Partilhar via

Tutorial: Integrar e ativar um sensor OT virtual

  • Artigo

Este tutorial descreve os conceitos básicos da configuração de um sensor OT do Microsoft Defender for IoT, usando uma assinatura de avaliação do Microsoft Defender para IoT e sua própria máquina virtual.

Para uma implantação completa e completa, certifique-se de seguir as etapas para planejar e preparar seu sistema, além de calibrar e ajustar totalmente suas configurações. Para obter mais informações, consulte Implantar o Defender para IoT para monitoramento de OT.

Nota

Se você deseja configurar o monitoramento de segurança para sistemas IoT corporativos, consulte Habilitar a segurança de IoT empresarial no Defender for Endpoint.

Neste tutorial, irá aprender a:

  • Criar uma VM para o sensor
  • A bordo de um sensor virtual
  • Configurar uma porta SPAN virtual
  • Provisão para gerenciamento de nuvem
  • Download de software para um sensor virtual
  • Instale o software do sensor virtual
  • Ativar o sensor virtual

Pré-requisitos

Antes de começar, certifique-se de que tem o seguinte:

  • Guia de início rápido concluído : comece a usar o Defender para IoT para que você tenha uma assinatura do Azure adicionada ao Defender para IoT.

  • Acesso ao portal do Azure como Administrador de Segurança, Colaborador ou Proprietário. Para obter mais informações, consulte Funções de usuário do Azure para monitoramento de OT e Enterprise IoT com o Defender for IoT.

  • Certifique-se de que tem um comutador de rede que suporte a monitorização de tráfego através de uma porta SPAN. Você também precisará de pelo menos um dispositivo para monitorar, conectado à porta SPAN do switch.

  • VMware, ESXi 5.5 ou posterior, instalado e operacional no seu sensor.

  • Recursos de hardware disponíveis para sua VM da seguinte maneira:

    Tipo de implementação Societário Grandes Empresas SMB
    Largura de banda máxima 2,5 Gb/seg 800 Mb/seg 160 Mb/seg
    Dispositivos máximos protegidos 12.000 10.000 800

  • Uma compreensão do monitoramento de OT com dispositivos virtuais.

  • Detalhes dos seguintes parâmetros de rede a serem usados para seu aparelho de sensor:

    • Um endereço IP de rede de gerenciamento
    • Uma máscara de sub-rede do sensor
    • Um nome de host de dispositivo
    • Um endereço DNS
    • Um gateway padrão
    • Quaisquer interfaces de entrada

Crie uma VM para o sensor

Este procedimento descreve como criar uma VM para seu sensor com o VMware ESXi.

O Defender for IoT também suporta outros processos, como o uso do Hyper-V ou sensores físicos. Para obter mais informações, consulte Instalação do Defender for IoT.

Para criar uma VM para o sensor:

  1. Certifique-se de que o VMware está em execução na sua máquina.

  2. Entre no ESXi, escolha o armazenamento de dados relevante e selecione Datastore Browser.

  3. Carregue a imagem e selecione Fechar.

  4. Vá para Máquinas Virtuais e selecione Criar/Registrar VM.

  5. Selecione Criar nova máquina virtual e, em seguida, selecione Avançar.

  6. Adicione um nome de sensor e defina as seguintes opções:

    • Compatibilidade: <versão mais recente do ESXi>

    • Família de SO convidado: Linux

    • Versão do SO convidado: Debian

  7. Selecione Seguinte.

  8. Escolha o armazenamento de dados relevante e selecione Avançar.

  9. Altere os parâmetros de hardware virtual de acordo com as especificações necessárias para as suas necessidades. Para obter mais informações, consulte a tabela na seção Pré-requisitos acima.

Sua VM agora está preparada para a instalação do software Defender for IoT. Você continuará instalando o software posteriormente neste tutorial, depois de integrar seu sensor no portal do Azure, configurar o espelhamento de tráfego e provisionar a máquina para gerenciamento de nuvem.

A bordo do sensor virtual

Antes de começar a usar seu sensor do Defender for IoT, você precisa integrar seu novo sensor virtual à sua assinatura do Azure.

Para integrar o sensor virtual:

  1. No portal do Azure, vá para a página Introdução do Defender for IoT>.

  2. No canto inferior esquerdo, selecione Configurar segurança OT/ICS.

    Como alternativa, na página Sites e sensores do Defender for IoT, selecione OT sensor>OT integrado.

    Por padrão, na página Configurar Segurança OT/ICS, a Etapa 1: Você configurou um sensor? e a Etapa 2: Configurar a porta SPAN ou a TAP do assistente estão recolhidas.

    Você instalará o software e configurará o espelhamento de tráfego mais tarde no processo de implantação, mas deverá ter seus dispositivos prontos e o método de espelhamento de tráfego planejado.

  3. Na Etapa 3: Registrar este sensor com o Microsoft Defender para IoT, defina os seguintes valores:

    Nome do campo Description
    Nome do recurso Selecione o site ao qual deseja anexar os sensores ou selecione Criar site para criar um novo site.

    Se estiver a criar um novo site:
    1. No campo Novo site, digite o nome do seu site e selecione o botão de marca de seleção.
    2. No menu Tamanho do site, selecione o tamanho do site. Os tamanhos listados neste menu são os tamanhos para os quais está licenciado, com base nas licenças que comprou no centro de administração do Microsoft 365.
    Nome a apresentar Insira um nome significativo para seu site a ser exibido no Defender for IoT.
    Etiquetas Insira a chave e os valores da tag para ajudá-lo a identificar e localizar seu site e sensor no portal do Azure.
    Zona Selecione a zona que deseja usar para seu sensor OT ou selecione Criar zona para criar uma nova.

    Para obter mais informações, consulte Planejar sites e zonas de OT.

  4. Quando terminar de usar todos os outros campos, selecione Registrar para adicionar seu sensor ao Defender for IoT. Uma mensagem de sucesso é exibida e seu arquivo de ativação é baixado automaticamente. O ficheiro de ativação é exclusivo para o sensor e contém instruções sobre o modo de gestão do sensor.

    Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que suas máquinas usem apenas ativos assinados.

  5. Salve o arquivo de ativação baixado em um local que será acessível ao usuário que entrar no console pela primeira vez para que ele possa ativar o sensor.

    Você também pode baixar o arquivo manualmente, selecionando o link relevante na caixa Ativar seu sensor . Você usará esse arquivo para ativar seu sensor, conforme descrito abaixo.

  6. Na caixa Adicionar regras de permissão de saída, selecione o link Baixar detalhes do ponto de extremidade para baixar uma lista JSON dos pontos de extremidade que você deve configurar como pontos de extremidade seguros do sensor.

    Salve o arquivo baixado localmente. Use os pontos de extremidade listados no arquivo baixado posteriormente neste tutorial para garantir que seu novo sensor possa se conectar com êxito ao Azure.

    Gorjeta

    Você também pode acessar a lista de pontos de extremidade necessários na página Sites e sensores . Para obter mais informações, consulte Opções de gerenciamento de sensores no portal do Azure.

  7. No canto inferior esquerdo da página, selecione Concluir. Agora você pode ver seu novo sensor listado na página Sites e sensores do Defender for IoT.

    Até ativar o sensor, o estado do sensor é apresentado como Ativação Pendente.

Para obter mais informações, consulte Gerenciar sensores com o Defender for IoT no portal do Azure.

Configurar uma porta SPAN

Os comutadores virtuais não têm recursos de espelhamento. No entanto, para o bem deste tutorial, você pode usar o modo promíscuo em um ambiente de comutador virtual para visualizar todo o tráfego de rede que passa pelo comutador virtual.

Este procedimento descreve como configurar uma porta SPAN usando uma solução alternativa com o VMware ESXi.

