Gestire la console di gestione locale (legacy)

Articolo
12/18/2023

Importante

Defender per IoT consiglia ora di usare i servizi cloud Microsoft o l'infrastruttura IT esistente per il monitoraggio centrale e la gestione dei sensori e prevede di ritirare la console di gestione locale il 1° gennaio 2025.

Per altre informazioni, vedere Distribuire la gestione dei sensori OT ibrida o air-gapped.

Questo articolo descrive le attività aggiuntive della console di gestione locale che è possibile eseguire all'esterno di un processo di distribuzione più ampio.

Attenzione

Per la configurazione dei clienti sono supportati solo i parametri di configurazione documentati nel sensore di rete OT e nella console di gestione locale. Non modificare parametri di configurazione o proprietà di sistema non documentati, perché le modifiche possono causare errori imprevisti e comportamenti di sistema.

La rimozione di pacchetti dal sensore senza l'approvazione di Microsoft può causare risultati imprevisti. Tutti i pacchetti installati nel sensore sono necessari per la corretta funzionalità del sensore.

Prerequisiti

Prima di eseguire le procedure descritte in questo articolo, assicurarsi di disporre di:

Una console di gestione locale installata e attivata.
Accesso alla console di gestione locale come utente Amministrazione. Anche le procedure selezionate e l'accesso all'interfaccia della riga di comando richiedono un utente con privilegi. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Un certificato SSL/TLS preparato se è necessario aggiornare il certificato del sensore.
Se si aggiunge una scheda di interfaccia di rete secondaria, è necessario accedere all'interfaccia della riga di comando come utente con privilegi.

Scaricare il software per la console di gestione locale

Potrebbe essere necessario scaricare il software per la console di gestione locale se si installa il software Defender per IoT nelle proprie appliance o si aggiornano le versioni software.

In Defender per IoT nella portale di Azure usare una delle opzioni seguenti:

Per un nuovo aggiornamento autonomo o di installazione, selezionare Guida introduttiva>alla console di gestione locale.
- Per una nuova installazione, selezionare una versione nell'area Acquistare un'appliance e installare il software e quindi selezionare Scarica.
- Per un aggiornamento, selezionare lo scenario di aggiornamento nell'area Console di gestione locale e quindi selezionare Scarica.
Se si aggiorna la console di gestione locale insieme ai sensori OT connessi, usare le opzioni nel menu Aggiornamento sensore pagina Siti e sensori>(anteprima).

Aggiungere una scheda di interfaccia di rete secondaria dopo l'installazione

Migliorare la sicurezza per la console di gestione locale aggiungendo una scheda di interfaccia di rete secondaria dedicata ai sensori collegati all'interno di un intervallo di indirizzi IP. Quando si usa una scheda di interfaccia di rete secondaria, la prima è dedicata per gli utenti finali e la secondaria supporta la configurazione di un gateway per le reti indirizzate.

Questa procedura descrive come aggiungere una scheda di interfaccia di rete secondaria dopo l'installazione della console di gestione locale.

Per aggiungere una scheda di interfaccia di rete secondaria:

Accedere alla console di gestione locale tramite SSH per accedere all'interfaccia della riga di comando ed eseguire:
```
sudo cyberx-management-network-reconfigure
```

Immettere le risposte seguenti alle domande seguenti:

Screenshot of the required answers to configure your appliance.

Parametri	Risposta da immettere
Indirizzo IP di rete di gestione	`N`
Subnet mask	`N`
DNS	`N`
Indirizzo IP del gateway predefinito	`N`
Interfaccia di monitoraggio dei sensori Facoltativo. Rilevante quando i sensori si trovano in un segmento di rete diverso.	`Y`e selezionare un valore possibile
Indirizzo IP per l'interfaccia di monitoraggio del sensore	`Y`e immettere un indirizzo IP accessibile dai sensori
Subnet mask per l'interfaccia di monitoraggio del sensore	`Y`e immettere un indirizzo IP accessibile dai sensori
Hostname (Nome host)	Immettere il nome host

Esaminare tutte le scelte e immettere Y per accettare le modifiche. Il sistema viene riavviato.

Caricare un nuovo file di attivazione

È stata attivata la console di gestione locale come parte della distribuzione.

Potrebbe essere necessario riattivare la console di gestione locale come parte delle procedure di manutenzione, ad esempio se il numero totale di dispositivi monitorati supera il numero di dispositivi concessi in licenza.

Per caricare un nuovo file di attivazione nella console di gestione locale:

In Defender per IoT nella portale di Azure selezionare Piani e prezzi.
Selezionare il piano e quindi scaricare il file di attivazione della console di gestione locale.

Salvare il file scaricato in un percorso accessibile dalla console di gestione locale.

Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.
Accedere alla console di gestione locale e selezionare System Impostazioni Activation ( Sistema Impostazioni> Attivazione).
Nella finestra di dialogo Attivazione selezionare CHOO edizione Standard FILE e passare al file di attivazione scaricato in precedenza.
Selezionare Chiudi per salvare le modifiche.

Gestire i certificati SSL/TLS

Se si usa un ambiente di produzione, è stato distribuito un certificato SSL/TLS firmato dalla CA come parte della distribuzione della console di gestione locale. È consigliabile usare certificati autofirmato solo a scopo di test.

Le procedure seguenti descrivono come distribuire certificati SSL/TLS aggiornati, ad esempio se il certificato è scaduto.

Distribuire un certificato firmato dalla CA
Creare e distribuire un certificato autofirmato

Per distribuire un certificato firmato dalla CA:

Accedere alla console di gestione locale e selezionare System Impostazioni SSL/TLS Certificates (Certificati system Impostazioni> SSL/TLS).

Nella finestra di dialogo Certificati SSL/TLS selezionare + Aggiungi certificato e immettere i valori seguenti:

Parametro	Descrizione
Nome certificato	Immettere il nome del certificato.
Passphrase - facoltativa	Immettere una passphrase.
Chiave privata (file KEY)	Caricare una chiave privata (file KEY).
Certificato (file CRT)	Caricare un certificato (file CRT).
Catena di certificati (file PEM) - Facoltativo	Caricare una catena di certificati (file PEM).

Ad esempio:

Se il caricamento non riesce, contattare l'amministratore IT o la sicurezza. Per altre informazioni, vedere Requisiti dei certificati SSL/TLS per le risorse locali e Creare certificati SSL/TLS per appliance OT.

Selezionare l'opzione Abilita convalida certificati per attivare la convalida a livello di sistema per i certificati SSL/TLS con l'autorità di certificazione e gli elenchi di revoche di certificati emittente.

Se questa opzione è attivata e la convalida ha esito negativo, la comunicazione tra i componenti pertinenti viene interrotta e viene visualizzato un errore di convalida nel sensore. Per altre informazioni, vedere Requisiti dei file CRT.
Seleziona Salva per salvare le modifiche.

Ogni console di gestione locale viene installata con un certificato autofirmato che è consigliabile usare solo a scopo di test. Negli ambienti di produzione è consigliabile usare sempre un certificato firmato dalla CA.

I certificati autofirmati comportano un ambiente meno sicuro, perché il proprietario del certificato non può essere convalidato e la sicurezza del sistema non può essere mantenuta.

Per creare un certificato autofirmato, scaricare il file del certificato dalla console di gestione locale e quindi usare una piattaforma di gestione dei certificati per creare i file di certificato da caricare nella console di gestione locale.

Per creare un certificato autofirmato:

Passare all'indirizzo IP della console di gestione locale in un browser e quindi:

Selezionare l'avviso Non sicuro nella barra degli indirizzi del Web browser, quindi selezionare l'icona > accanto al messaggio di avviso "La connessione a questo sito non è sicura". Ad esempio:
Selezionare l'icona Mostra certificato per visualizzare il certificato di sicurezza per questo sito Web.
Nel riquadro Visualizzatore certificati selezionare la scheda Dettagli, quindi selezionare Esporta per immettere un nome per il file esportato e salvarlo nel computer locale.

Usare una piattaforma di gestione dei certificati per creare i tipi seguenti di file di certificato SSL/TLS:

Tipo di file	Descrizione
.crt : file del contenitore di certificati	Un `.pem`file o `.der` con un'estensione diversa per il supporto in Esplora risorse.
Chiave privata - File di chiave privata	Un file di chiave è nello stesso formato di un `.pem` file, con un'estensione diversa per il supporto in Esplora risorse.
Pem: file del contenitore di certificati (facoltativo)	Facoltativo. Un file di testo con codifica Base64 del testo del certificato e un'intestazione e un piè di pagina di testo normale per contrassegnare l'inizio e la fine del certificato.

Ad esempio:

Aprire il file del certificato scaricato e selezionare la scheda >Dettagli Copia nel file per eseguire l'Esportazione guidata certificati.
Nell'Esportazione guidata certificati selezionare Next>DER encoded binary X.509 (. CER)> e quindi selezionare di nuovo Avanti .
Nella schermata File da esportare selezionare Sfoglia, scegliere un percorso in cui archiviare il certificato e quindi selezionare Avanti.
Selezionare Fine per esportare il certificato.

Nota

Potrebbe essere necessario convertire i tipi di file esistenti in tipi supportati.

Al termine, usare le procedure seguenti per convalidare i file di certificato:

Per distribuire un certificato autofirmato:

Accedere alla console di gestione locale e selezionare Impostazioni>di sistema Ssl/Certificati TLS.
Nella finestra di dialogo Certificati SSL/TLS mantenere selezionata l'opzione predefinita Certificato autofirmato generato localmente (non sicuro, non consigliato).
Selezionare CONFERMA per confermare l'avviso.
Selezionare l'opzione Abilita convalida certificato per convalidare il certificato in un server CRL. Il certificato viene controllato una volta durante il processo di importazione.

Se questa opzione è attivata e la convalida ha esito negativo, la comunicazione tra i componenti pertinenti viene interrotta e viene visualizzato un errore di convalida nel sensore. Per altre informazioni, vedere Requisiti dei file CRT.
Selezionare Salva per salvare le impostazioni del certificato.

Risolvere gli errori di caricamento dei certificati

Non sarà possibile caricare i certificati nei sensori OT o nelle console di gestione locali se i certificati non vengono creati correttamente o non sono validi. Usare la tabella seguente per comprendere come intervenire se il caricamento del certificato non riesce e viene visualizzato un messaggio di errore:

Errore di convalida del certificato	Consiglio
La passphrase non corrisponde alla chiave	Assicurarsi di avere la passphrase corretta. Se il problema persiste, provare a ricreare il certificato usando la passphrase corretta. Per altre informazioni, vedere Caratteri supportati per chiavi e passphrase.
Impossibile convalidare la catena di attendibilità. Il certificato e la CA radice forniti non corrispondono.	Assicurarsi che un `.pem` file sia correlato al `.crt` file. Se il problema persiste, provare a ricreare il certificato usando la catena di attendibilità corretta, come definito dal `.pem` file.
Questo certificato SSL è scaduto e non è considerato valido.	Creare un nuovo certificato con date valide.
Questo certificato è stato revocato dal CRL e non può essere considerato attendibile per una connessione sicura	Creare un nuovo certificato non richiamato.
Il percorso CRL (Certificate Revocation List) non è raggiungibile. Verificare che l'URL sia accessibile da questa appliance	Assicurarsi che la configurazione di rete consenta al sensore o alla console di gestione locale di raggiungere il server CRL definito nel certificato. Per altre informazioni, vedere Verificare l'accesso al server CRL.
Convalida del certificato non riuscita	Indica un errore generale nell'appliance. Contattare supporto tecnico Microsoft.

Modificare il nome della console di gestione locale

Il nome predefinito della console di gestione locale è Console di gestione e viene visualizzato nella GUI della console di gestione locale e nei log di risoluzione dei problemi.

Per modificare il nome della console di gestione locale:

Accedere alla console di gestione locale e selezionare il nome in basso a sinistra, appena sopra il numero di versione.
Nella finestra di dialogo Modifica configurazione della console di gestione immettere il nuovo nome. Il nome deve avere un massimo di 25 caratteri. Ad esempio:
Seleziona Salva per salvare le modifiche.

Ripristinare una password utente con privilegi

Se non si ha più accesso alla console di gestione locale come utente con privilegi, ripristinare l'accesso dal portale di Azure.

Per ripristinare l'accesso utente con privilegi:

Passare alla pagina di accesso per la console di gestione locale e selezionare Ripristino password.
Selezionare l'utente per cui si vuole ripristinare l'accesso, ovvero l'utente Support o CyberX .
Copiare l'identificatore visualizzato nella finestra di dialogo Ripristino password in una posizione sicura.
Passare a Defender per IoT nella portale di Azure e assicurarsi di visualizzare la sottoscrizione usata per caricare i sensori OT attualmente connessi alla console di gestione locale.
Selezionare Siti e sensori>Altre azioni>Ripristinare una password della console di gestione locale.
Immettere l'identificatore del segreto copiato in precedenza dalla console di gestione locale e selezionare Ripristina.

Un password_recovery.zip file viene scaricato dal browser.

Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.
Nella finestra di dialogo Ripristino password nella console di gestione locale selezionare Carica e selezionare il password_recovery.zip file scaricato.

Vengono visualizzate le nuove credenziali.

Modificare il nome host

Il nome host della console di gestione locale deve corrispondere al nome host configurato nel server DNS dell'organizzazione.

Per modificare il nome host salvato nella console di gestione locale:

Accedere alla console di gestione locale e selezionare Impostazioni di sistema.
Nell'area Rete della console di gestione selezionare Rete.
Immettere il nuovo nome host e selezionare SALVA per salvare le modifiche.

Definire i nomi VLAN

I nomi VLAN non vengono sincronizzati tra un sensore OT e la console di gestione locale. Se sono stati definiti nomi VLAN nel sensore OT, è consigliabile definire nomi VLAN identici nella console di gestione locale.

Per definire i nomi VLAN:

Accedere alla console di gestione locale e selezionare Impostazioni di sistema.
Nell'area Rete della console di gestione selezionare VLAN.
Nella finestra di dialogo Modifica configurazione VLAN selezionare Aggiungi VLAN e quindi immettere l'ID VLAN e il nome, uno alla volta.
Selezionare SALVA per salvare le modifiche.

Configurare le impostazioni del server di posta SMTP

Definire le impostazioni del server di posta SMTP nella console di gestione locale in modo da configurare la console di gestione locale per inviare dati ad altri server e servizi partner.

Ad esempio, è necessario un server di posta SMTP configurato per configurare l'inoltro della posta elettronica e configurare le regole di avviso di inoltro.

Prerequisiti:

Assicurarsi di poter raggiungere il server SMTP dalla console di gestione locale.

Per configurare un server SMTP nella console di gestione locale:

Accedere alla console di gestione locale come utente con privilegi tramite SSH/Telnet.

Terza fase

nano /var/cyberx/properties/remote-interfaces.properties

Immettere i dettagli del server SMTP seguenti come richiesto:
- mail.smtp_server
- mail.port. La porta predefinita è 25.
- mail.sender

Passaggi successivi

Per altre informazioni, vedi: