Configurer et activer votre capteur OT
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT. Il décrit comment configurer les paramètres d’installation initiale et activer votre capteur OT.
Plusieurs étapes d’installation initiale peuvent être effectuées dans le navigateur ou via l’interface CLI.
- Utilisez le navigateur si vous pouvez connecter des câbles physiques de votre commutateur à votre capteur pour identifier correctement vos interfaces. Veillez à reconfigurer votre carte réseau pour qu’elle corresponde aux paramètres par défaut du capteur.
- Utilisez l’interface CLI si vous connaissez les détails de votre réseau sans avoir à connecter de câbles physiques. Utilisez l’interface CLI si vous ne pouvez vous connecter au capteur que via iLo/iDrac
La configuration de votre installation via l’interface CLI vous oblige toujours à effectuer les dernières étapes dans le navigateur.
Prérequis
Pour suivre les procédures décrites dans cet article, vous devez :
Un capteur OT intégré à Defender pour IoT dans le Portail Azure.
Logiciel de capteur OT installé sur votre appliance. Vérifiez que vous avez installé le logiciel vous-même ou acheté un appliance préconfiguré.
Le fichier d’activation du capteur, qui a été téléchargé après l’intégration de votre capteur. Vous avez besoin d’un fichier d’activation unique pour chaque capteur OT que vous déployez.
Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.
Notes
Les fichiers d’activation expirent 14 jours après leur création. Si vous avez intégré votre capteur, mais que vous n’avez pas téléchargé le fichier d’activation avant son expiration, téléchargez un nouveau fichier d’activation.
Un certificat SSL/TLS. Nous vous recommandons d’utiliser un certificat signé par l’autorité de certification, et non un certificat auto-signé. Pour plus d’informations, consultez Créer des certificats SSL/TLS pour des appliances OT.
Accès à l’Appliance physique ou virtuel où vous installez votre capteur. Pour plus d’informations, consultez De quelles appliances ai-je besoin ?
Cette étape est effectuée par vos équipes de déploiement.
Configurer l’installation via le navigateur
La configuration du capteur via le navigateur comprend les étapes suivantes :
- Connexion à la console du capteur et modification du mot de passe de l'utilisateur administrateur
- Définition des détails réseau pour votre capteur
- Définition des interfaces que vous souhaitez surveiller
- Activation de votre capteur
- Configuration des paramètres de certificat SSL/TLS
Connectez-vous à la console du capteur et modifiez le mot de passe par défaut
Cette procédure décrit comment se connecter à la console du capteur OT pour la première fois. Vous êtes invité à modifier le mot de passe par défaut de l'utilisateur administrateur.
Pour vous connecter à votre capteur :
Dans un navigateur, accédez à l’adresse IP
192.168.0.101
, qui est l’adresse IP par défaut fournie pour votre capteur à la fin de l’installation.La page de connexion initiale s’affiche. Par exemple :
Entrez les informations d’identification suivantes, puis sélectionnez Connexion :
- Nom d’utilisateur :
admin
- Mot de passe :
admin
Vous êtes invité à définir un nouveau mot de passe pour l'utilisateur administrateur.
- Nom d’utilisateur :
Dans le champ Nouveau mot de passe, entrez votre nouveau mot de passe. Votre mot de passe doit contenir des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles.
Dans le champ Confirmer le nouveau mot de passe, entrez à nouveau votre nouveau mot de passe, puis sélectionnez Prise en main.
Pour plus d’informations, consultez Utilisateurs privilégiés par défaut.
La page Defender pour IoT | Vue d’ensemble s’ouvre sur l’onglet Interface de gestion.
Définir les détails de la mise en réseau des capteurs
Sous l’onglet Interface de gestion, utilisez les champs suivants pour définir les détails réseau de votre nouveau capteur :
Lorsque vous avez terminé, sélectionnez Suivant : configurations d’interface pour continuer.
Définir les interfaces que vous souhaitez surveiller
L’onglet Configurations d’interface affiche toutes les interfaces détectées par le capteur par défaut. Utilisez cet onglet pour activer ou désactiver la surveillance par interface, ou définir des paramètres spécifiques pour chaque interface.
Conseil
Nous vous recommandons d’optimiser les performances de votre capteur en configurant vos paramètres pour surveiller uniquement les interfaces qui sont activement utilisées.
Sous l’onglet Configurations d’interface, procédez comme suit pour configurer les paramètres de vos interfaces surveillées :
Sélectionnez le bouton bascule Activer/Désactiver pour toutes les interfaces que le capteur doit surveiller. Vous devez sélectionner au moins un interface pour continuer.
Si vous ne savez pas quelle interface utiliser, sélectionnez le bouton Clignotement de la LED de l'interface physique pour que le port sélectionné clignote sur votre ordinateur. Sélectionnez l’une des interfaces que vous avez connectées à votre commutateur.
(Facultatif) Pour chaque interface à surveiller, sélectionnez le bouton Paramètres avancés pour modifier l’un des paramètres suivants :
Nom Description Mode Sélectionnez l’un des suivants :
- Trafic SPAN (pas d’encapsulation) pour utiliser la mise en miroir de ports SPAN par défaut.
- ERSPAN si vous utilisez la mise en miroir ERSPAN.
Pour plus d'informations, consultez Choisir une méthode de mise en miroir du trafic pour les capteurs OT.Description Entrez une description facultative pour l’interface. Vous le verrez plus loin dans la page Paramètres de système> Configurations de l’interface du capteur, et ces descriptions peuvent être utiles pour comprendre l’objectif de chaque interface. Négociation automatique Concerne uniquement les machines physiques. Utilisez cette option pour déterminer les types de méthodes de communication utilisés ou si les méthodes de communication sont définies automatiquement entre les composants.
Important : nous vous recommandons de modifier ce paramètre uniquement sur les conseils de votre équipe de mise en réseau.Pour ajouter un tunneling ERSPAN dans votre interface :
Dans l’option Mode, sélectionnez Tunneling à partir de la liste déroulante.
Si vous souhaitez configurer le tunnel, mettez à jour les détails suivants du capteur OT :
- Description (facultatif).
- IP d’interface.
- Sous-réseau.
Par exemple :
Cliquez sur Enregistrer pour enregistrer vos modifications.
Sélectionnez Suivant : redémarrer > pour continuer, puis Démarrer le redémarrage pour redémarrer la machine de votre capteur. Une fois le capteur redéployé, vous êtes automatiquement redirigé vers l’adresse IP que vous avez définie précédemment en tant qu’adresse IP du capteur.
Sélectionnez Annuler pour attendre le redémarrage.
Activation du capteur OT
Cette procédure décrit comment activer votre nouveau capteur OT.
Si vous avez configuré les paramètres initiaux via l’interface CLI jusqu’à présent, vous allez démarrer la configuration basée sur le navigateur à cette étape. Après le redémarrage du capteur, vous êtes redirigé vers la même page Defender pour IoT | Vue d’ensemble, sous l’onglet Activation.
Procédure d’activation du capteur :
- Sous l’onglet Activation, sélectionnez Charger pour charger le fichier d’activation du capteur téléchargé depuis le Portail Azure.
- Sélectionnez l’option des conditions générales, puis sélectionnez Activer.
- Sélectionnez Suivant : certificats.
Si vous avez un problème de connexion entre le capteur basé sur le cloud et le Portail Azure pendant le processus d’activation qui entraîne sa défaillance, un message s’affiche sous le bouton Activer. Pour résoudre le problème de connectivité, sélectionnez En savoir plus qui ouvre le volet Connectivité cloud. Le volet répertorie les causes du problème et les suggestions pour le résoudre.
Même sans résoudre le pro, vous pouvez passer à la phase suivante en sélectionnant Suivant : Certificats.
Le seul problème de connexion à corriger avant de passer à la phase suivante est lorsqu’une dérive de temps est détectée et que le capteur n’est pas synchronisé avec le cloud. Dans ce cas, vous devez correctement synchroniser le capteur, comme décrit dans les suggestions, avant de passer à la phase suivante.
Définir les paramètres de certificat SSL/TLS
Utilisez l’onglet Certificats pour déployer un certificat SSL/TLS sur votre capteur OT. Nous vous recommandons d’utiliser un certificat signé par l’autorité de certification pour tous les environnements de production.
Pour définir les paramètres de certificat SSL/TLS :
Dans l’onglet Certificats, sélectionnez Importer un certificat d’autorité de certification approuvé (recommandé) pour déployer un certificat signé par l’autorité de certification.
Entrez le nom et la phrase secrète du certificat, puis sélectionnez Télécharger pour télécharger votre fichier de clé privée, votre fichier de certificat et un fichier de chaîne de certificat facultatif.
Vous devrez peut-être actualiser la page après le chargement de vos fichiers. Pour plus d’informations, consultez Résoudre les erreurs de chargement de certificat.
Conseil
Si vous travaillez sur un environnement de test, vous pouvez également utiliser le certificat auto-signé généré lors de l’installation. Si vous choisissez d’utiliser un certificat auto-signé, veillez à sélectionner l’option Confirmer concernant les recommandations.
Pour plus d’informations, consultez Gérer les certificats SSL/TLS.
Dans la zone Validation du certificat de la console de gestion locale, sélectionnez Obligatoire pour valider le certificat d’une console de gestion locale par rapport à une liste de révocation de certificats (CRL), comme configuré dans votre certificat.
Pour plus d’informations, consultez Exigences de certificat SSL/TLS pour les ressources locales et Créer des certificats SSL/TLS pour des appliances OT.
Sélectionnez Terminer pour terminer l’installation initiale et ouvrir la console de votre capteur.
Configurer l’installation via l’interface CLI
Utilisez cette procédure pour configurer les paramètres d’installation initiale suivants via l’interface CLI :
- Connexion à la console du capteur et définition d'un nouveau mot de passe utilisateur administrateur
- Définition des détails réseau pour votre capteur
- Définition des interfaces que vous souhaitez surveiller
Poursuivez l’activation et la configuration des paramètres de certificat SSL/TLS dans le navigateur.
Remarque
Les informations contenues dans cet article s’appliquent au capteur version 24.1.5. Si vous exécutez une version antérieure, consultez Configurer une mise en miroir ERSPAN.
Pour configurer les paramètres d’installation initiale via l’interface CLI :
Dans l’écran d’installation, une fois les détails réseau par défaut affichés, appuyez sur ENTRÉE pour continuer.
À l’invite
D4Iot login
, connectez-vous avec les informations d’identification par défaut suivantes :- Nom d’utilisateur :
admin
- Mot de passe :
admin
Lorsque vous entrez votre mot de passe, les caractères de mot de passe ne s’affichent pas sur l’écran. Veillez à bien les entrer.
- Nom d’utilisateur :
À l'invite, entrez un nouveau mot de passe pour l'utilisateur administrateur. Votre mot de passe doit contenir des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles.
Lorsque vous êtes invité à confirmer votre mot de passe, entrez à nouveau votre nouveau mot de passe. Pour plus d’informations, consultez Utilisateurs privilégiés par défaut.
Après une modification du mot de passe, l’Assistant
Sensor Config
démarre automatiquement. Passez à l’étape 5.Si vous vous connectez lors d’occasions suivantes, passez à l’étape 4.
Pour démarrer l’Assistant
Sensor Config
, tapeznetwork reconfigure
lors de l’invite. Si vous utilisez l’utilisateur CyberX, tapezERSPAN=1 python3 -m cyberx.config.configure
.L’écran
Sensor Config
montre la configuration présente des interfaces. Vérifiez qu’une interface est définie comme interface de gestion. Dans cet assistant, utilisez sur les flèches haut ou bas pour naviguer, et sur la barre ESPACE pour sélectionner une option. Appuyez sur ENTRÉE pour passer à l'écran suivant.Sélectionnez l’interface que vous souhaitez configurer, par exemple :
Sur l’écran
Select type
, sélectionnez le nouveau type de configuration pour cette interface.
Important
Veillez à sélectionner uniquement les interfaces connectées.
Si vous sélectionnez des interfaces activées mais non connectées, le capteur affiche une notification d’intégrité Aucun trafic surveillé dans le Portail Azure. Si vous connectez davantage de sources de trafic après l’installation et que vous souhaitez les surveiller avec Defender pour IoT, vous pouvez les ajouter via l’interface CLI.
Vous pouvez configurer une interface en tant que Gestion, Moniteur, Tunnel ou Inutilisé. Vous souhaitez peut-être définir une interface comme Inutilisée en tant que paramètre temporaire, pour la redéfinir ou si une erreur a été commise dans la configuration d’origine.
Pour configurer une interface Gestion :
Sélectionnez l’interface.
Sélectionner Gestion.
Tapez l’adresse IP du capteur, l’adresse IP du serveur DNS et l’adresse IP de Passerelle par défaut.
Sélectionnez Retour.
Pour configurer une interface Moniteur :
- Sélectionnez l’interface.
- Sélectionnez Moniteur. L’écran Configuration du capteur se met à jour.
Pour configurer une interface Tunnel ERSPAN :
Sélectionnez l’IP d’interface et ajoutez les informations IP et Sous-réseau.
Cliquez sur Confirmer.
Sélectionnez Tunnels, puis ajoutez un Nom, une IP source et un ID numérotés de 1 à 1023.
Cliquez sur Confirmer.
Pour configurer une interface comme Inutilisé :
- Sélectionnez l’interface.
- Sélectionnez l’état existant.
- Sélectionnez Inutilisé. L’écran Configuration du capteur se met à jour.
Après la configuration de toutes les interfaces, sélectionnez Enregistrer.
Emplacement du dossier de sauvegarde automatique
Le capteur crée automatiquement un dossier de sauvegarde. Pour changer l’emplacement des sauvegardes montées, vous devez effectuer ce qui suit :
- Se connecter au capteur en utilisant l’utilisateur administrateur.
- Tapez le code suivant dans l’interface CLI :
system backup path
, puis ajoutez l’emplacement du chemin d’accès, par exemple/opt/sensor/backup
. - La sauvegarde s’exécute automatiquement et il est possible qu’elle prenne jusqu’à une minute.
Remarque
Pendant l’installation initiale, les options pour les ports de surveillance ERSPAN ne sont disponibles que dans la procédure basée sur navigateur.
Si vous définissez les détails de votre réseau via l’interface CLI et que vous souhaitez configurer des ports de surveillance ERSPAN, faites-le par la suite via la page Paramètres > Connexions de l’interface du capteur. Pour plus d’informations, consultez Mettre à jour les interfaces de supervision d’un capteur (configurer ERSPAN).