Membuat dan mengelola pengguna pada sensor jaringan OT

  • Artikel

Pertahanan Microsoft untuk IoT menyediakan alat untuk mengelola akses pengguna lokal di sensor jaringan OT, dan konsol manajemen lokal warisan. Pengguna Azure dikelola di tingkat langganan Azure menggunakan Azure RBAC.

Artikel ini menjelaskan cara mengelola pengguna lokal langsung pada sensor jaringan OT.

Pengguna istimewa default

Secara default, setiap sensor jaringan OT diinstal dengan pengguna dukungan istimewa, yang memiliki akses ke alat tingkat lanjut untuk pemecahan masalah dan penyiapan.

Saat menyiapkan sensor untuk pertama kalinya, masuk ke pengguna dukungan , buat pengguna awal dengan peran Admin , lalu buat pengguna tambahan untuk analis keamanan dan pengguna baca-saja.

Untuk informasi selengkapnya, lihat Menginstal dan menyiapkan sensor OT Anda dan Pengguna lokal istimewa default.

Versi sensor yang lebih lama dari 23.1.x juga menyertakan cyberx dan pengguna istimewa cyberx_host . Dalam versi 23.1.x dan yang lebih tinggi, pengguna ini diinstal, tetapi tidak diaktifkan secara default.

Untuk mengaktifkan pengguna cyberx dan cyberx_host dalam versi 23.1.x dan yang lebih tinggi, seperti menggunakannya dengan Defender untuk IoT CLI, atur ulang kata sandi. Untuk informasi selengkapnya, lihat Mengubah kata sandi pengguna sensor.

Mengonfigurasi koneksi Direktori Aktif

Sebaiknya konfigurasikan pengguna lokal pada sensor OT Anda dengan Direktori Aktif, untuk memungkinkan pengguna Direktori Aktif masuk ke sensor Anda dan menggunakan grup Direktori Aktif, dengan izin kolektif yang ditetapkan untuk semua pengguna dalam grup.

Misalnya, gunakan Direktori Aktif saat Anda memiliki sejumlah besar pengguna yang ingin Anda tetapkan akses Baca Saja, dan Anda ingin mengelola izin tersebut di tingkat grup.

Tip

Saat Anda siap untuk mulai mengelola pengaturan sensor OT dalam skala besar, tentukan pengaturan Direktori Aktif dari portal Azure. Setelah Anda menerapkan pengaturan dari portal Azure, pengaturan pada konsol sensor bersifat baca-saja. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan sensor OT dari portal Azure (Pratinjau publik).

Untuk berintegrasi dengan Direktori Aktif:

  1. Masuk ke sensor OT Anda dan pilih System Pengaturan> Integrations>Active Directory.

  2. Alihkan pada opsi Aktifkan Integrasi Direktori Aktif.

  3. Masukkan nilai berikut untuk server Direktori Aktif Anda:

    Nama Deskripsi
    Pengendali Domain FQDN Nama domain yang sepenuhnya memenuhi syarat (FQDN), persis seperti yang muncul di server LDAP Anda. Misalnya, masukkan host1.subdomain.contoso.com.

    Jika Anda mengalami masalah dengan integrasi menggunakan FQDN, periksa konfigurasi DNS Anda. Anda juga dapat memasukkan IP eksplisit server LDAP alih-alih FQDN saat menyiapkan integrasi.
    Port Pengendali Domain Port tempat LDAP Anda dikonfigurasi. Misalnya, gunakan port 636 untuk koneksi LDAPS (SSL).
    Domain Utama Nama domain, seperti subdomain.contoso.com, lalu pilih jenis koneksi untuk konfigurasi LDAP Anda.

    Jenis koneksi yang didukung meliputi: LDAPS/NTLMv3 (disarankan), LDAP/NTLMv3, atau LDAP/SASL-MD5
    Grup Direktori Aktif Pilih + Tambahkan untuk menambahkan grup Direktori Aktif ke setiap tingkat izin yang tercantum, sesuai kebutuhan.

    Saat Anda memasukkan nama grup, pastikan Anda memasukkan nama grup persis seperti yang ditentukan dalam konfigurasi Direktori Aktif Anda di server LDAP. Gunakan nama grup ini saat menambahkan pengguna sensor baru dengan Direktori Aktif.

    Tingkat izin yang didukung termasuk Baca-saja, Analis Keamanan, Admin, dan Domain Tepercaya.

    Penting

    Saat memasukkan parameter LDAP:

    • Tentukan nilai persis seperti yang muncul di Direktori Aktif, kecuali untuk kasus tersebut.
    • Karakter huruf kecil pengguna saja, bahkan jika konfigurasi di Direktori Aktif menggunakan huruf besar.
    • LDAP dan LDAPS tidak dapat dikonfigurasi untuk domain yang sama. Namun, Anda dapat mengonfigurasi masing-masing di domain yang berbeda lalu menggunakannya secara bersamaan.

  4. Untuk menambahkan server Direktori Aktif lain, pilih + Tambahkan Server di bagian atas halaman dan tentukan nilai server tersebut.

  5. Saat Anda telah menambahkan semua server Direktori Aktif Anda, pilih Simpan.

    Misalnya:

    Screenshot of the active directory integration configuration on the sensor.

Menambahkan pengguna sensor OT baru

Prosedur ini menjelaskan cara membuat pengguna baru untuk sensor jaringan OT tertentu.

Prasyarat: Prosedur ini tersedia untuk pengguna cyberx, dukungan, dan cyberx_host , dan setiap pengguna dengan peran Admin .

Untuk menambahkan pengguna:

  1. Masuk ke konsol sensor dan pilih Pengguna>+ Tambahkan pengguna.

  2. Pada Buat pengguna | Halaman pengguna, masukkan detail berikut:

    Nama Deskripsi
    Nama pengguna Masukkan nama pengguna yang bermakna untuk pengguna.
    email Masukkan alamat email pengguna.
    Nama Depan Masukkan nama depan pengguna.
    Nama Belakang Masukkan nama belakang pengguna.
    Peran Pilih salah satu peran pengguna berikut: Admin, Analis Keamanan, atau Baca Saja. Untuk informasi selengkapnya, lihat Peran pengguna lokal.
    Password Pilih jenis pengguna, baik Pengguna Lokal atau Direktori Aktif.

    Untuk pengguna lokal, masukkan kata sandi untuk pengguna. Persyaratan kata sandi meliputi:
    - Setidaknya delapan karakter
    - Karakter alfabet huruf kecil dan huruf besar
    - Setidaknya satu angka
    - Setidaknya satu simbol

    Kata sandi pengguna lokal hanya dapat dimodifikasi oleh pengguna Admin .

    Tip

    Mengintegrasikan dengan Direktori Aktif memungkinkan Anda mengaitkan grup pengguna dengan tingkat izin tertentu. Jika Anda ingin membuat pengguna menggunakan Direktori Aktif, pertama-tama konfigurasikan koneksi Direktori Aktif lalu kembali ke prosedur ini.

  3. Pilih Simpan saat Anda selesai.

Pengguna baru Anda ditambahkan dan tercantum di halaman Pengguna sensor.

Untuk mengedit pengguna, pilih ikon Edit untuk pengguna yang ingin Anda edit, dan ubah nilai apa pun sesuai kebutuhan.

Untuk menghapus pengguna, pilih tombol Hapus untuk pengguna yang ingin Anda hapus.

Mengubah kata sandi pengguna sensor

Prosedur ini menjelaskan bagaimana pengguna Admin dapat mengubah kata sandi pengguna lokal. Pengguna admin dapat mengubah kata sandi untuk diri mereka sendiri atau untuk pengguna Analis Keamanan atau Baca Saja lainnya. Pengguna istimewa dapat mengubah kata sandi mereka sendiri, dan kata sandi untuk pengguna Admin .

Tip

Jika Anda perlu memulihkan akses ke akun pengguna istimewa, lihat Memulihkan akses istimewa ke sensor.

Prasyarat: Prosedur ini hanya tersedia untuk pengguna cyberx, dukungan, atau cyberx_host , atau untuk pengguna dengan peran Admin .

Untuk mengubah kata sandi pengguna pada sensor:

  1. Masuk ke sensor dan pilih Pengguna.

  2. Pada halaman Pengguna sensor, temukan pengguna yang kata sandinya perlu diubah.

  3. Di sebelah kanan baris pengguna tersebut, pilih menu >Opsi (...) Edit untuk membuka panel pengguna.

  4. Di panel pengguna di sebelah kanan, di area Ubah kata sandi , masukkan dan konfirmasi kata sandi baru. Jika Anda mengubah kata sandi Anda sendiri, Anda juga harus memasukkan kata sandi Anda saat ini.

    Persyaratan kata sandi meliputi:

    • Setidaknya delapan karakter
    • Karakter alfabet huruf kecil dan huruf besar
    • Setidaknya satu angka
    • Setidaknya satu simbol

  5. Pilih Simpan saat Anda selesai.

Memulihkan akses istimewa ke sensor

Prosedur ini menjelaskan cara memulihkan akses istimewa ke sensor, untuk pengguna cyberx, dukungan, atau cyberx_host . Untuk informasi selengkapnya, lihat Pengguna lokal istimewa default.

Prasyarat: Prosedur ini hanya tersedia untuk pengguna cyberx, dukungan, atau cyberx_host .

Untuk memulihkan akses istimewa ke sensor:

  1. Mulai masuk ke sensor jaringan OT. Pada layar masuk, pilih tautan Reset . Misalnya:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. Dalam dialog Atur ulang kata sandi, dari menu Pilih pengguna, pilih pengguna yang kata sandinya Anda pulihkan, baik Cyberx, Dukungan, atau CyberX_host.

  3. Salin kode pengidentifikasi unik yang ditampilkan di Pengidentifikasi reset kata sandi ke clipboard. Misalnya:

    Screenshot of the Reset password dialog on the OT sensor.

  4. Buka halaman Defender untuk Situs dan sensor IoT di portal Azure. Anda mungkin ingin membuka portal Azure di tab atau jendela browser baru, menjaga tab sensor Anda tetap terbuka.

    Di pengaturan >portal Azure Anda Direktori + langganan, pastikan Anda telah memilih langganan tempat sensor Anda di-onboarding ke Defender untuk IoT.

  5. Pada halaman Situs dan sensor , temukan sensor yang sedang Anda kerjakan, dan pilih menu opsi (...) di sebelah kanan >Pulihkan kata sandi saya. Misalnya:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. Dalam dialog Pulihkan yang terbuka, masukkan pengidentifikasi unik yang telah Anda salin ke clipboard dari sensor Anda dan pilih Pulihkan. File password_recovery.zip diunduh secara otomatis.

    Semua file yang diunduh dari portal Azure ditandatangani oleh akar kepercayaan sehingga mesin Anda hanya menggunakan aset yang ditandatangani.

  7. Kembali ke tab sensor, pada layar Pemulihan kata sandi, pilih Pilih file. Navigasi ke dan unggah file password_recovery.zip yang telah Anda unduh sebelumnya dari portal Azure.

    Catatan

    Jika pesan kesalahan muncul, menunjukkan bahwa file tidak valid, Anda mungkin telah memilih langganan yang salah di pengaturan portal Azure Anda.

    Kembali ke Azure, dan pilih ikon pengaturan di toolbar atas. Pada halaman Direktori + langganan , pastikan Anda telah memilih langganan tempat sensor Anda di-onboarding ke Defender untuk IoT. Kemudian ulangi langkah-langkah di Azure untuk mengunduh file password_recovery.zip dan mengunggahnya di sensor lagi.

  8. Pilih Selanjutnya. Kata sandi yang dihasilkan sistem untuk sensor Anda muncul untuk Anda gunakan untuk pengguna yang dipilih. Pastikan untuk menuliskan kata sandi karena tidak akan ditampilkan lagi.

  9. Pilih Berikutnya lagi untuk masuk ke sensor Anda dengan kata sandi baru.

Tentukan jumlah maksimum proses masuk yang gagal

Gunakan akses CLI sensor OT untuk menentukan jumlah rincian masuk maksimum yang gagal sebelum sensor OT mencegah pengguna masuk lagi dari alamat IP yang sama.

Untuk informasi selengkapnya, lihat Defender untuk pengguna dan akses IoT CLI.

Prasyarat: Prosedur ini hanya tersedia untuk pengguna cyberx .

  1. Masuk ke sensor OT Anda melalui SSH dan jalankan:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. Dalam file settings.py, atur "MAX_FAILED_LOGINS" nilai ke jumlah maksimum masuk yang gagal yang ingin Anda tentukan. Pastikan Anda mempertimbangkan jumlah pengguna bersamaan dalam sistem Anda.

  3. Keluar dari file dan jalankan sudo monit restart all untuk menerapkan perubahan Anda.

Mengontrol batas waktu sesi pengguna

Secara default, pengguna lokal keluar dari sesi mereka setelah 30 menit tidak aktif. Pengguna admin dapat menggunakan akses CLI lokal untuk mengaktifkan atau menonaktifkan fitur ini, atau untuk menyesuaikan ambang tidak aktif. Untuk informasi selengkapnya, lihat Defender untuk pengguna IoT CLI dan akses dan referensi perintah CLI dari sensor jaringan OT.

Catatan

Setiap perubahan yang dilakukan pada batas waktu sesi pengguna diatur ulang ke default saat Anda memperbarui perangkat lunak pemantauan OT.

Prasyarat: Prosedur ini hanya tersedia untuk pengguna cyberx, dukungan, dan cyberx_host .

Untuk mengontrol batas waktu sesi pengguna sensor:

  1. Masuk ke sensor Anda melalui terminal dan jalankan:

    sudo nano /var/cyberx/properties/authentication.properties

    Output berikut muncul:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. Lakukan salah satu langkah berikut:

    • Untuk menonaktifkan batas waktu sesi pengguna sepenuhnya, ubah infinity_session_expiration=true ke infinity_session_expiration=false. Ubah kembali untuk menyalakannya kembali.

    • Untuk menyesuaikan periode batas waktu tidak aktif, sesuaikan salah satu nilai berikut ke waktu yang diperlukan, dalam hitungan detik:

      • session_expiration_default_seconds untuk semua pengguna
      • session_expiration_admin_secondshanya untuk pengguna Admin
      • session_expiration_security_analyst_seconds hanya untuk pengguna Analis Keamanan
      • session_expiration_read_only_users_secondshanya untuk pengguna Baca Saja

Langkah berikutnya

Untuk informasi selengkapnya, lihat Aktivitas pengguna audit.