Solución de problemas del sensor y de la consola de administración local
En este artículo se describen las herramientas básicas de solución de problemas para el sensor y la consola de administración local. Además de los elementos que se describen aquí, puede comprobar el estado del sistema de las siguientes maneras:
- Alertas: Cuando la interfaz de sensor que supervisa el tráfico está inactiva, se crea una alerta.
- SNMP: El estado del sensor se supervisa mediante SNMP. Microsoft Defender para IoT responde a las consultas SNMP enviadas desde un servidor de supervisión autorizado.
- Notificaciones del sistema: Cuando una consola de administración controla el sensor, puede reenviar alertas sobre las copias de seguridad del sensor con errores y los sensores desconectados.
Comprobación del estado del sistema
Compruebe el estado del sistema desde el sensor o la consola de administración local.
Para acceder a la herramienta de estado del sistema:
Inicie sesión en el sensor o en la consola de administración local con las credenciales del usuario support.
Seleccione System Statistics (estadísticas del sistema) en la ventana System Settings (configuración del sistema).
Aparecerán los datos de estado del sistema. Seleccione un elemento de la izquierda para ver más detalles en el cuadro. Por ejemplo:
Las comprobaciones de estado del sistema incluyen los siguientes elementos:
Nombre | Descripción |
---|---|
Comprobación | |
- Dispositivo | ejecuta la comprobación del dispositivo. Puede realizar la misma comprobación mediante el comando de la CLI system-sanity . |
- Versión | muestra la versión del dispositivo. |
- Propiedades de red | muestra los parámetros de red del sensor. |
Redis | |
- Memoria | proporciona un panorama general del uso de memoria; por ejemplo, cuánta memoria se usó y cuánta quedó disponible. |
- Clave más larga | muestra las claves más largas que pueden causar un uso intensivo de la memoria. |
Sistema | |
- Registro principal | Proporciona las últimas 500 filas del registro principal, lo que le permite ver las filas de registro recientes sin exportar todo el registro del sistema. |
- Administrador de tareas | traduce las tareas que aparecen en la tabla de procesos a los siguientes niveles: - Nivel persistente (Redis) - Nivel de caché (SQL) |
- Estadísticas de red | muestra las estadísticas de la red. |
- TOP | muestra la tabla de procesos. Se trata de un comando de Linux que proporciona una vista dinámica en tiempo real del sistema en ejecución. |
- Comprobación de memoria de la copia de seguridad | proporciona el estado de la memoria de copia de seguridad y comprueba lo siguiente: - La ubicación de la carpeta de la copia de seguridad - El tamaño de la carpeta de la copia de seguridad - Las limitaciones de la carpeta de la copia de seguridad - La fecha de la última copia de seguridad - La cantidad de espacio disponible para los archivos de copia de seguridad adicionales |
- ifconfig | muestra los parámetros de las interfaces físicas del dispositivo. |
- CyberX nload | muestra el ancho de banda y el tráfico mediante pruebas de seis segundos. |
- Errores del registro principal | muestra los errores del archivo de registro principal. |
Comprobación del mantenimiento del sistema mediante la CLI
Compruebe que el sistema está en funcionamiento antes de probar la seguridad.
Para probar el estado del sistema, haga lo siguiente:
Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario support.
Escriba
system sanity
.Compruebe que todos los servicios están en verde (en ejecución).
Compruebe que se muestre el mensaje System is UP! (prod) (el sistema funciona [producción]) en la parte inferior.
Compruebe que se está usando la versión correcta:
Para comprobar la versión del sistema, haga lo siguiente:
Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario support.
Escriba
system version
.Compruebe que se muestre la versión correcta.
Compruebe que todas las interfaces de entrada configuradas durante el proceso de instalación se estén ejecutando:
Para validar el estado de red del sistema, haga lo siguiente:
Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario support.
Escriba
network list
(el equivalente del comando de Linuxifconfig
).Compruebe que se muestren las interfaces de entrada necesarias. Por ejemplo, si están instalados dos adaptadores de red de cuatro puertos de cobre, debe haber diez interfaces en la lista.
