Gérer les capteurs avec Defender pour IoT dans le portail Azure
Cet article explique comment visualiser et gérer les capteurs dans Microsoft Defender pour IoT dans le portail Azure.
Prérequis
Avant de pouvoir utiliser les procédures décrites dans cet article, vous devez intégrer des capteurs réseau à Defender pour IoT. Pour plus d'informations, consultez les pages suivantes :
- Intégrer des capteurs OT à Defender pour IoT
- Améliorer la supervision de la sécurité IoT avec un capteur réseau IoT Entreprise (préversion publique)
Afficher vos capteurs
Tous vos capteurs actuellement connectés au cloud, y compris les capteurs OT et IoT Entreprise, sont listés dans la page Sites et capteurs. Par exemple :
Les détails de chaque capteur figurent dans les colonnes suivantes :
| Nom de la colonne | Description |
|---|---|
| Nom du capteur | Affiche le nom que vous avez affecté au capteur lors de l’inscription. |
| Type de capteur | Indique si le capteur est un OT connecté localement, connecté au cloud OT ou un capteur IoT d’entreprise. |
| Zone | Affiche la zone qui contient ce capteur. |
| Nom d’abonnement | Affiche le nom de l’abonnement du compte Microsoft Azure auquel appartient ce capteur. |
| Version du capteur | Affiche la version logicielle de surveillance OT installée sur votre capteur. |
| Intégrité du capteur | Affiche un message d’intégrité du capteur. Pour plus d’informations, consultez Comprendre l’intégrité du capteur. |
| Dernière connexion (UTC) | Affiche la date de la dernière connexion du capteur. |
| Version de Threat Intelligence | Affiche la version de Threat Intelligence installée sur le capteur OT. Le nom de la version est basé sur le jour où le package a été généré par Defender pour IoT. |
| Mode Threat Intelligence | Indique si le mode de mise à jour Veille des menaces est manuel ou automatique. S’il est manuel, vous pouvez pousser les packages nouvellement publiés directement sur les capteurs en fonction des besoins. Sinon, les nouveaux packages sont automatiquement installés sur tous les capteurs OT connectés au cloud. |
| État de la mise à jour Threat Intelligence | Affiche l’état de mise à jour du package Threat Intelligence sur un capteur OT. L’état peut être Échec, En cours, Mise à jour disponible ou OK. |
Options de gestion du site à partir du portail Azure
Lors de l’intégration d’un nouveau capteur OT à Defender pour IoT, vous pouvez l’ajouter à un site nouveau ou existant. Lorsque vous travaillez avec des réseaux OT, l’organisation de vos capteurs en sites vous permet de gérer vos capteurs plus efficacement et de vous aligner sur une stratégie de Confiance Zéro sur votre réseau.
Les capteurs IoT Entreprise sont automatiquement ajoutés au même site, nommé réseau Entreprise.
Pour modifier un site à partir du portail Azure :
Sélectionnez le nom du site dans la page Sites et capteurs. Dans le volet Modifier le site qui s’ouvre à droite, modifiez l’une des valeurs suivantes :
Option Description Nom complet Entrez un nom explicite pour votre site. Propriétaire Pour les sites OT uniquement. Entrez une ou plusieurs adresses e-mail pour l’utilisateur que vous souhaitez désigner comme propriétaire des appareils sur ce site. Le propriétaire du site est hérité par tous les appareils du site, et s’affiche sur les pages d’entité d’appareil IoT et dans les détails de l’incident dans Microsoft Sentinel.
Dans Microsoft Sentinel, utilisez les playbooks AD4IoT-SendEmailtoIoTOwner et AD4IoT-CVEAutoWorkflow pour avertir automatiquement les propriétaires d’appareils des alertes ou incidents importants. Pour plus d’informations, consultez Examiner et détecter les menaces sur les appareils IoT.Balises (Facultatif) Entrez des valeurs pour les champs Clé et Valeur pour chaque nouvelle balise que vous souhaitez ajouter à votre site. Sélectionnez + Ajouter pour ajouter une nouvelle balise. Pour les sites OT uniquement : pour définir des autorisations spécifiées par site, sélectionnez Gérer le contrôle d’accès au site (préversion).
Par exemple, vous pourriez le faire dans le cadre d’une stratégie de sécurité Confiance Zéro pour ajouter un niveau de granularité à vos stratégies d’accès Azure. Les sites Defender pour IoT reflètent généralement de nombreux appareils regroupés dans un emplacement géographique spécifique, par exemple les appareils d’un immeuble de bureau à une adresse spécifique.
Pour en savoir plus, consultez Gérer le contrôle d’accès en fonction du site.
Lorsque vous avez terminé, sélectionnez Enregistrer pour enregistrer vos paramètres.
Options de gestion des capteurs dans le portail Azure
Les capteurs que vous avez intégrés à Defender pour IoT sont répertoriés sur la page Sites et capteurs de Defender pour IoT. Sélectionnez un nom de capteur spécifique pour explorer plus en détail ce capteur.
