Configurer et activer votre capteur OT
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT. Il décrit comment configurer les paramètres d’installation initiale et activer votre capteur OT.
Plusieurs étapes d’installation initiale peuvent être effectuées dans le navigateur ou via l’interface CLI.
- Utilisez le navigateur si vous pouvez connecter des câbles physiques de votre commutateur à votre capteur pour identifier correctement vos interfaces. Veillez à reconfigurer votre carte réseau pour qu’elle corresponde aux paramètres par défaut du capteur.
- Utilisez l’interface CLI si vous connaissez les détails de votre réseau sans avoir à connecter de câbles physiques. Utilisez l’interface CLI si vous ne pouvez vous connecter au capteur que via iLo/iDrac
La configuration de votre installation via l’interface CLI vous oblige toujours à effectuer les dernières étapes dans le navigateur.
Prérequis
Pour suivre les procédures décrites dans cet article, vous devez :
Un capteur OT intégré à Defender pour IoT dans le Portail Azure.
Logiciel de capteur OT installé sur votre appliance. Vérifiez que vous avez installé le logiciel vous-même ou acheté un appliance préconfiguré.
Le fichier d’activation du capteur, qui a été téléchargé après l’intégration de votre capteur. Vous avez besoin d’un fichier d’activation unique pour chaque capteur OT que vous déployez.
Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.
Notes
Les fichiers d’activation expirent 14 jours après leur création. Si vous avez intégré votre capteur, mais que vous n’avez pas téléchargé le fichier d’activation avant son expiration, téléchargez un nouveau fichier d’activation.
Un certificat SSL/TLS. Nous vous recommandons d’utiliser un certificat signé par l’autorité de certification, et non un certificat auto-signé. Pour plus d’informations, consultez Créer des certificats SSL/TLS pour des appliances OT.
Accès à l’Appliance physique ou virtuel où vous installez votre capteur. Pour plus d’informations, consultez De quelles appliances ai-je besoin ?
Cette étape est effectuée par vos équipes de déploiement.
Configurer l’installation via le navigateur
La configuration du capteur via le navigateur comprend les étapes suivantes :
- Connexion à la console du capteur et modification du mot de passe de l'utilisateur administrateur
- Définition des détails réseau pour votre capteur
- Définition des interfaces que vous souhaitez surveiller
- Activation de votre capteur
- Configuration des paramètres de certificat SSL/TLS
Connectez-vous à la console du capteur et modifiez le mot de passe par défaut
Cette procédure décrit comment se connecter à la console du capteur OT pour la première fois. Vous êtes invité à modifier le mot de passe par défaut de l'utilisateur administrateur.
Pour vous connecter à votre capteur :
Dans un navigateur, accédez à l’adresse IP
192.168.0.101
, qui est l’adresse IP par défaut fournie pour votre capteur à la fin de l’installation.La page de connexion initiale s’affiche. Par exemple :
Entrez les informations d’identification suivantes, puis sélectionnez Connexion :
- Nom d’utilisateur :
admin
- Mot de passe :
admin
Vous êtes invité à définir un nouveau mot de passe pour l'utilisateur administrateur.
- Nom d’utilisateur :
Dans le champ Nouveau mot de passe, entrez votre nouveau mot de passe. Votre mot de passe doit contenir des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles.
Dans le champ Confirmer le nouveau mot de passe, entrez à nouveau votre nouveau mot de passe, puis sélectionnez Prise en main.
Pour plus d’informations, consultez Utilisateurs privilégiés par défaut.
La page Defender pour IoT | Vue d’ensemble s’ouvre sur l’onglet Interface de gestion.
Définir les détails de la mise en réseau des capteurs
Sous l’onglet Interface de gestion, utilisez les champs suivants pour définir les détails réseau de votre nouveau capteur :
Lorsque vous avez terminé, sélectionnez Suivant : configurations d’interface pour continuer.
Définir les interfaces que vous souhaitez surveiller
L’onglet Configurations d’interface affiche toutes les interfaces détectées par le capteur par défaut. Utilisez cet onglet pour activer ou désactiver la surveillance par interface, ou définir des paramètres spécifiques pour chaque interface.
Conseil
Nous vous recommandons d’optimiser les performances de votre capteur en configurant vos paramètres pour surveiller uniquement les interfaces qui sont activement utilisées.
Sous l’onglet Configurations d’interface, procédez comme suit pour configurer les paramètres de vos interfaces surveillées :
Sélectionnez le bouton bascule Activer/Désactiver pour toutes les interfaces que le capteur doit surveiller. Vous devez sélectionner au moins un interface pour continuer.
