Solución de problemas del sensor y de la consola de administración local

En este artículo se describen las herramientas básicas de solución de problemas para el sensor y la consola de administración local. Además de los elementos que se describen aquí, puede comprobar el estado del sistema de las siguientes maneras:

  • Alertas: Cuando la interfaz de sensor que supervisa el tráfico está inactiva, se crea una alerta.
  • SNMP: El estado del sensor se supervisa mediante SNMP. Microsoft Defender para IoT responde a las consultas SNMP enviadas desde un servidor de supervisión autorizado.
  • Notificaciones del sistema: Cuando una consola de administración controla el sensor, puede reenviar alertas sobre las copias de seguridad del sensor con errores y los sensores desconectados.

Comprobación del estado del sistema

Compruebe el estado del sistema desde el sensor o la consola de administración local.

Para acceder a la herramienta de estado del sistema:

  1. Inicie sesión en el sensor o en la consola de administración local con las credenciales de usuario del Soporte.

  2. Seleccione System Statistics (estadísticas del sistema) en la ventana System Settings (configuración del sistema).

  3. Aparecerán los datos de estado del sistema. Seleccione un elemento de la izquierda para ver más detalles en el cuadro. Por ejemplo:

    Captura de pantalla que muestra la comprobación del mantenimiento del sistema.

Las comprobaciones de estado del sistema incluyen los siguientes elementos:

Nombre Descripción
Comprobación
- Dispositivo ejecuta la comprobación del dispositivo. Puede realizar la misma comprobación mediante el comando de la CLI system-sanity.
- Versión muestra la versión del dispositivo.
- Propiedades de red muestra los parámetros de red del sensor.
Redis
- Memoria proporciona un panorama general del uso de memoria; por ejemplo, cuánta memoria se usó y cuánta quedó disponible.
- Clave más larga muestra las claves más largas que pueden causar un uso intensivo de la memoria.
Sistema
- Registro principal Proporciona las últimas 500 filas del registro principal, lo que le permite ver las filas de registro recientes sin exportar todo el registro del sistema.
- Administrador de tareas traduce las tareas que aparecen en la tabla de procesos a los siguientes niveles:

- Nivel persistente (Redis)
- Nivel de caché (SQL)
- Estadísticas de red muestra las estadísticas de la red.
- TOP muestra la tabla de procesos. Se trata de un comando de Linux que proporciona una vista dinámica en tiempo real del sistema en ejecución.
- Comprobación de memoria de la copia de seguridad proporciona el estado de la memoria de copia de seguridad y comprueba lo siguiente:

- La ubicación de la carpeta de la copia de seguridad
- El tamaño de la carpeta de la copia de seguridad
- Las limitaciones de la carpeta de la copia de seguridad
- La fecha de la última copia de seguridad
- La cantidad de espacio disponible para los archivos de copia de seguridad adicionales
- ifconfig muestra los parámetros de las interfaces físicas del dispositivo.
- CyberX nload muestra el ancho de banda y el tráfico mediante pruebas de seis segundos.
- Errores del registro principal muestra los errores del archivo de registro principal.

Comprobación del mantenimiento del sistema mediante la CLI

Compruebe que el sistema está en funcionamiento antes de probar la seguridad.

Para probar el estado del sistema, haga lo siguiente:

  1. Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario Support.

  2. Escriba system sanity.

  3. Compruebe que todos los servicios están en verde (en ejecución).

    Captura de pantalla que muestra los servicios en ejecución.

  4. Compruebe que se muestre el mensaje System is UP! (prod) (el sistema funciona [producción]) en la parte inferior.

Compruebe que se está usando la versión correcta:

Para comprobar la versión del sistema, haga lo siguiente:

  1. Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario Support.

  2. Escriba system version.

  3. Compruebe que se muestre la versión correcta.

Compruebe que todas las interfaces de entrada configuradas durante el proceso de instalación se estén ejecutando:

Para validar el estado de red del sistema, haga lo siguiente:

  1. Conéctese a la CLI con el terminal de Linux (por ejemplo, PuTTy) y el usuario Support.

  2. Escriba network list (el equivalente del comando de Linux ifconfig).

  3. Compruebe que se muestren las interfaces de entrada necesarias. Por ejemplo, si están instalados dos adaptadores de red de cuatro puertos de cobre, debe haber diez interfaces en la lista.

    Captura de pantalla que muestra la lista de interfaces.

Compruebe que puede acceder a la GUI web de la consola:

Para comprobar que la administración tiene acceso a la interfaz de usuario, haga lo siguiente:

  1. Conecte un portátil con un cable Ethernet al puerto de administración (Gb1).

  2. Defina la dirección del adaptador de red del portátil para que esté en el mismo intervalo que el dispositivo.

    Captura de pantalla que muestra el acceso de administración a la interfaz de usuario.

  3. Haga ping a la dirección IP del dispositivo desde el equipo portátil para comprobar la conectividad (valor predeterminado: 10.100.10.1).

  4. Abra el explorador web Chrome en el equipo portátil y escriba la dirección IP del dispositivo.

  5. En la ventana La conexión no es privada, seleccione Avanzado y continúe.

  6. La prueba se realiza correctamente cuando aparece la pantalla de inicio de sesión de Defender para IoT.

    Captura de pantalla que muestra el acceso a la consola de administración.

Solución de problemas de sensores

No es posible conectarse mediante una interfaz web

  1. Compruebe que el equipo que está intentando conectar esté en la misma red que el dispositivo.

  2. Compruebe que la red de GUI esté conectada al puerto de administración.

  3. Haga ping en la dirección IP del dispositivo. Si no se encuentra un ping:

    1. Conecte un monitor y un teclado al dispositivo.

    2. Use el usuario y la contraseña de Support para iniciar sesión.

    3. Use el comando network list para ver la dirección IP actual.

  4. Si los parámetros de red no están configurados correctamente, use el procedimiento siguiente para cambiarlos:

    1. use el comando network edit-settings.

    2. Para cambiar la dirección IP de la red de administración, seleccione Y.

    3. Para cambiar la máscara de subred, seleccione Y.

    4. Para cambiar el DNS, seleccione Y.

    5. Para cambiar la dirección IP de puerta de enlace predeterminada, seleccione Y.

    6. Para el cambio de la interfaz de entrada (solo para sensor), seleccione N.

    7. Seleccione Y para aplicar los cambios.

  5. Después del reinicio, conéctese con las credenciales del usuario Support y use el comando network list para comprobar que los parámetros se hayan cambiado.

  6. Intente hacer ping y volver a conectarse desde la GUI.

El dispositivo no responde

  1. Conecte un monitor y un teclado al dispositivo, o use PuTTY para conectarse de forma remota a la CLI.

  2. Use las credenciales del usuario Support para iniciar sesión.

  3. Use el comando system sanity y compruebe que todos los procesos se están ejecutando. Por ejemplo:

    Captura de pantalla que muestra el comando de comprobación del sistema.

Para cualquier otra incidencia, póngase en contacto con Soporte técnico de Microsoft.

Investigación del error de contraseña en el inicio de sesión inicial

Al iniciar sesión en un sensor preconfigurado por primera vez, deberá realizar la recuperación de contraseña de la siguiente manera:

  1. En la pantalla de inicio de sesión de Defender para IoT, seleccione la opción Recuperación de contraseña. Se abre la pantalla Recuperación de contraseña.

  2. Seleccione CyberX o Soporte técnico y copie el identificador único.

  3. Vaya a Azure Portal y seleccione Sitios y sensores.

  4. Seleccione el menú desplegable Más acciones y seleccione Recover on-premises management console password (Recuperar contraseña de la consola de administración local).

    Captura de pantalla de la opción de recuperación de la contraseña de la consola de administración local.

  5. Escriba el identificador único que recibió en la pantalla Recuperación de contraseña y seleccione Recuperar. Se descarga el archivo password_recovery.zip. No extraiga ni modifique el archivo ZIP.

    Captura de pantalla del cuadro de diálogo de recuperación.

  6. En la pantalla Recuperación de contraseña, seleccione Cargar. Se abrirá la ventana Cargar archivo de recuperación de contraseña.

  7. Seleccione Examinar para buscar el archivo password_recovery.zip, o arrástrelo a la ventana.

  8. Seleccione Siguiente; aparecerá el usuario y la contraseña generada por el sistema para la consola de administración.

    Nota

    Cuando inicie sesión en un sensor o en una consola de administración local por primera vez, se vinculará a la suscripción a la que lo conectó. Si necesita restablecer la contraseña para el usuario de CyberX o soporte técnico, deberá seleccionar esa suscripción. Para más información sobre cómo recuperar una contraseña de usuario de CyberX o de soporte técnico, consulte Recuperación de la contraseña de la consola de administración local o el sensor.

Investigar la falta de tráfico

Cuando el sensor reconoce que no hay tráfico en uno de los puertos configurados, aparece un indicador en la parte superior de la consola. Este indicador es visible para todos los usuarios. Cuando aparezca este mensaje, puede investigar dónde no hay tráfico. Asegúrese de que el cable del intervalo está conectado y de que no se ha producido ningún cambio en la arquitectura del intervalo.

Compruebe el rendimiento del sistema.

Cuando se implementa un nuevo sensor o un sensor funciona lentamente o no muestra ninguna alerta, puede comprobar el rendimiento del sistema.

  1. En el panel de Defender para IoT >Información general, asegúrese de que PPS > 0.
  2. En Dispositivos* compruebe que se detectan dispositivos.
  3. En Minería de datos, genere un informe.
  4. En la ventana Tendencias y estadísticas, cree un panel.
  5. En Alertas, compruebe que se creó la alerta.

Investigar una falta de alertas previstas

Si la ventana Alertas no muestra una alerta esperada, compruebe lo siguiente:

  1. Compruebe si la misma alerta ya aparece en la ventana Alertas como reacción a una instancia de seguridad diferente. En caso afirmativo, y si esta alerta no se ha controlado todavía, la consola del sensor no muestra ninguna alerta nueva.
  2. Asegúrese de que no ha excluido esta alerta mediante el uso de las reglas de Exclusión de alertas en la consola de administración.

Investigación del panel que no muestra datos

Cuando los paneles de la ventana Tendencias y estadísticas no muestran ningún dato, haga lo siguiente:

  1. Compruebe el rendimiento del sistema.
  2. Asegúrese de que la configuración de hora y región esté correctamente configurada y no esté establecida en el futuro.

Investigar un mapa de dispositivos que muestra solo dispositivos de difusión

Cuando los dispositivos mostrados en el mapa de dispositivos no aparecen conectados entre sí, es posible que se haya producido un error en la configuración del puerto de intervalo. Es decir, es posible que solo vea dispositivos de difusión y ningún tráfico de unidifusión.

  1. Compruebe que solo está viendo el tráfico de difusión. Para ello, en Minería de datos, seleccione Crear informe. En Crear nuevo informe, especifique los campos del informe. En Elegir categoría, elija Seleccionar todo.
  2. Guarde el informe y revíselo para ver si solo aparece el tráfico de difusión y multidifusión (y no hay tráfico de unidifusión). A continuación, pida al departamento de redes que corrija la configuración de los puertos de intervalo para que también pueda ver el tráfico de unidifusión. Como alternativa, puede registrar un PCAP directamente desde el conmutador, o bien conecte un portátil mediante Wireshark.

Conectar el sensor a NTP

Puede configurar un sensor independiente y una consola de administración, con los sensores relacionados, para conectarse a NTP.

Para conectar un sensor independiente a NTP:

Para conectar un sensor controlado por la consola de administración a NTP:

  • La conexión a NTP está configurada en la consola de administración. Todos los sensores que controla la consola de administración obtienen la conexión NTP automáticamente.

A veces, los dispositivos ICS están configurados con direcciones IP externas. Estos dispositivos ICS no se muestran en el mapa. En lugar de los dispositivos, aparece una nube de Internet en el mapa. Las direcciones IP de estos dispositivos se incluyen en la imagen en la nube. Otra indicación del mismo problema es cuando aparecen varias alertas relacionadas con Internet. Corrija el problema de la siguiente manera:

  1. Haga clic con el botón derecho en el icono de la nube en el mapa del dispositivo y seleccione Exportar direcciones IP.
  2. Copie los intervalos públicos que son privados y agréguelos a la lista de subredes. Más información acerca de la configuración de subredes.
  3. Generar un nuevo informe de minería de datos para las conexiones a Internet.
  4. En el informe de minería de datos, entre en el modo de administrador y eliminar las direcciones IP de los dispositivos ICS.

Borrado de los datos del sensor

Cuando sea necesario reubicar o borrar el sensor, todos los datos aprendidos se pueden borrar de este.

Para más información sobre cómo borrar los datos del sistema, consulte Borrado de los datos del sensor.

Solución de problemas de una consola de administración local

Investigar una falta de alertas previstas

Si no ve una alerta esperada en la página Alertas locales, haga lo siguiente para solucionar problemas:

  • Compruebe si la alerta ya aparece como reacción a una instancia de seguridad diferente. Si esa alerta aún no se ha controlado, no se muestra ninguna nueva alerta en otro lugar.

  • Compruebe que las reglas de exclusión de alertas no excluyan la alerta. Para obtener más información, consulte Creación de reglas de exclusión de alertas.

Ajustar la Calidad del servicio (QoS)

Para ahorrar recursos de red, puede limitar el número de alertas enviadas a sistemas externos (como correos electrónicos o SIEM) en una operación de sincronización entre un dispositivo y la consola de administración local.

El valor predeterminado es 50. Esto significa que en una sesión de comunicación entre un dispositivo y la consola de administración local, no habrá más de 50 alertas para sistemas externos.

Para limitar el número de alertas, use la propiedad notifications.max_number_to_report disponible en /var/cyberx/properties/management.properties. No es necesario reiniciar después de cambiar esta propiedad.

Para ajustar la Calidad de servicio (QoS) :

  1. Inicie sesión como un usuario de Defender para IoT.

  2. Compruebe los valores predeterminados:

    grep \"notifications\" /var/cyberx/properties/management.properties
    

    Aparecerán los siguientes valor predeterminado:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  3. Edite la configuración predeterminada:

    sudo nano /var/cyberx/properties/management.properties
    
  4. Edite la configuración de las siguientes líneas:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  5. Guarde los cambios. No es necesario reiniciar.

Exportación de registros de auditoría para solucionar problemas

Los registros de auditoría registran información clave en el momento de la aparición. Use los registros de auditoría generados en la consola de administración local para comprender qué cambios se realizaron, cuándo y por quién.

También puede exportar los registros de auditoría para enviarlos al equipo de soporte técnico con el fin de solucionar problemas adicionales.

Nota

Los nuevos registros de auditoría se generan cada 10 MB. Se almacena un registro anterior además del archivo de registro activo actual.

Para exportar datos del registro de auditoría:

  1. En la consola de administración local, seleccione Configuración del sistema>Exportar.

  2. En el cuadro de diálogo Exportar información de solución de problemas:

    1. En el campo Nombre de archivo, escriba un nombre descriptivo para el registro exportado. El nombre de archivo predeterminado usa la fecha actual, como 13:10-June-14-2022.tar.gz.

    2. Seleccione Registros de auditoría.

    3. Selecciona Export (Exportar).

    El archivo se exporta y se vincula desde la lista Archivos archivados en la parte inferior del cuadro de diálogo Exportar información de solución de problemas. Seleccione el vínculo para descargar el archivo.

  3. Los registros de auditoría exportados se cifran para su seguridad y requieren que se abra una contraseña. En la lista Archivos archivados, seleccione el botón de los registros exportados para ver su contraseña. Si reenvía los registros de auditoría al equipo de soporte técnico, asegúrese de enviar la contraseña para admitir por separado de los registros exportados.

Para más información, consulte Visualización de los datos del registro de auditoría en la consola de administración local.

Pasos siguientes