Nota

O modo promíscuo é um modo de operação e uma técnica de monitoramento de segurança para interfaces de uma VM no mesmo nível de grupo de portas que o comutador virtual para exibir o tráfego de rede do switch. O modo promíscuo é desativado por padrão, mas pode ser definido no nível do comutador virtual ou do grupo de portas.

Para configurar uma interface de monitoramento com o modo Promíscuo em um ESXi v-Switch:

  1. Abra a página de propriedades do vSwitch e selecione Adicionar comutador virtual padrão.

  2. Insira SPAN Network como o rótulo de rede.

  3. No campo MTU, digite 4096.

  4. Selecione Segurança e verifique se a política do Modo Promíscuo está definida como Modo de aceitação.

  5. Selecione Adicionar para fechar as propriedades do vSwitch.

  6. Realce o vSwitch que você criou e selecione Adicionar uplink.

  7. Selecione a NIC física que você usará para o tráfego SPAN, altere a MTU para 4096 e selecione Salvar.

  8. Abra a página de propriedades do Grupo de Portas e selecione Adicionar Grupo de Portas.

  9. Digite SPAN Port Group como o nome, digite 4095 como o ID da VLAN, selecione Rede SPAN na lista suspensa vSwitch e selecione Adicionar.

  10. Abra as propriedades da VM do Sensor OT.

  11. Para Adaptador de rede 2, selecione a rede SPAN .

  12. Selecione OK.

  13. Conecte-se ao sensor e verifique se o espelhamento funciona.

Validar o espelhamento de tráfego

Depois de configurar o espelhamento de tráfego, tente receber uma amostra de tráfego gravado (arquivo PCAP) do SPAN do switch ou da porta espelhada.

Um arquivo PCAP de exemplo irá ajudá-lo a:

  • Validar a configuração do switch
  • Confirme se o tráfego que passa pelo seu comutador é relevante para a monitorização
  • Identificar a largura de banda e um número estimado de dispositivos detetados pelo switch

  1. Use um aplicativo analisador de protocolo de rede, como o Wireshark, para gravar um arquivo PCAP de amostra por alguns minutos. Por exemplo, conecte um laptop a uma porta onde você configurou o monitoramento de tráfego.

  2. Verifique se os pacotes Unicast estão presentes no tráfego de gravação. Tráfego unicast é o tráfego enviado de endereço para outro.

    Se a maior parte do tráfego for de mensagens ARP, sua configuração de espelhamento de tráfego não está correta.

  3. Verifique se seus protocolos OT estão presentes no tráfego analisado.

    Por exemplo:

    Screenshot da validação do Wireshark.

Provisão para gerenciamento de nuvem

Esta seção descreve como configurar pontos de extremidade para definir em regras de firewall, garantindo que seus sensores OT possam se conectar ao Azure.

Para obter mais informações, consulte Métodos para conectar sensores ao Azure.

Para configurar os detalhes do ponto final:

Abra o arquivo que você baixou anteriormente para exibir a lista de pontos de extremidade necessários. Configure as regras de firewall para que o sensor possa acessar cada um dos pontos de extremidade necessários, pela porta 443.

Gorjeta

Você também pode baixar a lista de pontos de extremidade necessários na página Sites e sensores no portal do Azure. Ir para Sites e sensores>Mais ações>Faça o download dos detalhes do ponto final. Para obter mais informações, consulte Opções de gerenciamento de sensores no portal do Azure.

Para obter mais informações, consulte Provisionar sensores para gerenciamento de nuvem.

Faça o download do software para o seu sensor virtual

Esta secção descreve como transferir e instalar o software do sensor na sua própria máquina.

Para transferir software para os seus sensores virtuais:

  1. No portal do Azure, vá para a página Introdução do Defender for IoT > e selecione a guia Sensor.

  2. Na caixa Comprar um dispositivo e instalar software, verifique se a opção padrão está selecionada para a versão de software mais recente e recomendada e selecione Download.

  3. Salve o software baixado em um local acessível a partir de sua VM.

Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que suas máquinas usem apenas ativos assinados.

Instalar software de sensor

Este procedimento descreve como instalar o software do sensor na sua VM.

Nota

No final deste processo, ser-lhe-ão apresentados os nomes de utilizador e palavras-passe do seu dispositivo. Certifique-se de copiá-las, pois essas senhas não serão apresentadas novamente.

Para instalar o software no sensor virtual:

  1. Se você fechou sua VM, entre no ESXi novamente e abra as configurações da VM.

  2. Para Unidade de CD/DVD 1, selecione Arquivo ISO Datastore e selecione o software Defender for IoT que você baixou anteriormente.

  3. Selecione Seguinte>Concluir.

  4. Ligue a VM e abra um console.

  5. Quando a instalação for inicializada, você será solicitado a iniciar o processo de instalação. Selecione o item Install iot-sensor-<version number> para continuar ou deixe-o iniciar automaticamente após 30 segundos. Por exemplo:

    Captura de ecrã do ecrã de instalação inicial.

    Nota

    Se você estiver usando uma versão herdada do BIOS, você será solicitado a selecionar um idioma e as opções de instalação serão apresentadas no canto superior esquerdo em vez de no centro. Quando solicitado, selecione English e, em seguida, a opção Instalar iot-sensor-<version number> para continuar.

    A instalação começa, dando-lhe mensagens de estado atualizadas à medida que avança. Todo o processo de instalação leva até 20-30 minutos e pode variar dependendo do tipo de mídia que você está usando.

    Quando a instalação estiver concluída, você verá o seguinte conjunto de detalhes de rede padrão.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Use o endereço IP padrão fornecido para acessar o sensor para configuração e ativação iniciais.

Validação pós-instalação

Este procedimento descreve como validar sua instalação usando as verificações de integridade do sistema do próprio sensor e está disponível para o usuário administrador padrão.

Para validar a instalação:

  1. Inicie sessão no sensor OT como utilizador admin .

  2. Selecione Configurações do>sistema Gerenciamento do sensor Verificação> de integridade do sistema.

  3. Selecione os seguintes comandos:

    • Aparelho para verificar se o sistema está a funcionar. Verifique se cada item de linha mostra Executando e se a última linha indica que o sistema está ativo.
    • Versão para verificar se você tem a versão correta instalada.
    • ifconfig para verificar se todas as interfaces de entrada configuradas durante a instalação estão em execução.

Para obter mais testes de validação pós-instalação, como verificações de gateway, DNS ou firewall, consulte Validar uma instalação de software de sensor OT.

Definir configuração inicial

O procedimento a seguir descreve como definir as configurações iniciais do sensor, incluindo:

  • Iniciar sessão na consola do sensor e alterar a palavra-passe do utilizador administrador
  • Definição de detalhes de rede para o seu sensor
  • Definindo as interfaces que você deseja monitorar
  • Ativar o sensor
  • Definindo configurações de certificado SSL/TLS

Inicie sessão na consola do sensor e altere a palavra-passe predefinida

Este procedimento descreve como entrar no console do sensor OT pela primeira vez. Você será solicitado a alterar a senha padrão para o usuário administrador .

Para iniciar sessão no sensor:

  1. Em um navegador, vá para o 192.168.0.101 endereço IP, que é o endereço IP padrão fornecido para o sensor no final da instalação.

    A página de início de sessão inicial é apresentada. Por exemplo:

    Captura de ecrã da página de início de sessão inicial do sensor.

  2. Insira as seguintes credenciais e selecione Login:

    • Nome de utilizador: support
    • Palavra-passe: support

    Você será solicitado a definir uma nova senha para o usuário administrador .

  3. No campo Nova palavra-passe, introduza a sua nova palavra-passe. Sua senha deve conter caracteres alfabéticos minúsculos e maiúsculos, números e símbolos.