Compruebe que puede acceder a la GUI web de la consola:
Para comprobar que la administración tiene acceso a la interfaz de usuario, haga lo siguiente:
Conecte un portátil con un cable Ethernet al puerto de administración (Gb1).
Defina la dirección del adaptador de red del portátil para que esté en el mismo intervalo que el dispositivo.
Haga ping a la dirección IP del dispositivo desde el equipo portátil para comprobar la conectividad (valor predeterminado: 10.100.10.1).
Abra el explorador web Chrome en el equipo portátil y escriba la dirección IP del dispositivo.
En la ventana La conexión no es privada, seleccione Avanzado y continúe.
La prueba se realiza correctamente cuando aparece la pantalla de inicio de sesión de Defender para IoT.
Solución de problemas de sensores
No es posible conectarse mediante una interfaz web
Compruebe que el equipo que está intentando conectar esté en la misma red que el dispositivo.
Compruebe que la red de GUI esté conectada al puerto de administración.
Haga ping en la dirección IP del dispositivo. Si no hay ping, haga lo siguiente:
Conecte un monitor y un teclado al dispositivo.
Use el usuario y la contraseña de soporte técnico para iniciar sesión.
Use el comando
network list
para ver la dirección IP actual.
Si los parámetros de red no están configurados correctamente, use el procedimiento siguiente para cambiarlos:
use el comando
network edit-settings
.Para cambiar la dirección IP de la red de administración, seleccione Y.
Para cambiar la máscara de subred, seleccione Y.
Para cambiar el DNS, seleccione Y.
Para cambiar la dirección IP de puerta de enlace predeterminada, seleccione Y.
Para el cambio de la interfaz de entrada (solo para sensor), seleccione N.
Seleccione Y para aplicar los cambios.
Después del reinicio, conéctese con las credenciales del usuario support y use el comando
network list
para comprobar que los parámetros se hayan cambiado.Intente hacer ping y volver a conectarse desde la GUI.
El dispositivo no responde
Conecte un monitor y un teclado al dispositivo, o use PuTTY para conectarse de forma remota a la CLI.
Use las credenciales del usuario support para iniciar sesión.
Use el comando
system sanity
y compruebe que todos los procesos se están ejecutando. Por ejemplo:
Para cualquier otra incidencia, póngase en contacto con Soporte técnico de Microsoft.
Investigar el error de contraseña en el inicio de sesión inicial
Al iniciar sesión en un sensor preconfigurado por primera vez, deberá realizar la recuperación de contraseña de la siguiente manera:
En la pantalla de inicio de sesión de Defender para IoT, seleccione la opción Recuperación de contraseña. Se abre la pantalla Recuperación de contraseña.
Seleccione CyberX o Soporte técnico y copie el identificador único.
Vaya a Azure Portal y seleccione Sitios y sensores.
Seleccione el menú desplegable Más acciones y seleccione Recover on-premises management console password (Recuperar contraseña de la consola de administración local).
Escriba el identificador único que recibió en la pantalla Recuperación de contraseña y seleccione Recuperar. Se descarga el archivo
password_recovery.zip
. No extraiga ni modifique el archivo ZIP.En la pantalla Recuperación de contraseña, seleccione Cargar. Se abrirá la ventana Cargar archivo de recuperación de contraseña.
Seleccione Examinar para buscar el archivo
password_recovery.zip
, o arrástrelo a la ventana.Seleccione Siguiente; aparecerá el usuario y la contraseña generada por el sistema para la consola de administración.
Nota
Al iniciar sesión en un sensor o en una consola de administración local por primera vez, estarán vinculados a la suscripción de Azure, que será necesaria para recuperar la contraseña de cyberx o del usuario support. Para obtener más información, consulte el procedimiento pertinente para sensores o para una consola de administración local.
Investigar la falta de tráfico
Cuando el sensor reconoce que no hay tráfico en uno de los puertos configurados, aparece un indicador en la parte superior de la consola. Este indicador es visible para todos los usuarios. Cuando aparezca este mensaje, puede investigar dónde no hay tráfico. Asegúrese de que el cable del intervalo está conectado y de que no se ha producido ningún cambio en la arquitectura del intervalo.
Compruebe el rendimiento del sistema.