Utilisez les options de la page Sites et capteurs et d’une page de détails de capteur pour effectuer l’une des tâches suivantes. Si vous êtes sur la page Sites et capteurs, sélectionnez plusieurs capteurs pour appliquer vos actions en bloc à l’aide des options de barre d’outils. Pour des capteurs individuels, utilisez les options de barre d’outils Sites et capteurs, le menu d’options ... à droite d’une ligne de capteur ou les options d’une page de détails de capteur.
Mises à jour du capteur OT
| Tâche | Description |
|---|---|
 Mise à jour du capteur (préversion) |
Capteurs OT uniquement. Exécutez les mises à jour à distance sur les capteurs OT directement à partir du Portail Azure, ou téléchargez des packages de mise à jour à mettre à jour manuellement. Pour plus d’informations, consultez Mettre à jour le logiciel de surveillance OT Defender pour IoT. |
 Mise à jour du renseignement sur les menaces (préversion) |
Capteurs OT uniquement. Disponible pour les actions en bloc à partir de la barre d’outils Sites et capteurs, pour des capteurs individuels à partir du menu d’options ... ou à partir d’une page de détails de capteur. Pour plus d’informations, consultez Recherche et packages de renseignement sur les menaces. |
 Modifier les mises à jour automatiques du renseignement sur les menaces |
Capteurs OT individuels uniquement. Disponible à partir du menu d’options ... ou d’une page de détails du capteur. Sélectionnez Modifier, puis activez ou désactivez l’option Mises à jour automatiques de Threat Intelligence (préversion) si nécessaire. Sélectionnez Envoyer pour enregistrer vos modifications. |
Déploiement et accès des capteurs
| Tâche | Description |
|---|---|
 Récupérer un mot de passe de capteur OT |
Capteurs OT individuels uniquement. Disponible à partir du menu d’options ... ou d’une page de détails du capteur. Entrez l’identificateur de secret obtenu sur l’écran de connexion du capteur. |
| Récupérer un mot de passe de console de gestion locale | Disponible dans la barre d’outils Sites et capteurs, menu Plus d’actions. Pour plus d’informations, consultez Gestion de la console de gestion locale. |
 Télécharger un fichier d’activation |
Capteurs OT individuels uniquement. Disponible à partir du menu d’options ... ou d’une page de détails du capteur. |
| Modifier une zone de capteur |
Pour les capteurs individuels uniquement, à partir du menu d’options ... ou d’une page de détails de capteur. Sélectionnez Modifier, puis choisissez une nouvelle zone dans le menu Zone ou sélectionnez Créer une zone. Sélectionnez Envoyer pour enregistrer vos modifications. |
| Télécharger le fichier MIB SNMP | Disponible dans la barre d’outils Sites et capteurs, menu Plus d’actions. Pour plus d’informations, consultez Configurer le monitoring de l’intégrité SNMP MIB sur un capteur OT. |
| Créer une commande d’activation |
Capteurs IoT individuels et d’entreprise uniquement. Disponible à partir du menu d’options ... ou d’une page de détails du capteur. Sélectionnez Modifier, puis Créer une commande d’activation. Pour plus d’informations, consultez Installer le software capteur IoT d’entreprise. |
| Télécharger les détails du point de terminaison | Capteurs OT uniquement. Disponible dans la barre d’outils Sites et capteurs, menu Plus d’actions. Téléchargez la liste des points de terminaison qui doivent être activés en tant que points de terminaison sécurisés à partir de capteurs réseau OT. Assurez-vous que le trafic HTTPS est activé sur le port 443 vers les points de terminaison répertoriés pour que votre capteur se connecte à Azure. Les règles d’autorisation du trafic sortant sont définies une seule fois pour tous les capteurs OT intégrés au même abonnement. Pour activer cette option, sélectionnez un capteur avec une version logicielle prise en charge ou un site avec un ou plusieurs capteurs avec des versions prises en charge. |
Maintenance et résolution des problèmes des capteurs
| Tâche | Description |
|---|---|
 Paramètres du capteur (préversion) |
Capteurs OT uniquement. Définissez les paramètres de capteur sélectionnés pour un ou plusieurs capteurs réseau OT connectés au cloud. Pour plus d’informations, consultez Définir et afficher les paramètres du capteur OT à partir du Portail Azure (préversion publique). D’autres paramètres sont également disponibles directement à partir de la console de capteur OT ou de la console de gestion locale. |
| Exporter les données de capteur |
Disponible à partir de la barre d’outils Sites et capteurs uniquement, pour télécharger un fichier CSV avec des détails sur tous les capteurs répertoriés. |
 Supprimer un capteur |
Pour les capteurs individuels uniquement, à partir du menu d’options ... ou d’une page de détails de capteur. |
 Envoyez les fichiers de diagnostic au support |
Capteurs OT individuels gérés localement uniquement. Disponible à partir du menu d’options .... Pour plus d’informations, consultez Charger un journal de diagnostic pour le support. |
Récupérer les données de forensique stockées sur le capteur
Utilisez des classeurs Azure Monitor sur un capteur réseau OT pour récupérer des données d’investigation à partir du stockage de ce capteur. Les types de données d’investigation suivants sont stockés localement sur les capteurs OT, pour les appareils détectés par ce capteur :
- Données d’appareil
- Données d’alerte
- Fichiers PCAP d’alerte
- Données de chronologie des événements
- Fichiers journaux
Chaque type de données présente une période de rétention et une capacité maximale différentes. Pour plus d’informations, consultez Visualiser Microsoft Defender de données pour les données IoT avec des classeurs Azure Monitor et Conservation des données dans Microsoft Defender pour IoT.
Réactiver un capteur OT
Vous devrez peut-être réactiver un capteur OT car vous souhaitez :
Travailler en mode connecté au cloud au lieu du mode géré localement: après la réactivation, les détections de capteur existants s’affichent dans la console du capteur, et les informations d’alerte récemment détectées sont remises via Defender pour IoT sur le portail Azure. Ces informations peuvent être partagées avec d’autres services Azure, par exemple Microsoft Sentinel.
Travailler en mode géré localement au lieu du mode connecté au cloud : une fois la réactivation effectuée, les informations de détection du capteur s’affichent uniquement dans la console du capteur.
Associer le capteur à un nouveau site : réinscrivez le capteur avec les nouvelles définitions de site et utilisez le nouveau fichier d’activation pour l’activation.
Changer votre engagement de plan : si vous faites des changements dans votre plan, par exemple, si vous remplacez votre plan tarifaire d’essai par un engagement mensuel, vous devez réactiver vos capteurs pour prendre en compte les nouveaux changements.
Dans de tels scénarios, effectuez les étapes suivantes :
- Supprimez votre capteur existant.
- Intégrez à nouveau le capteur, en le réinscrivant avec les nouveaux paramètres.
- Téléchargez votre nouveau fichier d’activation.
Comprendre l’intégrité du capteur
Cette procédure décrit comment afficher les données d’intégrité du capteur à partir du portail Azure. L’intégrité des capteurs inclut des données permettant notamment de découvrir si le trafic est stable, si le capteur est surchargé, les notifications concernant les versions logicielles du capteur, etc.
Pour voir l’intégrité générale du capteur :
À partir de Defender pour IoT dans le portail Azure, sélectionnez Sites et capteurs, puis vérifiez le score d’intégrité global dans le widget au-dessus de la grille. Par exemple :
Non pris en charge signifie qu’une version logicielle qui n’est plus prise en charge est installée sur le capteur.
Non sain indique l’un des scénarios suivants :
- Le trafic du capteur vers Azure n’est pas stable
- Le capteur échoue à des tests d’intégrité ordinaires
- Aucun trafic détecté par le capteur
- La version du logiciel du capteur n’est plus prise en charge
- Une mise à niveau de capteur à distance à partir du portail Azure échoue
Pour plus d’informations, consultez notre Référence relative aux messages d’intégrité des capteurs.
Pour vérifier les problèmes de capteur spécifiques, filtrez la grille par intégrité du capteur, puis sélectionnez un ou plusieurs problèmes à vérifier. Par exemple :
Développez les sites et capteurs filtrés désormais affichés dans la grille, puis utilisez la colonne Intégrité du capteur pour en savoir plus à un niveau élevé.
Pour explorer plus en détail et comprendre les actions recommandées, sélectionnez un nom de capteur pour ouvrir la page des détails du capteur.
Par exemple :
Dans la page Vue d’ensemble des détails du capteur, développez la section Intégrité et tous les messages répertoriés ici pour en savoir plus. La colonne Recommandation sur la droite répertorie les actions recommandées pour gérer le problème d’intégrité.
Pour plus d’informations, consultez notre Référence relative aux messages d’intégrité des capteurs.
Charger un journal de diagnostic pour la prise en charge
Si vous devez ouvrir un ticket de support pour un capteur géré localement, chargez un journal de diagnostic dans le portail Azure à destination de l’équipe de support technique.
Conseil
Pour les capteurs connectés au cloud, votre équipe de support technique a automatiquement accès au journal de diagnostic lorsque vous ouvrez un ticket de support.
Pour charger un rapport de diagnostic :
Vérifiez que le rapport de diagnostic est disponible pour le chargement. Pour plus d’informations, consultez Télécharger un journal de diagnostic pour le support.
Dans Defender pour IoT dans le portail Azure, accédez à la page Sites et capteurs, puis sélectionnez le capteur géré localement lié à votre ticket de support.
Pour votre capteur sélectionné, choisissez le menu d’options ... sur la droite, puis >Envoyer les fichiers de diagnostic au support. Par exemple :
