Configurer et activer votre capteur OT

  • Article

Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT. Il décrit comment configurer les paramètres d’installation initiale et activer votre capteur OT.

Diagramme d’une barre de progression avec Déployer vos capteurs mis en évidence.

Plusieurs étapes d’installation initiale peuvent être effectuées dans le navigateur ou via l’interface CLI.

  • Utilisez le navigateur si vous pouvez connecter des câbles physiques de votre commutateur à votre capteur pour identifier correctement vos interfaces. Veillez à reconfigurer votre carte réseau pour qu’elle corresponde aux paramètres par défaut du capteur.
  • Utilisez l’interface CLI si vous connaissez les détails de votre réseau sans avoir à connecter de câbles physiques. Utilisez l’interface CLI si vous ne pouvez vous connecter au capteur que via iLo/iDrac

La configuration de votre installation via l’interface CLI vous oblige toujours à effectuer les dernières étapes dans le navigateur.

Prérequis

Pour suivre les procédures décrites dans cet article, vous devez :

  • Un capteur OT intégré à Defender pour IoT dans le Portail Azure.

  • Logiciel de capteur OT installé sur votre appliance. Vérifiez que vous avez installé le logiciel vous-même ou acheté un appliance préconfiguré.

  • Le fichier d’activation du capteur, qui a été téléchargé après l’intégration de votre capteur. Vous avez besoin d’un fichier d’activation unique pour chaque capteur OT que vous déployez.

    Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

    Notes

    Les fichiers d’activation expirent 14 jours après leur création. Si vous avez intégré votre capteur, mais que vous n’avez pas téléchargé le fichier d’activation avant son expiration, téléchargez un nouveau fichier d’activation.

  • Un certificat SSL/TLS. Nous vous recommandons d’utiliser un certificat signé par l’autorité de certification, et non un certificat auto-signé. Pour plus d’informations, consultez Créer des certificats SSL/TLS pour des appliances OT.

  • Accès à l’Appliance physique ou virtuel où vous installez votre capteur. Pour plus d’informations, consultez De quelles appliances ai-je besoin ?

Cette étape est effectuée par vos équipes de déploiement.

Configurer l’installation via le navigateur

La configuration du capteur via le navigateur comprend les étapes suivantes :

  • Connexion à la console du capteur et modification du mot de passe de l'utilisateur administrateur
  • Définition des détails réseau pour votre capteur
  • Définition des interfaces que vous souhaitez surveiller
  • Activation de votre capteur
  • Configuration des paramètres de certificat SSL/TLS

Connectez-vous à la console du capteur et modifiez le mot de passe par défaut

Cette procédure décrit comment se connecter à la console du capteur OT pour la première fois. Vous êtes invité à modifier le mot de passe par défaut de l'utilisateur administrateur.

Pour vous connecter à votre capteur :

  1. Dans un navigateur, accédez à l’adresse IP 192.168.0.101, qui est l’adresse IP par défaut fournie pour votre capteur à la fin de l’installation.

    La page de connexion initiale s’affiche. Par exemple :

    Capture d’écran de la page de connexion au capteur après l’installation initiale.

  2. Entrez les informations d’identification suivantes, puis sélectionnez Connexion :

    • Nom d’utilisateur : admin
    • Mot de passe : admin

    Vous êtes invité à définir un nouveau mot de passe pour l'utilisateur administrateur.

  3. Dans le champ Nouveau mot de passe, entrez votre nouveau mot de passe. Votre mot de passe doit contenir des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles.

    Dans le champ Confirmer le nouveau mot de passe, entrez à nouveau votre nouveau mot de passe, puis sélectionnez Prise en main.

    Pour plus d’informations, consultez Utilisateurs privilégiés par défaut.

La page Defender pour IoT | Vue d’ensemble s’ouvre sur l’onglet Interface de gestion.

Définir les détails de la mise en réseau des capteurs

Sous l’onglet Interface de gestion, utilisez les champs suivants pour définir les détails réseau de votre nouveau capteur :

Nom Description
Interface de gestion Sélectionnez l’interface que vous souhaitez utiliser comme interface de gestion pour vous connecter au Portail Azure ou à une console de gestion locale.

Pour identifier une interface physique sur votre ordinateur, sélectionnez une interface, puis sélectionnez Clignotement de la LED de l'interface physique. Le port qui correspond à l’interface sélectionnée s’allume afin que vous puissiez connecter votre câble correctement.
Adresse IP Entrez l’adresse IP que vous souhaitez utiliser pour votre capteur. Il s’agit de l’adresse IP que votre équipe utilise pour se connecter au capteur via le navigateur ou l’interface CLI.
Masque de sous-réseau Entrez l’adresse que vous souhaitez utiliser comme masque de sous-réseau du capteur.
Passerelle par défaut Entrez l’adresse que vous souhaitez utiliser comme passerelle par défaut du capteur.
DNS Entrez l’adresse IP du serveur DNS du capteur.
Nom d’hôte Entrez le nom d’hôte que vous souhaitez affecter au capteur. Veillez à utiliser le même nom d’hôte que celui défini dans le serveur DNS.
Activer le proxy pour la connectivité cloud (facultatif) Sélectionnez cette option pour définir un serveur proxy pour votre capteur.

Si vous utilisez un certificat SSL/TSL pour accéder au serveur proxy, sélectionnez Certificat client et chargez votre certificat.

Lorsque vous avez terminé, sélectionnez Suivant : configurations d’interface pour continuer.

Définir les interfaces que vous souhaitez surveiller

L’onglet Configurations d’interface affiche toutes les interfaces détectées par le capteur par défaut. Utilisez cet onglet pour activer ou désactiver la surveillance par interface, ou définir des paramètres spécifiques pour chaque interface.

Conseil

Nous vous recommandons d’optimiser les performances de votre capteur en configurant vos paramètres pour surveiller uniquement les interfaces qui sont activement utilisées.

Sous l’onglet Configurations d’interface, procédez comme suit pour configurer les paramètres de vos interfaces surveillées :

  1. Sélectionnez le bouton bascule Activer/Désactiver pour toutes les interfaces que le capteur doit surveiller. Vous devez sélectionner au moins un interface pour continuer.

    Si vous ne savez pas quelle interface utiliser, sélectionnez le bouton Clignotement de la LED de l'interface physique pour que le port sélectionné clignote sur votre ordinateur. Sélectionnez l’une des interfaces que vous avez connectées à votre commutateur.

  2. (Facultatif) Pour chaque interface à surveiller, sélectionnez le bouton Paramètres avancés pour modifier l’un des paramètres suivants :

    Nom Description
    Mode Sélectionnez l’un des suivants :
    - Trafic SPAN (pas d’encapsulation) pour utiliser la mise en miroir de ports SPAN par défaut.
    - ERSPAN si vous utilisez la mise en miroir ERSPAN.

    Pour plus d'informations, consultez Choisir une méthode de mise en miroir du trafic pour les capteurs OT.
    Description Entrez une description facultative pour l’interface. Vous le verrez plus loin dans la page Paramètres de système> Configurations de l’interface du capteur, et ces descriptions peuvent être utiles pour comprendre l’objectif de chaque interface.
    Négociation automatique Concerne uniquement les machines physiques. Utilisez cette option pour déterminer les types de méthodes de communication utilisés ou si les méthodes de communication sont définies automatiquement entre les composants.

    Important : nous vous recommandons de modifier ce paramètre uniquement sur les conseils de votre équipe de mise en réseau.

    Cliquez sur Enregistrer pour enregistrer vos modifications.

  3. Sélectionnez Suivant : redémarrer > pour continuer, puis Démarrer le redémarrage pour redémarrer la machine de votre capteur. Une fois le capteur redéployé, vous êtes automatiquement redirigé vers l’adresse IP que vous avez définie précédemment en tant qu’adresse IP du capteur.

    Sélectionnez Annuler pour attendre le redémarrage.

Activation du capteur OT

Cette procédure décrit comment activer votre nouveau capteur OT.

Si vous avez configuré les paramètres initiaux via l’interface CLI jusqu’à présent, vous allez démarrer la configuration basée sur le navigateur à cette étape. Après le redémarrage du capteur, vous êtes redirigé vers la même page Defender pour IoT | Vue d’ensemble, sous l’onglet Activation.

Procédure d’activation du capteur :

  1. Sous l’onglet Activation, sélectionnez Charger pour charger le fichier d’activation du capteur téléchargé depuis le Portail Azure.
  2. Sélectionnez l’option des conditions générales, puis sélectionnez Activer.
  3. Sélectionnez Suivant : certificats.

Définir les paramètres de certificat SSL/TLS

Utilisez l’onglet Certificats pour déployer un certificat SSL/TLS sur votre capteur OT. Nous vous recommandons d’utiliser un certificat signé par l’autorité de certification pour tous les environnements de production.

Pour définir les paramètres de certificat SSL/TLS :

  1. Dans l’onglet Certificats, sélectionnez Importer un certificat d’autorité de certification approuvé (recommandé) pour déployer un certificat signé par l’autorité de certification.

    Entrez le nom et la phrase secrète du certificat, puis sélectionnez Télécharger pour télécharger votre fichier de clé privée, votre fichier de certificat et un fichier de chaîne de certificat facultatif.

    Vous devrez peut-être actualiser la page après le chargement de vos fichiers. Pour plus d’informations, consultez Résoudre les erreurs de chargement de certificat.

    Conseil

    Si vous travaillez sur un environnement de test, vous pouvez également utiliser le certificat auto-signé généré lors de l’installation. Si vous choisissez d’utiliser un certificat auto-signé, veillez à sélectionner l’option Confirmer concernant les recommandations.

    Pour plus d’informations, consultez Gérer les certificats SSL/TLS.

  2. Dans la zone Validation du certificat de la console de gestion locale, sélectionnez Obligatoire pour valider le certificat d’une console de gestion locale par rapport à une liste de révocation de certificats (CRL), comme configuré dans votre certificat.

    Pour plus d’informations, consultez Exigences de certificat SSL/TLS pour les ressources locales et Créer des certificats SSL/TLS pour des appliances OT.

  3. Sélectionnez Terminer pour terminer l’installation initiale et ouvrir la console de votre capteur.

Configurer l’installation via l’interface CLI

Utilisez cette procédure pour configurer les paramètres d’installation initiale suivants via l’interface CLI :

  • Connexion à la console du capteur et définition d'un nouveau mot de passe utilisateur administrateur
  • Définition des détails réseau pour votre capteur
  • Définition des interfaces que vous souhaitez surveiller

Poursuivez l’activation et la configuration des paramètres de certificat SSL/TLS dans le navigateur.

Pour configurer les paramètres d’installation initiale via l’interface CLI :

  1. Dans l’écran d’installation, une fois les détails réseau par défaut affichés, appuyez sur ENTRÉE pour continuer.

  2. À l’invite D4Iot login, connectez-vous avec les informations d’identification par défaut suivantes :

    • Nom d’utilisateur : admin
    • Mot de passe : admin

    Lorsque vous entrez votre mot de passe, les caractères de mot de passe ne s’affichent pas sur l’écran. Veillez à bien les entrer.

  3. À l'invite, entrez un nouveau mot de passe pour l'utilisateur administrateur. Votre mot de passe doit contenir des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles.

    Lorsque vous êtes invité à confirmer votre mot de passe, entrez à nouveau votre nouveau mot de passe. Pour plus d’informations, consultez Utilisateurs privilégiés par défaut.

    <est-ce que cela se produit immédiatement? ambigu - >l’Package configurationassistant de configuration Linux s’ouvre. Dans cet assistant, utilisez sur les flèches haut ou bas pour naviguer, et sur la barre ESPACE pour sélectionner une option. Appuyez sur ENTRÉE pour passer à l'écran suivant.