Cuando se implementa un nuevo sensor o un sensor funciona lentamente o no muestra ninguna alerta, puede comprobar el rendimiento del sistema.
- En el panel de Defender para IoT >Información general, asegúrese de que
PPS > 0
. - En Dispositivos* compruebe que se detectan dispositivos.
- En Minería de datos, genere un informe.
- En la ventana Tendencias y estadísticas, cree un panel.
- En Alertas, compruebe que se creó la alerta.
Investigar una falta de alertas previstas
Si la ventana Alertas no muestra una alerta esperada, compruebe lo siguiente:
- Compruebe si la misma alerta ya aparece en la ventana Alertas como reacción a una instancia de seguridad diferente. En caso afirmativo, y si esta alerta no se ha controlado todavía, la consola del sensor no muestra ninguna alerta nueva.
- Asegúrese de que no ha excluido esta alerta mediante el uso de las reglas de Exclusión de alertas en la consola de administración.
Investigación del panel que no muestra datos
Cuando los paneles de la ventana Tendencias y estadísticas no muestran ningún dato, haga lo siguiente:
- Compruebe el rendimiento del sistema.
- Asegúrese de que la configuración de hora y región esté correctamente configurada y no esté establecida en el futuro.
Investigar un mapa de dispositivos que muestra solo dispositivos de difusión
Cuando los dispositivos mostrados en el mapa de dispositivos no aparecen conectados entre sí, es posible que se haya producido un error en la configuración del puerto de intervalo. Es decir, es posible que solo vea dispositivos de difusión y ningún tráfico de unidifusión.
- Compruebe que solo está viendo el tráfico de difusión. Para ello, en Minería de datos, seleccione Crear informe. En Crear nuevo informe, especifique los campos del informe. En Elegir categoría, elija Seleccionar todo.
- Guarde el informe y revíselo para ver si solo aparece el tráfico de difusión y multidifusión (y no hay tráfico de unidifusión). A continuación, pida al departamento de redes que corrija la configuración de los puertos de intervalo para que también pueda ver el tráfico de unidifusión. Como alternativa, puede registrar un PCAP directamente desde el conmutador, o bien conecte un portátil mediante Wireshark.
Conectar el sensor a NTP
Puede configurar un sensor independiente y una consola de administración, con los sensores relacionados, para conectarse a NTP.
Para conectar un sensor independiente a NTP:
Para conectar un sensor controlado por la consola de administración a NTP:
- La conexión a NTP está configurada en la consola de administración. Todos los sensores que controla la consola de administración obtienen la conexión NTP automáticamente.
Investigar cuando los dispositivos no se muestran en el mapa o si se reciben varias alertas relacionadas con Internet
A veces, los dispositivos ICS están configurados con direcciones IP externas. Estos dispositivos ICS no se muestran en el mapa. En lugar de los dispositivos, aparece una nube de Internet en el mapa. Las direcciones IP de estos dispositivos se incluyen en la imagen en la nube. Otra indicación del mismo problema es cuando aparecen varias alertas relacionadas con Internet. Corrija el problema de la siguiente manera:
- Haga clic con el botón derecho en el icono de la nube en el mapa del dispositivo y seleccione Exportar direcciones IP.
- Copie los intervalos públicos que son privados y agréguelos a la lista de subredes. Más información acerca de la configuración de subredes.
- Generar un nuevo informe de minería de datos para las conexiones a Internet.
- En el informe de minería de datos, entre en el modo de administrador y eliminar las direcciones IP de los dispositivos ICS.
Borrado de los datos del sensor
Cuando sea necesario reubicar o borrar el sensor, todos los datos aprendidos se pueden borrar de este.
Para más información sobre cómo borrar los datos del sistema, consulte Borrado de los datos del sensor.
Exportación de registros de la consola del sensor para solucionar problemas
Para solucionar problemas adicionales, es posible que quiera exportar registros para enviarlos al equipo de soporte técnico, como registros de base de datos o del sistema operativo.
Para exportar datos del registro, haga lo siguiente:
En la consola del sensor, vaya a Configuración del sistema>Administración del sensor>Copia de seguridad y restauración>Copia de seguridad.
En el cuadro de diálogo Exportar información de solución de problemas:
En el campo Nombre de archivo, escriba un nombre descriptivo para el registro exportado. El nombre de archivo predeterminado usa la fecha actual, como 13:10-June-14-2022.tar.gz.
Seleccione los registros que quieres exportar.
Selecciona Export (Exportar).
El archivo se exporta y se vincula desde la lista Archivos archivados en la parte inferior del cuadro de diálogo Exportar información de solución de problemas.
Por ejemplo:
Seleccione el vínculo de archivo para descargar el registro exportado y, además, seleccione el botón
para ver su contraseña de un solo uso.
Para abrir los registros exportados, reenvíe el archivo descargado y la contraseña de un solo uso al equipo de soporte técnico. Los registros exportados solo se pueden abrir junto con el equipo de soporte técnico de Microsoft.
Para proteger los registros, asegúrese de reenviar la contraseña por separado del registro descargado.
Nota
Los diagnósticos de incidencias de soporte técnico se pueden descargar desde la consola del sensor y, después, cargarse directamente en el equipo de soporte técnico en Azure Portal. Para obtener más información acerca de la descarga de registros de diagnóstico, vea Descarga de un registro de diagnóstico para obtener soporte técnico.
Solución de problemas de una consola de administración local
Investigar una falta de alertas previstas
Si no ve una alerta esperada en la página Alertas locales, haga lo siguiente para solucionar problemas:
Compruebe si la alerta ya aparece como reacción a una instancia de seguridad diferente. Si esa alerta aún no se ha controlado, no se muestra ninguna nueva alerta en otro lugar.
Compruebe que las reglas de exclusión de alertas no excluyan la alerta. Para más información, consulte Creación de reglas de exclusión de alertas en una consola de administración local.
Ajustar la Calidad del servicio (QoS)
Para ahorrar recursos de red, puede limitar el número de alertas enviadas a sistemas externos (como correos electrónicos o SIEM) en una operación de sincronización entre un dispositivo y la consola de administración local.
El valor predeterminado es 50. Esto significa que en una sesión de comunicación entre un dispositivo y la consola de administración local, no habrá más de 50 alertas para sistemas externos.
Para limitar el número de alertas, use la propiedad notifications.max_number_to_report
disponible en /var/cyberx/properties/management.properties
. No es necesario reiniciar después de cambiar esta propiedad.
Para ajustar la Calidad de servicio (QoS) :
Inicie sesión como un usuario de Defender para IoT.
Compruebe los valores predeterminados:
grep \"notifications\" /var/cyberx/properties/management.properties
Aparecerán los siguientes valor predeterminado:
notifications.max_number_to_report=50 notifications.max_time_to_report=10 (seconds)
Edite la configuración predeterminada:
sudo nano /var/cyberx/properties/management.properties
Edite la configuración de las siguientes líneas:
notifications.max_number_to_report=50 notifications.max_time_to_report=10 (seconds)
Guarde los cambios. No es necesario reiniciar.
Exportación de registros desde la consola de administración local para solucionar problemas
Para solucionar problemas adicionales, es posible que quiera exportar los registros a fin de enviarlos al equipo de soporte técnico, como los registros de auditoría o de base de datos.
Para exportar datos del registro, haga lo siguiente:
En la consola de administración local, seleccione Configuración del sistema>Exportar.
En el cuadro de diálogo Exportar información de solución de problemas:
En el campo Nombre de archivo, escriba un nombre descriptivo para el registro exportado. El nombre de archivo predeterminado usa la fecha actual, como 13:10-June-14-2022.tar.gz.
Seleccione los registros que quieres exportar.
Selecciona Export (Exportar).
El archivo se exporta y se vincula desde la lista Archivos archivados en la parte inferior del cuadro de diálogo Exportar información de solución de problemas.
Por ejemplo:
Seleccione el vínculo de archivo para descargar el registro exportado y, además, seleccione el botón
para ver su contraseña de un solo uso.
Para abrir los registros exportados, reenvíe el archivo descargado y la contraseña de un solo uso al equipo de soporte técnico. Los registros exportados solo se pueden abrir junto con el equipo de soporte técnico de Microsoft.
Para proteger los registros, asegúrese de reenviar la contraseña por separado del registro descargado.