Gérer la console de gestion locale (héritée)

Article
08/07/2023

Important

Defender pour IoT recommande désormais d’utiliser des services cloud Microsoft ou une infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service la console de gestion locale le 1er janvier 2025.

Pour plus d’informations, consultez Déployez la gestion des capteurs OT hybrides ou isolés.

Cet article décrit les activités supplémentaires de la console de gestion locale que vous pouvez effectuer en dehors d’un processus de déploiement plus volumineux.

Prudence

Seuls les paramètres de configuration documentés sur le capteur réseau OT sont pris en charge pour la configuration du client. Ne modifiez pas les paramètres de configuration non documentés ou les propriétés système, car les modifications peuvent entraîner un comportement inattendu et des défaillances système.

La suppression de packages de votre capteur sans approbation Microsoft peut entraîner des résultats inattendus. Tous les packages installés sur le capteur sont requis pour une fonctionnalité de capteur correcte.

Conditions préalables

Avant d’effectuer les procédures décrites dans cet article, vérifiez que vous disposez des points suivants :

Une console de gestion locale installée et activée sur site .
Accès à la console de gestion locale en tant qu’utilisateur Admin. Les procédures sélectionnées et l’accès CLI nécessitent également un utilisateur privilégié. Pour plus d’informations, consultez Utilisateurs et rôles sur site pour la surveillance OT avec Defender pour IoT.
Un certificat SSL/TLS , préparé au cas où vous auriez besoin de mettre à jour le certificat de votre capteur.
Si vous ajoutez une carte réseau secondaire, vous devez accéder à l’interface CLI en tant qu’utilisateur privilégié .

Télécharger le logiciel pour la console de gestion locale

Vous devrez peut-être télécharger des logiciels pour votre console de gestion locale si vous installer le logiciel Defender pour IoT sur vos propres appliances, ou mettre à jour les versions logicielles.

Dans Defender pour IoT dans le portail Azure, utilisez l'une des options suivantes :

Pour une nouvelle installation ou une mise à jour autonome, sélectionnez Bien démarrer>console de gestion locale.
- Pour une nouvelle installation, sélectionnez une version dans la section Acheter un appareil et installer un logiciel, puis sélectionnez Télécharger.
- Pour une mise à jour, sélectionnez votre scénario de mise à jour dans la zone de la console de gestion locale , puis sélectionnez Télécharger.
Si vous mettez à jour votre console de gestion locale avec des capteurs OT connectés, utilisez les options du menu Sites et capteurs page >Mise à jour du capteur (préversion).

Ajouter une carte réseau secondaire après l’installation

Améliorez la sécurité de votre console de gestion locale en ajoutant une carte réseau secondaire dédiée aux capteurs attachés dans une plage d’adresses IP. Lorsque vous utilisez une carte réseau secondaire, le premier est dédié aux utilisateurs finaux, et le secondaire prend en charge la configuration d’une passerelle pour les réseaux routés.

Cette procédure explique comment ajouter une carte réseau secondaire après l’installation de votre console de gestion locale.

Pour ajouter une carte réseau secondaire:

Connectez-vous à votre console de gestion locale via SSH pour accéder auCLI , puis exécutez :
```
sudo cyberx-management-network-reconfigure
```

Entrez les réponses suivantes aux questions suivantes :

Capture d’écran des réponses requises pour configurer votre appliance.

Paramètres	Réponse à la saisie
adresse IP du réseau de gestion	`N`
masque de sous-réseau	`N`
DNS	`N`
adresse IP de passerelle par défaut	`N`
interface de surveillance des capteurs Optionnel. Pertinent lorsque les capteurs se trouvent sur un autre segment réseau.	`Y`, puis sélectionnez une valeur possible
une adresse IP pour l’interface de surveillance du capteur	`Y`et entrez une adresse IP accessible par les capteurs
Masque de sous-réseau pour l’interface de surveillance du capteur	`Y`et entrez une adresse IP accessible par les capteurs
nom d’hôte	Entrez le nom d’hôte

Passez en revue tous les choix et entrez Y pour accepter les modifications. Le système redémarre.

Charger un nouveau fichier d’activation

Vous avez activé votre console de gestion locale dans le cadre de votre déploiement.

Vous devrez peut-être réactiver votre console de gestion locale dans le cadre de procédures de maintenance, par exemple si le nombre total d’appareils surveillés dépasse le nombre d’appareils que vous êtes sous licence pour.

Pour charger un nouveau fichier d’activation dans votre console de gestion locale:

Dans Defender pour IoT sur le portail Azure, sélectionnez Plans et Tarification.
Sélectionnez votre plan, puis sélectionnez Télécharger le fichier d’activation de la console de gestion locale.

Enregistrez votre fichier téléchargé dans un emplacement accessible à partir de la console de gestion locale.

Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.
Connectez-vous à votre console de gestion locale et sélectionnez Paramètres système>Activation.
Dans la boîte de dialogue Activation, sélectionnez CHOOSE FILE et accédez au fichier d’activation que vous avez téléchargé précédemment.
Sélectionnez Fermer pour enregistrer vos modifications.

Gérer les certificats SSL/TLS

Si vous travaillez avec un environnement de production, vous avez déployé un certificat SSL/TLS signé par l’autorité de certification dans le cadre de votre déploiement de la console de gestion locale. Nous vous recommandons d’utiliser des certificats auto-signés uniquement à des fins de test.

Les procédures suivantes décrivent comment déployer des certificats SSL/TLS mis à jour, par exemple si le certificat a expiré.

Déployer un certificat signé par l’autorité de certification
créer et déployer un certificat auto-signé

Déployer un certificat signé par l’autorité de certification:

Connectez-vous à votre console de gestion locale et sélectionnez paramètres système>certificats SSL/TLS.

Dans la boîte de dialogue certificats SSL/TLS, sélectionnez + Ajouter un certificat et entrez les valeurs suivantes :

Paramètre	Description
nom du certificat	Entrez le nom de votre certificat.
phrase secrète - optionnel	Entrez une phrase secrète .
clé privée (fichier KEY)	Chargez une clé privée (fichier KEY).
Certificat (fichier CRT)	Chargez un certificat (fichier CRT).
Chaîne de certificats (fichier PEM) - facultatif	Chargez une chaîne de certificats (fichier PEM).

Par exemple:

Si le chargement échoue, contactez votre administrateur de sécurité ou informatique. Pour plus d’informations, consultez conditions requises pour les certificats SSL/TLS pour les ressources locales et créer des certificats SSL/TLS pour les appliances OT.

Sélectionnez l'option Activer la validation de certificat pour activer la validation à l'échelle du système pour les certificats SSL/TLS avec l'autorité de certification émettrice et les listes de révocation de certificats .

Si cette option est activée et que la validation échoue, la communication entre les composants pertinents est arrêtée et une erreur de validation s’affiche sur le capteur. Pour plus d’informations, consultez configuration requise du fichier CRT.
Sélectionnez Enregistrer pour enregistrer vos modifications.

Chaque console de gestion locale est installée avec un certificat auto-signé que nous vous recommandons d’utiliser uniquement à des fins de test. Dans les environnements de production, nous vous recommandons d’utiliser toujours un certificat signé par l’autorité de certification.

Les certificats auto-signés entraînent un environnement moins sécurisé, car le propriétaire du certificat ne peut pas être validé et la sécurité de votre système ne peut pas être conservée.

Pour créer un certificat auto-signé, téléchargez le fichier de certificat à partir de votre console de gestion locale, puis utilisez une plateforme de gestion des certificats pour créer les fichiers de certificat que vous devez télécharger dans la console de gestion locale.

Pour créer un certificat auto-signé:

Accédez à l’adresse IP de la console de gestion locale dans un navigateur, puis :

Sélectionnez l’alerte Non sécurisée dans la barre d’adresse de votre navigateur web, puis sélectionnez l’icône > en regard du message d’avertissement « Votre connexion à ce site n’est pas sécurisée ». Par exemple:
Sélectionnez l’icône Afficher le certificat pour afficher le certificat de sécurité pour ce site web.
Dans le volet de la visionneuse de certificats , sélectionnez l’onglet Détails , puis sélectionnez Exporter pour entrer un nom pour votre fichier exporté et enregistrez-le sur votre ordinateur local.

Utilisez une plateforme de gestion des certificats pour créer les types de fichiers de certificats SSL/TLS suivants :

Type de fichier	Description
.crt – fichier conteneur de certificats	Un fichier `.pem`, ou `.der`, avec une autre extension pour la prise en charge dans l’Explorateur Windows.
.key – Fichier de clé privée	Un fichier clé est au même format qu’un fichier `.pem`, avec une autre extension pour la prise en charge dans l’Explorateur Windows.
.pem – fichier conteneur de certificats (facultatif)	Optionnel. Fichier texte avec encodage Base64 du texte du certificat, et en-tête et pied de page de texte brut pour marquer le début et la fin du certificat.

Par exemple:

Ouvrez le fichier de certificat téléchargé, sélectionnez l’onglet Détails, puis cliquez sur >Copier vers un fichier pour exécuter l’Assistant Exportation de certificat .
Dans l’Assistant Exportation de certificat , sélectionnez Suivant>binaire X.509 (.CER)>, puis sélectionnez Suivant.
Dans l’écran Fichier à exporter, sélectionnez Parcourir, choisissez un emplacement pour stocker le certificat, puis sélectionnez Suivant.
Sélectionnez Terminer pour exporter le certificat.

Note

Vous devrez peut-être convertir des types de fichiers existants en types pris en charge.

Lorsque vous avez terminé, utilisez les procédures suivantes pour valider vos fichiers de certificat :

Déployer un certificat auto-signé:

Connectez-vous à votre console de gestion locale et sélectionnez paramètres système>certificats SSL/TLS.
Dans la boîte de dialogue certificats SSL/TLS , conservez la valeur par défaut certificat auto-signé généré localement (non sécurisé, non recommandé) option sélectionnée.
Sélectionnez I CONFIRM pour accuser réception de l’avertissement.
Sélectionnez l’option Activer la validation de certificat pour valider le certificat par rapport à un serveur CRL . Le certificat est vérifié une fois pendant le processus d’importation.

Si cette option est activée et que la validation échoue, la communication entre les composants pertinents est arrêtée et une erreur de validation s’affiche sur le capteur. Pour plus d’informations, consultez configuration requise du fichier CRT.
Sélectionnez Enregistrer pour enregistrer vos paramètres de certificat.

Résoudre les erreurs de chargement de certificat

Vous ne pourrez pas charger de certificats sur vos capteurs OT si les certificats ne sont pas créés correctement ou ne sont pas valides. Utilisez le tableau suivant pour comprendre comment prendre des mesures si le chargement de votre certificat échoue et qu’un message d’erreur s’affiche :

erreur de validation de certificat	Recommandation
phrase secrète ne correspond pas à la clé	Vérifiez que vous disposez de la phrase secrète correcte. Si le problème persiste, essayez de recréer le certificat à l’aide de la phrase secrète correcte. Pour obtenir plus d'informations, consultez Caractères pris en charge pour les clés et les phrases secrètes.
Impossible de valider la chaîne d’approbation. Le certificat fourni et l’autorité de certification racine ne sont pas compatibles.	Vérifiez qu’un fichier `.pem` est corrélé au fichier `.crt`. Si le problème persiste, essayez de recréer le certificat à l’aide de la chaîne d’approbation correcte, comme défini par le fichier `.pem`.
ce certificat SSL a expiré et n’est pas considéré comme valide.	Créez un certificat avec des dates valides.
Ce certificat a été révoqué par la CRL et ne peut pas être considéré comme fiable pour une connexion sécurisée	Créez un certificat sans appel.
L’emplacement de la liste de révocation de certificats n’est pas accessible. Vérifiez que l’URL est accessible à partir de cette appliance	Assurez-vous que votre configuration réseau permet au capteur d’atteindre le serveur de liste de révocation de certificats défini dans le certificat. Pour plus d’informations, consultez Vérifier l’accès au serveur de liste de révocation de certificats.
échec de la validation du certificat	Cela indique une erreur générale dans l’appliance. Contactez support Microsoft.

