Tutorial: Comenzar con Microsoft Defender para IoT para la seguridad de OT

En este tutorial, se describe cómo configurar la red para la supervisión de la seguridad del sistema de OT mediante un sensor virtual conectado a la nube en una máquina virtual mediante una suscripción de prueba de Microsoft Defender para IoT.

Nota

Si desea configurar la supervisión de la seguridad para sistemas IoT empresariales, consulte Tutorial: Introducción a Enterprise IoT.

En este tutorial, aprenderá a:

  • Descargar software para un sensor virtual
  • Crear una máquina virtual para el sensor
  • Instalar el software del sensor virtual
  • Configurar un puerto SPAN
  • Comprobar la conexión a la nube
  • Incorporar y activar el sensor virtual

Requisitos previos

Antes de empezar, asegúrese de que dispone de lo siguiente:

  • Se ha completado el Inicio rápido: Introducción a Defender para IoT para agregar una suscripción de Azure a Defender para IoT.

  • Permisos de Azure de Administrador de seguridad, Colaborador de la suscripción o Propietario de la suscripción en la suscripción

  • Al menos un dispositivo que supervisar, con el dispositivo conectado a un puerto SPAN en un conmutador.

  • VMware, ESXi 5.5 o posterior está instalado y operativo en el sensor.

  • Recursos de hardware disponibles para la máquina virtual como se indica a continuación:

    Tipo de implementación Corporativos Enterprise SMB
    Ancho de banda máximo 2,5 GB/s 800 MB/s 160 MB/s
    Número máximo de dispositivos protegidos 12,000 10 000 800
  • Detalles de los siguientes parámetros de red que se usarán para el dispositivo del sensor:

    • Dirección IP de la red de administración
    • Máscara de subred del sensor
    • Nombre de host del dispositivo
    • Dirección DNS
    • Puerta de enlace predeterminada
    • Cualquier interfaz de entrada

Descarga de software para el sensor virtual

La solución de Defender para IoT para la seguridad de OT incluye sensores de red locales, que se conectan a Defender para IoT y envían datos del dispositivo para su análisis.

Puede comprar dispositivos preconfigurados o traer su propio dispositivo e instalar el software usted mismo. En este tutorial, se usan su propia máquina y VMware, y se describe cómo descargar e instalar el software del sensor usted mismo.

Para descargar software para los sensores virtuales:

  1. Vaya a Defender para IoT en Azure Portal. En la página Getting started (Introducción), seleccione la pestaña Sensor.

  2. En el cuadro Purchase an appliance and install software (Comprar un dispositivo e instalar el software), asegúrese de que la opción predeterminada esté seleccionada para la versión de software más reciente y recomendada y, a continuación, seleccione Download (Descargar).

  3. Guarde el software descargado en una ubicación a la que se pueda acceder desde la máquina virtual.

Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

Creación de una máquina virtual para el sensor

En este procedimiento, se describe cómo crear una máquina virtual para el sensor con VMware ESXi.

Defender para IoT también admite otros procesos, como el uso de Hyper-V o sensores físicos. Para más información, vea Instalación de Defender para IoT.

Para crear una máquina virtual para el sensor:

  1. Asegúrese de tener el software del sensor descargado y accesible, y de que VMware se esté ejecutando en la máquina.

  2. Inicie sesión en la máquina ESXi, elija el almacén de datos pertinente y seleccione Explorador del almacén de datos.

  3. Cargue la imagen y seleccione Cerrar.

  4. Vaya a Virtual Machines (máquinas virtuales) y, a continuación, seleccione Create/Register VM (crear/registrar máquina virtual).

  5. Seleccione Create new virtual machine (crear nueva máquina virtual) y después seleccione Next (siguiente).

  6. Agregue un nombre de sensor y, a continuación, defina las siguientes opciones:

    • Compatibilidad: <última versión de ESXi>

    • Familia del SO invitado: Linux

    • Versión del SO invitado: Ubuntu Linux (solo 64 bits)

  7. Seleccione Next (Siguiente).

  8. Elija el almacén de datos pertinente y seleccione Next (siguiente).

  9. Cambie los parámetros del hardware virtual según las especificaciones requeridas para sus necesidades. Para más información, consulte la tabla de la sección Requisitos previos anterior.

  10. En CD/DVD Drive 1 (Unidad de CD/DVD 1), seleccione Datastore ISO file (Archivo ISO del almacén de datos) y seleccione el software de Defender para IoT que descargó anteriormente.

  11. Seleccione Siguiente>Finalizar.

  12. Encienda la máquina virtual y abra una consola.

Instalación del software del sensor

En este procedimiento, se describe cómo instalar el software del sensor en la máquina virtual.

Para instalar el software en el sensor virtual:

  1. Abra la consola de la máquina virtual.

  2. La máquina virtual se iniciará a partir de la imagen ISO y aparecerá la pantalla de selección de idioma. Seleccione English (inglés).

  3. Seleccione las especificaciones requeridas para sus necesidades, tal como se define en la tabla de la sección Requisitos previos anterior.

  4. Defina el perfil del dispositivo y las propiedades de red como de indica a continuación:

    Parámetro Configuración
    Perfil de hardware En función de las especificaciones del sistema.
    Interfaz de administración ens192
    Parámetros de red (proporcionados por el cliente) dirección IP de la red de administración:
    máscara de subred:
    nombre de host del dispositivo:
    DNS:
    puerta de enlace predeterminada:
    interfaces de entrada:

    No es necesario configurar la interfaz de puente, que es pertinente solo para casos de uso especiales.

  5. Escriba Y para aceptar la configuración.

  6. Las siguientes credenciales se generan y presentan automáticamente. Copie los nombres de usuario y las contraseñas en un lugar seguro, ya que se necesitarán para iniciar sesión y para administrar el sensor. Los nombres de usuario y las contraseñas no se volverán a presentar.

    • Support: usuario administrativo para la administración de usuarios.

    • CyberX: equivalente de usuario raíz para acceder al dispositivo.

  7. Cuando se reinicie el dispositivo, acceda al sensor mediante la dirección IP configurada anteriormente: https://<ip_address>.

Validación después de la instalación

En este procedimiento, se describe cómo validar la instalación mediante las propias comprobaciones de estado del sistema del sensor y está disponible para los usuarios Support y CyberX del sensor.

Para validar la instalación:

  1. Inicie sesión en el sensor.

  2. Seleccione System Settings>Sensor management>System Health Check (Configuración del sistema > Administración de sensores > Comprobar estado del sistema).

  3. Seleccione los siguientes comandos:

    • Appliance (Dispositivo) para comprobar que el sistema se está ejecutando. Compruebe que cada elemento de línea se muestre como En ejecución y que la última línea indique que el sistema está activo.
    • Version (Versión) para comprobar que tiene instalada la versión correcta.
    • ifconfig para comprobar que todas las interfaces de entrada configuradas durante la instalación estén en ejecución.

Configurar un puerto SPAN

Los conmutadores virtuales no tienen funcionalidades de creación de reflejo. Sin embargo, para este tutorial puede usar el modo promiscuo en un entorno de conmutador virtual para ver todo el tráfico de red que pasa por el conmutador virtual.

En este procedimiento, se describe cómo configurar un puerto SPAN mediante una solución alternativa con VMware ESXi.

Nota

El modo promiscuo es un modo operativo y una técnica de supervisión de seguridad para las interfaces de una máquina virtual en el mismo nivel de grupo de puertos que el conmutador virtual para ver el tráfico de red del conmutador. El modo promiscuo está deshabilitado de manera predeterminada, pero se puede definir en el nivel de conmutador virtual o de grupo de puertos.

Para configurar un puerto SPAN con ESXi:

  1. Abra las propiedades de vSwitch.

  2. Seleccione Agregar.

  3. Seleccione Virtual Machine>Next (máquina virtual > siguiente).

  4. Inserte una etiqueta de red SPAN Network, seleccione VLAN ID>All (id. de VLAN > todos) y, después, seleccione Next (siguiente).

  5. Seleccione Finalizar.

  6. Seleccione SPAN Network> *Edit (Red SPAN > *Editar).

  7. Seleccione Security (seguridad) y compruebe que la directiva Promiscuous Mode (modo promiscuo) esté establecida en el modo Accept (aceptar).

  8. Seleccione OK (aceptar) y, después, seleccione Close (cerrar) para cerrar las propiedades de vSwitch.

  9. Abras la propiedades de XSense VM.

  10. En Network Adapter 2 (adaptador de red 2), seleccione la red SPAN.

  11. Seleccione Aceptar.

  12. Conéctese al sensor y compruebe que la solución de creación de reflejo funcione.

Incorporación y activación del sensor virtual

Para poder empezar a usar el sensor de Defender para IoT, deberá incorporar el nuevo sensor virtual a la suscripción de Azure y descargar el archivo de activación del sensor virtual para activar el sensor.

Incorporación del sensor virtual

Para incorporar el sensor virtual:

  1. En Azure Portal, vaya a la página Defender para IoT > Introducción.

  2. En la parte inferior izquierda, seleccione Set up OT/ICS Security (Configurar la seguridad de OT/ICS).

    Captura de pantalla de la página Introducción para sensores de red de OT

    En la página Set up OT/ICS Security (Configurar la seguridad de OT/ICS), puede dejar contraídos los elementos Step 1: Did you set up a sensor? (Paso 1: ¿Ha configurado un sensor?) y Step 2: Configure SPAN port or TAP (Paso 2: Configurar puerto SPAN o TAP), ya que ha completado estas tareas anteriormente en este tutorial.

  3. En Step 3: Register this sensor with Microsoft Defender for IoT (Paso 3: Registrar este sensor en Microsoft Defender para IoT), defina los siguientes valores:

    Nombre Descripción
    Sensor name (Nombre del sensor) Escriba un nombre para el sensor.

    Se recomienda incluir la dirección IP del sensor como parte del nombre o usar un nombre que sea fácil de identificar. Al elegir un nombre así para el sensor, será más fácil realizar un seguimiento.
    Suscripción Seleccione la suscripción de Azure donde desea agregar los sensores.
    Cloud connected (Conectado a la nube) Seleccione esta opción para conectar el sensor a Azure.
    Automatic threat intelligence updates (Actualizaciones automáticas de inteligencia sobre amenazas) Solo se muestra cuando la opción Cloud connected (Conectado a la nube) está activada. Seleccione esta opción para que los paquetes de inteligencia sobre amenazas de Microsoft se actualicen automáticamente en el sensor. Para más información, consulte Investigación y paquetes de inteligencia sobre amenazas.
    Versión del sensor Solo se muestra cuando la opción Cloud connected (Conectado a la nube) está activada. Seleccione la versión de software instalada en el sensor.
    Sitio Defina el sitio donde quiera asociar el sensor o seleccione Create site (Crear sitio) para crear un sitio nuevo. Defina un nombre para mostrar para el sitio y etiquetas opcionales para ayudar a identificar el sitio más adelante.
    Zona Defina la zona en la que desea implementar el sensor o seleccione Create zone (Crear zona) para crear una nueva.
  4. Seleccione Register (Registrar) para agregar el sensor a Defender para IoT. Se muestra un mensaje de confirmación y el archivo de activación se descarga automáticamente. El archivo de activación es único para el sensor y contiene instrucciones sobre el modo de administración del sensor.

    Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

  5. Guarde el archivo de activación descargado en una ubicación que sea accesible para el usuario que inicie sesión por primera vez en la consola.

    También puede descargar el archivo manualmente seleccionando el vínculo correspondiente en el cuadro Activate your sensor (Activar el sensor). Usará este archivo para activar el sensor, tal como se describe debajo.

  6. Asegúrese de que el sensor nuevo podrá conectarse correctamente a Azure. En el cuadro Add outbound allow rules (Agregar reglas de permiso de salida), seleccione el vínculo Descargar detalles del punto de conexión para descargar una lista JSON de los puntos de conexión que debe configurar como puntos de conexión seguros desde el sensor. Por ejemplo:

    Captura de pantalla del cuadro **Agregar reglas de permiso de salida**.

    Para asegurarse de que el sensor puede conectarse a Azure, configure los puntos de conexión enumerados como tráfico HTTPS de salida permitido a través del puerto 443. Tendrá que configurar estas reglas de permiso de salida una vez para todos los sensores de OT incorporados a la misma suscripción.

    Sugerencia

    También puede acceder a la lista de puntos de conexión necesarios desde la página Sites and sensors (Sitios y sensores). Para más información, consulte Opciones de administración de sensores desde Azure Portal.

  7. En la parte inferior izquierda de la página, seleccione Finish (Finalizar). Ahora puede ver el nuevo sensor en la página Sites and sensors (Sitios y sensores) de Defender para IoT.

Para más información, consulte Administración de sensores con Defender para IoT en Azure Portal.

Activación del sensor

En este procedimiento, se describe cómo usar el archivo de activación del sensor descargado de Defender para IoT en Azure Portal para activar el sensor recién agregado.

Para activar el sensor:

  1. Vaya a la consola del sensor desde el explorador web mediante la dirección IP definida durante la instalación. Se abre el cuadro de diálogo de inicio de sesión.

    Captura de pantalla de una página de inicio de sesión del sensor de Defender para IoT.

  2. Escriba las credenciales definidas durante la instalación del sensor.

  3. Seleccione Inicio de sesión / Siguiente. Se abre la pestaña Configuración de la red de sensores.

    Captura de pantalla de las opciones de configuración de red del sensor al iniciar sesión en este.

  4. En la pestaña Sensor Network Settings (Configuración de red del sensor), puede modificar la configuración de red del sensor definida durante la instalación. Para este tutorial, deje los valores predeterminados tal como están y seleccione Next (Siguiente).

  5. En la pestaña Activation (Activación), seleccione Upload (Cargar) y, a continuación, busque y seleccione el archivo de activación.

  6. Apruebe los términos y condiciones y, a continuación, seleccione Activate (Activar).

  7. En la pestaña SSL/TLS Certificates (Certificados SSL/TLS), puede importar un certificado de entidad de certificación de confianza, que es el proceso recomendado para entornos de producción. Sin embargo, para este tutorial, puede seleccionar Use Locally generated self-signed certificate (Usar certificado autofirmado generado localmente) y, a continuación, seleccionar Finish (Finalizar).

El sensor está activado y se ha incorporado a Defender para IoT. En la página Sites and sensors (Sitios y sensores), puede ver que la columna Sensor status (Estado del sensor) muestra una marca de comprobación verde y muestra el estado como OK (Correcto).

Pasos siguientes

Una vez que el sensor de OT esté conectado, continúe con cualquiera de las siguientes opciones para empezar a analizar los datos: