altre informazioni, vedere Caratteri supportati per chiavi e passphrase.
Impossibile convalidare la catena di attendibilità. Il certificato e la CA radice forniti non corrispondono. Assicurarsi che un .pem file sia correlato al .crt file.
Se il problema persiste, provare a ricreare il certificato usando la catena di attendibilità corretta, come definito dal .pem file.
Questo certificato SSL è scaduto e non è considerato valido. Creare un nuovo certificato con date valide.
Questo certificato è stato revocato dal CRL e non può essere considerato attendibile per una connessione sicura Creare un nuovo certificato non richiamato.
Il percorso CRL (Certificate Revocation List) non è raggiungibile. Verificare che l'URL sia accessibile da questa appliance Assicurarsi che la configurazione di rete consenta al sensore o alla console di gestione locale di raggiungere il server CRL definito nel certificato.
Per altre informazioni, vedere Verificare l'accesso al server CRL.
Convalida del certificato non riuscita Indica un errore generale nell'appliance.
Contattare supporto tecnico Microsoft.

Modificare il nome della console di gestione locale

Il nome predefinito della console di gestione locale è Console di gestione e viene visualizzato nella GUI della console di gestione locale e nei log di risoluzione dei problemi.

Per modificare il nome della console di gestione locale:

  1. Accedere alla console di gestione locale e selezionare il nome in basso a sinistra, appena sopra il numero di versione.

  2. Nella finestra di dialogo Modifica configurazione della console di gestione immettere il nuovo nome. Il nome deve avere un massimo di 25 caratteri. Ad esempio:

    Screenshot of how to change the name of your on-premises management console.

  3. Seleziona Salva per salvare le modifiche.

Ripristinare una password utente con privilegi

Se non si ha più accesso alla console di gestione locale come utente con privilegi, ripristinare l'accesso dal portale di Azure.

Per ripristinare l'accesso utente con privilegi:

  1. Passare alla pagina di accesso per la console di gestione locale e selezionare Ripristino password.

  2. Selezionare l'utente per cui si vuole ripristinare l'accesso, ovvero l'utente Support o CyberX .

  3. Copiare l'identificatore visualizzato nella finestra di dialogo Ripristino password in una posizione sicura.

  4. Passare a Defender per IoT nella portale di Azure e assicurarsi di visualizzare la sottoscrizione usata per caricare i sensori OT attualmente connessi alla console di gestione locale.

  5. Selezionare Siti e sensori>Altre azioni>Ripristinare una password della console di gestione locale.

  6. Immettere l'identificatore del segreto copiato in precedenza dalla console di gestione locale e selezionare Ripristina.

    Un password_recovery.zip file viene scaricato dal browser.

    Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.

  7. Nella finestra di dialogo Ripristino password nella console di gestione locale selezionare Carica e selezionare il password_recovery.zip file scaricato.

Vengono visualizzate le nuove credenziali.

Modificare il nome host

Il nome host della console di gestione locale deve corrispondere al nome host configurato nel server DNS dell'organizzazione.

Per modificare il nome host salvato nella console di gestione locale:

  1. Accedere alla console di gestione locale e selezionare Impostazioni di sistema.

  2. Nell'area Rete della console di gestione selezionare Rete.

  3. Immettere il nuovo nome host e selezionare SALVA per salvare le modifiche.

Definire i nomi VLAN

I nomi VLAN non vengono sincronizzati tra un sensore OT e la console di gestione locale. Se sono stati definiti nomi VLAN nel sensore OT, è consigliabile definire nomi VLAN identici nella console di gestione locale.

Per definire i nomi VLAN:

  1. Accedere alla console di gestione locale e selezionare Impostazioni di sistema.

  2. Nell'area Rete della console di gestione selezionare VLAN.

  3. Nella finestra di dialogo Modifica configurazione VLAN selezionare Aggiungi VLAN e quindi immettere l'ID VLAN e il nome, uno alla volta.

  4. Selezionare SALVA per salvare le modifiche.

Configurare le impostazioni del server di posta SMTP

Definire le impostazioni del server di posta SMTP nella console di gestione locale in modo da configurare la console di gestione locale per inviare dati ad altri server e servizi partner.

Ad esempio, è necessario un server di posta SMTP configurato per configurare l'inoltro della posta elettronica e configurare le regole di avviso di inoltro.

Prerequisiti:

Assicurarsi di poter raggiungere il server SMTP dalla console di gestione locale.

Per configurare un server SMTP nella console di gestione locale:

  1. Accedere alla console di gestione locale come utente con privilegi tramite SSH/Telnet.

  2. Terza fase

    nano /var/cyberx/properties/remote-interfaces.properties
    
  3. Immettere i dettagli del server SMTP seguenti come richiesto:

    • mail.smtp_server
    • mail.port. La porta predefinita è 25.
    • mail.sender

Passaggi successivi

Per altre informazioni, vedi: