Configurer les paramètres du capteur OT à partir du Portail Azure (préversion publique)
Après intégration un nouveau capteur réseau OT à Microsoft Defender pour IoT, vous pouvez définir plusieurs paramètres directement sur la console de capteur OT, par exemple ajouter des utilisateurs locaux.
Les paramètres du capteur OT répertoriés dans cet article sont également disponibles directement à partir du portail Azure. Utilisez le portail Azure pour appliquer ces paramètres en bloc sur plusieurs capteurs OT connectés au cloud à la fois, ou sur tous les capteurs OT connectés au cloud dans un site ou une zone spécifique. Cet article explique comment afficher et configurer les paramètres du capteur réseau OT à partir du Portail Azure.
Notes
La page Paramètres du capteur dans Defender pour IoT est en préversion. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
Prérequis
Pour définir les paramètres du capteur OT, vérifiez que vous disposez des éléments suivants :
Un abonnement Azure intégré à Defender pour IoT. Si nécessaire, inscrivez-vous pour obtenir un compte gratuit, puis utilisez le Démarrage rapide : Bien démarrer avec Defender pour IoT pour démarrer un essai gratuit.
Autorisations :
Pour afficher les paramètres que d’autres utilisateurs ont définis, connectez-vous avec un rôle Lecteur de sécurité, Administrateur de la sécurité, Contributeur ou Propriétaire pour l’abonnement.
Pour définir ou mettre à jour des paramètres, connectez-vous avec le rôle Administrateur de la sécurité, Contributeur ou Propriétaire.
Pour plus d’informations, consultez Rôles d’utilisateur et autorisations Azure pour Defender pour IoT.
Un ou plusieurs capteurs réseau OT connectés au cloud. Pour plus d’informations, consultez Intégrer des capteurs OT à Defender pour IoT.
Définir un nouveau paramètre de capteur
Définissez un nouveau paramètre chaque fois que vous souhaitez définir une configuration spécifique pour un ou plusieurs capteurs réseau OT. Par exemple, si vous souhaitez définir des limites de bande passante pour tous les capteurs OT d’un site ou d’une zone spécifique, ou les définir pour un seul capteur OT à un emplacement spécifique de votre réseau.
Pour définir un nouveau paramètre :
Dans Defender pour IoT sur le portail Azure, sélectionnez Sites et capteurs>Paramètres du capteur (préversion).
Sur la page Paramètres du capteur (préversion), sélectionnez + Ajouter, puis utilisez l’Assistant pour définir les valeurs suivantes pour votre paramètre. Sélectionnez Suivant lorsque vous avez terminé d’utiliser chaque onglet de l’Assistant pour passer à l’étape suivante.
Nom de l’onglet Description Concepts de base Sélectionnez l’abonnement dans lequel vous souhaitez appliquer votre paramètre et votre type de paramètre.
Entrez un nom explicite et une description facultative pour votre paramètre.Paramètre Définissez les valeurs du type de paramètre sélectionné.
Pour plus d’informations sur les options disponibles pour chaque type de paramètre, recherchez le type de paramètre sélectionné dans la Référence sur les paramètres du capteur ci-dessous.Appliquer Utilisez les menus déroulants Sélectionner des sites, Sélectionner des zones et Sélectionner des capteurs pour définir l’emplacement où vous souhaitez appliquer votre paramètre.
Important : la sélection d’un site ou d’une zone applique le paramètre à tous les capteurs OT connectés, y compris à tous les capteurs OT ajoutés ultérieurement au site ou à la zone.
Si vous choisissez d’appliquer vos paramètres à l’ensemble d’un site, vous n’avez pas besoin de sélectionner ses zones ou capteurs.Vérifier et créer Vérifiez les sélections effectuées pour votre paramètre.
Si votre nouveau paramètre remplace un paramètre existant, un avertissement
s’affiche pour indiquer le paramètre existant.
Lorsque vous êtes satisfait de la configuration des paramètres, sélectionnez Créer.
Votre nouveau paramètre est désormais répertorié sur la page Paramètres du capteur (préversion) sous son type de paramètre, et dans la page de détails du capteur pour tout capteur OT associé. Les paramètres du capteur sont affichés en lecture seule sur la page des détails du capteur. Par exemple :
Conseil
Vous souhaiterez peut-être configurer des exceptions à vos paramètres pour une zone ou un capteur OT spécifique. Dans ce cas, créez un paramètre supplémentaire pour l’exception.
Les paramètres se substituent mutuellement de manière hiérarchique, de sorte que si votre paramètre est appliqué à un capteur OT spécifique, il remplace tous les paramètres associés appliqués à l’ensemble de la zone ou du site. Pour créer une exception pour une zone entière, ajoutez un paramètre pour cette zone afin de remplacer tous les paramètres associés appliqués à l’ensemble du site.
Afficher et modifier les paramètres actuels du capteur OT
Pour afficher les paramètres actuels déjà définis pour votre abonnement :
Dans Defender pour IoT sur le portail Azure, sélectionnez Sites et capteurs>Paramètres du capteur (préversion)
La page Paramètres du capteur (préversion) affiche tous les paramètres déjà définis pour vos abonnements, répertoriés par type de paramètre. Développez ou réduisez chaque type pour afficher les configurations détaillées. Par exemple :
Sélectionnez un paramètre spécifique pour afficher sa configuration exacte et le site, les zones ou les capteurs individuels où le paramètre est appliqué.
Pour modifier la configuration du paramètre, sélectionnez Modifier, puis utilisez le même Assistant que celui que vous avez utilisé pour créer le paramètre afin d’effectuer les mises à jour dont vous avez besoin. Lorsque vous avez terminé, sélectionnez Appliquer pour enregistrer vos paramètres.
Supprimer un paramètre de capteur OT existant
Pour supprimer complètement un paramètre de capteur OT :
- Dans la page Paramètres du capteur (préversion), recherchez le paramètre que vous souhaitez supprimer.
- Sélectionnez le menu d’options ... dans le coin supérieur droit de la carte du paramètre, puis sélectionnez Supprimer.
Par exemple :
Modifier les paramètres des capteurs OT déconnectés
Cette procédure décrit comment modifier les paramètres du capteur OT si votre capteur OT est actuellement déconnecté d’Azure, par exemple lors d’un incident de sécurité en cours.
Par défaut, si vous configurez des paramètres à partir du portail Azure, tous les paramètres configurables à partir du portail Azure et du capteur OT sont définis en lecture seule sur le capteur OT lui-même. Par exemple, si vous configurez un réseau local virtuel à partir du portail Azure, les paramètres de bande passante, de sous-réseau et de réseau local virtuel sont toutes les définies en lecture seule et bloquées contre les modifications sur le capteur OT.
Si vous êtes dans une situation où le capteur OT est déconnecté d’Azure et que vous devez modifier l’un de ces paramètres, vous devez d’abord obtenir un accès en écriture à ces paramètres.
Pour obtenir un accès en écriture aux paramètres de capteur OT bloqués :
Dans le Portail Azure, dans la page Paramètres du capteur (préversion), recherchez le paramètre que vous souhaitez modifier et ouvrez-le pour modification. Pour plus d’informations, consultez Afficher et modifier les paramètres actuels du capteur OT ci-dessus.
Modifiez l’étendue du paramètre afin qu’il n’inclue plus le capteur OT, et toutes les modifications que vous apportez lorsque le capteur OT est déconnecté ne sont pas remplacées lorsque vous le reconnectez à Azure.
Important
Les paramètres définis sur le Portail Azure remplacent toujours les paramètres définis sur le capteur OT.
Connectez-vous à la console de capteur OT affectée, puis sélectionnez Paramètres > Configurations avancées>Azure Remote Config.
Dans la zone de code, modifiez la valeur
block_local_configde1en0, puis sélectionnez Fermer. Par exemple :
Continuez en mettant à jour le paramètre approprié directement sur le capteur réseau OT. Pour plus d’informations, consultez Gérer des capteurs individuels.
Référence sur les paramètres du capteur
Utilisez les sections suivantes pour en savoir plus sur les paramètres de capteur OT individuels disponibles dans le Portail Azure :
Active Directory
Pour configurer les paramètres Active Directory depuis le Portail Azure, définissez des valeurs des options suivantes :
| Name | Description |
|---|---|
| Nom de domaine complet du contrôleur de domaine | Le nom de domaine complet exactement tel qu’il apparaît sur votre serveur LDAP. Par exemple, entrez host1.subdomain.contoso.com. Si vous rencontrez un problème avec l’intégration à l’aide du nom de domaine complet, vérifiez votre configuration DNS. Vous pouvez également entrer l’adresse IP explicite du serveur LDAP au lieu du nom de domaine complet lors de la configuration de l’intégration. |
| Port du contrôleur de domaine | Port sur lequel votre LDAP est configuré. Par exemple, utilisez le port 636 pour les connexions LDAPS (SSL). |
| Domaine principal | Nom de domaine, par exemple subdomain.contoso.com, puis sélectionnez le type de connexion pour votre configuration LDAP. Les types de connexion pris en charge sont les suivants : LDAPS/NTLMv3 (recommandé), LDAP/NTLMv3 ou LDAP/SASL-MD5 |
| Groupes Active Directory | Sélectionnez + Ajouter pour ajouter un groupe Active Directory à chaque niveau d’autorisation listé, en fonction des besoins. Lorsque vous entrez un nom de groupe, vérifiez que vous entrez le nom du groupe exactement comme défini dans votre configuration Active Directory sur le serveur LDAP. Vous utilisez ces noms de groupe lors de l’ajout de nouveaux utilisateurs de capteur avec Active Directory. Les niveaux d’autorisation pris en charge incluent Lecture seule, Analyste de sécurité, Administrateur et Domaines approuvés. |
Important
Lorsque vous entrez des paramètres LDAP :
- Définissez les valeurs exactement telles qu’elles apparaissent dans Active Directory, à l’exception du cas.
- Utilisez des caractères en minuscules uniquement, même si la configuration dans Active Directory utilise des majuscules.
- Les protocoles LDAP et LDAPS ne peuvent pas être configurés pour le même domaine. Toutefois, vous pouvez configurer chacun dans des domaines différents, puis les utiliser en même temps.
Pour ajouter un autre serveur Active Directory, sélectionnez + Ajouter un serveur et définissez ces valeurs de serveur.
Limite de bande passante
Pour une limite de bande passante, définissez la bande passante maximale que le capteur doit utiliser pour la communication sortante du capteur vers le cloud, en Kbits/s ou Mbits/s.
Valeur par défaut : 1 500 Kbits/s
Minimum requis pour une connexion stable à Azure : 350 Kbits/s. À ce paramètre minimal, les connexions à la console de capteur peuvent être plus lentes que d’habitude.
NTP
Pour configurer un serveur NTP pour votre capteur à partir du Portail Azure, définissez une adresse IP/un domaine de serveur NTP IPv4 valide à l’aide du port 123.
Sous-réseaux locaux
Pour concentrer l’inventaire des appareils Azure sur les appareils qui se trouvent dans votre étendue OT, vous devez modifier manuellement la liste de sous-réseaux pour inclure uniquement les sous-réseaux surveillés localement dans votre étendue OT.
Les sous-réseaux de la liste des sous-réseaux sont automatiquement configurés comme sous-réseaux ICS, ce qui signifie que Defender pour IoT reconnaît ces sous-réseaux comme des réseaux OT. Vous pouvez modifier ce paramètre lorsque vous configurez les sous-réseaux.
Une fois les sous-réseaux configurés, l’emplacement réseau des appareils est affiché dans la colonne Emplacement réseau (préversion publique) dans l’inventaire des appareils Azure. Tous les appareils associés aux sous-réseaux répertoriés sont affichés en tant que local, tandis que les appareils associés aux sous-réseaux détectés non inclus dans la liste sont affichés en tant que routés.
Configurer les sous-réseaux dans le Portail Microsoft Azure
Dans le portail Azure, accédez à Sites et capteurs>Paramètres de capteurs.
Sous les sous-réseaux locaux, passez en revue les sous-réseaux configurés. Pour établir un inventaire des appareils et voir les appareils locaux dans l’inventaire, supprimez tous les sous-réseaux qui ne figurent pas dans votre étendue IoT/OT en sélectionnant le menu d’options (...) sur tout sous-réseau à supprimer.
Pour modifier des paramètres supplémentaires, sélectionnez un sous-réseau, puis sélectionnez Modifier pour les options suivantes :
Sélectionnez Importer des sous-réseaux pour importer une liste séparée par des virgules d’adresses IP et de masques de sous-réseau. Sélectionnez Exporter les sous-réseaux pour exporter une liste de données actuellement configurées ou Effacer tout pour commencer de zéro.
Entrez des valeurs dans les champs Adresse IP, Masque et Nom pour ajouter manuellement les détails du sous-réseau. Sélectionnez Ajouter un sous-réseau pour ajouter des sous-réseaux supplémentaires en fonction des besoins.
Le sous-réseau ICS est activé par défaut, ce qui signifie que Defender pour IoT reconnaît le sous-réseau en tant que réseau OT. Pour marquer un sous-réseau comme non-ICS, désactivez le sous-réseau ICS.
Nom du réseau local virtuel
Pour définir un VLAN pour votre capteur OT, entrez l’ID de VLAN et un nom explicite.
Sélectionnez Ajouter un réseau local virtuel pour ajouter d’autres réseaux locaux virtuels en fonction des besoins.