Si vous ne savez pas quelle interface utiliser, sélectionnez le bouton Clignotement de la LED de l'interface physique pour que le port sélectionné clignote sur votre ordinateur. Sélectionnez l’une des interfaces que vous avez connectées à votre commutateur.
(Facultatif) Pour chaque interface à surveiller, sélectionnez le bouton Paramètres avancés pour modifier l’un des paramètres suivants :
Nom Description Mode Sélectionnez l’un des suivants :
- Trafic SPAN (pas d’encapsulation) pour utiliser la mise en miroir de ports SPAN par défaut.
- ERSPAN si vous utilisez la mise en miroir ERSPAN.
Pour plus d'informations, consultez Choisir une méthode de mise en miroir du trafic pour les capteurs OT.Description Entrez une description facultative pour l’interface. Vous le verrez plus loin dans la page Paramètres de système> Configurations de l’interface du capteur, et ces descriptions peuvent être utiles pour comprendre l’objectif de chaque interface. Négociation automatique Concerne uniquement les machines physiques. Utilisez cette option pour déterminer les types de méthodes de communication utilisés ou si les méthodes de communication sont définies automatiquement entre les composants.
Important : nous vous recommandons de modifier ce paramètre uniquement sur les conseils de votre équipe de mise en réseau.Cliquez sur Enregistrer pour enregistrer vos modifications.
Sélectionnez Suivant : redémarrer > pour continuer, puis Démarrer le redémarrage pour redémarrer la machine de votre capteur. Une fois le capteur redéployé, vous êtes automatiquement redirigé vers l’adresse IP que vous avez définie précédemment en tant qu’adresse IP du capteur.
Sélectionnez Annuler pour attendre le redémarrage.
Activation du capteur OT
Cette procédure décrit comment activer votre nouveau capteur OT.
Si vous avez configuré les paramètres initiaux via l’interface CLI jusqu’à présent, vous allez démarrer la configuration basée sur le navigateur à cette étape. Après le redémarrage du capteur, vous êtes redirigé vers la même page Defender pour IoT | Vue d’ensemble, sous l’onglet Activation.
Procédure d’activation du capteur :
- Sous l’onglet Activation, sélectionnez Charger pour charger le fichier d’activation du capteur téléchargé depuis le Portail Azure.
- Sélectionnez l’option des conditions générales, puis sélectionnez Activer.
- Sélectionnez Suivant : certificats.
Définir les paramètres de certificat SSL/TLS
Utilisez l’onglet Certificats pour déployer un certificat SSL/TLS sur votre capteur OT. Nous vous recommandons d’utiliser un certificat signé par l’autorité de certification pour tous les environnements de production.
Pour définir les paramètres de certificat SSL/TLS :
Dans l’onglet Certificats, sélectionnez Importer un certificat d’autorité de certification approuvé (recommandé) pour déployer un certificat signé par l’autorité de certification.
Entrez le nom et la phrase secrète du certificat, puis sélectionnez Télécharger pour télécharger votre fichier de clé privée, votre fichier de certificat et un fichier de chaîne de certificat facultatif.
Vous devrez peut-être actualiser la page après le chargement de vos fichiers. Pour plus d’informations, consultez Résoudre les erreurs de chargement de certificat.
Conseil
Si vous travaillez sur un environnement de test, vous pouvez également utiliser le certificat auto-signé généré lors de l’installation. Si vous choisissez d’utiliser un certificat auto-signé, veillez à sélectionner l’option Confirmer concernant les recommandations.
Pour plus d’informations, consultez Gérer les certificats SSL/TLS.
Dans la zone Validation du certificat de la console de gestion locale, sélectionnez Obligatoire pour valider le certificat d’une console de gestion locale par rapport à une liste de révocation de certificats (CRL), comme configuré dans votre certificat.
Pour plus d’informations, consultez Exigences de certificat SSL/TLS pour les ressources locales et Créer des certificats SSL/TLS pour des appliances OT.
Sélectionnez Terminer pour terminer l’installation initiale et ouvrir la console de votre capteur.
Configurer l’installation via l’interface CLI
Utilisez cette procédure pour configurer les paramètres d’installation initiale suivants via l’interface CLI :
- Connexion à la console du capteur et définition d'un nouveau mot de passe utilisateur administrateur
- Définition des détails réseau pour votre capteur
- Définition des interfaces que vous souhaitez surveiller
Poursuivez l’activation et la configuration des paramètres de certificat SSL/TLS dans le navigateur.
Pour configurer les paramètres d’installation initiale via l’interface CLI :
Dans l’écran d’installation, une fois les détails réseau par défaut affichés, appuyez sur ENTRÉE pour continuer.
À l’invite
D4Iot login
, connectez-vous avec les informations d’identification par défaut suivantes :- Nom d’utilisateur :
admin
- Mot de passe :
admin
Lorsque vous entrez votre mot de passe, les caractères de mot de passe ne s’affichent pas sur l’écran. Veillez à bien les entrer.
- Nom d’utilisateur :
À l'invite, entrez un nouveau mot de passe pour l'utilisateur administrateur. Votre mot de passe doit contenir des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles.
Lorsque vous êtes invité à confirmer votre mot de passe, entrez à nouveau votre nouveau mot de passe. Pour plus d’informations, consultez Utilisateurs privilégiés par défaut.
<est-ce que cela se produit immédiatement? ambigu - >l’
Package configuration
assistant de configuration Linux s’ouvre. Dans cet assistant, utilisez sur les flèches haut ou bas pour naviguer, et sur la barre ESPACE pour sélectionner une option. Appuyez sur ENTRÉE pour passer à l'écran suivant.Dans l’écran
Select monitor interfaces
de l’assistant, sélectionnez l’une des interfaces que vous souhaitez surveiller avec ce capteur.Le système sélectionne la première interface qu’il trouve comme interface de gestion, et nous vous recommandons de conserver la sélection par défaut. Si vous décidez d’utiliser un autre port comme interface de gestion, la modification n’est implémentée qu’après le redémarrage du capteur. Dans ce cas, assurez-vous que le capteur est connecté de manière appropriée.
Par exemple :
Important
Veillez à sélectionner uniquement les interfaces connectées.
Si vous sélectionnez des interfaces activées mais non connectées, le capteur affiche une notification d’intégrité Aucun trafic surveillé dans le Portail Azure. Si vous connectez davantage de sources de trafic après l’installation et que vous souhaitez les surveiller avec Defender pour IoT, vous pouvez les ajouter via l’interface CLI.
Dans l’écran
Select management interface
, sélectionnez l’interface que vous souhaitez utiliser pour vous connecter au Portail Azure ou à une console de gestion locale.Par exemple :
Dans l’écran
Enter sensor IP address
, entrez l’adresse IP que vous souhaitez utiliser pour ce capteur. Utilisez cette adresse IP pour vous connecter au capteur via l’interface CLI ou le navigateur. Par exemple :Dans l’écran
Enter path to the mounted backups folder
, entrez le chemin d’accès aux sauvegardes montées du capteur. Nous vous recommandons d’utiliser le chemin d’accès par défaut de/opt/sensor/persist/backups
. Par exemple :Dans l’écran
Enter Subnet Mask
, entrez l’adresse IP du masque de sous-réseau du capteur. Par exemple :Dans l’écran
Enter Gateway
, entrez l’adresse IP de la passerelle par défaut du capteur. Par exemple :Dans l’écran
Enter DNS server
, entrez l’adresse IP du serveur DNS du capteur. Par exemple :Dans l’écran
Enter hostname
, entrez un nom que vous souhaitez utiliser comme nom d’hôte du capteur. Veillez à utiliser le même nom d’hôte que celui défini dans le serveur DNS. Par exemple :Dans l’écran
Run this sensor as a proxy server (Preview)
, sélectionnez<Yes>
uniquement si vous souhaitez configurer un proxy, puis entrez les informations d’identification du proxy lorsque vous y êtes invité. Pour plus d’informations, consultez l’article Configurer les paramètres de proxy sur un capteur OT.La configuration par défaut est sans proxy.
Le processus de configuration commence à s’exécuter, redémarre, puis vous invite à vous reconnecter. Par exemple :
À ce stade, ouvrez un navigateur à l’adresse IP que vous avez définie pour votre capteur et poursuivez la configuration dans le navigateur. Pour plus d’informations, consultez Activer votre capteur OT.
Notes
Pendant l’installation initiale, les options pour les ports de surveillance ERSPAN ne sont disponibles que dans la procédure basée sur navigateur.
Si vous définissez les détails de votre réseau via l’interface CLI et que vous souhaitez configurer des ports de surveillance ERSPAN, faites-le par la suite via la page Paramètres > Connexions de l’interface du capteur. Pour plus d’informations, consultez Mettre à jour les interfaces de supervision d’un capteur (configurer ERSPAN).
Étapes suivantes
Commentaires
https://aka.ms/ContentUserFeedback.
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir:Soumettre et afficher des commentaires pour