Gérer les console de gestion locales (héritées)

Important

Defender pour IoT recommande désormais d’utiliser les services cloud Microsoft ou l’infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service le console de gestion local le 1er janvier 2025.

Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou air-gapped.

Cet article décrit les activités de console de gestion locale supplémentaires que vous pouvez effectuer en dehors d’un processus de déploiement plus important.

Attention

Seuls les paramètres de configuration documentés sur le capteur réseau OT et la console de gestion locale sont pris en charge pour la configuration du client. Ne modifiez pas les paramètres de configuration non documentés ni les propriétés système, car ces modifications peuvent entraîner un comportement inattendu et des défaillances système.

La suppression de packages de votre capteur sans l’approbation de Microsoft peut entraîner des résultats inattendus. Tous les packages installés sur le capteur sont requis pour une fonctionnalité correcte du capteur.

Prérequis

Avant d’effectuer les procédures décrites dans cet article, vérifiez que vous avez :

• Une console de gestion locale installée et activée.

• Accès à la console de gestion locale en tant qu’utilisateur administrateur. Les procédures sélectionnées et l’accès CLI nécessitent également un utilisateur privilégié. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

• Un certificat SSL/TLS préparé si vous devez mettre à jour le certificat de votre capteur.

• Si vous ajoutez une carte réseau secondaire, vous devez accéder à l’interface CLI en tant qu’utilisateur privilégié.

Télécharger le logiciel de la console de gestion locale

Vous devrez peut-être télécharger des logiciels pour votre console de gestion locale si vous installez le logiciel Defender pour IoT sur vos propres appliances ou si vous mettez à jour les versions logicielles.

Dans Defender pour IoT dans le portail Azure, utilisez l’une des options suivantes :

• Pour une nouvelle installation ou une mise à jour autonome, sélectionnez Prise en main>de la console de gestion locale.

  • Pour une nouvelle installation, sélectionnez une version dans la zone Acheter un appareil et installer un logiciel , puis sélectionnez Télécharger.
  • Pour une mise à jour, sélectionnez votre scénario de mise à jour dans la zone Console de gestion locale , puis sélectionnez Télécharger.

• Si vous mettez à jour votre console de gestion locale avec des capteurs OT connectés, utilisez les options du menu >Mise à jour du capteur (préversion) de la page Sites et capteurs.

Ajouter une carte réseau secondaire après l’installation

Améliorez la sécurité de votre console de gestion locale en ajoutant une carte réseau secondaire dédiée aux capteurs attachés dans une plage d’adresses IP. Lorsque vous utilisez une carte réseau secondaire, la première carte est dédiée aux utilisateurs finaux, et la carte secondaire prend en charge la configuration d’une passerelle pour les réseaux routés.

Cette procédure explique comment ajouter une carte réseau secondaire après avoir installé votre console de gestion locale.

Pour ajouter une carte réseau secondaire :

1. Connectez-vous à votre console de gestion locale via SSH pour accéder à l’interface CLI et exécutez :

   sudo cyberx-management-network-reconfigure
   

2. Entrez les réponses suivantes aux questions ci-dessous :

   

   Paramètres	Réponse à entrer
   Adresse IP du réseau de gestion	N
   Masque de sous-réseau	N
   DNS	N
   Adresse IP par défaut de la passerelle	N
   Interface de surveillance du capteur facultatif. S’applique lorsque les capteurs se trouvent sur un segment de réseau différent.	Y et sélectionnez une valeur possible
   Une adresse IP pour l’interface de surveillance du capteur	Y, et entrez une adresse IP accessible par les capteurs
   Un masque de sous-réseau pour l’interface de surveillance du capteur	Y, et entrez une adresse IP accessible par les capteurs
   Nom d’hôte	Entrer le nom d'hôte

3. Vérifiez tous les choix, puis entrez Y pour accepter les modifications. Le système redémarre.

Charger un nouveau fichier d’activation

Vous avez activé votre console de gestion locale dans le cadre de votre déploiement.

Vous devrez peut-être réactiver votre console de gestion locale dans le cadre de procédures de maintenance, par exemple si le nombre total d’appareils supervisés dépasse le nombre d’appareils compris dans votre licence.

Pour charger un nouveau fichier d’activation dans votre console de gestion locale :

1. Dans Defender pour IoT dans le Portail Azure, sélectionnez Plans et tarification.

2. Choisissez votre plan et sélectionnez ensuite Télécharger le fichier d’activation de la console de gestion locale.

   Enregistrez votre fichier téléchargé dans un emplacement accessible à partir de la console de gestion locale.

   Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

3. Connectez-vous à votre console de gestion locale et sélectionnez Paramètres système>Activation.

4. Dans la boîte de dialogue Activation, sélectionnez CHOISIR UN FICHIER, puis le fichier d’activation téléchargé précédemment.

5. Sélectionnez Fermer pour enregistrer vos modifications.

Gérer les certificats SSL/TLS

Si vous travaillez avec un environnement de production, vous avez déployé un certificat SSL/TLS signé par une autorité de certification dans le cadre de votre déploiement de console de gestion locale. Nous vous recommandons d’utiliser des certificats auto-signés uniquement à des fins de test.

Les procédures suivantes décrivent comment déployer des certificats SSL/TLS mis à jour, par exemple si le certificat a expiré.

Déployer un certificat signé par une autorité de certification

Pour déployer un certificat signé par une autorité de certification :

1. Connectez-vous à votre console de gestion locale et sélectionnez Paramètres système>Certificats SSL/TLS.

2. Dans la boîte de dialogue Certificats SSL/TLS, sélectionnez + Ajouter un certificat et entrez les valeurs suivantes :

   Paramètre	Description
   Nom de certificat	Entrez le nom de votre certificat.
   Phrase secrète - Facultatif	Entrez une phrase secrète.
   Clé privée (fichier de clé)	Charger une clé privée (fichier de clé).
   Certificat (fichier CRT)	Charger un certificat (fichier CRT).
   Chaîne de certificats (fichier PEM) - Facultatif	Charger une chaîne de certificats (fichier PEM).

   Par exemple :

   

   Si le chargement échoue, contactez votre administrateur de sécurité ou informatique. Pour plus d’informations, consultez Exigences de certificat SSL/TLS pour les ressources locales et Créer des certificats SSL/TLS pour des appliances OT.

3. Sélectionnez l’option Activer la validation des certificats pour activer la validation à l’échelle du système pour les certificats SSL/TLS avec les listes d’autorité de certification et de révocation de certificats.

   Si cette option est activée et que la validation échoue, la communication entre les composants concernés est interrompue et une erreur de validation apparaît sur le capteur. Pour plus d’informations, consultez Configuration requise pour les fichiers CRT.

4. Cliquez sur Enregistrer pour enregistrer vos modifications.

Créer et déployer un certificat auto-signé

Chaque console de gestion locale est installée avec un certificat auto-signé que nous vous recommandons d’utiliser uniquement à des fins de test. Dans les environnements de production, nous vous recommandons de toujours utiliser un certificat signé par une autorité de certification.

Avec les certificats auto-signés, l’environnement est moins sécurisé, car le propriétaire du certificat ne peut pas être validé et la sécurité de votre système ne peut pas être maintenue.

Pour créer un certificat auto-signé, téléchargez le fichier de certificat à partir de votre console de gestion locale, puis utilisez une plateforme de gestion des certificats pour créer les fichiers de certificat que vous devrez charger dans la console de gestion locale.

Pour créer un certificat auto-signé :

Accédez à l’adresse IP de la console de gestion locale dans un navigateur, puis :

1. Sélectionnez l’alerte Non sécurisé dans la barre d’adresse de votre navigateur web, puis sélectionnez l’icône > en regard du message d’avertissement « Votre connexion à ce site n’est pas sécurisée ». Par exemple :

   

2. Sélectionnez l’icône Afficher le certificat pour afficher le certificat de sécurité de ce site web.

3. Dans le volet Visionneuse de certificats, sélectionnez l’onglet Détails, puis sélectionnez Exporter pour entrer un nom pour votre fichier exporté et l’enregistrer sur votre ordinateur local.

4. Utilisez une plateforme de gestion des certificats pour créer les types de fichiers de certificat SSL/TLS suivants :

   Type de fichier	Description
   .crt : fichier de conteneur de certificat	Fichier .pem ou .der, avec une autre extension pour une prise en charge dans l’Explorateur Windows.
   .key : fichier de clé privée	Fichier de clé est au même format qu’un fichier .pem, avec une extension différente pour une prise en charge dans l’Explorateur Windows.
   .pem : fichier de conteneur de certificat (facultatif)	facultatif. Fichier texte avec un encodage Base64 du texte du certificat, ainsi qu’un en-tête et un pied de page en texte brut pour marquer le début et la fin du certificat.

   Exemple :

   1. Ouvrez le fichier de certificat téléchargé, puis sélectionnez l’onglet Détails >Copier dans le fichier pour exécuter l’Assistant Exportation de certificat.

   2. Dans l’Assistant Exportation de certificat, sélectionnez Suivant>X.509 binaire encodé DER (.CER)>, puis sélectionnez à nouveau Suivant.

   3. Dans l’écran Fichier à exporter, sélectionnez Parcourir, choisissez un emplacement dans lequel stocker le certificat, puis sélectionnez Suivant.

   4. Sélectionnez Terminer pour exporter le certificat.

Notes

Vous devrez peut-être convertir les types de fichiers existants en types de fichiers compatibles.

Lorsque vous avez terminé, utilisez les procédures suivantes pour valider vos fichiers de certificat :

• Vérifier l’accès au serveur de liste de révocation de certificats
• Importer le certificat SSL/TLS dans un magasin de confiance
• Tester vos certificats SSL/TLS

Pour déployer un certificat auto-signé :

1. Connectez-vous à votre console de gestion locale et sélectionnez Paramètres système>Certificats SSL/TLS.

2. Dans la boîte de dialogue Certificats SSL/TLS, laissez l’option par défaut Certificat auto-signé généré localement (non sécurisé, non recommandé) sélectionnée.

3. Sélectionnez JE CONFIRME pour accuser réception de l’avertissement.

4. Sélectionnez l’option Activer la validation de certificat pour valider le certificat par rapport à un serveur de liste de révocation de certificats. Le certificat est vérifié une fois pendant le processus d’importation.

   Si cette option est activée et que la validation échoue, la communication entre les composants concernés est interrompue et une erreur de validation apparaît sur le capteur. Pour plus d’informations, consultez Configuration requise pour les fichiers CRT.

5. Sélectionnez Enregistrer pour enregistrer les paramètres de votre certificat.

Résoudre les erreurs liées au chargement d’un certificat

Vous ne pourrez pas charger des certificats sur vos capteurs OT ou vos consoles de gestion locales si les certificats ne sont pas créés correctement ou s’ils ne sont pas valides. Utilisez le tableau suivant pour comprendre comment effectuer une action si le chargement de votre certificat échoue et qu’un message d’erreur s’affiche :

Erreur de validation du certificat	Recommandation
La phrase secrète ne correspond pas à la clé	Vérifiez que vous avez la phrase secrète correcte. Si le problème persiste, essayez de recréer le certificat à l’aide de la phrase secrète correcte. Pour plus d’informations, consultez Caractères pris en charge pour les clés et les phrases secrètes.
Impossible de valider la chaîne de confiance. Le certificat et l’autorité de certification racine fournis ne correspondent pas.	Vérifiez que le fichier .pem est en corrélation avec le fichier .crt. Si le problème persiste, essayez de recréer le certificat à l’aide de la chaîne d’approbation correcte, comme défini par le fichier .pem.
Ce certificat SSL a expiré et n’est pas considéré comme valide.	Créez un certificat avec des dates valides.
Ce certificat a été révoqué par la liste de révocation de certificats et ne peut pas être approuvé pour une connexion sécurisée	Créez un certificat non révoqué.
L’emplacement de la liste de révocation de certificats n’est pas accessible. Vérifiez que l’URL est accessible à partir de cette appliance.	Vérifiez que votre configuration réseau permet au capteur ou à la console de gestion locale d’atteindre le serveur de liste de révocation de certificats (CRL) défini dans le certificat. Pour plus d’informations, consultez Vérifier l’accès au serveur CRL.
Échec de la validation du certificat	Ceci indique une erreur générale dans l’appliance. Contactez le support Microsoft.

Modifier le nom de la console de gestion locale

Le nom par défaut de votre console de gestion locale est Console de gestion et est affiché dans l’interface graphique utilisateur de console de gestion locale et les journaux de résolution des problèmes.

Pour modifier le nom de votre console de gestion locale :

1. Connectez-vous à votre console de gestion locale et sélectionnez le nom en bas à gauche, juste au-dessus du numéro de version.

2. Dans la boîte de dialogue Modifier la configuration de la console de gestion, entrez votre nouveau nom. Les noms doivent comporter 25 caractères au maximum. Par exemple :

   

3. Cliquez sur Enregistrer pour enregistrer vos modifications.

Récupérer le mot de passe d’un utilisateur privilégié

Si vous n’avez plus accès à votre console de gestion locale en tant qu’utilisateur privilégié, récupérez l’accès à partir du portail Azure.

Pour récupérer l’accès utilisateur privilégié :

1. Accédez à la page de connexion de votre console de gestion locale, puis sélectionnez Récupération du mot de passe.

2. Sélectionnez l’utilisateur pour lequel vous souhaitez récupérer l’accès, soit l’utilisateur Support ou CyberX.

3. Copiez l’identificateur affiché dans la boîte de dialogue Récupération de mot de passe vers un emplacement sécurisé.

4. Accédez à Defender pour IoT dans le portail Azure et assurez-vous que vous affichez l’abonnement utilisé pour intégrer les capteurs OT actuellement connectés à la console de gestion locale.

5. Sélectionnez Sites et capteurs>Plus d’actions>Récupérer un mot de passe de console de gestion locale.

6. Entrez l’identificateur de secret que vous avez copié précédemment à partir de votre console de gestion locale, puis sélectionnez Récupérer.

   Un fichier password_recovery.zip est téléchargé à partir de votre navigateur.

   Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

7. Dans la boîte de dialogue Récupération du mot de passe de la console de gestion locale, sélectionnez Charger, puis sélectionnez le fichier password_recovery.zip que vous avez téléchargé.

Vos nouvelles informations d’identification s’affichent.

Modifier le nom d’hôte

Le nom d’hôte de la console de gestion locale doit correspondre au nom d’hôte configuré dans le serveur DNS de l’organisation.

Pour modifier le nom d’hôte enregistré sur la console de gestion locale :

1. Connectez-vous à la console de gestion locale et sélectionnez Paramètres système.

2. Dans la zone Mise en réseau de la console de gestion, sélectionnez Réseau.

3. Entrez le nouveau nom d’hôte, puis sélectionnez ENREGISTRER pour enregistrer vos modifications.

Définir des noms de VLAN

Les noms de VLAN ne sont pas synchronisés entre un capteur OT et la console de gestion locale. Si vous avez défini des noms de VLAN sur votre capteur OT, nous vous recommandons de définir des noms VLAN identiques sur la console de gestion locale.

Pour définir des noms de VLAN :

1. Connectez-vous à la console de gestion locale et sélectionnez Paramètres système.

2. Dans la zone Mise en réseau de la console de gestion, sélectionnez VLAN.

3. Dans la boîte de dialogue Modifier la configuration VLAN, sélectionnez Ajouter un VLAN, puis entrez votre ID et votre nom de VLAN, un par un.

4. Cliquez sur ENREGISTRER pour enregistrer vos modifications.

Configurer les paramètres du serveur de messagerie SMTP

Définissez les paramètres du serveur de messagerie SMTP sur votre console de gestion locale afin de configurer la console de gestion locale pour envoyer des données à d’autres serveurs et services partenaires.

Par exemple, vous aurez besoin d’un serveur de messagerie SMTP configuré pour configurer le transfert de courrier et les règles d’alerte de transfert.

Prérequis :

Vérifiez que vous pouvez accéder au serveur SMTP à partir de la console de gestion locale.

Pour configurer un serveur SMTP sur votre console de gestion locale :

1. Connectez-vous à votre console de gestion locale en tant qu’utilisateur privilégié via SSH/Telnet.

2. Exécutez :

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Entrez les détails du serveur SMTP suivants à l’invite :

   • mail.smtp_server
   • mail.port. Le port par défaut est 25.
   • mail.sender

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :

• Mise à jour du logiciel système OT
• Gérer les capteurs depuis la console de gestion
• Résoudre les problèmes de la console de gestion locale