  4. Dans l’écran Select monitor interfaces de l’assistant, sélectionnez l’une des interfaces que vous souhaitez surveiller avec ce capteur.

    Le système sélectionne la première interface qu’il trouve comme interface de gestion, et nous vous recommandons de conserver la sélection par défaut. Si vous décidez d’utiliser un autre port comme interface de gestion, la modification n’est implémentée qu’après le redémarrage du capteur. Dans ce cas, assurez-vous que le capteur est connecté de manière appropriée.

    Par exemple :

    Capture de l’écran de sélection des interfaces surveillées.

    Important

    Veillez à sélectionner uniquement les interfaces connectées.

    Si vous sélectionnez des interfaces activées mais non connectées, le capteur affiche une notification d’intégrité Aucun trafic surveillé dans le Portail Azure. Si vous connectez davantage de sources de trafic après l’installation et que vous souhaitez les surveiller avec Defender pour IoT, vous pouvez les ajouter via l’interface CLI.

  5. Dans l’écranSelect management interface, sélectionnez l’interface que vous souhaitez utiliser pour vous connecter au Portail Azure ou à une console de gestion locale.

    Par exemple :

    Capture de l’écran de sélection de l’interface de gestion.

  6. Dans l’écran Enter sensor IP address, entrez l’adresse IP que vous souhaitez utiliser pour ce capteur. Utilisez cette adresse IP pour vous connecter au capteur via l’interface CLI ou le navigateur. Par exemple :

    Capture de l’écran de la saisie de l’adresse IP du capteur.

  7. Dans l’écran Enter path to the mounted backups folder, entrez le chemin d’accès aux sauvegardes montées du capteur. Nous vous recommandons d’utiliser le chemin d’accès par défaut de /opt/sensor/persist/backups. Par exemple :

    Capture d’écran de la configuration du dossier des sauvegardes montées.

  8. Dans l’écran Enter Subnet Mask, entrez l’adresse IP du masque de sous-réseau du capteur. Par exemple :

    Capture d’écran de l’écran Entrer un masque de sous-réseau.

  9. Dans l’écran Enter Gateway, entrez l’adresse IP de la passerelle par défaut du capteur. Par exemple :

    Capture d’écran de l’écran Entrer une passerelle.

  10. Dans l’écran Enter DNS server, entrez l’adresse IP du serveur DNS du capteur. Par exemple :

    Capture d’écran de l’écran Entrer un serveur DNS.

  11. Dans l’écran Enter hostname, entrez un nom que vous souhaitez utiliser comme nom d’hôte du capteur. Veillez à utiliser le même nom d’hôte que celui défini dans le serveur DNS. Par exemple :

    Capture d’écran de l’écran Entrer un nom d'hôte.

  12. Dans l’écran Run this sensor as a proxy server (Preview), sélectionnez <Yes> uniquement si vous souhaitez configurer un proxy, puis entrez les informations d’identification du proxy lorsque vous y êtes invité. Pour plus d’informations, consultez l’article Configurer les paramètres de proxy sur un capteur OT.

    La configuration par défaut est sans proxy.

  13. Le processus de configuration commence à s’exécuter, redémarre, puis vous invite à vous reconnecter. Par exemple :

    Capture d’écran de l’invite de connexion finale à la fin de la configuration CLI initiale.

À ce stade, ouvrez un navigateur à l’adresse IP que vous avez définie pour votre capteur et poursuivez la configuration dans le navigateur. Pour plus d’informations, consultez Activer votre capteur OT.

Notes

Pendant l’installation initiale, les options pour les ports de surveillance ERSPAN ne sont disponibles que dans la procédure basée sur navigateur.

Si vous définissez les détails de votre réseau via l’interface CLI et que vous souhaitez configurer des ports de surveillance ERSPAN, faites-le par la suite via la page Paramètres > Connexions de l’interface du capteur. Pour plus d’informations, consultez Mettre à jour les interfaces de supervision d’un capteur (configurer ERSPAN).

Étapes suivantes

Valider l’installation d’un logiciel de capteur OT

Configurer les paramètres de proxy sur un capteur OT