Configuración de los valores del sensor de OT en Azure Portal (versión preliminar pública)
Después de incorporar un nuevo sensor de red de OT a Microsoft Defender para IoT, puede definir varios valores directamente en la consola del sensor de OT, como agregar usuarios locales.
La configuración del sensor de OT que se muestra en este artículo también está disponible directamente en Azure Portal. Use Azure Portal para aplicar esta configuración de forma masiva en varios sensores de OT conectados a la nube a la vez o en todos los sensores de OT conectados a la nube en un sitio o zona específicos. En este artículo se describe cómo ver y configurar los valores del sensor de red de OT desde Azure Portal.
Nota
La página Valores del sensor de Defender para IoT está en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Azure incluyen otros términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
Requisitos previos
Para definir los valores del sensor de OT, asegúrese de tener lo siguiente:
Una suscripción de Azure incorporada a Defender para IoT. Si es necesario, regístrese para obtener una cuenta gratuita y, luego, use Inicio rápido: Introducción a Defender para IoT para iniciar la prueba.
Permisos:
Para ver los valores que otros usuarios han definido, inicie sesión con un rol de lector de seguridad, administrador de seguridad, colaborador o propietario de la suscripción.
Para definir o actualizar los valores, inicie sesión con el rol de Administrador de seguridad, Colaborador o Propietario.
Para obtener más información, vea Roles y permisos de usuario de Azure en Defender para IoT.
Uno o varios sensores de red de OT conectados a la nube. Para obtener más información, consulte Incorporación de sensores de OT a Defender para IoT.
Definición de un nuevo valor del sensor
Defina un nuevo valor siempre que quiera definir una configuración específica para uno o varios sensores de red de OT. Por ejemplo, si quiere definir los límites del ancho de banda para todos los sensores de OT de un sitio o zona específicos, defínalos para un único sensor de OT en una ubicación específica de la red.
Para definir un nuevo valor, haga lo siguiente:
En Defender para IoT en Azure Portal, seleccione Sitios y sensores>Valores del sensor (versión preliminar).
En la página Valores del sensor (versión preliminar), seleccione + Agregar y, luego, use el asistente para definir los valores siguientes para la configuración. Seleccione Siguiente cuando haya terminado con cada pestaña del asistente para continuar con el paso siguiente.
Nombre de pestaña Descripción Conceptos básicos Seleccione la suscripción en la que quiere aplicar el valor y el tipo de valor.
Escriba un nombre descriptivo y una descripción opcional para el valor.Configuración Defina los valores del tipo de valor seleccionado.
Para más información sobre las opciones disponibles para cada tipo de valor, busque el tipo de valor seleccionado en la referencia de valores del sensor a continuación.Aplicar Use los menús desplegables Seleccionar sitios, Seleccionar zonas y Seleccionar sensores para definir dónde quiere aplicar el valor.
Importante: Al seleccionar un sitio o zona, se aplica el valor a todos los sensores de OT conectados, incluidos los sensores de OT agregados al sitio o la zona más adelante.
Si selecciona aplicar los valores a un sitio completo, no es necesario seleccionar también sus zonas o sensores.Revisar y crear Compruebe las selecciones que ha hecho para la configuración.
Si el nuevo valor reemplaza uno existente, se muestra una advertencia para indicar el valor existente.
Cuando la configuración del valor sea satisfactoria, seleccione Crear.
El nuevo valor aparece ahora en la página Valor del sensor (versión preliminar) en su tipo de valor y en la página de detalles del sensor para cualquier sensor de OT relacionado. La configuración del sensor se muestra como de solo lectura en la página de detalles del sensor. Por ejemplo:
Sugerencia
Es posible que quiera configurar excepciones en los valores de un sensor de OT o zona específicos. En tales casos, cree un valor adicional para la excepción.
