Configurar e ativar o sensor de OT

  • Artigo

Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com Microsoft Defender para IoT e descreve como definir configurações iniciais e ativar o seu sensor de OT.

Diagrama de uma barra de progresso com Implantar seus sensores realçado.

Várias etapas de configuração iniciais podem ser executadas no navegador ou por meio da CLI.

  • Use o navegador se você puder conectar cabos físicos do comutador para o sensor para identificar suas interfaces corretamente. Certifique-se de reconfigurar o adaptador de rede para corresponder às configurações padrão no sensor.
  • Use a CLI se você souber os detalhes da rede sem precisar conectar cabos físicos. Use a CLI se você só puder se conectar ao sensor por meio de iLo/iDrac

A configuração por meio da CLI ainda exige que você conclua as últimas etapas no navegador.

Pré-requisitos

Para executar os procedimentos deste artigo, você precisa ter:

  • Um sensor de OT integrado ao Defender para IoT no portal do Azure.

  • Software de sensor OT instalado em seu dispositivo. Verifique se você instalou o software por conta própria ou comprou um dispositivo pré-configurado.

  • O arquivo de ativação do sensor, que foi baixado após a integração do sensor. Você precisa de um arquivo de ativação exclusivo para cada sensor de OT implantado.

    Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem somente ativos assinados.

    Observação

    Os arquivos de ativação expiram 14 dias após a criação. Se você integrou o sensor, mas não carregou o arquivo de ativação antes de expirar, baixe um novo arquivo de ativação.

  • Um certificado SSL/TLS. É recomendável usar um certificado assinado pela AC e não um certificado autoassinado. Para obter mais informações, confira Criar certificados SSL/TLS para dispositivos OT.

  • Acesso ao dispositivo físico ou virtual em que você está instalando o sensor. Para obter mais informações, consulte Quais dispositivos eu preciso?

Esta etapa é executada pelas equipes de implantação.

Configurar a instalação por meio do navegador

A configuração do sensor por meio do navegador inclui as seguintes etapas:

  • Entrar no console do sensor e alterar a senha do usuário administrador
  • Definição de detalhes de rede para o sensor
  • Definição das interfaces que você deseja monitorar
  • Ativação do seu sensor
  • Definição das configurações de certificado SSL/TLS

Entrar no console do sensor e alterar a senha padrão

Este procedimento descreve como entrar no console do sensor OT pela primeira vez. Você será solicitado a alterar a senha padrão para o usuário administrador.

Para entrar no seu sensor:

  1. Em um navegador, acesse o endereço IP 192.168.0.101, que é o endereço IP padrão fornecido para o sensor no final da instalação.

    A página de entrada inicial é exibida. Por exemplo:

    Captura de tela da página inicial de logon do sensor.

  2. Insira as seguintes credenciais e selecione Logon:

    • Nome de usuário: admin
    • Senha: admin

    Você será solicitado a definir uma nova senha para o usuário administrador.

  3. No campo Nova senha, insira sua nova senha. A senha deve conter caracteres alfabéticos, números e símbolos minúsculos e maiúsculos.

    No campo Confirmar nova senha, insira sua nova senha novamente e selecione Introdução.

    Para obter mais informações, confira Usuários com privilégios padrão.

A página Defender para IoT | Visão geral é aberta na guia Interface de gerenciamento.

Definir detalhes de rede do sensor

Na guia Interface de gerenciamento, use os seguintes campos para definir detalhes de rede para o novo sensor:

Nome Descrição
Interface de gerenciamento Selecione a interface que você deseja usar como interface de gerenciamento para se conectar ao portal do Azure ou a um console de gerenciamento local.

Para identificar uma interface física em seu computador, selecione uma interface e, em seguida, selecione LED da interface física do Blink. A porta que corresponde à interface selecionada acende para que você possa conectar o cabo corretamente.
Endereço IP Insira o endereço IP que você deseja usar para o sensor. Esse é o endereço IP que sua equipe usa para se conectar ao sensor por meio do navegador ou da CLI.
Máscara de Sub-rede Insira o endereço que você deseja usar como máscara de sub-rede do sensor.
Gateway padrão Insira o endereço que você deseja usar como gateway padrão do sensor.
DNS Insira o endereço IP do servidor DNS do sensor.
Nome do host Insira o nome do host que você deseja atribuir ao sensor. Certifique-se de usar o mesmo nome de host definido no servidor DNS.
Habilitar o proxy para conectividade de nuvem (opcional) Selecione para definir um servidor proxy para o sensor.

Se você usar um certificado SSL/TSL para acessar o servidor proxy, selecione Certificado do cliente e carregue seu certificado.

Quando terminar, selecione Avançar: configurações de interface para continuar.

Definir as interfaces que você deseja monitorar

A guia Configurações de interface mostra todas as interfaces detectadas pelo sensor por padrão. Use esta guia para ativar ou desativar o monitoramento por interface ou definir configurações específicas para cada interface.

Dica

Recomendamos que você otimize o desempenho no sensor definindo suas configurações para monitorar apenas as interfaces que estão ativamente em uso.

Na guia Configurações de interface, faça o seguinte para definir as configurações das interfaces monitoradas:

  1. Selecione a alternância Habilitar/Desabilitar para todas as interfaces que você deseja que o sensor monitore. Você deve selecionar pelo menos uma interface para continuar.

    Se você não tiver certeza sobre qual interface usar, selecione o botão LED da interface física do Blink para que a porta selecionada pisque no computador. Selecione qualquer uma das interfaces que você conectou ao comutador.

  2. (Opcional) Para cada interface selecionada para monitorar, selecione o botão Configurações avançadas para modificar qualquer uma das seguintes configurações:

    Nome Descrição
    Modo Selecione uma das seguintes:
    - SPAN Traffic (sem encapsulamento) para usar o espelhamento de porta SPAN padrão.
    - ERSPAN se você estiver usando o espelhamento ERSPAN.

    Para obter mais informações, confira Escolher um método de espelhamento de tráfego para sensores de OT.
    Descrição Insira uma descrição opcional para a interface. Você verá isso posteriormente na página Configurações do sistema > Configurações da interface, e essas descrições podem ser úteis para entender a finalidade de cada interface.
    Negociação automática Relevante somente para computadores físicos. Use essa opção para determinar qual tipo de métodos de comunicação são usados ou se os métodos de comunicação são definidos automaticamente entre componentes.

    Importante: recomendamos que você altere essa configuração somente por recomendação da sua equipe de rede.

    Selecione Salvar para salvar as alterações.

  3. Selecione Avançar: Reinicializar> para continuar e, em seguida, Inicie a reinicialização para reinicializar o computador sensor. Depois que o sensor for iniciado novamente, você será redirecionado automaticamente para o endereço IP definido anteriormente como o endereço IP do sensor.

    Selecione Cancelar para aguardar a reinicialização.

Ative seu sensor de OT

Este procedimento descreve como ativar o novo sensor de OT.

Se você tiver definido as configurações iniciais por meio da CLI até agora, iniciará a configuração baseada no navegador nesta etapa. Após a reinicialização do sensor, você será redirecionado para a mesma página Defender para IoT | Visão geral, para a guia Ativação.

Para ativar o sensor:

  1. Na guia Ativação, selecione Carregar para carregar o arquivo de ativação do sensor que você baixou do portal do Azure.
  2. Selecione a opção de termos e condições e selecione Ativar.
  3. Selecione Avançar: Certificados.

Caso tenha um problema de conexão entre o sensor baseado em nuvem e o portal do Azure durante o processo de ativação que faz com que a ativação falhe, uma mensagem será exibida abaixo do botão Ativar. Para resolver o problema de conectividade, selecione Saiba mais e o painel Conectividade de nuvem é aberto. O painel lista as causas do problema e as recomendações para resolvê-lo.

Mesmo sem resolver o problema, você poderá continuar para o próximo estágio selecionando Avançar: Certificados.

O único problema de conexão que deve ser corrigido antes de passar para o próximo estágio é quando um descompasso de tempo é detectado e o sensor não é sincronizado com a nuvem. Nesse caso, o sensor deve ser sincronizado corretamente, conforme descrito nas recomendações, antes de passar para o próximo estágio.

Definir configurações de certificado SSL/TLS

Use a guia Certificados para implantar um certificado SSL/TLS no sensor de OT. Recomendamos que você use um certificado assinado pela AC em todos os ambientes de produção.

Para definir as configurações de certificado SSL/TLS:

  1. Na guia Certificados, selecione Importar certificado de autoridade de certificação confiável (recomendado) para implantar um certificado assinado por autoridade de certificação.

    Insira o nome e a frase secreta dos certificados e selecione Carregar para carregar o arquivo de chave privada, o arquivo de certificado e um arquivo de cadeia de certificados opcional.

    Talvez seja necessário atualizar a página depois de carregar seus arquivos. Para obter mais informações, consulte Solucionar problemas de erros de upload de certificado.

    Dica

    Se você estiver trabalhando em um ambiente de teste, também poderá usar o certificado autoassinado gerado localmente durante a instalação. Se você optar por usar um certificado autoassinado, selecione a opção Confirmar sobre as recomendações.

    Para obter mais informações, consulte Gerenciar certificados SSL/TLS.

  2. Na área Validação do certificado do console de gerenciamento local, selecione Obrigatório para validar um certificado do console de gerenciamento local em relação a uma CRL (lista de revogação de certificados), conforme configurado em seu certificado.

    Para obter mais informações, consulte Requisitos de certificados SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.

  3. Selecione Concluir para concluir a configuração inicial e abrir o console do sensor.

Configurar a instalação por meio da CLI

Use este procedimento para definir as seguintes configurações iniciais por meio da CLI:

  • Entrar no console do sensor e definir uma nova senha do usuário administrador
  • Definição de detalhes de rede para o sensor
  • Definição das interfaces que você deseja monitorar

Continue a ativar e definir as configurações de certificado SSL/TLS no navegador.

Observação

As informações neste artigo se aplicam ao sensor versão 24.1.5. Caso esteja executando uma versão anterior, consulte configurar o espelhamento ERSPAN.

Para definir as configurações iniciais por meio da CLI:

  1. Na tela de instalação, depois que os detalhes de rede padrão forem mostrados, pressione ENTER para continuar.

  2. No prompt D4Iot login, entre com as seguintes credenciais padrão:

    • Nome de usuário: admin
    • Senha: admin

    Quando você insere sua senha, os caracteres de senha não são exibidos na tela. Certifique-se de inseri-los com cuidado.

  3. No prompt, insira uma nova senha para o usuário administrador. A senha deve conter caracteres alfabéticos, números e símbolos minúsculos e maiúsculos.

    Quando solicitado a confirmar sua senha, insira sua nova senha novamente. Para obter mais informações, confira Usuários com privilégios padrão.

  4. Após alterar a senha, o assistente Sensor Config é iniciado automaticamente. Continue para a etapa 5.

    Caso esteja fazendo logon em ocasiões subsequentes, continue na etapa 4.

  5. Para iniciar o assistente Sensor Config, no tipo de solicitação network reconfigure. Caso esteja usando o usuário cyberx, digite ERSPAN=1 python3 -m cyberx.config.configure.

  6. A tela Sensor Config mostra a configuração atual das interfaces. Garanta que uma interface está definida como a interface de gerenciamento. Neste assistente, pressione as setas para cima ou para baixo para navegar e pressione a barra de Espaço para selecionar uma opção. Pressione Enter para avançar para a próxima tela.

    Selecione a interface a ser configurada, por exemplo:

    Captura de tela da tela Selecionar interfaces de monitor.

  7. Na tela Select type, selecione o novo tipo de configuração para essa interface.

Importante

Selecione apenas as interfaces conectadas.

Se você selecionar interfaces habilitadas, mas não conectadas, o sensor mostrará uma notificação de integridade Sem tráfego monitorado no portal do Azure. Se você conectar mais fontes de tráfego após a instalação e quiser monitorá-las com o Defender para IoT, poderá adicioná-las mais tarde por meio da CLI.

Uma interface pode ser definida como Gerenciamento, Monitor, Túnel ou Não usada. Talvez você deseje definir uma interface como Não usada como uma configuração temporária, para redefini-la ou se um erro foi cometido na configuração original.

  1. Para configurar uma interface de Gerenciamento:

    1. Selecione a interface.

    2. Selecione Gerenciamento.

    3. Digite o endereço IP do sensor,o endereço IP do servidor DNS e o endereço IP do Gateway padrão.

      Captura de tela da tela Gerenciamento de interface.

    4. Selecione Voltar.

  2. Para configurar uma interface do Monitor:

    1. Selecione a interface.
    2. Selecione Monitor. As atualizações de tela de Configuração do Sensor.

  3. Para configurar uma interface ERSPAN:

    1. Selecione Tipo.
    2. Selecione ERSPAN.
    3. Selecione Confirmar.

  4. Para configurar uma interface como Não usada:

    1. Selecione a interface.
    2. Selecione o status existente.
    3. Selecione Não usada. As atualizações de tela de Configuração do Sensor.

  5. Após configurar todas as interfaces, selecione Salvar.

Local da pasta de backup automático

O sensor cria automaticamente uma pasta de backup. Para alterar o local dos backups montados, é necessário:

  1. Fazer logon no sensor usando o usuário administrador.
  2. Digite o seguinte código na interface da CLI: system backup path e adicione o local do caminho, por exemplo /opt/sensor/backup.
  3. O backup é executado automaticamente e pode levar até um minuto.

Observação

Durante a instalação inicial, as opções para portas de monitoramento ERSPAN estão disponíveis apenas no procedimento baseado em navegador.

Se você estiver definindo os detalhes da rede por meio da CLI e quiser configurar as portas de monitoramento do ERSPAN, faça isso posteriormente por meio da página Configurações > Conexões da interface do sensor. Para obter mais informações, confira Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN).

Próximas etapas

« Validar uma instalação de software do sensor de OT

« Definir configurações de proxy em um sensor de OT»