    No campo Confirmar nova palavra-passe, introduza novamente a nova palavra-passe e, em seguida, selecione Introdução.

    Para obter mais informações, consulte Usuários privilegiados padrão.

O Defensor da IoT | A página Visão geral é aberta na guia Interface de gerenciamento .

Definir detalhes de rede do sensor

Na guia Interface de gerenciamento , use os seguintes campos para definir detalhes de rede para seu novo sensor:

Nome Descrição
Interface de gestão Selecione a interface que você deseja usar como a interface de gerenciamento e conecte-se ao portal do Azure.

Para identificar uma interface física na sua máquina, selecione uma interface e, em seguida, selecione Piscar LED de interface física. A porta que corresponde à interface selecionada acende-se para que possa ligar o cabo corretamente.
Endereço IP Introduza o endereço IP que pretende utilizar para o seu sensor. Este é o endereço IP que sua equipe usará para se conectar ao sensor através do navegador ou CLI.
Máscara de sub-rede Introduza o endereço que pretende utilizar como máscara de sub-rede do sensor.
Gateway padrão Introduza o endereço que pretende utilizar como gateway predefinido do sensor.
DNS Insira o endereço IP do servidor DNS do sensor.
Nome de Anfitrião Introduza o nome de anfitrião que pretende atribuir ao sensor. Certifique-se de usar o mesmo nome de host definido no servidor DNS.

Para este tutorial, deixe ignorar as configurações de proxy na área Habilitar proxy para conectividade com nuvem (opcional).

Quando terminar, selecione Avançar: Configurações da interface para continuar.

Defina as interfaces que deseja monitorar

A guia Conexões de interface mostra todas as interfaces detetadas pelo sensor por padrão. Use esta guia para ativar ou desativar o monitoramento por interface ou definir configurações específicas para cada interface.

Gorjeta

Recomendamos que você otimize o desempenho do sensor definindo suas configurações para monitorar apenas as interfaces que estão ativamente em uso.

Na guia Configurações de interface, faça o seguinte para definir as configurações para suas interfaces monitoradas:

  1. Selecione a alternância Ativar/Desativar para todas as interfaces que você deseja que o sensor monitore. Você deve selecionar pelo menos uma interface para continuar.

    Se você não tiver certeza sobre qual interface usar, selecione o botão Piscar LED da interface física para que a porta selecionada pisque em sua máquina. Selecione qualquer uma das interfaces que você conectou ao seu switch.

  2. Para este tutorial, ignore todas as configurações avançadas e selecione Avançar: Reinicializar > para continuar.

  3. Quando solicitado, selecione Iniciar reinicialização para reiniciar a máquina do sensor. Depois que o sensor for reiniciado, você será automaticamente redirecionado para o endereço IP definido anteriormente como o endereço IP do sensor.

    Selecione Cancelar para aguardar a reinicialização.

Ative o seu sensor OT

Este procedimento descreve como ativar o seu novo sensor OT.

Para ativar o sensor:

  1. Na guia Ativação, selecione Carregar para carregar o arquivo de ativação do sensor que você baixou do portal do Azure.

  2. Selecione a opção termos e condições e, em seguida, selecione Seguinte: Certificados.

Definir configurações de certificado SSL/TLS

Use a guia Certificados para implantar um certificado SSL/TLS em seu sensor OT. Embora seja recomendável usar um certificado assinado por CA para todos os ambientes de produção, para este tutorial, selecione usar um certificado autoassinado.

Para definir as configurações do certificado SSL/TLS:

  1. Na guia Certificados, selecione Usar certificado autoassinado gerado localmente (Não recomendado) e selecione a opção Confirmar.

    Para obter mais informações, consulte Requisitos de certificado SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.

  2. Selecione Concluir para concluir a configuração inicial e abrir o console do sensor.

Próximos passos

Caminho de implantação completo para monitoramento de OT