Modifier le nom de la console de gestion locale

Le nom par défaut de votre console de gestion locale est console de gestion, et s’affiche dans l’interface utilisateur de la console de gestion locale et les journaux de résolution des problèmes.

Pour modifier le nom de votre console de gestion locale :

Connectez-vous à votre console de gestion locale et sélectionnez le nom en bas à gauche, juste au-dessus du numéro de version.
Dans la boîte de dialogue Modifier la configuration de la console de gestion, entrez votre nouveau nom. Le nom doit comporter au maximum 25 caractères. Par exemple:
Sélectionnez Enregistrer pour enregistrer vos modifications.

Récupérer un mot de passe d’utilisateur privilégié

Si vous n’avez plus accès à votre console de gestion locale en tant qu’utilisateur privilégié , récupérez l’accès à partir du portail Azure.

Pour récupérer l’accès utilisateur privilégié:

Accédez à la page de connexion de votre console de gestion locale, puis sélectionnez récupération de mot de passe.
Sélectionnez l'utilisateur pour lequel vous souhaitez récupérer l'accès, soit l'utilisateur Support, soit l'utilisateur CyberX.
Copiez l’identificateur affiché dans la boîte de dialogue récupération de mot de passe dans un emplacement sécurisé.
Accédez à Defender pour IoT dans le portail Azure et vérifiez que vous affichez l’abonnement utilisé pour intégrer les capteurs OT actuellement connectés à la console de gestion locale.
Sélectionnez Sites et capteurs>Autres actions>Récupérer un mot de passe de console de gestion local.
Entrez l’identifiant secret que vous avez copié précédemment à partir de votre console de gestion locale, puis sélectionnez Récupérer.

Un fichier password_recovery.zip est téléchargé à partir de votre navigateur.

Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.
Dans la boîte de dialogue de récupération de mot de passe sur la console de gestion locale, sélectionnez Charger et sélectionnez le fichier que vous avez téléchargé.

Vos nouvelles informations d’identification sont affichées.

Modifier le nom d’hôte

Le nom d’hôte de la console de gestion locale doit correspondre au nom d’hôte configuré dans le serveur DNS de l’organisation.

Pour modifier le nom d’hôte enregistré sur la console de gestion locale:

Connectez-vous à la console de gestion locale et sélectionnez paramètres système.
Dans la zone de mise en réseau de la console de gestion , sélectionnez le réseau .
Entrez le nouveau nom d’hôte et sélectionnez SAVE pour enregistrer vos modifications.

Définir des noms de réseau local virtuel

Les noms de réseau local virtuel ne sont pas synchronisés entre un capteur OT et la console de gestion locale. Si vous avez des noms VLAN définis sur votre capteur OT, nous vous recommandons de définir des noms VLAN identiques sur la console de gestion locale.

Pour définir des noms de réseau local virtuel:

Connectez-vous à la console de gestion locale et sélectionnez paramètres système.
Dans la zone réseau de la console de gestion , sélectionnez le VLAN.
Dans la boîte de dialogue Modifier la configuration du réseau local virtuel, sélectionnez Ajouter un de réseau local virtuel, puis entrez votre ID de réseau local virtuel et votre nom, un par un à la fois.
Sélectionnez ENREGISTRER pour enregistrer vos modifications.

Configurer les paramètres du serveur de messagerie SMTP

Définissez les paramètres du serveur de messagerie SMTP sur votre console de gestion locale afin de configurer la console de gestion locale pour envoyer des données à d’autres serveurs et services partenaires.

Par exemple, vous avez besoin d’un serveur de messagerie SMTP configuré pour mettre en place la redirection de courrier et définir les règles d’alerte de transfert .

conditions préalables:

Vérifiez que vous pouvez accéder au serveur SMTP à partir de la console de gestion locale.

Pour configurer un serveur SMTP sur votre console de gestion locale:

Connectez-vous à votre console de gestion locale en tant qu’utilisateur privilégié via SSH/Telnet.

Courir:

nano /var/cyberx/properties/remote-interfaces.properties

Entrez les détails du serveur SMTP suivants, comme indiqué ci-dessous :
- mail.smtp_server
- mail.port. Le port par défaut est 25.
- mail.sender

Étapes suivantes

Pour plus d’informations, consultez :

Partager via