Administración de sensores con Defender para IoT en Azure Portal

En este artículo se describe cómo ver y administrar sensores con Microsoft Defender para IoT en Azure Portal.

Requisitos previos

Para poder usar los procedimientos de este artículo, deberá tener sensores de red incorporados a Defender para IoT. Para obtener más información, consulte:

Visualización de los sensores

Todos los sensores conectados actualmente a la nube, incluidos los sensores de OT y Enterprise IoT, se muestran en la página Sitios y sensores. Por ejemplo:

Captura de pantalla en la que se muestra la página Sitios y sensores.

Los detalles sobre cada sensor se muestran en las columnas siguientes:

Nombre de la columna Descripción
Sensor name (Nombre del sensor) Muestra el nombre que asignó al sensor durante el registro.
Tipo de sensor Muestra si el sensor es un sensor de OT conectado localmente, conectado a la nube de OT o un sensor de IoT empresarial.
Zona Muestra la zona que contiene este sensor.
Nombre de la suscripción Muestra el nombre de la suscripción de la cuenta de Microsoft Azure a la que pertenece este sensor.
Versión del sensor Muestra la versión de software de supervisión de OT instalada en el sensor.
Estado del sensor Muestra un mensaje de estado del sensor. Para más información, consulte Descripción del estado del sensor (versión preliminar pública).
Última conexión (UTC) Muestra el tiempo que ha pasado desde que se conectó el sensor por última vez.
Versión de Inteligencia sobre amenazas Muestra la versión de Inteligencia sobre amenazas instalada en el sensor. El nombre de la versión se basa en el día en el que Defender para IoT compiló el paquete.
Modo de inteligencia sobre amenazas Muestra si el modo de actualización de inteligencia sobre amenazas es manual o automático. Si es manual, significa que puede insertar paquetes lanzados recientemente directamente en los sensores según sea necesario. De lo contrario, los nuevos paquetes se instalarán automáticamente en todos los sensores conectados a la nube, de OT.
Estado de la actualización de inteligencia sobre amenazas Muestra el estado de actualización del paquete de inteligencia sobre amenazas en un sensor de OT. El estado puede ser Error, En curso, Actualización disponible o Aceptar.

Opciones de administración de sitios de Azure Portal

Al incorporar un sensor nuevo de OT a Defender para IoT, puede agregarlo a un sitio nuevo o existente. Al trabajar con redes de OT, organizar los sensores en sitios permite administrarlos de forma más eficaz.

Los sensores de Enterprise IoT se agregan automáticamente al mismo sitio, denominado Red de Enterprise.

Para editar los detalles de un sitio, seleccione el nombre del sitio en la página Sitios y sensores. En el panel Editar sitio que se abre a la derecha, modifique cualquiera de los valores siguientes:

  • Nombre para mostrar: escriba un nombre significativo para el sitio.

  • Etiquetas: (opcional) escriba valores para los campos Clave y Valor para cada nueva etiqueta que quiera agregar al sitio. Seleccione + Agregar para agregar una etiqueta nueva.

  • Propietario: solo para sitios con sensores de OT. Escriba una o varias direcciones de correo electrónico para el usuario que quiera designar como propietario de los dispositivos en este sitio. Todos los dispositivos del sitio heredan el propietario del sitio y se muestran en las páginas de la entidad del dispositivo IoT y en los detalles del incidente en Microsoft Sentinel.

    En Microsoft Sentinel, use los cuadernos de estrategias AD4IoT-SendEmailtoIoTOwner y AD4IoT-CVEAutoWorkflow para notificar automáticamente a los propietarios de dispositivos las alertas o incidentes importantes. A fin de obtener más información, vea Investigación y detección de amenazas para dispositivos IoT.

Cuando haya terminado, haga clic en Guardar para guardar los cambios.

Opciones de administración de sensores de Azure Portal

Los sensores que ha integrado en Defender para IoT se enumeran en la página Sites and sensors (Sitios y sensores) de Defender para IoT. Seleccione un nombre de sensor específico para explorar en profundidad y obtener más detalles sobre ese sensor.

Use las opciones de la página Sitios y sensores y una página de detalles del sensor para realizar cualquiera de las tareas siguientes. Si está en la página Sitios y sensores, seleccione varios sensores para aplicar las acciones de forma masiva mediante las opciones de la barra de herramientas. Para sensores individuales, use las opciones de la barra de herramientas de Sitios y sensores, el menú de opciones ... situado a la derecha de una fila de sensores o las opciones de la página de detalles de un sensor.

Tarea Descripción
Envío de actualizaciones de inteligencia sobre amenazas Solo sensores de OT.

Disponible para acciones masivas desde la barra de herramientas de Sitios y sensores, para sensores individuales desde el menú de opciones ... o desde la página de detalles de un sensor.

Para obtener más información, vea Investigación y paquetes de inteligencia sobre amenazas.
Preparación de un sensor de OT para actualizar a la versión 22.x o posterior del software Solo sensores individuales de OT.

Disponible en la barra de herramientas de Sitios y sensores, el menú de opciones ... o la página de detalles de un sensor.

Para más información, consulte:
- Reactivación de un sensor para las actualizaciones a la versión 22.x desde una versión heredada
- Actualización del software de supervisión de OT de Defender para IoT
Recuperación de una contraseña Solo sensores individuales de OT.

Disponible desde el menú de opciones ... o la página de detalles de un sensor. Escriba el identificador secreto obtenido en la pantalla de inicio de sesión del sensor.
Exportación de datos del sensor Disponible solo desde la barra de herramientas de Sitios y sensores, para descargar un archivo CSV con detalles sobre todos los sensores enumerados.
Descarga de un archivo de activación Solo sensores individuales de OT.

Disponible desde el menú de opciones ... o la página de detalles de un sensor.
Edición de la zona de un sensor Solo para sensores individuales, desde el menú de opciones ... o la página de detalles de un sensor.

Seleccione Editar y, después, elija una nueva zona en el menú Zona o seleccione Crear nueva zona. Seleccione Enviar para guardar los cambios.
Creación de un comando de activación Solo sensores individuales de IoT empresariales.

Disponible desde el menú de opciones ... o la página de detalles de un sensor. Seleccione Editar y, a continuación, seleccione Crear comando de activación.

Para más información, consulte Instalación de software de sensor de IoT empresarial.
Edición de actualizaciones automáticas de inteligencia sobre amenazas Solo sensores individuales de OT.

Disponible desde el menú de opciones ... o la página de detalles de un sensor.

Seleccione Editar y, a continuación, active o desactive la opción Actualizaciones automáticas de inteligencia sobre amenazas (versión preliminar) según sea necesario. Seleccione Enviar para guardar los cambios.
Eliminación de un sensor Solo para sensores individuales, desde el menú de opciones ... o la página de detalles de un sensor.
Envío de archivos de diagnóstico para admitir Solo sensores de OT individuales administrados localmente.

Disponible desde el menú de opciones ...

Para obtener más información, consulte Carga de un registro de diagnóstico para obtener soporte técnico (versión preliminar pública).
Descarga del archivo MIB de SNMP Disponible desde el menú Más acciones de la barra de herramientas de Sitios y sensores.

Para obtener más información, consulte Configuración de la supervisión de MIB de SNMP.
Recuperación de una contraseña de la consola de administración local Disponible desde el menú Más acciones de la barra de herramientas de Sitios y sensores.

Para más información, consulte Administración de la consola de administración local.
Descarga de los detalles del punto de conexión (versión preliminar pública) Disponible en la barra de herramientas Sites and sensors (Sitios y sensores) del menú Más acciones, solo para las versiones 22.x del sensor de OT.

Descargue la lista de puntos de conexión que se deben habilitar como puntos de conexión seguros desde sensores de red de OT. Asegúrese de que el tráfico HTTPS está habilitado mediante el puerto 443 a los puntos de conexión mostrados para que el sensor se conecte a Azure. Las reglas de permiso de salida se definen una vez para todos los sensores de OT incorporados a la misma suscripción.

Para habilitar esta opción, seleccione un sensor con una versión de software compatible, o un sitio con uno o varios sensores con versiones compatibles.

Recuperación de los datos forenses almacenados en el sensor

Use libros de Azure Monitor en un sensor de red de OT para recuperar los datos forenses del almacenamiento de ese sensor. Los siguientes tipos de datos forenses se almacenan localmente en los sensores de OT para los dispositivos que ese sensor detecta:

  • Datos del dispositivo
  • Datos de la alerta
  • Archivos PCAP de la alerta
  • Datos de escala de tiempo de los eventos
  • Archivos de registro

Cada tipo de datos tiene un período de retención diferente y una capacidad máxima distinta. Para más información, consulte Visualización de datos de Microsoft Defender para IoT con libros de Azure Monitor.

Reactivación de un sensor de OT

Es posible que tenga que reactivar un sensor de OT porque quiera realizar una de las siguientes acciones:

  • Trabajar en modo conectado a la nube en lugar de en modo administrado localmente: después de la reactivación, las detecciones de los sensores existentes se muestran en la consola de sensores y la información de alerta recién detectada se entrega a través de Defender para IoT en Azure Portal. Esta información se puede compartir con otros servicios de Azure, como Microsoft Sentinel.

  • Trabajar en modo administrado localmente, en lugar de en modo conectado a la nube: después de la reactivación, la información de detección de sensores solo se muestra en la consola de sensores.

  • Asociar el sensor a un nuevo sitio: vuelva a registrar el sensor con las nuevas definiciones de sitio y use el nuevo archivo de activación para activarlo.

  • Cambiar el compromiso del plan: si realiza cambios en el plan como, por ejemplo, si cambia el plan de precios de una prueba a un compromiso mensual, deberá reactivar los sensores para reflejar los nuevos cambios.

En esos casos, haga lo siguiente:

  1. Elimine el sensor existente.
  2. Vuelva a incorporar el sensor, registrándolo con cualquier configuración nueva.
  3. Cargue el nuevo archivo de activación.

Reactivación de un sensor de OT para las actualizaciones a la versión 22.x desde una versión heredada

Si va a actualizar el sensor de OT de una versión heredada a la versión 22.1.x o posterior, necesitará un procedimiento de activación diferente al de versiones anteriores.

Asegúrese de comenzar por los pasos de actualizaciones pertinentes para esta actualización. Para obtener más información, consulte Actualización del software del sistema OT.

Nota:

Después de actualizar a la versión 22.1.x, el usuario de cyberx_host del sensor puede acceder al nuevo registro de actualización en la siguiente ruta de acceso: /opt/sensor/logs/legacy-upgrade.log. Para acceder al registro de actualizaciones, inicie sesión en el sensor a través de SSH con el usuario cyberx_host.

Para obtener más información, consulte Usuarios locales con privilegios predeterminados.

Descripción del estado del sensor (versión preliminar pública)

En este procedimiento se describe cómo ver los datos de estado del sensor desde Azure Portal. El estado del sensor incluye datos como si el tráfico es estable, si el sensor está sobrecargado o las notificaciones sobre las versiones de software del sensor, entre otros.

Para ver el estado general del sensor:

  1. En Defender para IoT en Azure Portal, seleccione Sitios y sensores y compruebe la puntuación de estado general en el widget situado encima de la cuadrícula. Por ejemplo:

    Captura de pantalla en la que se muestran los widgets de estado del sensor.

    No compatible significa que el sensor tiene instalada una versión de software que ya no se admite.

    Incorrecto indica uno de los escenarios siguientes:

    • El tráfico del sensor a Azure no es estable
    • Se producen errores en las pruebas de comprobación periódicas del sensor
    • El sensor no detecta ningún tráfico
    • Ya no se admite la versión de software del sensor
    • Se produce un error en una actualización remota del sensor desde Azure Portal

    Para obtener más información, consulte nuestra Referencia de mensajes de estado del sensor.

  2. Para comprobar los problemas específicos del sensor, filtre la cuadrícula por estado del sensor y seleccione uno o varios problemas para comprobarlos. Por ejemplo:

    Captura de pantalla del filtro de estado del sensor.

  3. Expanda los sitios y sensores filtrados que ahora se muestran en la cuadrícula y use la columna Estado del sensor para obtener más información de alto nivel.

  4. Para explorar en profundidad y comprender las acciones recomendadas, seleccione un nombre de sensor para abrir la página de detalles del sensor.

    Por ejemplo:

    Captura de pantalla de la página de detalles del sensor en la que se muestra la información de estado.

    En la página de detalles Información general del sensor, expanda la sección Estado y los mensajes que se muestran allí para obtener más información. En la columna Recomendación de la derecha se enumeran las acciones recomendadas para controlar el problema de estado.

Para obtener más información, consulte nuestra Referencia de mensajes de estado del sensor.

Carga de un registro de diagnóstico para soporte técnico (versión preliminar pública)

Si necesita abrir una incidencia de soporte técnico para un sensor administrado localmente, cargue un registro de diagnóstico en Azure Portal para el equipo de soporte técnico.

Sugerencia

En el caso de los sensores conectados a la nube, el registro de diagnóstico está disponible automáticamente para el equipo de soporte técnico al abrir una incidencia de soporte técnico.

Para cargar un informe de diagnóstico:

  1. Asegúrese de que tiene el informe de diagnóstico disponible para cargarlo. Para obtener más información, consulte Descarga de un registro de diagnóstico para obtener soporte técnico.

  2. En Defender para IoT, en Azure Portal, vaya a la página Sitios y sensores y seleccione el sensor administrado localmente relacionado con la incidencia de soporte técnico.

  3. Para el sensor seleccionado, seleccione el menú de opciones ... que se encuentra a la derecha >Enviar archivos de diagnóstico al soporte técnico (versión preliminar). Por ejemplo:

    Captura de pantalla de la opción Enviar archivos de diagnóstico al soporte técnico.

Pasos siguientes

Visualización y administración de alertas en el portal de Defender para IoT (versión preliminar)