Creare e gestire gli utenti in un sensore di rete OT

Microsoft Defender per IoT offre strumenti per gestire l'accesso utente locale nel sensore di rete OT e la console di gestione locale legacy. Gli utenti di Azure vengono gestiti a livello di sottoscrizione di Azure usando il controllo degli accessi in base al ruolo di Azure.

Questo articolo descrive come gestire gli utenti locali direttamente in un sensore di rete OT.

Utenti con privilegi predefiniti

Per impostazione predefinita, ogni sensore di rete OT viene installato con l'utente amministratore con privilegi, che ha accesso agli strumenti avanzati per la risoluzione dei problemi e la configurazione.

Quando si configura un sensore per la prima volta, accedere all'utente amministratore, creare un utente iniziale con un ruolo di amministratore e quindi creare utenti aggiuntivi per gli analisti della sicurezza e gli utenti di sola lettura.

Per altre informazioni, vedere Installare e configurare un sensore OT e Utenti locali con privilegi predefiniti.

Le versioni dei sensori precedenti alla 23.1.x includono anche gli utenti con privilegi cyberx e cyberx_host. Nelle versioni 23.1.x e successive, questi utenti vengono installati, ma non abilitati per impostazione predefinita.

Per abilitare gli utenti cyberx e cyberx_host nelle versioni 23.1.x e successive, ad esempio per usarli con l'interfaccia della riga di comando di Defender per IoT, reimpostare la password. Per ulteriori informazioni, vedere Modificare la password dell'utente di un sensore.

Configurare una connessione Active Directory

È consigliabile configurare gli utenti locali nel sensore OT con Active Directory per consentire agli utenti di Active Directory di accedere al sensore e usare i gruppi di Active Directory, con autorizzazioni collettive assegnate a tutti gli utenti del gruppo.

Ad esempio, usare Active Directory quando si dispone di un numero elevato di utenti a cui si vuole assegnare l'accesso in sola lettura e si desidera gestire tali autorizzazioni a livello di gruppo.

Suggerimento

Quando si è pronti per iniziare a gestire le impostazioni del sensore OT su larga scala, definire le impostazioni di Active Directory dal portale di Azure. Dopo aver applicato le impostazioni dal portale di Azure, le impostazioni nella console del sensore sono di sola lettura. Per altre informazioni, vedere Configurare le impostazioni del sensore OT dal portale di Azure (anteprima pubblica).

Per effettuare l'integrazione con Active Directory:

  1. Accedere al sensore OT e selezionare Impostazioni del sistema>Integrazioni>Active Directory.

  2. Attivare o disattivare l'opzione Integrazione Active Directory abilitata.

  3. Immettere i valori seguenti per il server Active Directory:

    Nome Descrizione
    FQDN controller di dominio Il nome di dominio completo (FQDN), esattamente come appare nel server LDAP. Ad esempio, immettere host1.subdomain.contoso.com.

    Se si verifica un problema con l'integrazione usando il nome di dominio completo, controllare la configurazione DNS. È anche possibile immettere l'indirizzo IP esplicito del server LDAP anziché il nome di dominio completo durante la configurazione dell'integrazione.
    Porta controller di dominio La porta in cui è configurato il LDAP. Ad esempio, usare la porta 636 per le connessioni LDAPS (SSL).
    Dominio primario Il nome di dominio, ad esempio subdomain.contoso.com, quindi selezionare il tipo di connessione per la configurazione LDAP.

    I tipi di connessione supportati includono: LDAPS/NTLMv3 (scelta consigliata), LDAP/NTLMv3 o LDAP/SASL-MD5
    Gruppi di Active Directory Selezionare + Aggiungi per aggiungere un gruppo di Active Directory a ogni livello di autorizzazione elencato, in base alle esigenze.

    Quando si immette un nome del gruppo, assicurarsi di immettere il nome del gruppo esattamente come è definito nella configurazione di Active Directory nel server LDAP. Usare questi nomi del gruppo quando si aggiungono nuovi utenti del sensore con Active Directory.

    I livelli di autorizzazione supportati includono sola lettura, analista della sicurezza, amministratore e domini attendibili.

    Importante

    Quando si immettono parametri LDAP:

    • Definire i valori esattamente come vengono visualizzati in Active Directory, ad eccezione del caso.
    • Usare solo caratteri minuscoli, anche se la configurazione in Active Directory usa caratteri maiuscoli.
    • LDAP e LDAPS non possono essere configurati per lo stesso dominio. Tuttavia, è possibile configurarli in domini diversi e quindi usarli contemporaneamente.
  4. Per aggiungere un altro server Active Directory, selezionare + Aggiungi server nella parte superiore della pagina e definire tali valori del server.

  5. Dopo aver aggiunto tutti i server Active Directory, selezionare Salva.

    Ad esempio:

    Screenshot della configurazione di integrazione di Active Directory nel sensore.

Aggiungere nuovi utenti del sensore OT

Questa procedura descrive come creare nuovi utenti per un sensore di rete OT specifico.

Prerequisiti: questa procedura è disponibile per gli utenti amministratore, cyberx e cyberx_host e per qualsiasi utente con il ruolo Amministratore.

Per aggiungere un utente:

  1. Accedere alla console del sensore e selezionare Utenti>+ Aggiungi utente.

  2. Nella pagina Creare un utente | Utenti, immettere i dettagli seguenti:

    Nome Descrizione
    Nome utente Immettere un nome utente significativo per l'utente.
    E-mail Immettere l'indirizzo di posta elettronica dell'utente.
    Nome Immettere il nome dell'utente.
    Cognome Immettere il cognome dell'utente.
    Ruolo Selezionare uno dei ruoli utente seguenti: Amministratore, Analista della sicurezza o Sola lettura. Per altre informazioni, vedere Ruoli utente locali.
    Password Selezionare il tipo di utente, locale o utente Active Directory.

    Per gli utenti locali, immettere una password per l'utente. I requisiti delle password includono:
    - Almeno otto caratteri
    - Caratteri alfabetici sia minuscoli che maiuscoli
    - Almeno un numero
    - Almeno un simbolo

    Le password utente locali possono essere modificate solo dagli utenti amministratori.

    Suggerimento

    L'integrazione con Active Directory consente di associare gruppi di utenti a livelli di autorizzazione specifici. Se si desidera creare utenti usando Active Directory, configurare prima una connessione Active Directory e quindi tornare a questa procedura.

  3. Al termine, seleziona Salva.

Il nuovo utente viene aggiunto ed è elencato nella pagina Utenti del sensore.

Per modificare un utente, selezionare l'icona Modifica per l'utente che si desidera modificare, quindi modificare i valori in base alle esigenze.

Per eliminare un utente, selezionare il pulsante Elimina per l'utente che si desidera eliminare.

Modifica la password di un utente del sensore

Questa procedura descrive come gli utenti amministratori possono modificare le password utente locali. Gli utenti amministratori possono modificare le password per se stessi o per altri utenti analisti della sicurezza o di sola lettura. Gli utenti con privilegi possono modificare le proprie password e le password degli utenti amministratori.

Suggerimento

Se è necessario ripristinare l'accesso a un account utente con privilegi, vedere Ripristinare l'accesso con privilegi a un sensore.

Prerequisiti: questa procedura è disponibile solo per gli utenti cyberx, amministratore o cyberx_host, oppure per gli utenti con il ruolo di amministratore.

Per modificare la password di un utente in un sensore:

  1. Accedere al sensore e selezionare Utenti.

  2. Nella pagina Utenti del sensore, individuare l'utente di cui si deve modificare la password.

  3. A destra della riga dell'utente selezionare il menu delle opzioni (...) >Modifica per aprire il riquadro utente.

  4. Nel riquadro utente a destra, nell'area Cambia password, immettere e confermare la nuova password. Se si sta modificando la propria password, sarà anche necessario immettere la password corrente.

    I requisiti delle password includono:

    • Almeno otto caratteri
    • Caratteri alfabetici sia minuscoli che maiuscoli
    • Almeno un numero
    • Almeno un simbolo
  5. Al termine, seleziona Salva.

Ripristinare l'accesso con privilegi a un sensore

Questa procedura descrive come ripristinare l'accesso con privilegi a un sensore, per gli utenti cyberx, amministratore o cyberx_host. Per altre informazioni, vedere Utenti locali con privilegi predefiniti.

Prerequisiti: questa procedura è disponibile solo per gli utenti cyberx, amministratore o cyberx_host.

Per ripristinare l'accesso con privilegi a un sensore:

  1. Avviare l'accesso al sensore di rete OT. Nella schermata di accesso, selezionare il collegamento Reimposta. Ad esempio:

    Screenshot della schermata di accesso del sensore con il collegamento Reimposta password.

  2. Nella finestra di dialogo Reimposta password, dal menu Scegli utente, selezionare l'utente di cui si sta ripristinando la password, Cyberx, Amministratore o CyberX_host.

  3. Copiare negli Appunti il codice identificatore univoco visualizzato nell'identificatore Reimposta password. Ad esempio:

    Screenshot della finestra di dialogo Reimposta password nel sensore OT.

  4. Passare alla pagina Siti e sensori di Defender per IoT nel portale di Azure. È possibile aprire il portale di Azure in una nuova scheda o finestra del browser, mantenendo aperta la scheda del sensore.

    Nelle impostazioni del portale di Azure >Directory e sottoscrizioni, assicurarsi di aver selezionato la sottoscrizione in cui è stato eseguito l'onboarding del sensore in Defender per IoT.

  5. Nella pagina Siti e sensori, individuare il sensore con cui si sta lavorando e selezionare il menu delle opzioni (...) a destra >Ripristina password. Ad esempio:

    Screenshot dell'opzione Ripristina password nella pagina Siti e sensori.

  6. Nella finestra di dialogo Ripristina visualizzata, immettere l'identificatore univoco copiato negli Appunti dal sensore e selezionare Ripristina. Viene scaricato automaticamente un file password_recovery.zip.

    Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.

  7. Tornare alla scheda del sensore e, nella schermata Ripristino password, selezionare Selezionare il file. Passare al file password_recovery.zip scaricato in precedenza dal portale di Azure e caricarlo.

    Nota

    Se viene visualizzato un messaggio di errore che indica che il file non è valido, potrebbe essere stata selezionata una sottoscrizione non corretta nelle impostazioni del portale di Azure.

    Tornare ad Azure e selezionare l'icona delle impostazioni nella barra degli strumenti superiore. Nella pagina Directory e sottoscrizioni, assicurarsi di aver selezionato la sottoscrizione in cui è stato eseguito l'onboarding del sensore in Defender per IoT. Ripetere quindi i passaggi in Azure per scaricare il file password_recovery.zip e caricarlo di nuovo nel sensore.

  8. Selezionare Avanti. Viene visualizzata una password generata dal sistema per il sensore da usare per l'utente selezionato. Assicurarsi di annotare la password perché non verrà visualizzata di nuovo.

  9. Selezionare di nuovo Avanti per accedere al sensore con la nuova password.

Definire il numero massimo di accessi non riusciti

Usare l'accesso dell'interfaccia della riga di comando del sensore OT per definire il numero massimo di accessi non riusciti prima che un sensore OT impedisca all'utente di accedere di nuovo dallo stesso indirizzo IP.

Per altre informazioni, vedere Utenti e accesso dell'interfaccia della riga di comando di Defender per IoT.

Prerequisiti: questa procedura è disponibile solo per l'utente cyberx.

  1. Accedere al sensore OT tramite SSH ed eseguire:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py
    
  2. Nel file settings.py, impostare il valore "MAX_FAILED_LOGINS" sul numero massimo di accessi non riusciti che si desidera definire. Assicurarsi di considerare il numero di utenti simultanei nel sistema.

  3. Chiudere il file ed eseguire sudo monit restart all per applicare le modifiche.

Passaggi successivi

Per altre informazioni, vedere Controllare l'attività dell'utente.