Compartir por

Configuración y activación del sensor de OT

  • Artigo

Este artículo forma parte de una serie de artículos que describen la ruta de implementación para la supervisión de OT con Microsoft Defender para IoT y describe cómo definir la configuración inicial y la activación del sensor de OT.

Diagrama de una barra de progreso con Implementar los sensores resaltado.

Se pueden realizar varios pasos de configuración inicial en el explorador o a través de la CLI.

  • Use el explorador si puede conectar cables físicos desde el conmutador al sensor para identificar las interfaces correctamente. Asegúrese de volver a configurar el adaptador de red para que coincida con la configuración predeterminada en el sensor.
  • Use la CLI si conoce los detalles de la red sin necesidad de conectar cables físicos. Use la CLI si solo puede conectarse al sensor a través de iLo/iDrac

La configuración a través de la CLI todavía requiere que complete los últimos pasos en el explorador.

Requisitos previos

Para completar los procedimientos de este artículo, necesitará:

  • Un sensor de OT incorporado a Defender para IoT en Azure Portal.

  • Software de sensor de OT instalado en el dispositivo. Asegúrese de que ha instalado el software usted mismo o ha adquirido un dispositivo preconfigurado.

  • El archivo de activación del sensor, que se descargó después de incorporar el sensor. Necesita un archivo de activación único para cada sensor de OT que implemente.

    Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

    Nota

    Los archivos de activación expiran 14 días después de la creación. Si ha incorporado el sensor pero no ha cargado el archivo de activación antes de que expire, descargue un nuevo archivo de activación.

  • Un certificado SSL/TLS. Se recomienda usar un certificado firmado por una entidad de certificación y no un certificado autofirmado. Para más información, consulte Creación de certificados SSL/TLS en dispositivos OT.

  • Acceso a la aplicación física o virtual donde va a instalar el sensor. Para obtener más información, consulte ¿Qué dispositivos necesito?

Los equipos de implementación realizan este paso.

Configuración a través del explorador

La configuración del sensor mediante el explorador incluye los pasos siguientes:

  • Inicio de sesión en la consola del sensor y cambio de la contraseña del usuario administrador
  • Definir los detalles de red para el sensor
  • Definir las interfaces que desea supervisar
  • Activar el sensor
  • Configurar los valores de certificado SSL/TLS

Iniciar sesión en la consola del sensor y cambiar la contraseña predeterminada

En este procedimiento se describe cómo iniciar sesión por primera vez en la consola del sensor de OT. Se le pedirá que cambie la contraseña predeterminada para el usuario administrador.

Para iniciar sesión en el sensor:

  1. En un explorador, vaya a la dirección IP 192.168.0.101, que es la dirección IP predeterminada proporcionada para el sensor al final de la instalación.

    Aparece la página de inicio de sesión inicial. Por ejemplo:

    Captura de pantalla de la página de inicio de sesión del sensor inicial.

  2. Escriba las siguientes credenciales y seleccione Iniciar sesión:

    • Nombre de usuario: admin
    • Contraseña: admin

    Se le pide que defina una nueva contraseña para el usuario administrador.

  3. En el campo Nueva contraseña, escriba la nueva contraseña. La contraseña debe contener caracteres alfabéticos en minúsculas y mayúsculas, números y símbolos.

    En el campo Confirmar nueva contraseña, vuelva a escribir la nueva contraseña y, a continuación, seleccione Empezar.

    Para obtener más información, consulte Usuarios con privilegios predeterminados.

Se abre la página Defender para IoT | Información general en la pestaña Interfaz de administración.

Definición de los detalles de red del sensor

En la pestaña Interfaz de administración, use los campos siguientes para definir los detalles de red del nuevo sensor:

Nombre Descripción
Interfaz de administración Seleccione la interfaz que desea usar como interfaz de administración para conectarse a Azure Portal o a una consola de administración local.

Para identificar una interfaz física en la máquina, seleccione una interfaz y, a continuación, seleccione Hacer parpadear LED de interfaz física. El puerto que coincide con la interfaz seleccionada se enciende para que pueda conectar el cable correctamente.
Dirección IP Escriba la dirección IP que desea usar para el sensor. Esta es la dirección IP que usa el equipo para conectarse al sensor a través del explorador o la CLI.
Máscara de subred Escriba la dirección que desea usar como máscara de subred del sensor.
Puerta de enlace predeterminada Escriba la dirección que desea usar como puerta de enlace predeterminada del sensor.
DNS Escriba la dirección IP del servidor DNS del sensor.
Nombre de host Escriba el nombre de host que desea asignar al sensor. Asegúrese de usar el mismo nombre de host que se define en el servidor DNS.
Habilitación del proxy para la conectividad en la nube (opcional) Seleccione esta opción para definir un servidor proxy para el sensor.

Si usa un certificado SSL/TSL para acceder al servidor proxy, seleccione Certificado de cliente y cargue el certificado.

Cuando haya terminado, seleccione Siguiente: Configuraciones de interfaz para continuar.

Definición de las interfaces que desea supervisar

La pestaña Configuraciones de interfaz muestra todas las interfaces detectadas por el sensor de forma predeterminada. Use esta pestaña para activar o desactivar la supervisión por interfaz o definir una configuración específica para cada interfaz.

Sugerencia

Se recomienda optimizar el rendimiento en el sensor mediante la configuración de los valores para supervisar solo las interfaces que están en uso activo.

En la pestaña Configuraciones de interfaz, haga lo siguiente para configurar las opciones de las interfaces supervisadas:

  1. Seleccione el botón de alternancia Habilitar o deshabilitar para las interfaces que desea que el sensor supervise. Debe seleccionar al menos una interfaz para continuar.

    Si no está seguro de qué interfaz usar, seleccione el botón Hacer parpadear LED de interfaz física para que el puerto seleccionado parpadee en la máquina. Seleccione cualquiera de las interfaces que ha conectado al conmutador.

  2. (Opcional) Para cada interfaz que elija supervisar, seleccione el botón Configuración avanzada para modificar cualquiera de los valores siguientes:

    Nombre Descripción
    Modo Seleccione uno de los siguientes:
    - Tráfico de SPAN (sin encapsulación) para usar la creación predeterminada de reflejos del puerto SPAN.
    - ERSPAN si usa la creación de reflejos de ERSPAN.

    Para obtener más información, consulte Elección de un método de creación de reflejos para los sensores de OT.
    Descripción Escriba una descripción opcional para la interfaz. Verá esto más adelante en la página Configuración del sistema >Configuraciones de interfaz del sensor. Estas descripciones pueden resultar útiles para comprender el propósito de cada interfaz.
    Negociación automática Pertinente solo para las máquinas físicas. Use esta opción para determinar qué tipo de métodos de comunicación se usan o si los métodos de comunicación se definen automáticamente entre componentes.

    Importante: Se recomienda cambiar esta configuración solo si el equipo de redes lo aconseja.

    Haga clic en Guardar para guardar los cambios.

  3. Seleccione Siguiente: Reiniciar > para continuar y, a continuación, Iniciar reinicio para reiniciar la máquina del sensor. Después de que el sensor se inicie de nuevo, se le redirigirá automáticamente a la dirección IP que había definido anteriormente como la dirección IP del sensor.

    Seleccione Cancelar para esperar para el reinicio.

Activación del sensor de OT

En este procedimiento se describe cómo activar el nuevo sensor de OT.

Si ha configurado las opciones iniciales a través de la CLI hasta ahora, iniciará la configuración basada en explorador en este paso. Después de reiniciar el sensor, se le redirigirá a la misma página de Defender para IoT | Información general, en la pestaña Activación.

Para activar el sensor:

  1. En la pestaña Activación, seleccione Cargar para cargar el archivo de activación del sensor que ha descargado de Azure Portal.
  2. Seleccione la opción de términos y condiciones y, después, seleccione Guardar.
  3. Seleccione Siguiente: Certificados.

Si tiene un problema de conexión entre el sensor basado en la nube y Azure Portal durante el proceso de activación que hace que se produzca un error en la activación, aparece un mensaje debajo del botón Activar. Para resolver el problema de conectividad, seleccione Más información y se abrirá el panel Conectividad en la nube. En el panel se enumeran las causas del problema y las recomendaciones para resolverlo.

Incluso sin resolver el problema puede continuar con la siguiente fase, seleccionando Siguiente: Certificados.

El único problema de conexión que se debe corregir antes de pasar a la siguiente fase es cuando se detecta un desfase de tiempo y el sensor no se sincroniza con la nube. En este caso, el sensor debe sincronizarse correctamente, como se describe en las recomendaciones, antes de pasar a la siguiente fase.

Definición de la configuración del certificado SSL/TLS

Use la pestaña Certificados para implementar un certificado SSL/TLS en el sensor de OT. Se recomienda usar un certificado firmado por una entidad de certificación para todos los entornos de producción.

Para definir la configuración del certificado SSL/TLS:

  1. En la pestaña Certificados, seleccione Importar certificado de una entidad de certificación de confianza (recomendado) para implementar un certificado firmado por una entidad de certificación.

    Escriba el nombre y la frase de contraseña de los certificados y, después, seleccione Cargar para cargar el archivo de clave privada, el archivo de certificado y un archivo de cadena de certificados opcional.

    Es posible que tenga que actualizar la página después de cargar los archivos. Para más información, consulte Solución de errores de carga de certificados.

    Sugerencia

    Si va a trabajar en un entorno de prueba, también puede usar el certificado autofirmado que se genera localmente durante la instalación. Si selecciona usar un certificado autofirmado, asegúrese de seleccionar la opción Confirmar sobre las recomendaciones.

    Para más información, consulte Administrar los certificados SSL/TLS.

  2. En el área Validación del certificado de la consola de administración local, seleccione Obligatorio para validar el certificado de una consola de administración local en una lista de revocación de certificados (CRL), tal como se ha configurado en el certificado.

    Para más información, consulte Requisitos de certificados SSL/TLS para recursos locales y Creación de certificados SSL/TLS para dispositivos OT.

  3. Seleccione Finalizar para completar la configuración inicial y abrir la consola del sensor.

Configuración a través de la CLI

Use este procedimiento para configurar las siguientes opciones de configuración inicial a través de la CLI:

  • Inicio de sesión en la consola del sensor y establecimiento de una nueva contraseña del usuario de administrador
  • Definir los detalles de red para el sensor
  • Definir las interfaces que desea supervisar

Continúe con la activación y la configuración de los valores de certificado SSL/TLS en el explorador.

Nota:

La información de este artículo se aplica a la versión 24.1.5 del sensor. Si ejecuta una versión anterior, consulte Configuración de la creación de reflejo de ERSPAN.

Para configurar las opciones de configuración inicial a través de la CLI:

  1. En la pantalla de instalación, después de que se muestren los detalles de red predeterminados, presione ENTRAR para continuar.

  2. En la solicitud D4Iot login, inicie sesión con las siguientes credenciales predeterminadas:

    • Nombre de usuario: admin
    • Contraseña: admin

    Al escribir la contraseña, los caracteres no se muestran en la pantalla. Escríbalos con cuidado.

  3. En la solicitud, escriba una nueva contraseña para el usuario de administrador. La contraseña debe contener caracteres alfabéticos en minúsculas y mayúsculas, números y símbolos.

    Cuando se le pida que confirme la contraseña, vuelva a escribir la nueva contraseña. Para obtener más información, consulte Usuarios con privilegios predeterminados.

  4. Después de cambiar la contraseña, el asistente Sensor Config se inicia automáticamente. Continúe en el paso 5.

    Si va a iniciar sesión en ocasiones posteriores, continúe con el paso 4.

  5. Para iniciar el asistente Sensor Config, en la solicitud escriba network reconfigure. Si usa el usuario cyberx, escriba ERSPAN=1 python3 -m cyberx.config.configure.

  6. La pantalla Sensor Config muestra la configuración actual de las interfaces. Asegúrese de que se establece una interfaz como interfaz de administración. En este asistente, utilice las flechas hacia arriba o abajo para desplazarse y la barra espaciadora para seleccionar una opción. Presione la tecla ENTRAR para avanzar a la siguiente pantalla.

    Seleccione la interfaz que desea configurar, por ejemplo:

    Captura de la pantalla Seleccionar interfaces de supervisión.

  7. En la pantalla Select type, seleccione el nuevo tipo de configuración para esta interfaz.

Importante

Asegúrese de seleccionar únicamente las interfaces conectadas.

Si selecciona interfaces que están habilitadas pero no conectadas, el sensor mostrará una notificación de estado que indica que no se supervisa el tráfico en Azure Portal. Si conecta más orígenes de tráfico después de la instalación y desea supervisarlos con Defender para IoT, puede agregarlos más tarde a través de la CLI.

Una interfaz se puede establecer como Administración, Monitor, Túnel o No usada. Es posible que desee establecer una interfaz como No usada a modo de configuración temporal, para restablecerla, o si se ha cometido un error en la configuración original.

  1. Para configurar una interfaz de Administración:

    1. Seleccione la interfaz.

    2. Seleccione Administración.

    3. Escriba la dirección IP del sensor, la dirección IP del servidor DNS y la dirección IP de puerta de enlace predeterminada.

      Captura de pantalla de la pantalla Administración de la interfaz.

    4. Seleccione Atrás.

  2. Para configurar una interfaz Monitor:

    1. Seleccione la interfaz.
    2. Seleccione Monitor. La pantalla Configuración del sensor se actualiza.

  3. Para configurar una interfaz ERSPAN:

    1. Seleccione Tipo.
    2. Seleccione ERSPAN.
    3. Seleccione Confirmar.

  4. Para configurar una interfaz como No usada:

    1. Seleccione la interfaz.
    2. Seleccione el estado existente.
    3. Seleccione No usada. La pantalla Configuración del sensor se actualiza.

  5. Después de configurar todas las interfaces, seleccione Guardar.

Ubicación automática de la carpeta de copia de seguridad

El sensor crea automáticamente una carpeta de copia de seguridad. Para cambiar la ubicación de las copias de seguridad montadas, debe:

  1. Iniciar sesión en el sensor mediante el usuario administrador.
  2. Escribir el código siguiente en la interfaz de la CLI: system backup path y agregar la ubicación de la ruta de acceso, por ejemplo /opt/sensor/backup.
  3. La copia de seguridad se ejecuta automáticamente y puede tardar hasta un minuto.

Nota:

Durante la configuración inicial, las opciones para los puertos de supervisión de ERSPAN solo están disponibles en el procedimiento basado en explorador.

Si va a definir los detalles de red a través de la CLI y quiere configurar puertos de supervisión de ERSPAN, hágalo después a través de la página Configuración > Conexiones de interfaz del sensor. Para obtener más información, consulte Actualización de las interfaces de supervisión de un sensor (configurar ERSPAN).

Pasos siguientes

« Validación de una instalación de software de sensor de OT

Configuración de los valores del proxy en un sensor de OT »