Gestire la console di gestione locale (Legacy)

Articolo
08/07/2023

Importante

Defender per IoT consiglia ora di usare i servizi cloud Microsoft o l'infrastruttura IT esistente per il monitoraggio centrale e la gestione dei sensori e prevede di ritirare la console di gestione localeil 1° gennaio 2025.

Per ulteriori informazioni, vedere Implementare la gestione ibrida o air-gapped dei sensori OT.

Questo articolo descrive le attività aggiuntive della console di gestione locale che è possibile eseguire all'esterno di un processo di distribuzione più ampio.

Attenzione

Per la configurazione del cliente sono supportati solo i parametri di configurazione documentati nel sensore di rete OT. Non modificare parametri di configurazione o proprietà di sistema non documentati, perché le modifiche possono causare errori imprevisti e comportamenti di sistema.

La rimozione di pacchetti dal sensore senza l'approvazione di Microsoft può causare risultati imprevisti. Tutti i pacchetti installati nel sensore sono necessari per la corretta funzionalità del sensore.

Prerequisiti

Prima di eseguire le procedure descritte in questo articolo, assicurarsi di disporre di:

Una console di gestione locale installata e attivata.
Accesso alla console di gestione locale come utente amministratore. Anche le procedure selezionate e l'accesso all'interfaccia della riga di comando richiedono un utente con privilegi. Per altre informazioni, vedere utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Un certificato SSL/TLS è pronto nel caso in cui sia necessario aggiornare il certificato del tuo sensore.
Se si aggiunge una scheda di rete secondaria, è necessario accedere alla CLI come utente con privilegi .

Scaricare il software per la console di gestione locale

Potrebbe essere necessario scaricare il software per la console di gestione locale se si sta l'installazione del software Defender per IoT nelle proprie appliance o l'aggiornamento delle versioni software.

In Defender per IoT nel portale di Azure, usare una delle opzioni seguenti:

Per una nuova installazione o aggiornamento autonomo, selezionare Introduzione>Console di gestione locale.
- Per una nuova installazione, selezionare una versione nell'area Acquistare un'appliance e installare il software e quindi selezionare Scarica.
- Per un aggiornamento, selezionare lo scenario di aggiornamento nell'area della console di gestione locale e quindi selezionare Scarica.
Se stai aggiornando la console di gestione locale insieme ai sensori OT connessi, usa le opzioni nel menu della pagina Siti e sensori>Aggiornamento del sensore (anteprima).

Aggiungere una scheda di interfaccia di rete secondaria dopo l'installazione

Migliora la sicurezza della console di gestione locale aggiungendo una scheda di rete secondaria dedicata ai sensori collegati all'interno di un intervallo di indirizzi IP. Quando si utilizza una scheda di interfaccia di rete secondaria, la prima è dedicata agli utenti finali e la seconda supporta la configurazione di un gateway per le reti instradate.

Questa procedura descrive come aggiungere una scheda di interfaccia di rete secondaria dopo l'installazione della console di gestione locale.

Per aggiungere una scheda di rete secondaria:

Accedere alla console di gestione locale tramite SSH per accedere all'interfaccia della riga di comando ed eseguire:
```
sudo cyberx-management-network-reconfigure
```

Immettere le risposte seguenti alle domande seguenti:

Istantanea dello schermo delle risposte necessarie per configurare il dispositivo.

Parametri	Risposta da immettere
l'indirizzo IP della rete di gestione	`N`
maschera di sottorete	`N`
DNS	`N`
indirizzo IP del gateway predefinito	`N`
Interfaccia di monitoraggio del sensore Opzionale. Rilevante quando i sensori si trovano in un segmento di rete diverso.	`Y`e selezionare un valore tra quelli possibili
Un indirizzo IP per l'interfaccia di monitoraggio del sensore	`Y`, e immettere un indirizzo IP che sia accessibile dai sensori
Una subnet mask per l'interfaccia di monitoraggio del sensore	`Y`e immettere un indirizzo IP che sia accessibile dai sensori
nome di host	Immettere il nome host

Esaminare tutte le opzioni e immettere Y per accettare le modifiche. Il sistema viene riavviato.

Caricare un nuovo file di attivazione

Avevi attivato la tua console di gestione locale come parte della tua distribuzione.

Potrebbe essere necessario riattivare la console di gestione locale come parte delle procedure di manutenzione, ad esempio se il numero totale di dispositivi monitorati supera il numero di dispositivi concessi in licenza per.

Per caricare un nuovo file di attivazione nella console di gestione locale:

Nel portale di Azure, in Defender per IoT, selezionare Piani e prezzi.
Selezionare il piano e quindi selezionare Scaricare il file di attivazione della console di gestione locale.

Salvare il file scaricato in un percorso accessibile dalla console di gestione locale.

Tutti i file scaricati dal portale di Azure sono firmati dalla radice di fiducia in modo che le macchine usino solo asset firmati.
Accedi alla tua console di gestione in sede e seleziona Impostazioni di sistema>Attivazione.
Nella finestra di dialogo Attivazione, selezionare SCEGLI FILE e andare al file di attivazione scaricato in precedenza.
Selezionare Chiudi per salvare le modifiche.

Gestire i certificati SSL/TLS

Se si lavora con un ambiente di produzione, si sarebbe distribuito un certificato SSL/TLS firmato da CA come parte del deployment della console di gestione on-premises. È consigliabile usare certificati autofirmato solo a scopo di test.

Le procedure seguenti descrivono come distribuire certificati SSL/TLS aggiornati, ad esempio se il certificato è scaduto.

Distribuire un certificato firmato dalla CA
Creare e distribuire un certificato autofirmato

Per distribuire un certificato firmato dalla CA:

Accedere alla console di gestione locale e selezionare Impostazioni di sistema>certificati SSL/TLS.

Nella finestra di dialogo certificati SSL/TLS, selezionare + Aggiungi certificato e immettere i valori seguenti:

Parametro	Descrizione
nome certificato	Immettere il nome del certificato.
Passphrase - Facoltativa	Immettere una passphrase .
Chiave Privata (file KEY)	Caricare una chiave privata (il file KEY).
certificato (file CRT)	Caricare un certificato (file CRT).
Catena di Certificati (file PEM) - Facoltativo	Caricare una catena di certificati (file PEM).

Per esempio:

Se il caricamento non riesce, contattare l'amministratore IT o la sicurezza. Per altre informazioni, vedere requisiti dei certificati SSL/TLS per le risorse locali e Creare certificati SSL/TLS per gli appliance OT.

Selezionare l'opzione Abilita convalida certificati per attivare la convalida a livello di sistema per i certificati SSL/TLS conformi all' autorità di certificazione e agli elenchi di revoca dei certificati.

Se questa opzione è attivata e la convalida ha esito negativo, la comunicazione tra i componenti pertinenti viene interrotta e viene visualizzato un errore di convalida nel sensore. Per altre informazioni, vedere requisiti per i file CRT.
Selezionare Salva per salvare le modifiche.

Ogni console di gestione locale viene installata con un certificato autofirmato che è consigliabile usare solo a scopo di test. Negli ambienti di produzione è consigliabile usare sempre un certificato firmato dalla CA.

I certificati autofirmati comportano un ambiente meno sicuro, perché il proprietario del certificato non può essere convalidato e la sicurezza del sistema non può essere mantenuta.

Per creare un certificato autofirmato, scaricare il file del certificato dalla console di gestione locale e quindi usare una piattaforma di gestione dei certificati per creare i file di certificato da caricare nella console di gestione locale.

Per creare un certificato autofirmato:

Vai all'indirizzo IP della console di gestione locale in un browser e quindi:

Selezionare l'avviso Non sicuro nella barra degli indirizzi del Web browser, quindi selezionare l'icona > accanto al messaggio di avviso "La connessione a questo sito non è sicura". Per esempio:
Selezionare l'icona Mostra certificato per visualizzare il certificato di sicurezza per questo sito Web.
Nel visualizzatore certificati riquadro, selezionare la scheda Dettagli, quindi selezionare Esporta per immettere un nome per il file esportato e salvarlo nel computer locale.

Usare una piattaforma di gestione dei certificati per creare i tipi seguenti di file di certificato SSL/TLS:

Tipo di file	Descrizione
.crt – file contenitore di certificati	Un file `.pem`o `.der` con un'estensione diversa per il supporto in Esplora risorse.
.key – file chiave privata	Un file chiave è nello stesso formato di un file `.pem`, ma ha un'estensione diversa per essere supportato in Esplora Risorse di Windows.
.pem – file contenitore di certificati (facoltativo)	Opzionale. Un file di testo con codifica Base64 del testo del certificato e un'intestazione e un piè di pagina di testo normale per contrassegnare l'inizio e la fine del certificato.

Per esempio:

Aprire il file del certificato scaricato e selezionare la scheda Dettagli >Copia nel file per eseguire l'Esportazione guidata certificato .
Nell'Esportazione guidata certificati selezionare Avanti>DER codificato in binario X.509 (.CER)> e quindi selezionare nuovamente Avanti.
Nella schermata File da esportare, selezionare Sfoglia, scegliere un percorso in cui archiviare il certificato e quindi selezionare Avanti.
Selezionare Completa per esportare il certificato.

Nota

Potrebbe essere necessario convertire i tipi di file esistenti in tipi supportati.

Al termine, usare le procedure seguenti per convalidare i file di certificato:

Per distribuire un certificato autofirmato:

Accedere alla console di gestione locale e selezionare Impostazioni di sistema>certificati SSL/TLS.
Nella finestra di dialogo Certificati SSL/TLS, mantenere selezionata l'opzione Certificato autofirmato generato localmente (non sicuro, non consigliato).
Seleziona CONFERMA per accettare l'avvertimento.
Selezionare l'opzione Abilita la convalida del certificato per convalidare il certificato rispetto a un server CRL. Il certificato viene controllato una volta durante il processo di importazione.

Se questa opzione è attivata e la convalida ha esito negativo, la comunicazione tra i componenti pertinenti viene interrotta e viene visualizzato un errore di convalida nel sensore. Per ulteriori informazioni, consultare i requisiti dei file CRT .
Selezionare Salva per salvare le impostazioni del certificato.

Risolvere gli errori di caricamento dei certificati

Non sarà possibile caricare i certificati nei sensori OT se i certificati non vengono creati correttamente o non sono validi. Usare la tabella seguente per comprendere come intervenire se il caricamento del certificato non riesce e viene visualizzato un messaggio di errore:

errore di convalida del certificato	raccomandazione
La passphrase non corrisponde alla chiave	Assicurarsi di avere la passphrase corretta. Se il problema persiste, provare a ricreare il certificato usando la passphrase corretta. Per altre informazioni, vedere Caratteri supportati per chiavi e passphrase.
Impossibile convalidare la catena di attendibilità. Il certificato e la CA radice forniti non corrispondono.	Assicurarsi che un file `.pem` sia correlato al file di `.crt`. Se il problema continua, provare a ricreare il certificato usando la catena di attendibilità corretta, come definito dal file `.pem`.
Questo certificato SSL è scaduto e non è considerato valido.	Creare un nuovo certificato con date valide.
Questo certificato è stato revocato dal CRL e non può essere considerato attendibile per una connessione sicura	Creare un nuovo certificato non richiamato.
La posizione CRL (Certificate Revocation List) non è raggiungibile. Verificare che l'URL sia accessibile da questa appliance	Assicurarsi che la configurazione di rete consenta al sensore di raggiungere il server CRL definito nel certificato. Per ulteriori informazioni, vedere Verificare l'accesso al server CRL.
convalida del certificato non riuscita	Indica un errore generale nell'appliance. Contatta il supporto tecnico di Microsoft.

Modificare il nome della console di gestione locale

Il nome predefinito della console di gestione locale è Console di gestionee viene visualizzato nella GUI della console di gestione locale e nei log di risoluzione dei problemi.

Per modificare il nome della console di gestione locale:

Accedere alla console di gestione locale e selezionare il nome in basso a sinistra, appena sopra il numero di versione.
Nella finestra di dialogo Modifica configurazione della console di gestione immettere il nuovo nome. Il nome deve avere un massimo di 25 caratteri. Per esempio:
Selezionare Salva per salvare le modifiche.

Ripristinare una password utente con privilegi

Se non si ha più accesso alla console di gestione locale come utente con privilegi , ripristinare l'accesso dal portale di Azure.

Per ripristinare l'accesso utente con privilegi:

Vai alla pagina di accesso della console di gestione in sede e seleziona Ripristino password.
Selezionare l'utente per cui si vuole ripristinare l'accesso, ovvero l'utente Support o CyberX.
Copia l'identificatore visualizzato nella finestra di dialogo Password Recovery in una posizione sicura.
Vai a Defender per IoT nel portale di Azure e verifica di aver selezionato l'abbonamento usato per abilitare i sensori OT attualmente connessi alla console di gestione locale.
Selezionare Siti e sensori>Altre azioni>Recuperare una password della console di gestione locale.
Immettere l'identificatore segreto copiato in precedenza dalla console di gestione on-premises e selezionare Ripristina.

Un file password_recovery.zip viene scaricato dal browser.

Tutti i file scaricati dal portale di Azure sono firmati dalla root di fiducia in modo che le tue macchine usino solo asset firmati.
Nella finestra di dialogo ripristino password sulla console di gestione locale, selezionare Carica e selezionare il file password_recovery.zip scaricato.

Vengono visualizzate le nuove credenziali.

Modificare il nome host

Il nome host della console di gestione locale deve corrispondere al nome host configurato nel server DNS dell'organizzazione.

Per modificare il nome host salvato nella console di gestione locale:

Accedere alla console di gestione locale e selezionare Impostazioni di sistema.
Nell'area networking della console di gestione , selezionare Rete.
Immettere il nuovo nome host e selezionare SALVA per salvare le modifiche.

Definire i nomi delle VLAN

I nomi VLAN non vengono sincronizzati tra un sensore OT e la console di gestione locale. Se sono stati definiti nomi VLAN nel sensore OT, è consigliabile definire nomi VLAN identici nella console di gestione locale.

Per definire i nomi VLAN:

Accedere alla console di gestione locale e selezionare Impostazioni di sistema.
Nell'area rete della console di gestione selezionare VLAN.
Nella finestra di dialogo Modifica configurazione VLAN selezionare Aggiungi VLAN e quindi immettere l'ID VLAN e il nome, uno alla volta.
Selezionare SALVA per salvare le modifiche.

Configurare le impostazioni del server di posta SMTP

Definire le impostazioni del server di posta SMTP nella console di gestione locale in modo da configurare la console di gestione locale per inviare dati ad altri server e servizi partner.

Ad esempio, è necessario un server di posta SMTP configurato per l'inoltro della posta elettronica e la configurazione delle regole di avviso di inoltro .

Prerequisiti:

Assicurarsi di poter raggiungere il server SMTP dalla console di gestione locale.

Per configurare un server SMTP nella console di gestione locale:

Accedere alla console di gestione locale come utente con privilegi tramite SSH/Telnet.

Correre:

nano /var/cyberx/properties/remote-interfaces.properties

Immettere i dettagli del server SMTP seguenti come richiesto:
- mail.smtp_server
- mail.port. La porta predefinita è 25.
- mail.sender

Passaggi successivi

Per altre informazioni, vedere:

Condividi tramite