Partager via


Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT

Quand vous travaillez avec des réseaux OT, les services et données Defender pour IoT sont disponibles depuis les capteurs réseau OT locaux et les consoles de gestion locales, en plus d’Azure.

Cet article fournit :

  • Description des utilisateurs privilégiés par défaut fournis avec l’installation du logiciel Defender pour IoT
  • Informations de référence sur les actions disponibles pour chaque rôle d’utilisateur local, à la fois sur les capteurs réseau OT et la console de gestion locale

Important

Defender pour IoT recommande désormais d’utiliser les services de cloud computing Microsoft ou l’infrastructure informatique existante pour une supervision centralisée et une gestion des capteurs, tout en prévoyant de mettre hors service la console de gestion locale le 1er janvier 2025.

Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou non connectés.

Utilisateurs locaux privilégiés par défaut

Par défaut, chaque capteur est installé avec un utilisateur administrateur privilégié par défaut avec un accès à des outils avancés pour la résolution des problèmes et la configuration, comme l’interface CLI.

Lors de la configuration initiale de votre capteur, connectez-vous d’abord avec l’utilisateur administrateur, créez un utilisateur initial avec un rôle d’Administrateur, puis utilisez cet utilisateur administrateur pour créer d’autres utilisateurs avec d’autres rôles.

Pour plus d’informations, consultez l’article suivant :

Utilisateurs hérités

Scénario hérité Description
Versions du capteur antérieures à 23.2.0 Dans les versions de capteur antérieures à 23.2.0, l’utilisateur administrateur par défaut est nommé support. L’utilisateur support est disponible et n’est pris en charge que sur les versions antérieures à 23.2.0.

La documentation fait référence à l’utilisateur administrateur pour qu’il corresponde à la dernière version du logiciel.
Versions de logiciels du capteur antérieures à 23.1.x Dans les versions de logiciels du capteur antérieures à 23.1.x, les utilisateurs privilégiés cyberx et cyberx_host sont également disponibles.

Dans les versions 23.1.x et ultérieures nouvellement installées, les utilisateurs cyberx et cyberx_host sont disponibles, mais pas activés par défaut.

Pour permettre à ces utilisateurs privilégiés supplémentaires, par exemple d’utiliser l’interface CLI Defender pour IoT, modifiez leurs mots de passe. Pour plus d’informations, consultez Récupérer l’accès privilégié à un capteur.
Consoles de gestion locales La console de gestion locale est installée avec un support privilégié et des utilisateurs cyberx.

Lors de la configuration initiale d’une console de gestion locale, connectez-vous d’abord avec l’utilisateur de support, créez un utilisateur initial avec un rôle d’Administrateur, puis utilisez cet utilisateur administrateur pour créer d’autres utilisateurs avec d’autres rôles.

Accès par utilisateur privilégié

Le tableau suivant décrit l’accès disponible pour chaque utilisateur privilégié, les utilisateurs hérités compris.

Nom Se connecte au Autorisations
admin Le configuration shell du capteur OT Compte d’administration puissant avec accès aux éléments suivants :
- Toutes les commandes CLI
- La possibilité de gérer les fichiers journaux
- Arrêt et démarrage des services

Cet utilisateur n’a aucun accès au système de fichiers. Dans les versions logicielles héritées, cet utilisateur s’appelle support.
support Le configuration shell de la console de gestion locale
Cet utilisateur existe également sur les versions héritées du capteur
Compte d’administration puissant avec accès aux éléments suivants :
- Toutes les commandes CLI
- La possibilité de gérer les fichiers journaux
- Arrêt et démarrage des services

Cet utilisateur n’a pas accès au système de fichiers.
cyberx terminal (root) du capteur OT ou de la console de gestion locale Sert d’utilisateur racine et dispose de privilèges illimités sur l’appliance.

Utilisé uniquement pour les tâches suivantes :
- Modification des mots de passe par défaut
- Résolution des problèmes
- Accès au système de fichiers
cyberx_host terminal (root) du système d’exploitation hôte du capteur OT Sert d’utilisateur racine et dispose de privilèges illimités sur le système d’exploitation hôte de l’appliance.