Los valores se invalidan entre sí de forma jerárquica, de modo que si el valor se aplica a un sensor de OT específico, invalida los valores relacionados que se aplican a toda la zona o sitio. Para crear una excepción para toda una zona, agregue un valor para esa zona para invalidar los valores relacionados aplicados a todo el sitio.
Vista y edición de los valores actuales del sensor de OT
Para ver los valores actuales ya definidos para la suscripción:
En Defender para IoT en Azure Portal, seleccione Sitios y sensores>Valores del sensor (versión preliminar)
En la página Valores del sensor (versión preliminar) se muestran los valores ya definidos para las suscripciones, enumerados por tipo de valor. Expanda o contraiga cada tipo para ver las configuraciones detalladas. Por ejemplo:
Seleccione un valor específico para ver su configuración exacta y el sitio, zonas o sensores individuales en los que se aplica el valor.
Para editar la configuración del valor, seleccione Editar y, luego, use el mismo asistente que usó para crear el valor para actualizar lo que necesita. Cuando haya terminado, haga clic en Aplicar para guardar los cambios.
Eliminación de un valor del sensor de OT existente
Para eliminar un valor del sensor de OT por completo:
- En la página Valores del sensor (versión preliminar), busque el valor que quiere eliminar.
- Seleccione el menú de opciones ... en la esquina superior derecha de la tarjeta del valor y, luego, seleccione Eliminar.
Por ejemplo:
Edición de los valores de los sensores de OT desconectados
En este procedimiento se describe cómo editar los valores del sensor de OT si el sensor de OT está desconectado actualmente de Azure, como durante un incidente de seguridad en curso.
De manera predeterminada, si ha configurado valores en Azure Portal, todos los que se pueden configurar desde Azure Portal y el sensor de OT se establecen en solo lectura en el propio sensor de OT. Por ejemplo, si ha configurado una VLAN desde Azure Portal, los valores de límite de ancho de banda, subred y VLAN están todos establecidos en solo lectura y se ha bloqueado su modificación en el sensor de OT.
Si se encuentra en una situación en la que el sensor de OT está desconectado de Azure y necesita modificar uno de estos valores, primero debe obtener acceso de escritura a ellos.
Para obtener acceso de escritura a los valores bloqueados del sensor de OT:
En Azure Portal, en la página Valores del sensor (versión preliminar), busque el valor que quiere editar y ábralo para editarlo. Para más información, consulte el tema anterior Vista y edición de los valores actuales del sensor de OT.
Edite el ámbito del valor, para que ya no incluya el sensor de OT y los cambios que se hagan mientras el sensor de OT está desconectado no se sobrescriban al volver a conectarlo a Azure.
Importante
Los valores definidos en Azure Portal siempre invalidan los valores definidos en el sensor de OT.
Inicie sesión en la consola del sensor de OT afectada y seleccione Valores > Configuraciones avanzadas>Configuración remota de Azure.
En el cuadro de código, modifique el valor de
block_local_config
de1
a0
y seleccione Cerrar. Por ejemplo:
Continúe actualizando el valor pertinente directamente en el sensor de red de OT. Para más información, consulte Administración de sensores individuales.
Referencia de valor del sensor
Use las secciones siguientes para más información sobre los valores del sensor de OT individual disponible en Azure Portal:
Active Directory
Para configurar las opciones de Active Directory desde Azure Portal, defina valores para las siguientes opciones:
Nombre | Descripción |
---|---|
Nombre de dominio completo del controlador de dominio | Nombre de dominio completo (FQDN) exactamente como aparece en el servidor LDAP. Por ejemplo, escriba host1.subdomain.contoso.com : Si se produce un problema con la integración mediante el FQDN, compruebe la configuración de DNS. También puede escribir la dirección IP explícita del servidor LDAP en lugar del FQDN al configurar la integración. |
Puerto del controlador de dominio | Puerto en el que está configurado el servidor LDAP. Por ejemplo, use el puerto 636 para las conexiones LDAPS (SSL). |
Dominio principal | Especifique el nombre de dominio, como subdomain.contoso.com , y seleccione el tipo de conexión para la configuración de LDAP. Los tipos de conexión admitidos incluyen LDAPS/NTLMv3 (recomendado), LDAP/NTLMv3 o LDAP/SASL-MD5. |
Grupos de Active Directory | Seleccione + Agregar para agregar un grupo de Active Directory a cada nivel de permiso enumerado, según sea necesario. Al escribir un nombre de grupo, asegúrese de escribir el nombre del grupo exactamente como está definido en la configuración de Active Directory en el servidor LDAP. Use estos nombres de grupo al agregar nuevos usuarios del sensor con Active Directory. Los niveles de permisos admitidos incluyen Solo lectura, Analista de seguridad, Administrador y Dominios de confianza. |
Importante
Al especificar los parámetros de LDAP:
- Defina los valores exactamente como aparecen en Active Directory, sin tener en cuenta las mayúsculas y minúsculas.
- Use solo caracteres en minúscula, incluso si la configuración de Active Directory usa mayúsculas.
- LDAP y LDAPS no se pueden configurar para el mismo dominio. Aun así, puede configurar cada uno en dominios diferentes y, después, usarlos al mismo tiempo.
Para agregar otro servidor de Active Directory, seleccione + Agregar servidor y defina los valores del servidor.
Límite de ancho de banda
En el caso de un límite de ancho de banda, defina el ancho de banda máximo que quiere que use el sensor para la comunicación saliente desde el sensor a la nube, ya sea en Kbps o Mbps.
Valor predeterminado: 1500 Kbps
Mínimo necesario para una conexión estable a Azure: 350 Kbps. En este valor mínimo, las conexiones a la consola del sensor pueden ser más lentas de lo habitual.
NTP
Para configurar un servidor NTP para el sensor desde Azure Portal, defina una dirección IP o dominio de un servidor NTP IPv4 válido mediante el puerto 123.
Subredes locales
Para centrar el inventario de dispositivos de Azure en los dispositivos que se encuentran en su ámbito de OT, debe editar manualmente la lista de subredes para incluir únicamente las subredes supervisadas localmente que se encuentran en dicho ámbito.
Las subredes de la lista se configuran automáticamente como subredes ICS, lo que significa que Defender para IoT las reconoce como redes de OT. Este valor se puede editar al configurar las subredes.
Una vez configuradas las subredes, la ubicación de red de los dispositivos se muestra en la columna Ubicación de red (versión preliminar pública) del inventario de dispositivos de Azure. Todos los dispositivos asociados a las subredes enumeradas se muestran como locales, mientras que los dispositivos asociados a las subredes detectadas no incluidas en la lista se muestran como enrutados.
Configuración de subredes en Azure Portal
En Azure Portal, vaya a Sitios y sensores>Configuración del sensor.
En Subredes locales, examine las subredes configuradas. Para centrar el inventario de dispositivos y ver los dispositivos locales en el inventario, elimine las subredes que no están en el ámbito de IoT/OT seleccionando el menú de opciones (...) en cualquier subred que quiera eliminar.
Para modificar la configuración adicional, seleccione cualquier subred y, a continuación, seleccione Editar para las siguientes opciones:
Seleccione Importar subredes para importar una lista separada por comas de direcciones IP y máscaras de subred. Seleccione Exportar subredes para exportar una lista de datos configurados actualmente o Borrar todo para empezar desde cero.
Escribe los valores en los campos Dirección IP, Máscara y Nombre para agregar los detalles de la subred manualmente. Seleccione Agregar subred para agregar otras subredes según sea necesario.
Subred ICS está activada de forma predeterminada, lo que significa que Defender para IoT reconoce la subred como una red de OT. Para marcar una subred como no ICS, desactive Subred ICS.
Nomenclatura de VLAN
Para definir una VLAN para el sensor de OT, escriba el identificador de VLAN y un nombre descriptivo.
Seleccione Agregar VLAN para agregar más VLAN según sea necesario.