Tutoriel : Intégrer et activer un capteur OT virtuel
Ce tutoriel décrit les principes de base de la configuration d’un capteur OT Microsoft Defender pour IoT, à l’aide d’un abonnement d’essai gratuit de Microsoft Defender pour IoT et d’une machine virtuelle.
Pour un déploiement complet de bout en bout, assurez-vous de suivre les étapes de planification et de préparation de votre système, tout comme l’étalonnage complet et l’optimisation de vos paramètres. Pour plus d’informations, consultez Déployer Defender pour IoT pour la surveillance OT.
Notes
Si vous souhaitez configurer la surveillance de la sécurité pour les systèmes IoT d’entreprise, consultez Activer la sécurité IoT Entreprise dans Defender for Endpoint.
Dans ce tutoriel, vous allez apprendre à :
- Créer une machine virtuelle pour le capteur
- Intégrer un capteur virtuel
- Configurer un port SPAN virtuel
- Provisionnement pour la gestion cloud
- Télécharger le logiciel d’un capteur virtuel
- Installer le logiciel du capteur virtuel
- Activer le capteur virtuel
Prérequis
Avant de commencer, vérifiez que vous disposez des éléments suivants :
Ajout d’un abonnement Azure à Defender pour IoT en suivant Démarrage rapide : Prise en main de Defender pour IoT
Accédez au portail Azure en tant qu’Administrateur de sécurité, Contributeur ou Propriétaire. Pour plus d’informations, consultez Rôles d’utilisateur Azure pour l’analyse OT et IoT Entreprise avec Defender pour IoT.
Vérifiez que vous disposez d’un commutateur réseau qui prend en charge la surveillance du trafic via un port SPAN. Vous aurez également besoin d’au moins un appareil à surveiller, connecté au port SPAN du commutateur.
VMware ESXi 5.5 (ou version ultérieure), installé et opérationnel sur votre capteur.
Les ressources matérielles suivantes disponibles pour votre machine virtuelle :
Type de déploiement Entreprise Enterprise SMB Bande passante maximum 2,5 Go/s 800 Mo/s 160 Mo/s Nombre maximal d’appareils protégés 12 000 10 000 800 Compréhension de la supervision OT avec des appliances virtuelles.
Détail des paramètres réseau suivants à utiliser pour votre appliance de capteur :
- Adresse IP du réseau de gestion
- Masque de sous-réseau de capteur
- Nom d’hôte de l’appliance
- Adresse DNS
- Passerelle par défaut
- Interfaces d’entrée
Création d’une machine virtuelle pour le capteur
Cette procédure vous permet de créer une machine virtuelle pour votre capteur avec VMware ESXi.
Defender pour IoT prend également en charge d’autres processus, par exemple l’utilisation de capteurs Hyper-V ou physiques. Pour plus d’informations, consultez Installation de Defender pour IoT.
Procédure de création d’une machine virtuelle pour le capteur :
Veillez à ce que VMware s’exécute sur votre machine.
Connectez-vous à ESXi, choisissez le magasin de données approprié et sélectionnez Navigateur de magasin de données.
Chargez l’image, puis sélectionnez Fermer.
Accédez à Machines virtuelles, puis sélectionnez Créer/inscrire une machine virtuelle.
Sélectionnez Créer une nouvelle machine virtuelle, puis sélectionnez Suivant.
Ajoutez un nom de capteur, puis définissez les options suivantes :
Compatibilité : <version ESXi la plus récente>
Famille de système d’exploitation invité : Linux
Version du système d’exploitation invité : Ubuntu Linux (64 bits)
Sélectionnez Suivant.
Choisissez le magasin de données approprié et sélectionnez Suivant.
Modifiez les paramètres de matériel virtuel en fonction des spécifications requises pour vos besoins. Pour plus d’informations, consultez le tableau de la section Prérequis plus haut.
Votre machine virtuelle est maintenant prête pour l’installation de votre logiciel Defender pour IoT. Vous installerez le logiciel plus loin dans ce tutoriel, après avoir intégré votre capteur dans le Portail Azure, configuré la mise en miroir du trafic et provisionné la machine pour la gestion cloud.
