Configurare e attivare il sensore OT
Questo articolo fa parte di una serie che descrive il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e come sfruttare le impostazioni di configurazione iniziali e attivare il sensore OT.
È possibile eseguire diversi passaggi di configurazione iniziali nel browser o tramite l'interfaccia della riga di comando.
- Usare il browser se è possibile connettere cavi fisici dal commutatore al sensore per identificare correttamente le interfacce. Assicurarsi di riconfigurare la scheda di rete in modo che corrisponda alle impostazioni predefinite nel sensore.
- Usare l'interfaccia della riga di comando se si conoscono i dettagli di rete senza dover connettere cavi fisici. Usare l'interfaccia della riga di comando se è possibile connettersi solo al sensore tramite iLo/iDrac
Per effettuare la configurazione tramite l'interfaccia della riga di comando è comunque necessario completare gli ultimi passaggi nel browser.
Prerequisiti
Per eseguire le procedure in questo articolo sono necessari gli elementi seguenti:
Un sensore OT di cui è stato eseguito l'onboarding in Defender per IoT nel portale di Azure.
Software del sensore OT installato nell'appliance. Assicurarsi di aver installato il software manualmente o acquistato un'appliance preconfigurata.
Il file di attivazione del sensore, scaricato dopo l'onboarding del sensore. È necessario un file di attivazione univoco per ogni sensore OT distribuito.
Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.
Nota
I file di attivazione scadono 14 giorni dopo la creazione. Se è stato eseguito l'onboarding del sensore ma non è stato caricato il file di attivazione prima della scadenza, scaricare un nuovo file di attivazione.
Certificato SSL/TLS. È consigliabile usare un certificato firmato dalla CA e non un certificato autofirmato. Per altre informazioni, vedere Creare certificati SSL/TLS per appliance OT.
Accesso all'appliance fisica o virtuale in cui si sta installando il sensore. Per altre informazioni, vedere Quali appliance sono necessarie?
Questo passaggio viene eseguito dai team di distribuzione.
Effettuare la configurazione tramite il browser
La configurazione del sensore tramite il browser include i passaggi seguenti:
- Accesso alla console del sensore e modifica della password utente dell'amministratore
- Definizione dei dettagli di rete per il sensore
- Definizione delle interfacce da monitorare
- Attivazione del sensore
- Configurazione delle impostazioni del certificato SSL/TLS
Accedere alla console del sensore e modificare la password predefinita
Questa procedura descrive come accedere alla console del sensore OT per la prima volta. Viene richiesto di modificare la password predefinita per l'utente amministratore.
Per accedere al sensore:
In un browser passare all'indirizzo IP
192.168.0.101
, ovvero l'indirizzo predefinito fornito per il sensore alla fine dell'installazione.Viene visualizzata la pagina di accesso iniziale. Ad esempio:
Immettere le credenziali seguenti e selezionare Accedi:
- Nome utente:
admin
- Password:
admin
Viene chiesto di definire una nuova password per l'utente amministratore.
- Nome utente:
Nel campo Nuova password immettere la nuova password. La password deve contenere caratteri alfabetici minuscoli e maiuscoli, numeri e simboli.
Nel campo Conferma nuova password immettere di nuovo la nuova password e quindi selezionare Inizia.
Per altre informazioni, vedere Utenti con privilegi predefiniti.
Si apre la pagina Defender per IoT | Panoramica e viene visualizzata la scheda Interfaccia di gestione.
Definire i dettagli della rete dei sensori
Nella scheda Interfaccia di gestione usare i campi seguenti per definire i dettagli di rete per il nuovo sensore:
Al termine, selezionare Avanti: Configurazioni dell'interfaccia per continuare.
Definire le interfacce da monitorare
La scheda Configurazioni interfaccia mostra tutte le interfacce rilevate dal sensore per impostazione predefinita. Usare questa scheda per attivare o disattivare il monitoraggio per ogni interfaccia o definire impostazioni specifiche per ogni interfaccia.
Suggerimento
È consigliabile ottimizzare le prestazioni nel sensore configurando le impostazioni per monitorare solo le interfacce in uso.
Nella scheda Configurazioni interfaccia eseguire le operazioni seguenti per configurare le impostazioni per le interfacce monitorate:
Selezionare l'interruttore Abilita/Disabilita per tutte le interfacce che si vuole monitorare dal sensore. È necessario selezionare almeno un'interfaccia per continuare.
Se non si è certi dell'interfaccia da usare, selezionare il pulsante LED dell'interfaccia fisica lampeggiane per far lampeggiare la porta selezionata nel computer. Selezionare una delle interfacce connesse al commutatore.
(Facoltativo) Per ogni interfaccia selezionata per il monitoraggio, selezionare il pulsante Impostazioni avanzate per modificare una delle impostazioni seguenti:
Nome Descrizione Modalità Selezionare uno degli elementi seguenti:
- Traffico SPAN (senza incapsulamento) per usare il mirroring delle porte SPAN predefinito.
- ERSPAN se si usa il mirroring ERSPAN.
Per altre informazioni, vedere Scegliere un metodo di mirroring del traffico per i sensori OT.Descrizione Immettere una descrizione facoltativa per l'interfaccia. Questa operazione verrà visualizzata più avanti nella pagina Impostazioni di sistema > Configurazioni dell'interfaccia del sensore e queste descrizioni possono essere utili per comprendere lo scopo di ogni interfaccia. Negoziazione automatica Rilevante solo per i computer fisici. Utilizzare questa opzione per determinare quale tipo di metodi di comunicazione vengono utilizzati o se i metodi di comunicazione vengono definiti automaticamente tra i componenti.
Importante: è consigliabile modificare questa impostazione solo in base ai consigli del team di rete.Per aggiungere il tunneling ERSPAN all'interfaccia:
Nell'opzione Modalità selezionare Tunneling nell'elenco a discesa.
Per configurare il tunnel, aggiornare i dettagli del sensore OT seguenti:
- Descrizione (facoltativa).
- IP dell'interfaccia.
- Subnet.
Ad esempio:
Seleziona Salva per salvare le modifiche.
Selezionare Avanti: Riavviare > per continuare e quindi Avvia riavvio per riavviare il computer del sensore. Dopo l'avvio del sensore, si viene reindirizzati automaticamente all'indirizzo IP definito in precedenza come indirizzo IP del sensore.
Selezionare Annulla per attendere il riavvio.
Attivare il sensore OT
Questa procedura descrive come attivare il nuovo sensore OT.
Se le impostazioni iniziali sono state configurate tramite l'interfaccia della riga di comando fino a oggi, si avvierà la configurazione basata su browser in questo passaggio. Dopo il riavvio del sensore, si viene reindirizzati alla stessa pagina Defender per IoT | Panoramica, nella scheda Attivazione.
Per attivare il sensore:
- Nella scheda Attivazione selezionare Carica per caricare il file di attivazione del sensore scaricato dal portale di Azure.
- Selezionare l'opzione Termini e condizioni e quindi selezionare Attiva.
- Selezionare Avanti: Certificati.
Se si verifica un problema di connessione tra il sensore basato sul cloud e il portale di Azure durante il processo di attivazione che causa l'esito negativo dell'attivazione, viene visualizzato un messaggio sotto il pulsante Attiva. Per risolvere il problema di connettività, selezionare Altre informazioni e viene aperto il riquadro Connettività cloud. Il riquadro elenca le cause del problema e le raccomandazioni per risolverlo.
Anche senza risolvere il problema, è possibile continuare con la fase successiva selezionando Avanti: Certificati.
L'unico problema di connessione che deve essere risolto prima di passare alla fase successiva è quando viene rilevata una deviazione temporale e il sensore non è sincronizzato con il cloud. In questo caso il sensore deve essere sincronizzato correttamente, come descritto nelle raccomandazioni, prima di passare alla fase successiva.
Definire le impostazioni del certificato SSL/TLS
Usare la scheda Certificati per distribuire un certificato SSL/TLS nel sensore OT. È consigliabile usare un certificato con firma CA per tutti gli ambienti di produzione.
Per definire le impostazioni del certificato SSL/TLS:
Nella scheda Certificati selezionare Importa certificato CA attendibile (scelta consigliata) per distribuire un certificato firmato dalla CA.
Immettere il nome del certificato e la passphrase, quindi selezionare Carica per caricare il file di chiave privata, il file del certificato e un file di catena di certificati facoltativo.
Potrebbe essere necessario aggiornare la pagina dopo il caricamento dei file. Per altre informazioni, vedere Risolvere gli errori di caricamento dei certificati.
Per altre informazioni, vedere Requisiti dei certificati SSL/TLS per le risorse locali e Creare certificati SSL/TLS per appliance OT.
Suggerimento
Se si lavora a un ambiente di test, è anche possibile usare il certificato autofirmato generato localmente durante l'installazione. Se si sceglie di usare un certificato autofirmato, assicurarsi di selezionare l'opzione Conferma sulle raccomandazioni.
Per altre informazioni, vedere Gestire i certificati SSL/TLS.
Selezionare Fine per completare la configurazione iniziale e aprire la console del sensore.
Effettuare la configurazione tramite l'interfaccia della riga di comando
Usare questa procedura per configurare le impostazioni di installazione iniziali seguenti tramite l'interfaccia della riga di comando:
- Accesso alla console del sensore e configurazione di una password utente dell'amministratore
- Definizione dei dettagli di rete per il sensore
- Definizione delle interfacce da monitorare
Continuare con l'attivazione e la configurazione delle impostazioni del certificato SSL/TLS nel browser.
Nota
Le informazioni contenute in questo articolo si applicano alla versione del sensore 24.1.5. Se si esegue una versione precedente, vedere Configurare il mirroring ERSPAN.
Per configurare le impostazioni di installazione iniziali tramite l'interfaccia della riga di comando:
Nella schermata di installazione, dopo aver visualizzato i dettagli di rete predefiniti, premere INVIO per continuare.
Al prompt
D4Iot login
accedere con le credenziali predefinite seguenti:- Nome utente:
admin
- Password:
admin
Quando si immette la password, i suoi caratteri non vengono visualizzati sullo schermo. Assicurarsi di immetterli attentamente.
- Nome utente:
Al prompt immettere una nuova password per l'utente amministratore. La password deve contenere caratteri alfabetici minuscoli e maiuscoli, numeri e simboli.
Quando viene richiesto di confermare la password, immettere ancora una volta la nuova password. Per altre informazioni, vedere Utenti con privilegi predefiniti.
Dopo aver modificato la password, la
Sensor Config
procedura guidata viene avviata automaticamente. Continua al passaggio 5.Se si esegue l'accesso nelle occasioni successive, continuare con il passaggio 4.
Per avviare la
Sensor Config
procedura guidata, al prompt digitarenetwork reconfigure
. Se si usa l'utente cyberx, digitareERSPAN=1 python3 -m cyberx.config.configure
.La
Sensor Config
schermata mostra la configurazione corrente delle interfacce. Assicurarsi che un'interfaccia sia impostata come interfaccia di gestione. In questa procedura guidata usare le frecce Su o Giù per spostarsi e la barra spaziatrice per selezionare un'opzione. Premere INVIO per passare alla schermata successiva.Selezionare l'interfaccia da configurare, ad esempio:
Select type
Nella schermata selezionare il nuovo tipo di configurazione per questa interfaccia.
Importante
Assicurarsi di selezionare solo le interfacce connesse.
Se si selezionano interfacce abilitate ma non connesse, il sensore visualizzerà una notifica sull'integrità Nessun traffico monitorato nel portale di Azure. Se si connettono più origini di traffico dopo l'installazione e si vuole monitorarle con Defender per IoT, è possibile aggiungerle in un secondo momento tramite l'interfaccia della riga di comando.
Un'interfaccia può essere impostata come Gestione, Monitoraggio, Tunnel o Non usato. È possibile impostare un'interfaccia come inutilizzata come impostazione temporanea, per reimpostarla o se si è verificato un errore nell'installazione originale.
Per configurare un'interfaccia di gestione :
Selezionare l'interfaccia.
Selezionare Gestione.
Digitare l'indirizzo IP del sensore, l'indirizzo IP del server DNS e l'indirizzo IP del gateway predefinito.
Seleziona Indietro.
Per configurare un'interfaccia di monitoraggio :
- Selezionare l'interfaccia.
- Selezionare Monitoraggio. La schermata Configurazione sensore viene aggiornata.
Per configurare un'interfaccia tunnel ERSPAN:
Selezionare Interface IP (IP interfaccia) e aggiungere i dettagli ip e subnet .
Selezionare Conferma.
Selezionare Tunnel e aggiungere un nome, un INDIRIZZO IP di origine e un ID numerato tra 1 e 1023.
Selezionare Conferma.
Per configurare un'interfaccia come inutilizzata:
- Selezionare l'interfaccia.
- Selezionare lo stato esistente.
- Selezionare Inutilizzato. La schermata Configurazione sensore viene aggiornata.
Dopo aver configurato tutte le interfacce, selezionare Salva.
Percorso della cartella di backup automatico
Il sensore crea automaticamente una cartella di backup. Per modificare il percorso dei backup montati, è necessario:
- Accedere al sensore usando l'utente amministratore .
- Digitare il codice seguente nell'interfaccia dell'interfaccia della riga di comando:
system backup path
e quindi aggiungere il percorso del percorso, ad esempio/opt/sensor/backup
. - Il backup viene eseguito automaticamente e potrebbe richiedere fino a un minuto.
Nota
Durante l'installazione iniziale, le opzioni per le porte di monitoraggio ERSPAN sono disponibili solo nella procedura basata su browser.
Se si definiscono i dettagli di rete tramite l'interfaccia della riga di comando e si vogliono configurare le porte di monitoraggio ERSPAN, eseguire questa operazione in un secondo momento tramite la pagina Impostazioni > Connessioni interfaccia del sensore. Per altre informazioni, vedere Aggiornare le interfacce di monitoraggio di un sensore (configurare ERSPAN).