Solución de problemas del sensor y de la consola de administración local

En este artículo se describen las herramientas básicas de solución de problemas para el sensor y la consola de administración local. Además de los elementos que se describen aquí, puede comprobar el estado del sistema de las siguientes maneras:

• Alertas: Cuando la interfaz de sensor que supervisa el tráfico está inactiva, se crea una alerta.
• SNMP: El estado del sensor se supervisa mediante SNMP. Microsoft Defender para IoT responde a las consultas SNMP enviadas desde un servidor de supervisión autorizado.
• Notificaciones del sistema: Cuando una consola de administración controla el sensor, puede reenviar alertas sobre las copias de seguridad del sensor con errores y los sensores desconectados.

Comprobación del estado del sistema

Compruebe el estado del sistema desde el sensor o la consola de administración local.

Para acceder a la herramienta de estado del sistema:

1. Inicie sesión en el sensor o en la consola de administración local con las credenciales del usuario support.

2. Seleccione System Statistics (estadísticas del sistema) en la ventana System Settings (configuración del sistema).

   

3. Aparecerán los datos de estado del sistema. Seleccione un elemento de la izquierda para ver más detalles en el cuadro. Por ejemplo:

   

Las comprobaciones de estado del sistema incluyen los siguientes elementos:

Nombre	Descripción
Comprobación
- Dispositivo	ejecuta la comprobación del dispositivo. Puede realizar la misma comprobación mediante el comando de la CLI system-sanity.
- Versión	muestra la versión del dispositivo.
- Propiedades de red	muestra los parámetros de red del sensor.
Redis
- Memoria	proporciona un panorama general del uso de memoria; por ejemplo, cuánta memoria se usó y cuánta quedó disponible.
- Clave más larga	muestra las claves más largas que pueden causar un uso intensivo de la memoria.
Sistema
- Registro principal	Proporciona las últimas 500 filas del registro principal, lo que le permite ver las filas de registro recientes sin exportar todo el registro del sistema.
- Administrador de tareas	traduce las tareas que aparecen en la tabla de procesos a los siguientes niveles: - Nivel persistente (Redis) - Nivel de caché (SQL)
- Estadísticas de red	muestra las estadísticas de la red.
- TOP	muestra la tabla de procesos. Se trata de un comando de Linux que proporciona una vista dinámica en tiempo real del sistema en ejecución.
- Comprobación de memoria de la copia de seguridad	proporciona el estado de la memoria de copia de seguridad y comprueba lo siguiente: - La ubicación de la carpeta de la copia de seguridad - El tamaño de la carpeta de la copia de seguridad - Las limitaciones de la carpeta de la copia de seguridad - La fecha de la última copia de seguridad - La cantidad de espacio disponible para los archivos de copia de seguridad adicionales
- ifconfig	muestra los parámetros de las interfaces físicas del dispositivo.
- CyberX nload	muestra el ancho de banda y el tráfico mediante pruebas de seis segundos.
- Errores del registro principal	muestra los errores del archivo de registro principal.

Comprobación del mantenimiento del sistema mediante la CLI

Compruebe que el sistema está en funcionamiento antes de probar la seguridad.

Para probar el estado del sistema, haga lo siguiente:

1. Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario support.

2. Escriba system sanity.

3. Compruebe que todos los servicios están en verde (en ejecución).

   

4. Compruebe que se muestre el mensaje System is UP! (prod) (el sistema funciona [producción]) en la parte inferior.

Compruebe que se está usando la versión correcta:

Para comprobar la versión del sistema, haga lo siguiente:

1. Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario support.

2. Escriba system version.

3. Compruebe que se muestre la versión correcta.

Compruebe que todas las interfaces de entrada configuradas durante el proceso de instalación se estén ejecutando:

Para validar el estado de red del sistema, haga lo siguiente:

1. Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario support.

2. Escriba network list (el equivalente del comando de Linux ifconfig).

3. Compruebe que se muestren las interfaces de entrada necesarias. Por ejemplo, si están instalados dos adaptadores de red de cuatro puertos de cobre, debe haber diez interfaces en la lista.

   

Compruebe que puede acceder a la GUI web de la consola:

Para comprobar que la administración tiene acceso a la interfaz de usuario, haga lo siguiente:

1. Conecte un portátil con un cable Ethernet al puerto de administración (Gb1).

2. Defina la dirección del adaptador de red del portátil para que esté en el mismo intervalo que el dispositivo.

   

3. Haga ping a la dirección IP del dispositivo desde el equipo portátil para comprobar la conectividad (valor predeterminado: 10.100.10.1).

4. Abra el explorador web Chrome en el equipo portátil y escriba la dirección IP del dispositivo.

5. En la ventana La conexión no es privada, seleccione Avanzado y continúe.

6. La prueba se realiza correctamente cuando aparece la pantalla de inicio de sesión de Defender para IoT.

   

Solución de problemas de sensores

No es posible conectarse mediante una interfaz web

1. Compruebe que el equipo que está intentando conectar esté en la misma red que el dispositivo.

2. Compruebe que la red de GUI esté conectada al puerto de administración.

3. Haga ping en la dirección IP del dispositivo. Si no hay ping, haga lo siguiente:

   1. Conecte un monitor y un teclado al dispositivo.

   2. Use el usuario y la contraseña de soporte técnico para iniciar sesión.

   3. Use el comando network list para ver la dirección IP actual.

4. Si los parámetros de red no están configurados correctamente, use el procedimiento siguiente para cambiarlos:

   1. use el comando network edit-settings.

   2. Para cambiar la dirección IP de la red de administración, seleccione Y.

   3. Para cambiar la máscara de subred, seleccione Y.

   4. Para cambiar el DNS, seleccione Y.

   5. Para cambiar la dirección IP de puerta de enlace predeterminada, seleccione Y.

   6. Para el cambio de la interfaz de entrada (solo para sensor), seleccione N.

   7. Seleccione Y para aplicar los cambios.

5. Después del reinicio, conéctese con las credenciales del usuario support y use el comando network list para comprobar que los parámetros se hayan cambiado.

6. Intente hacer ping y volver a conectarse desde la GUI.

El dispositivo no responde

1. Conecte un monitor y un teclado al dispositivo, o use PuTTY para conectarse de forma remota a la CLI.

2. Use las credenciales del usuario support para iniciar sesión.

3. Use el comando system sanity y compruebe que todos los procesos se están ejecutando. Por ejemplo:

   

Para cualquier otra incidencia, póngase en contacto con Soporte técnico de Microsoft.

Investigar el error de contraseña en el inicio de sesión inicial

Al iniciar sesión en un sensor preconfigurado por primera vez, deberá realizar la recuperación de contraseña de la siguiente manera:

1. En la pantalla de inicio de sesión de Defender para IoT, seleccione la opción Recuperación de contraseña. Se abre la pantalla Recuperación de contraseña.

2. Seleccione CyberX o Soporte técnico y copie el identificador único.

3. Vaya a Azure Portal y seleccione Sitios y sensores.

4. Seleccione el menú desplegable Más acciones y seleccione Recover on-premises management console password (Recuperar contraseña de la consola de administración local).

   

5. Escriba el identificador único que recibió en la pantalla Recuperación de contraseña y seleccione Recuperar. Se descarga el archivo password_recovery.zip. No extraiga ni modifique el archivo ZIP.

   

6. En la pantalla Recuperación de contraseña, seleccione Cargar. Se abrirá la ventana Cargar archivo de recuperación de contraseña.

7. Seleccione Examinar para buscar el archivo password_recovery.zip, o arrástrelo a la ventana.

8. Seleccione Siguiente; aparecerá el usuario y la contraseña generada por el sistema para la consola de administración.

   Nota

   Al iniciar sesión en un sensor o en una consola de administración local por primera vez, estarán vinculados a la suscripción de Azure, que será necesaria para recuperar la contraseña de cyberx o del usuario support. Para obtener más información, consulte el procedimiento pertinente para sensores o para una consola de administración local.

Investigar la falta de tráfico

Cuando el sensor reconoce que no hay tráfico en uno de los puertos configurados, aparece un indicador en la parte superior de la consola. Este indicador es visible para todos los usuarios. Cuando aparezca este mensaje, puede investigar dónde no hay tráfico. Asegúrese de que el cable del intervalo está conectado y de que no se ha producido ningún cambio en la arquitectura del intervalo.

Compruebe el rendimiento del sistema.

Cuando se implementa un nuevo sensor o un sensor funciona lentamente o no muestra ninguna alerta, puede comprobar el rendimiento del sistema.

