Detección de dispositivos de Enterprise IoT con un sensor de red de Enterprise IoT (versión preliminar pública)

Importante

El registro de un nuevo sensor de red de Enterprise IoT tal como se describe en este artículo ya no está disponible. Para los clientes con los ingresos de consumo de Azure (ACR) o la licencia heredada, Defender para IoT mantiene los sensores de red de Enterprise IoT existentes.

En este artículo se describe cómo registrar un sensor de red de Enterprise IoT en Microsoft Defender para IoT.

Los clientes de XDR de Microsoft Defender con un sensor de red de IoT empresarial pueden ver todos los dispositivos detectados en la de inventario de dispositivos en Microsoft Defender XDR o Defender para IoT. También obtendrá un valor de seguridad adicional de más alertas, vulnerabilidades y recomendaciones en XDR de Microsoft Defender para los dispositivos recién detectados.

Si es un cliente de Defender para IoT que trabaja únicamente en Azure Portal, un sensor de red de Enterprise IoT proporciona visibilidad adicional a los dispositivos de Enterprise IoT, como los dispositivos de llamada de voz sobre IP (VoIP), las impresoras y las cámaras, que pueden no estar cubiertos por los sensores de red de OT.

Las alertas y recomendaciones de Defender para IoT para dispositivos detectados por el sensor de Enterprise IoT solo están disponibles en Azure Portal.

Para obtener más información, consulte Protección de dispositivos IoT en la empresa.

Importante

El sensor de red IoT empresarial se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Requisitos previos

En esta sección se describen los requisitos previos necesarios antes de implementar un sensor de red de Enterprise IoT.

Requisitos de Azure

• Para ver los datos de Defender para IoT en XDR de Microsoft Defender, incluidos dispositivos, alertas, recomendaciones y vulnerabilidades, debe tener Seguridad de IoT empresarial activada en Microsoft Defender XDR.

  Si solo desea ver los datos en Azure Portal, no necesita XDR de Microsoft Defender. También puede activar Seguridad de IoT empresarial en XDR de Microsoft Defender después de registrar el sensor de red para aportar valor adicional de visibilidad y seguridad de los dispositivos a su organización.

• Asegúrese de que puede acceder a Azure Portal como administrador de seguridad, colaborador o usuario propietario. Si aún no tiene una cuenta de Azure, puede crear su cuenta gratuita de Azure hoy mismo.

Requisitos de red

• Identifique los dispositivos y subredes que desea supervisar para que comprenda dónde colocar un sensor de Enterprise IoT en su red. Es posible que quiera implementar varios sensores de Enterprise IoT.

• Configure la creación de reflejo del tráfico en la red para que el tráfico que quiera supervisar se refleje en el sensor de Enterprise IoT. Los métodos de creación de reflejo del tráfico admitidos son los mismos que para la supervisión de OT. Para obtener más información, consulte Elección de un método de creación de reflejo del tráfico para la supervisión del tráfico.

Requisitos de máquina física o virtual

Asigne un dispositivo físico o una máquina virtual para usarlos como sensor de red. Asegúrese de que la máquina tiene las especificaciones siguientes:

Nivel	Requisitos
Mínimo	Para admitir hasta 1 Gbps de datos: - 4 CPU, cada una con 2,4 GHz o más - 16 GB de RAM de DDR4 o más - 250 GB de HDD
Recomendado	Para admitir hasta 15 Gbps de datos: - 8 CPU, cada una con 2,4 GHz o más - 32 GB de RAM de DDR4 o más - 500 GB de HDD

La máquina también debe tener lo siguiente:

• El sistema operativo Ubuntu 18.04 Server. Si aún no tiene Ubuntu instalado, descargue los archivos de instalación en un almacenamiento externo, como un DVD o un disco en la clave, y luego instálelo en el dispositivo o la máquina virtual. Para obtener más información, consulte la guía de grabación de imágenes de Ubuntu.

• Adaptadores de red, al menos uno para el puerto de supervisión de conmutadores (SPAN) y otro para que el puerto de administración acceda a la interfaz de usuario del sensor.

Su sensor Enterprise IoT debe tener acceso a la nube Azure mediante una conexión directa. Las conexiones directas se configuran para sensores de Enterprise IoT con el mismo procedimiento que para los sensores de OT. Para más información, consulte Aprovisionamiento de sensores para la administración en la nube.

Preparación de un dispositivo físico o una máquina virtual

En este procedimiento se describe cómo preparar el dispositivo físico o la máquina virtual para instalar el software de sensor de red de Enterprise IoT.

Para preparar el dispositivo:

1. Conecte una interfaz de red (NIC) desde el dispositivo físico o la máquina virtual a un conmutador como se indica a continuación:

   • Dispositivo físico: conecte una NIC de supervisión a un puerto SPAN directamente mediante un cable de cobre o fibra.

   • Máquina virtual: conecte una vNIC a un vSwitch y configure las opciones de seguridad de vSwitch para aceptar el modo Promiscuo. Para obtener más información, consulte, por ejemplo, Configuración de una interfaz de supervisión SPAN para una aplicación virtual.

2. Inicie sesión en el dispositivo físico o la máquina virtual y ejecute el siguiente comando para validar el tráfico entrante al puerto de supervisión:

   ifconfig
   

   El sistema muestra una lista de todas las interfaces supervisadas.

   Identifique las interfaces que desea supervisar, que suelen ser las interfaces sin ninguna dirección IP enumerada. Las interfaces con el tráfico entrante muestran un número creciente de paquetes RX.

3. Para cada interfaz que quiera supervisar, ejecute el siguiente comando para habilitar el modo Promiscuo en el adaptador de red:

   ifconfig <monitoring port> up promisc
   

   Dónde <monitoring port> es una interfaz que desea supervisar. Repita este paso para cada interfaz que desee supervisar.

4. Asegúrese de que la conectividad de red abra los siguientes puertos en el firewall:

   Protocolo	Transporte	Entrada o salida	Port	Propósito
   HTTPS	TCP	Entrada o salida	443	Conexión en la nube
   DNS	TCP/UDP	Entrada o salida	53	Resolución de direcciones

5. Asegúrese de que su dispositivo físico o máquina virtual puede acceder a la nube utilizando el protocolo HTTP en el puerto 443 para los siguientes puntos de conexión de Microsoft:

   • EventHub: *.servicebus.windows.net
   • Storage: *.blob.core.windows.net
   • Centro de descarga: download.microsoft.com
   • IoT Hub: *.azure-devices.net

   Sugerencia

   También puede descargar y agregar intervalos de direcciones IP públicas de Azure para que el firewall admita los puntos de conexión de Azure especificados anteriormente, junto con la región.

   Los intervalos de direcciones IP públicas de Azure se actualizan semanalmente. Los nuevos intervalos que aparecen en el archivo no se utilizarán en Azure durante al menos una semana. Para usar esta opción, descargue el nuevo archivo JSON cada semana y haga los cambios necesarios en el sitio local para identificar correctamente los servicios que se ejecutan en Azure.

Registro de un sensor de Enterprise IoT en Defender para IoT

En esta sección se describe cómo registrar un sensor de Enterprise IoT en Defender para IoT. Cuando haya terminado de registrar el sensor, continuará con la instalación del software de supervisión de Enterprise IoT en la máquina del sensor.

Para registrar un sensor en Azure Portal:

1. Vaya a Defender para IoT>Sitios y sensores, y luego seleccione Incorporar sensor>EIoT.

2. En la página Configurar seguridad de IoT empresarial, introduzca los siguientes datos y seleccione Registro:

   • En el campo Sensor name (Nombre de sensor), escriba un nombre descriptivo para el sensor.
   • En la lista desplegable Subscription (Suscripción), seleccione la suscripción en la que desea agregar el sensor.

   En la pantalla Registro de sensor correcto se muestran los pasos siguientes y el comando que necesitará para iniciar la instalación del sensor.

   Por ejemplo:

   

3. Copie el comando en una ubicación segura, donde podrá copiarlo en el dispositivo físico o la máquina virtual para instalar el software del sensor.

Instalación del software del sensor de Enterprise IoT

En este procedimiento se describe cómo instalar el software de supervisión de Enterprise IoT en la máquina del sensor, ya sea un dispositivo físico o una máquina virtual.

Nota:

Aunque en este procedimiento se describe cómo instalar el software del sensor en una máquina virtual con ESXi, los sensores de Enterprise IoT también se admiten con Hyper-V.

Para instalar el software del sensor, haga lo siguiente:

1. En la máquina del sensor, inicie sesión en la CLI del sensor mediante un terminal, como PuTTY o MobaXterm.

2. Ejecute el comando que copió en el paso de registro del sensor. Por ejemplo:

   

   El proceso comprueba si la versión de Docker requerida ya está instalada. Si no es así, con la instalación del sensor también se instala la versión más reciente de Docker.

   Cuando se complete el proceso de comando, aparecerá el Asistente para configurar microsoft-eiot-sensor de Ubuntu. En este asistente, utilice las flechas arriba o abajo para desplazarse y la barra espaciadora para seleccionar una opción. Presione la tecla Entrar para avanzar a la siguiente pantalla.

3. En el asistente Configurar microsoft-eiot-sensor, en la pantalla ¿Cuál es el nombre de la interfaz supervisada?, seleccione una o varias interfaces que desee supervisar con su sensor y, a continuación, seleccione Aceptar.

   Por ejemplo:

   

4. En la pantalla ¿Configurar servidor proxy?, seleccione si desea configurar un servidor proxy para su sensor. Por ejemplo:

   

   Si va a configurar un servidor proxy, seleccione Sí y, a continuación, defina el host del servidor proxy, el puerto, el nombre de usuario y la contraseña, y seleccione Aceptar después de cada opción.

   La instalación tarda unos minutos en completarse.

5. En el Azure Portal, compruebe que la página Sitios y sensores ahora muestra el nuevo sensor.

   Por ejemplo:

   

En la página Sitios y sensores, los sensores Enterprise IoT se añaden automáticamente al mismo sitio, denominado Red empresarial. Para más información, consulte Administración de sensores con Defender para IoT en Azure Portal.

Sugerencia

Si no ve los datos de Enterprise IoT en Defender para IoT según lo previsto, asegúrese de que está viendo Azure Portal con las suscripciones correctas seleccionadas. Para obtener más información, consulte Administración de la configuración de Azure Portal.

Si sigue sin ver los datos según lo previsto, valide la configuración del sensor desde la CLI.

Visualización de los dispositivos de Enterprise IoT recién detectados

Una vez que haya validado la configuración, la página Inventario de dispositivos de Defender para IoT comenzará a rellenarse con los nuevos dispositivos que el sensor ha detectado después de 15 minutos.

Si es cliente de Defender para punto de conexión con un plan de Enterprise IoT heredado, podrá ver todos los dispositivos detectados en las páginas de inventario de dispositivos, tanto en Defender para IoT como en XDR de Microsoft Defender. Entre los dispositivos detectados, se incluyen los dispositivos detectados por Defender para punto de conexión y los detectados por el sensor de Enterprise IoT.

Para obtener más información, consulte Administración del inventario de dispositivos desde Azure Portal y detección de dispositivos XDR de Microsoft Defender.

Eliminación de un sensor de red de Enterprise IoT

Elimine un sensor cuando ya no esté en uso con Defender para IoT.

1. En la página Sitios y sensores de Azure Portal, busque el sensor en la cuadrícula.

2. En la fila de su sensor, seleccione el ... menú de opciones >Eliminar sensor.

Para más información, consulte Administración de sensores con Defender para IoT en Azure Portal.

Sugerencia

También puede quitar el sensor manualmente de la CLI. Para más información, consulte Pasos y ejemplos adicionales para la implementación de IoT empresarial.

Si quiere cancelar la seguridad de IoT empresarial con XDR de Microsoft Defender, hágalo desde el Portal de Microsoft Defender. Para obtener más información, consulte la sección sobre cómo desactivar la seguridad de Enterprise IoT.

Pasos siguientes

• Pasos adicionales y ejemplos para la implementación de IoT empresarial

• Administración de sensores en Azure Portal

• Vea y administre alertas en Azure Portal. Para obtener más información, consulte Alertas del motor de malware.

• Mejora de la posición de seguridad mediante recomendaciones de seguridad