Intégrer le capteur virtuel
Pour pouvoir utiliser votre capteur Defender pour IoT, vous devez intégrer votre nouveau capteur virtuel à votre abonnement Azure.
Pour intégrer le capteur virtuel :
Sur le Portail Azure, accédez à la page Defender pour IoT > Prise en main.
En bas à gauche, sélectionnez Configurer la sécurité OT/ICS.
Vous pouvez également, à partir de la page Sites et capteurs de Defender pour IOT, sélectionner Intégrer le capteur>OT.
Par défaut, sur la page Configurer la sécurité OT/ICS, l’étape 1 : avez-vous configuré un capteur ? et l’étape 2 : configurer le port SPAN ou TAP de l’Assistant sont réduites.
Vous installerez des logiciels et configurerez la mise en miroir du trafic ultérieurement dans le processus de déploiement, mais vos appliances doivent être prêtes et la méthode de mise en miroir du trafic doit être planifiée.
À l’Étape 3 : Inscrire ce capteur auprès de Microsoft Defender pour IoT, définissez les valeurs suivantes :
Nom du champ Description Nom de la ressource Sélectionnez le site sur lequel vous souhaitez attacher vos capteurs ou Créer un site pour en créer un.
Si vous créez un site :
1. Dans le champ Nouveau site, entrez le nom de votre site et sélectionnez le bouton de coche.
2. Dans le menu Taille du site, sélectionnez la taille de votre site. Les tailles répertoriées dans ce menu correspondent aux tailles pour lesquelles vous disposez d’une licence, en fonction des licences que vous avez achetées dans le Centre d’administration Microsoft 365.Nom d’affichage Entrez un nom explicite pour votre site à afficher dans Defender pour IoT. Balises Entrez des valeurs et la clé d’étiquette pour vous aider à identifier et localiser votre site et votre capteur dans le Portail Azure. Zone Sélectionnez la zone que vous souhaitez utiliser pour votre capteur OT, ou sélectionnez Créer une zone pour en créer une nouvelle. Pour plus d’informations, consultez Planification des sites et des zones OT.
Lorsque vous avez terminé d’utiliser tous les autres champs, sélectionnez Inscrire pour ajouter votre capteur à Defender pour IoT. Un message de réussite s’affiche. Votre fichier d’activation est automatiquement téléchargé. Le fichier d’activation, propre à votre capteur, contient des instructions sur le mode de gestion de votre capteur.
Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.
Enregistrez le fichier d’activation téléchargé dans un emplacement accessible à l’utilisateur qui se connecte à la console pour la première fois afin qu’il puisse activer le capteur.
Vous pouvez également télécharger le fichier manuellement en sélectionnant le lien approprié dans la zone Activer votre capteur. Vous allez utiliser ce fichier pour activer votre capteur, comme décrit ci-dessous.
Dans la zone Ajouter des règles d’autorisation de trafic sortant, sélectionnez le lien Télécharger les détails du point de terminaison pour télécharger une liste JSON des points de terminaison que vous devez configurer en tant que points de terminaison sécurisés à partir de votre capteur.
Enregistrez le fichier téléchargé localement. Utilisez les points de terminaison répertoriés dans le fichier téléchargé plus loin dans ce didacticiel pour vous assurer que votre nouveau capteur peut se connecter à Azure.
Conseil
Vous pouvez également accéder à la liste des points de terminaison requis dans la page Sites et capteurs. Pour plus d’informations, consultez les options de gestion des capteurs à partir du portail Azure.
En bas à gauche de la page, sélectionnez Terminer. Votre nouveau capteur apparaît maintenant sur la page Sites et capteurs Defender pour IoT.
Tant que vous n’activez pas votre capteur, son état est En attente d’activation.
Pour plus d’informations, consultez Gestion des capteurs avec Defender pour IoT sur le Portail Azure.
Configurer un port SPAN
Les commutateurs virtuels ne possèdent pas de fonctionnalités de mise en miroir. Dans le cadre de ce tutoriel toutefois, vous pouvez utiliser le mode promiscuous dans un environnement de commutateur virtuel pour afficher tout le trafic réseau qui passe par le commutateur virtuel.
Cette procédure vous permet de configurer un port SPAN à l’aide d’une solution de contournement avec VMware ESXi.
Notes
Le mode promiscuous est un mode d’exploitation et une technique de monitoring de la sécurité pour les interfaces d’une machine virtuelle qui se trouvent au même niveau de groupe de ports que le commutateur virtuel afin d’afficher le trafic réseau du commutateur. Il est désactivé par défaut, mais peut être défini au niveau du commutateur virtuel ou du groupe de ports.
Pour configurer une interface de supervision avec le mode Promiscuous sur un commutateur virtuel ESXi :
Ouvrez la page des propriétés du vSwitch et sélectionnez Ajouter un commutateur virtuel Standard.
Entrez Réseau SPAN comme étiquette réseau.
Renseignez 4096 dans le champ MTU.
Sélectionnez Sécurité et vérifiez que la stratégie Mode de proximité est définie sur Accepter le mode.
Sélectionnez Ajouter pour fermer les propriétés du vSwitch.
Mettez en surbrillance le vSwitch nouvellement créé et sélectionnez Ajouter une liaison montante.
Sélectionnez la carte réseau physique que vous allez utiliser pour le trafic SPAN, remplacez le MTU par 4096 et sélectionnez Enregistrer.
Ouvrez la page propriétés Groupe de ports et sélectionnez Ajouter un groupe de ports.
Entrez Groupe de ports SPAN comme nom, renseignez 4095 comme ID de réseau local virtuel, sélectionnez Réseau SPAN dans la liste déroulante du vSwitch et choisissez Ajouter.
Ouvrez les propriétés de la machine virtuelle Capteur OT.
Pour Carte réseau 2, sélectionnez le réseau SPAN.
Sélectionnez OK.
Connectez-vous au capteur et vérifiez que la mise en miroir fonctionne.
Valider la mise en miroir du trafic
Après configuration de la mise en miroir du trafic, essayez de recevoir un échantillon du trafic enregistré (fichier PCAP) à partir du port SPAN du commutateur (ou miroir).
Un exemple de fichier PCAP vous aidera à :
- Valider la configuration du commutateur
- Vérifier que le trafic transitant par votre commutateur est pertinent pour la supervision
- Identifier la bande passante et un nombre estimé d’appareils détectés par le commutateur
Utilisez une application d’analyseur de protocole réseau, telle que Wireshark, pour enregistrer un exemple de fichier PCAP pendant quelques minutes. Par exemple, connectez un ordinateur portable à un port où vous avez configuré la supervision du trafic.
Vérifiez que des paquets de monodiffusion sont présents dans le trafic d’enregistrement. Le trafic Unicast est le trafic envoyé d’une adresse à une autre.
Si la majeure partie du trafic est constitué de messages ARP, votre configuration de mise en miroir du trafic n’est pas correcte.
Vérifiez que vos protocoles OT sont présents dans le trafic analysé.
Par exemple :
Provisionnement pour la gestion cloud
Cette section décrit comment configurer les points de terminaison à définir dans les règles de pare-feu, garantissant que vos capteurs OT peuvent se connecter à Azure.
Pour plus d'informations, consultez Méthodes de connexion des capteurs à Azure.
Pour configurer les détails du point de terminaison :
Ouvrez le fichier que vous avez téléchargé précédemment pour afficher la liste des points de terminaison requis. Configurez vos règles de pare-feu afin que votre capteur puisse accéder à chacun des points de terminaison requis sur le port 443.
Conseil
Vous pouvez également télécharger la liste des points de terminaison requis à partir de la page Sites et capteurs du Portail Azure. Accédez à Sites et capteurs>Plus d’actions>Télécharger les détails du point de terminaison. Pour plus d’informations, consultez les options de gestion des capteurs à partir du portail Azure.
Pour plus d'informations, consultez Approvisionner des capteurs pour la gestion cloud.
Téléchargement du logiciel du capteur virtuel
Cette section explique comment télécharger et installer le logiciel de capteur sur votre propre machine.
Procédure de téléchargement du logiciel des capteurs virtuels :
Sur le Portail Azure, accédez à la page Defender pour IoT > Prise en main, et sélectionnez l’onglet Capteur.
Dans la zone Acheter une appliance et installer un logiciel, vérifiez que l’option par défaut est sélectionnée pour la version actuelle recommandée du logiciel, puis sélectionnez Télécharger.
Enregistrez le logiciel téléchargé dans un emplacement accessible à partir de votre machine virtuelle.
Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.
Installation du logiciel du capteur
Cette procédure permet d’installer le logiciel du capteur sur votre machine virtuelle.
Notes
À la fin de ce processus, vous verrez les noms d’utilisateurs et mots de passe de votre appareil. Veillez à les copier, car ces mots de passe ne seront plus présentés.
Pour installer le logiciel sur le capteur virtuel :
Si vous fermez votre machine virtuelle, reconnectez-vous à ESXi et ouvrez les paramètres de votre machine virtuelle.
Dans le champ Lecteur CD/DVD 1, sélectionnez Fichier ISO du magasin de données, puis le logiciel Defender pour IoT que vous avez téléchargé.
Sélectionnez Suivant>Terminer.
Mettez sous tension la machine virtuelle et ouvrez une console.
Lorsque l’installation démarre, vous êtes invité à démarrer le processus d’installation. Sélectionnez l’élément Installer iot-sensor-
<version number>pour continuer ou laissez-le démarrer automatiquement après 30 secondes. Par exemple :
Remarque
Si vous utilisez une version héritée du BIOS, vous êtes invité à sélectionner une langue et les options d’installation sont présentées en haut à gauche plutôt qu’au centre. Lorsque vous y êtes invité, sélectionnez
English, puis l’option Installer iot-sensor-<version number>pour continuer.L'installation commence, vous donnant des messages d'état mis à jour au fur et à mesure. L’ensemble du processus d’installation prend jusqu’à 20 à 30 minutes et peut varier en fonction du type de média que vous utilisez.
Une fois l’installation terminée, l’ensemble suivant de détails réseau par défaut s’affiche.
IP: 172.23.41.83, SUBNET: 255.255.255.0, GATEWAY: 172.23.41.1, UID: 91F14D56-C1E4-966F-726F-006A527C61D
Utilisez l’adresse IP par défaut fournie pour accéder à votre capteur pour la configuration et l’activation initiales.
Validation après installation
Cette procédure explique comment valider votre installation à l’aide des propres contrôles d’intégrité du système du capteur et est disponible pour l’administrateur par défaut utilisateur.
Pour valider votre installation :
Connectez-vous au capteur OT en tant qu’utilisateur
admin.Sélectionnez Paramètres système>Gestion des capteurs>Contrôles d’intégrité du système.
Sélectionnez les commandes suivantes :
- Appliance pour vous assurer que le système est en cours d’exécution. Vérifiez que chaque élément de ligne affiche En cours d’exécution et que la dernière ligne indique Le système est en cours d’exécution.
- Version pour vérifier que la version installée est correcte.
- ifconfig pour vérifier que toutes les interfaces d’entrée configurées lors de l’installation fonctionnent.
Pour plus d’informations sur les tests de validation post-installation, tels que les vérifications de passerelle, DNS ou pare-feu, veuillez vous référer à Valider une installation logicielle de capteur OT.
Définir la configuration initiale
La procédure suivante décrit comment configurer les paramètres d’installation initiaux de votre capteur, notamment :
- Connexion à la console du capteur et modification du mot de passe de l'utilisateur administrateur
- Définition des détails réseau pour votre capteur
- Définition des interfaces que vous souhaitez surveiller
- Activation de votre capteur
- Configuration des paramètres de certificat SSL/TLS
Connectez-vous à la console du capteur et modifiez le mot de passe par défaut
Cette procédure décrit comment se connecter à la console du capteur OT pour la première fois. Vous êtes invité à modifier le mot de passe par défaut de l'utilisateur administrateur.
Pour vous connecter à votre capteur :
Dans un navigateur, accédez à l’adresse IP
192.168.0.101, qui est l’adresse IP par défaut fournie pour votre capteur à la fin de l’installation.La page de connexion initiale s’affiche. Par exemple :
Entrez les informations d’identification suivantes, puis sélectionnez Connexion :
- Nom d’utilisateur :
support - Mot de passe :
support
Vous êtes invité à définir un nouveau mot de passe pour l'utilisateur administrateur.
- Nom d’utilisateur :
Dans le champ Nouveau mot de passe, entrez votre nouveau mot de passe. Votre mot de passe doit contenir des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles.
Dans le champ Confirmer le nouveau mot de passe, entrez à nouveau votre nouveau mot de passe, puis sélectionnez Prise en main.
Pour plus d’informations, consultez Utilisateurs privilégiés par défaut.
La page Defender pour IoT | Vue d’ensemble s’ouvre sur l’onglet Interface de gestion.
Définir les détails de la mise en réseau des capteurs
Sous l’onglet Interface de gestion, utilisez les champs suivants pour définir les détails réseau de votre nouveau capteur :
Dans le cadre de ce didacticiel, laissez ignorer les configurations de proxy dans la zone Activer le proxy pour la connectivité cloud (facultatif).
Lorsque vous avez terminé, sélectionnez Suivant : Configurations d’interface pour continuer.
Définir les interfaces que vous souhaitez surveiller
L’onglet Connexions d’interface affiche toutes les interfaces détectées par le capteur par défaut. Utilisez cet onglet pour activer ou désactiver la surveillance par interface, ou définir des paramètres spécifiques pour chaque interface.
Conseil
Nous vous recommandons d’optimiser les performances de votre capteur en configurant vos paramètres pour surveiller uniquement les interfaces qui sont activement utilisées.
Sous l’onglet Configurations d’interface, procédez comme suit pour configurer les paramètres de vos interfaces surveillées :
Sélectionnez le bouton bascule Activer/Désactiver pour toutes les interfaces que le capteur doit surveiller. Vous devez sélectionner au moins un interface pour continuer.
Si vous ne savez pas quelle interface utiliser, sélectionnez le
bouton Clignotement de la LED de l'interface physique pour que le port sélectionné clignote sur votre ordinateur. Sélectionnez l’une des interfaces que vous avez connectées à votre commutateur.Dans le cadre de ce tutoriel, ignorez les paramètres avancés et sélectionnez Suivant : Redémarrer > pour continuer.
Lorsque vous y êtes invité, sélectionnez Démarrer le redémarrage pour redémarrer votre machine de capteur. Une fois le capteur redéployé, vous êtes automatiquement redirigé vers l’adresse IP que vous avez définie précédemment en tant qu’adresse IP du capteur.
Sélectionnez Annuler pour attendre le redémarrage.
Activation du capteur OT
Cette procédure décrit comment activer votre nouveau capteur OT.
Procédure d’activation du capteur :
Sous l’onglet Activation, sélectionnez Charger pour charger le fichier d’activation du capteur que vous avez téléchargé du portail Azure.
Sélectionnez l’option J’accepte les conditions générales, puis choisissez Suivant : Certificats.
Définir les paramètres de certificat SSL/TLS
Utilisez l’onglet Certificats pour déployer un certificat SSL/TLS sur votre capteur OT. Bien que nous vous recommandons d’utiliser un certificat signé par l’autorité de certification pour tous les environnements de production, dans le cadre de ce didacticiel, choisissez d’utiliser un certificat auto-signé.
Pour définir les paramètres de certificat SSL/TLS :
Sous l’onglet Certificats , sélectionnez Utiliser le certificat auto-signé généré localement (non recommandé), puis sélectionnez l’option Confirmer.
Pour plus d’informations, consultez Exigences de certificat SSL/TLS pour les ressources locales et Créer des certificats SSL/TLS pour des appliances OT.
Sélectionnez Terminer pour terminer l’installation initiale et ouvrir votre console de capteur.