1. En el panel de Defender para IoT >Información general, asegúrese de que PPS > 0.
2. En Dispositivos* compruebe que se detectan dispositivos.
3. En Minería de datos, genere un informe.
4. En la ventana Tendencias y estadísticas, cree un panel.
5. En Alertas, compruebe que se creó la alerta.

Investigar una falta de alertas previstas

Si la ventana Alertas no muestra una alerta esperada, compruebe lo siguiente:

1. Compruebe si la misma alerta ya aparece en la ventana Alertas como reacción a una instancia de seguridad diferente. En caso afirmativo, y si esta alerta no se ha controlado todavía, la consola del sensor no muestra ninguna alerta nueva.
2. Asegúrese de que no ha excluido esta alerta mediante el uso de las reglas de Exclusión de alertas en la consola de administración.

Investigación del panel que no muestra datos

Cuando los paneles de la ventana Tendencias y estadísticas no muestran ningún dato, haga lo siguiente:

1. Compruebe el rendimiento del sistema.
2. Asegúrese de que la configuración de hora y región esté correctamente configurada y no esté establecida en el futuro.

Investigar un mapa de dispositivos que muestra solo dispositivos de difusión

Cuando los dispositivos mostrados en el mapa de dispositivos no aparecen conectados entre sí, es posible que se haya producido un error en la configuración del puerto de intervalo. Es decir, es posible que solo vea dispositivos de difusión y ningún tráfico de unidifusión.

1. Compruebe que solo está viendo el tráfico de difusión. Para ello, en Minería de datos, seleccione Crear informe. En Crear nuevo informe, especifique los campos del informe. En Elegir categoría, elija Seleccionar todo.
2. Guarde el informe y revíselo para ver si solo aparece el tráfico de difusión y multidifusión (y no hay tráfico de unidifusión). A continuación, pida al departamento de redes que corrija la configuración de los puertos de intervalo para que también pueda ver el tráfico de unidifusión. Como alternativa, puede registrar un PCAP directamente desde el conmutador, o bien conecte un portátil mediante Wireshark.

Conectar el sensor a NTP

Puede configurar un sensor independiente y una consola de administración, con los sensores relacionados, para conectarse a NTP.

Para conectar un sensor independiente a NTP:

• Vea la documentación de la CLI.

Para conectar un sensor controlado por la consola de administración a NTP:

• La conexión a NTP está configurada en la consola de administración. Todos los sensores que controla la consola de administración obtienen la conexión NTP automáticamente.

Investigar cuando los dispositivos no se muestran en el mapa o si se reciben varias alertas relacionadas con Internet

A veces, los dispositivos ICS están configurados con direcciones IP externas. Estos dispositivos ICS no se muestran en el mapa. En lugar de los dispositivos, aparece una nube de Internet en el mapa. Las direcciones IP de estos dispositivos se incluyen en la imagen en la nube. Otra indicación del mismo problema es cuando aparecen varias alertas relacionadas con Internet. Corrija el problema de la siguiente manera:

1. Haga clic con el botón derecho en el icono de la nube en el mapa del dispositivo y seleccione Exportar direcciones IP.
2. Copie los intervalos públicos que son privados y agréguelos a la lista de subredes. Más información acerca de la configuración de subredes.
3. Generar un nuevo informe de minería de datos para las conexiones a Internet.
4. En el informe de minería de datos, entre en el modo de administrador y eliminar las direcciones IP de los dispositivos ICS.

Borrado de los datos del sensor

Cuando sea necesario reubicar o borrar el sensor, todos los datos aprendidos se pueden borrar de este.

Para más información sobre cómo borrar los datos del sistema, consulte Borrado de los datos del sensor.

Exportación de registros de la consola del sensor para solucionar problemas

Para solucionar problemas adicionales, es posible que quiera exportar registros para enviarlos al equipo de soporte técnico, como registros de base de datos o del sistema operativo.

Para exportar datos del registro, haga lo siguiente:

1. En la consola del sensor, vaya a Configuración del sistema>Administración del sensor>Copia de seguridad y restauración>Copia de seguridad.

2. En el cuadro de diálogo Exportar información de solución de problemas:

   1. En el campo Nombre de archivo, escriba un nombre descriptivo para el registro exportado. El nombre de archivo predeterminado usa la fecha actual, como 13:10-June-14-2022.tar.gz.

   2. Seleccione los registros que quieres exportar.

   3. Selecciona Export (Exportar).

   El archivo se exporta y se vincula desde la lista Archivos archivados en la parte inferior del cuadro de diálogo Exportar información de solución de problemas.

   Por ejemplo:

   

3. Seleccione el vínculo de archivo para descargar el registro exportado y, además, seleccione el botón para ver su contraseña de un solo uso.

4. Para abrir los registros exportados, reenvíe el archivo descargado y la contraseña de un solo uso al equipo de soporte técnico. Los registros exportados solo se pueden abrir junto con el equipo de soporte técnico de Microsoft.

   Para proteger los registros, asegúrese de reenviar la contraseña por separado del registro descargado.

Nota

Los diagnósticos de incidencias de soporte técnico se pueden descargar desde la consola del sensor y, después, cargarse directamente en el equipo de soporte técnico en Azure Portal. Para obtener más información acerca de la descarga de registros de diagnóstico, vea Descarga de un registro de diagnóstico para obtener soporte técnico.

Solución de problemas de una consola de administración local

Investigar una falta de alertas previstas

Si no ve una alerta esperada en la página Alertas locales, haga lo siguiente para solucionar problemas:

• Compruebe si la alerta ya aparece como reacción a una instancia de seguridad diferente. Si esa alerta aún no se ha controlado, no se muestra ninguna nueva alerta en otro lugar.

• Compruebe que las reglas de exclusión de alertas no excluyan la alerta. Para más información, consulte Creación de reglas de exclusión de alertas en una consola de administración local.

Ajustar la Calidad del servicio (QoS)

Para ahorrar recursos de red, puede limitar el número de alertas enviadas a sistemas externos (como correos electrónicos o SIEM) en una operación de sincronización entre un dispositivo y la consola de administración local.

El valor predeterminado es 50. Esto significa que en una sesión de comunicación entre un dispositivo y la consola de administración local, no habrá más de 50 alertas para sistemas externos.

Para limitar el número de alertas, use la propiedad notifications.max_number_to_report disponible en /var/cyberx/properties/management.properties. No es necesario reiniciar después de cambiar esta propiedad.

Para ajustar la Calidad de servicio (QoS) :

1. Inicie sesión como un usuario de Defender para IoT.

2. Compruebe los valores predeterminados:

   grep \"notifications\" /var/cyberx/properties/management.properties
   

   Aparecerán los siguientes valor predeterminado:

   notifications.max_number_to_report=50
   notifications.max_time_to_report=10 (seconds)
   

3. Edite la configuración predeterminada:

   sudo nano /var/cyberx/properties/management.properties
   

4. Edite la configuración de las siguientes líneas:

   notifications.max_number_to_report=50
   notifications.max_time_to_report=10 (seconds)
   

5. Guarde los cambios. No es necesario reiniciar.

Exportación de registros desde la consola de administración local para solucionar problemas

Para solucionar problemas adicionales, es posible que quiera exportar los registros a fin de enviarlos al equipo de soporte técnico, como los registros de auditoría o de base de datos.

Para exportar datos del registro, haga lo siguiente:

1. En la consola de administración local, seleccione Configuración del sistema>Exportar.

2. En el cuadro de diálogo Exportar información de solución de problemas:

   1. En el campo Nombre de archivo, escriba un nombre descriptivo para el registro exportado. El nombre de archivo predeterminado usa la fecha actual, como 13:10-June-14-2022.tar.gz.

   2. Seleccione los registros que quieres exportar.

   3. Selecciona Export (Exportar).

   El archivo se exporta y se vincula desde la lista Archivos archivados en la parte inferior del cuadro de diálogo Exportar información de solución de problemas.

   Por ejemplo:

   

3. Seleccione el vínculo de archivo para descargar el registro exportado y, además, seleccione el botón para ver su contraseña de un solo uso.

4. Para abrir los registros exportados, reenvíe el archivo descargado y la contraseña de un solo uso al equipo de soporte técnico. Los registros exportados solo se pueden abrir junto con el equipo de soporte técnico de Microsoft.

   Para proteger los registros, asegúrese de reenviar la contraseña por separado del registro descargado.

Pasos siguientes

• Visualización de alertas

• Configuración de la supervisión de MIB del SNMP

• Descripción de los eventos de desconexión de sensores

• Seguimiento de la actividad del usuario local