Utilisé pour les tâches suivantes :
- Configuration réseau
- Contrôle conteneur de l’application
- Accès au système de fichiers

Rôles d’utilisateur locaux

Les rôles suivants sont disponibles sur les capteurs réseau OT et les consoles de gestion locales :

Role Description
Administrateur Les utilisateurs administrateurs ont accès à tous les outils, notamment aux configurations système, à la création et à la gestion d’utilisateurs, etc.
Analyste de sécurité Les analystes de sécurité ne disposent pas d’autorisations d’accès administrateur aux configurations, mais ils peuvent effectuer des actions sur les appareils, accuser réception des alertes et utiliser des outils d’investigation.

Les analystes de sécurité peuvent accéder aux options du capteur affichées dans les menus Découvrir et Analyser, ainsi que dans les menus NAVIGATION et ANALYSE de la console de gestion locale.
Lecture seule Les utilisateurs en lecture seule effectuent des tâches telles que l’affichage des alertes et des appareils sur la carte des appareils.

Les utilisateurs dotés du rôle Lecture seule peuvent accéder aux options affichées dans les menus Découvrir et Analyser du capteur, en mode Lecture seule, ainsi que dans le menu NAVIGATION de la console de gestion locale.

Lors du premier déploiement d’un système de monitoring OT, connectez-vous à vos capteurs et à la console de gestion locale avec l’un des utilisateurs privilégiés par défaut décrits ci-dessus. Créez votre premier utilisateur Administrateur, puis utilisez-le pour créer d’autres utilisateurs et leur attribuer des rôles.

Les autorisations appliquées à chaque rôle diffèrent entre le capteur et la console de gestion locale. Pour plus d’informations, consultez les tableaux ci-dessous pour connaître les autorisations disponibles pour chaque rôle, sur le capteur et sur la console de gestion locale.

Autorisations en fonction des rôles pour les capteurs réseau OT

Autorisation Lecture seule Analyste de sécurité Admin
Afficher le tableau de bord
Contrôler les affichages de zoom sur la carte - -
Afficher les alertes
Gérer les alertes : accuser réception, apprendre et désactiver le son -
Voir les événements dans une chronologie
Autoriser des appareils, des appareils d’analyse connus et des appareils de programmation -
Fusionner et supprimer des appareils - -
Consulter les données d’investigation
Gérer les paramètres système - -
Gestion des utilisateurs - -
Changer les mots de passe - - *
Serveurs DNS pour la recherche inversée - -
Envoyer des données d’alerte aux partenaires -
Créer des commentaires sur les alertes -
Voir l’historique des modifications de programmation
Créer des règles d’alerte personnalisées -
Gérer simultanément de nombreuses notifications -
Gérer des certificats - -

Notes

Les utilisateurs Administrateur peuvent uniquement changer les mots de passe pour eux-mêmes ou pour les autres utilisateurs qui ont les rôles Analyste de sécurité et Lecture seule.

Autorisations en fonction des rôles pour la console de gestion locale

Autorisation Lecture seule Analyste de sécurité Admin
Voir et filtrer la vue de carte d’entreprise
Créer un site - -
Gérer un site (ajouter et modifier des zones) - -
Consulter l’inventaire des appareils et le filtrer
Consulter et gérer les alertes : accuser réception, apprendre et désactiver le son
Générer des rapports -
Consulter les rapports d’évaluation des risques -
Définir des exclusions d’alerte -
Afficher ou définir des groupes d’accès - -
Gérer les paramètres système - -
Gestion des utilisateurs - -
Changer les mots de passe - - *
Envoyer des données d’alerte aux partenaires - -
Gérer des certificats - -

Notes

Les utilisateurs Administrateur peuvent uniquement changer les mots de passe pour eux-mêmes ou pour les autres utilisateurs qui ont les rôles Analyste de sécurité et Lecture seule.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :