Risolvere i problemi del sensore

Questo articolo descrive gli strumenti di risoluzione dei problemi di base per il sensore. Oltre agli elementi descritti qui, è possibile controllare l'integrità del sistema nei modi seguenti:

• Avvisi: viene creato un avviso quando l'interfaccia del sensore che monitora il traffico è inattiva.
• SNMP: l'integrità del sensore viene monitorata tramite SNMP. Microsoft Defender per IoT risponde alle query SNMP inviate da un server di monitoraggio autorizzato.
• Notifiche di sistema: quando una console di gestione controlla il sensore, è possibile inoltrare avvisi relativi ai backup dei sensori non riusciti e ai sensori disconnessi.

Per eventuali altri problemi, contattare supporto tecnico Microsoft.

Prerequisiti

Per eseguire le procedure descritte in questo articolo, assicurarsi di disporre di:

• Accesso al sensore di rete OT come utente amministratore predefinito. Per altre informazioni, vedere Utenti locali con privilegi predefiniti.

Controllare il sensore - Problemi di connettività cloud

I sensori OT eseguono automaticamente i controlli di connettività per assicurarsi che il sensore abbia accesso a tutti gli endpoint necessari. Se un sensore non è connesso, viene indicato un errore nella portale di Azure, nella pagina Siti e sensori e nella pagina Panoramica del sensore. Ad esempio:

```

Usare la pagina risoluzione dei problemi di connettività cloud nel sensore OT per altre informazioni sull'errore che si è verificato e sulle azioni di mitigazione consigliate che è possibile eseguire.

Per risolvere gli errori di connettività, accedere al sensore OT ed eseguire una delle operazioni seguenti:

• Nella pagina Panoramica del sensore selezionare il collegamento Risoluzione dei problemi* nell'errore nella parte superiore della pagina
• Selezionare Impostazioni di sistema Integrità > della gestione > dei sensori e risoluzione dei problemi di > connettività cloud

Il riquadro Risoluzione dei problemi di connettività cloud si apre a destra. Se il sensore è connesso al portale di Azure, il riquadro indica che il sensore è connesso correttamente al cloud. Se il sensore non è connesso, viene invece elencata una descrizione del problema e le istruzioni di mitigazione. Ad esempio:

Il riquadro Risoluzione dei problemi di connettività cloud illustra i tipi di problemi seguenti:

Problema	Descrizione
Errori durante la definizione di connessioni sicure	Si verifica per gli errori SSL, che in genere significa che il sensore non considera attendibile il certificato trovato. Ciò può verificarsi a causa di una configurazione dell'ora del sensore non corretta o dell'uso di un servizio di ispezione SSL. I servizi di ispezione SSL sono spesso presenti nei proxy e possono causare potenziali errori di certificato. Per altre informazioni, vedere Gestire i certificati SSL/TLS e Sincronizzare i fusi orari in un sensore OT.
Errori di connessione generali	Si verifica quando il sensore non può connettersi a uno o più endpoint necessari. In questi casi, assicurarsi che tutti gli endpoint necessari siano accessibili dal sensore e valutare la possibilità di configurare più endpoint nel firewall. Per altre informazioni, vedere Effettuare il provisioning dei sensori per la gestione cloud.
Errori del server DNS non raggiungibili	Si verifica quando il sensore non riesce a eseguire la risoluzione dei nomi a causa di un server DNS non raggiungibile. In questi casi, verificare che il sensore possa accedere al server DNS. Per altre informazioni, vedere Aggiornare la configurazione di rete del sensore OT
Problemi di autenticazione proxy	Si verifica quando un proxy richiede l'autenticazione, ma non vengono fornite credenziali o credenziali non corrette. In questi casi, assicurarsi di aver configurato correttamente le credenziali del proxy. Per altre informazioni, vedere Aggiornare la configurazione della rete del sensore OT.
Errori di risoluzione dei nomi	Si verifica quando il sensore non può eseguire la risoluzione dei nomi per un endpoint specifico. In questi casi, se il server DNS è raggiungibile, assicurarsi che il server DNS sia configurato correttamente nel sensore. Se la configurazione è corretta, è consigliabile contattare l'amministratore DNS. Per altre informazioni, vedere Aggiornare la configurazione della rete del sensore OT.
Errori del server proxy non raggiungibili	Si verifica quando il sensore non riesce a stabilire una connessione con il server proxy. In questi casi, verificare la raggiungibilità del server proxy con il team di rete. Per altre informazioni, vedere Aggiornare la configurazione della rete del sensore OT.
Rilevata deviazione temporale	Si verifica quando l'ora UTC del sensore non è sincronizzata con Defender per IoT nel portale di Azure. In questo caso, configurare un server NTP (Network Time Protocol) per sincronizzare il sensore in ora UTC. Per altre informazioni, vedere Configurare le impostazioni del sensore OT dal portale di Azure.

Controllare l'integrità del sistema

Controllare l'integrità del sistema dal sensore.

Per accedere allo strumento di integrità del sistema:

1. Accedere al sensore con le credenziali utente amministratore e selezionare Controllo integrità> di sistema Impostazioni Sistema.

2. Nel riquadro Controllo integrità sistema selezionare un comando dal menu per visualizzare altri dettagli nella casella. Ad esempio:

   

I controlli di integrità del sistema includono quanto segue:

Nome	Descrizione
Sanità mentale
-Apparecchio	Esegue il controllo della integrità dell'appliance. È possibile eseguire lo stesso controllo usando il comando dell'interfaccia della riga di comando system-sanity.
-Versione	Visualizza la versione dell'appliance.
- Proprietà di rete	Visualizza i parametri di rete del sensore.
Redis
- Memoria	Fornisce l'immagine complessiva dell'utilizzo della memoria, ad esempio la quantità di memoria usata e la quantità di memoria rimasta.
- Chiave più lunga	Visualizza le chiavi più lunghe che potrebbero causare un utilizzo elevato della memoria.
Di sistema
- Log di base	Fornisce le ultime 500 righe del log principale, in modo da poter visualizzare le righe di log recenti senza esportare l'intero log di sistema.
- Gestione attività	Converte le attività visualizzate nella tabella dei processi nei livelli seguenti: - Livello persistente (Redis) - Livello cache (SQL)
- Statistiche di rete	Visualizza le statistiche di rete.
-IN ALTO	Mostra la tabella dei processi. Si tratta di un comando Linux che fornisce una visualizzazione dinamica in tempo reale del sistema in esecuzione.
- Controllo della memoria di backup	Fornisce lo stato della memoria di backup, controllando quanto segue: - Percorso della cartella di backup - Dimensioni della cartella di backup - Limitazioni della cartella di backup - Quando si è verificato l'ultimo backup - Quantità di spazio disponibile per i file di backup aggiuntivi
-Ifconfig	Visualizza i parametri per le interfacce fisiche dell'appliance.
- CyberX nload	Visualizza il traffico di rete e la larghezza di banda usando i test di sei secondi.
- Errori dal log principale	Visualizza gli errori del file di log principale.

Controllare l'integrità del sistema usando l'interfaccia della riga di comando

Verificare che il sistema sia operativo prima di testare la integrità del sistema.

Per altre informazioni, vedere Informazioni di riferimento sui comandi dell'interfaccia della riga di comando dai sensori di rete OT.

Per testare la integrità del sistema:

1. Connessione all'interfaccia della riga di comando con il terminale Linux (ad esempio PuTTY) e l'amministratore dell'utente.

2. Immetti system sanity.

3. Verificare che tutti i servizi siano verdi (in esecuzione).

   

4. Verificare che Il sistema sia UP! (prod) viene visualizzato nella parte inferiore.

Verificare che venga usata la versione corretta:

Per controllare la versione del sistema:

1. Connessione all'interfaccia della riga di comando con il terminale Linux (ad esempio PuTTY) e l'amministratore dell'utente.

2. Immetti system version.

3. Verificare che venga visualizzata la versione corretta.

Verificare che tutte le interfacce di input configurate durante il processo di installazione siano in esecuzione:

Per convalidare lo stato di rete del sistema:

1. Connessione all'interfaccia della riga di comando con il terminale Linux (ad esempio PuTTY) e l'utente amministratore.

2. Immettere network list (equivalente al comando ifconfigLinux ).

3. Verificare che vengano visualizzate le interfacce di input necessarie. Ad esempio, se sono installate due schede di interfaccia di rete in rame quad, nell'elenco dovrebbero essere presenti 10 interfacce.

   

Verificare di poter accedere all'interfaccia utente grafica Web della console:

Per verificare che la gestione abbia accesso all'interfaccia utente:

1. Connessione un portatile con un cavo Ethernet alla porta di gestione (Gb1).

2. Definire l'indirizzo della scheda di interfaccia di rete del portatile nello stesso intervallo dell'appliance.

   

3. Effettuare il ping dell'indirizzo IP dell'appliance dal portatile per verificare la connettività (impostazione predefinita: 10.100.10.1).

4. Aprire il browser Chrome nel portatile e immettere l'indirizzo IP dell'appliance.

5. Nella finestra Connessione non privata selezionare Avanzate e procedere.

6. Il test ha esito positivo quando viene visualizzata la schermata di accesso di Defender per IoT.

   

Scaricare un log di diagnostica per il supporto

Questa procedura descrive come scaricare un log di diagnostica da inviare al supporto in relazione a un ticket di supporto specifico.

Questa funzionalità è supportata per le versioni del sensore seguenti:

• 22.1.1 - Scaricare un log di diagnostica dalla console del sensore.
• 22.1.3 e versioni successive: per i sensori gestiti in locale, caricare un log di diagnostica dalla pagina Siti e sensori nella portale di Azure. Questo file viene inviato automaticamente al supporto quando si apre un ticket in un sensore connesso al cloud.

Tutti i file scaricati dal portale di Azure sono firmati dalla radice di attendibilità in modo che i computer usino solo asset firmati.

Per scaricare un log di diagnostica:

1. Nella console del sensore selezionare Impostazioni di sistema > Integrità gestione > sensori e risoluzione dei problemi > Backup e ripristino > backup.

2. In Log selezionare Diagnostica ticket di supporto e quindi selezionare Esporta.

   

3. Per un sensore gestito in locale, versione 22.1.3 o successiva, continuare con Caricare un log di diagnostica per il supporto.

Recuperare i dati forensi

I seguenti tipi di dati forensi vengono archiviati localmente nei sensori OT, per i dispositivi rilevati da tale sensore:

• Dati del dispositivo
• Dati di avviso
• File PCAP di avviso
• Dati della sequenza temporale degli eventi
• File di registro

Usare i report di data mining del sensore OT o le cartelle di lavoro di Monitoraggio di Azure in un sensore di rete OT per recuperare i dati forensi dall'archiviazione del sensore. Ogni tipo di dati ha un periodo di conservazione e una capacità massima diversi.

Per altre informazioni, vedere Conservazione dei dati in Microsoft Defender per IoT.

Non è possibile connettersi usando un'interfaccia Web

1. Verificare che il computer che si sta tentando di connettersi si trovi nella stessa rete dell'appliance.

2. Verificare che la rete GUI sia connessa alla porta di gestione.

3. Effettuare il ping dell'indirizzo IP dell'appliance. Se non è presente alcun ping:

   1. Connessione un monitor e una tastiera per l'appliance.

   2. Usare l'utente amministratore e la password per accedere.

   3. Usare il comando network list per visualizzare l'indirizzo IP corrente.

4. Se i parametri di rete non sono configurati correttamente, usare la procedura seguente per modificarli:

   1. Usare il comando network edit-settings.

   2. Per modificare l'indirizzo IP di rete di gestione, selezionare Y.

   3. Per modificare la subnet mask, selezionare Y.

   4. Per modificare il DNS, selezionare Y.

   5. Per modificare l'indirizzo IP del gateway predefinito, selezionare Y.

   6. Per la modifica dell'interfaccia di input (solo sensore), selezionare N.

   7. Per applicare le impostazioni, selezionare Y.

5. Dopo il riavvio, connettersi con le credenziali utente amministratore e usare il network list comando per verificare che i parametri siano stati modificati.

6. Provare a eseguire di nuovo il ping e connettersi dall'interfaccia utente grafica.

L'appliance non risponde

1. Connessione un monitor e una tastiera all'appliance oppure usare PuTTY per connettersi in remoto all'interfaccia della riga di comando.

2. Usare le credenziali utente amministratore per accedere.

3. Usare il system sanity comando e verificare che tutti i processi siano in esecuzione. Ad esempio:

   

Per eventuali altri problemi, contattare supporto tecnico Microsoft.

Analizzare l'errore della password all'accesso iniziale

Quando si accede a un sensore preconfigurato per la prima volta, è necessario eseguire il ripristino delle password come indicato di seguito:

1. Nella schermata di accesso di Defender per IoT selezionare Ripristino password. Verrà visualizzata la schermata Ripristino password.

2. Selezionare Amministrazione o CyberX e copiare l'identificatore univoco.

3. Passare alla portale di Azure e selezionare Siti e sensori.

4. Selezionare il menu a discesa Altre azioni e selezionare Ripristina password della console di gestione locale.

   

5. Immettere l'identificatore univoco ricevuto nella schermata Ripristino password e selezionare Ripristina. Il password_recovery.zip file viene scaricato. Non estrarre o modificare il file ZIP.

   

6. Nella schermata Ripristino password selezionare Carica. Verrà visualizzata la finestra Carica file di recupero password.

7. Selezionare Sfoglia per individuare il password_recovery.zip file o trascinare nella password_recovery.zip finestra.

8. Selezionare Avanti e l'utente e verrà visualizzata una password generata dal sistema per la console di gestione.

   Nota

   Quando si accede a un sensore per la prima volta, è collegato alla sottoscrizione di Azure, che sarà necessario se è necessario recuperare la password per l'utente amministratore . Per altre informazioni, vedere Ripristinare l'accesso con privilegi a un sensore.

Analizzare la mancanza di traffico

Un indicatore viene visualizzato nella parte superiore della console quando il sensore riconosce che non è presente traffico su una delle porte configurate. Questo indicatore è visibile a tutti gli utenti. Quando viene visualizzato questo messaggio, è possibile esaminare dove non è presente traffico. Assicurarsi che il cavo di estensione sia collegato e che non siano state apportate modifiche all'architettura dell'intervallo.

Controllare le prestazioni del sistema

Quando viene distribuito un nuovo sensore o un sensore funziona lentamente o non visualizza alcun avviso, è possibile controllare le prestazioni del sistema.

1. Accedere al sensore e selezionare Panoramica. Assicurarsi che PPS sia maggiore di 0 e che i dispositivi vengano individuati.
2. Nella pagina Data mining generare un report.
3. Nella pagina Tendenze e statistiche creare un dashboard.
4. Nella pagina Avvisi verificare che l'avviso sia stato creato.

Analizzare la mancanza di avvisi previsti

Se la finestra Avvisi non mostra un avviso previsto, verificare quanto segue:

1. Controllare se lo stesso avviso viene già visualizzato nella finestra Avvisi come reazione a un'istanza di sicurezza diversa. In caso affermativo, e questo avviso non è ancora stato gestito, la console del sensore non visualizza un nuovo avviso.
2. Assicurarsi di non escludere questo avviso usando le regole di esclusione degli avvisi nella console di gestione.

Analizzare il dashboard che non mostra dati

Quando i dashboard nella finestra Tendenze e statistiche non mostrano dati, eseguire le operazioni seguenti:

1. Controllare le prestazioni del sistema.
2. Assicurarsi che le impostazioni relative all'ora e all'area siano configurate correttamente e non siano impostate su un'ora futura.

Esaminare una mappa dei dispositivi che mostra solo i dispositivi di trasmissione

Quando i dispositivi visualizzati nella mappa dei dispositivi non vengono visualizzati tra loro, è possibile che si verifichi un errore nella configurazione della porta SPAN. Ciò significa che potresti vedere solo i dispositivi di trasmissione e nessun traffico unicast.

1. Verificare che il traffico di trasmissione sia visualizzato solo. A tale scopo, in Data mining selezionare Crea report. In Crea nuovo report specificare i campi del report. In Scegli categoria scegliere Seleziona tutto.
2. Salvare il report ed esaminarlo per verificare se viene visualizzato solo il traffico broadcast e multicast (e non viene visualizzato alcun traffico unicast). In tal caso, contattare il team di rete per correggere la configurazione della porta SPAN in modo che sia possibile visualizzare anche il traffico unicast. In alternativa, è possibile registrare un PCAP direttamente dal commutatore o connettere un portatile usando Wireshark.

Per altre informazioni, vedi:

• Configurare il mirroring del traffico
• Caricare e riprodurre file PCAP

Connessione il sensore a NTP

È possibile configurare un sensore autonomo e una console di gestione, con i sensori correlati, per connettersi a NTP.

Suggerimento

Quando si è pronti per iniziare a gestire le impostazioni del sensore OT su larga scala, definire le impostazioni NTP dal portale di Azure. Dopo aver applicato le impostazioni dalla portale di Azure, le impostazioni nella console del sensore sono di sola lettura. Per altre informazioni, vedere Configurare le impostazioni del sensore OT dal portale di Azure (anteprima pubblica).

Per connettere un sensore autonomo a NTP:

• Vedere la documentazione dell'interfaccia della riga di comando.

Per connettere un sensore controllato dalla console di gestione a NTP:

• La connessione a NTP viene configurata nella console di gestione. Tutti i sensori che controllano la console di gestione ottengono automaticamente la connessione NTP.

Esaminare quando i dispositivi non vengono visualizzati sulla mappa o sono presenti più avvisi correlati a Internet

A volte i dispositivi ICS sono configurati con indirizzi IP esterni. Questi dispositivi ICS non vengono visualizzati sulla mappa. Anziché i dispositivi, viene visualizzato un cloud Internet sulla mappa. Gli indirizzi IP di questi dispositivi sono inclusi nell'immagine cloud. Un'altra indicazione dello stesso problema è quando vengono visualizzati più avvisi correlati a Internet. Risolvere il problema nel modo seguente:

1. Fare clic con il pulsante destro del mouse sull'icona del cloud sulla mappa del dispositivo e scegliere Esporta indirizzi IP.
2. Copiare gli intervalli pubblici privati e aggiungerli all'elenco di subnet. Per altre informazioni, vedere Ottimizzare l'elenco di subnet.
3. Generare un nuovo report di data mining per le connessioni Internet.
4. Nel report di data mining immettere la modalità amministratore ed eliminare gli indirizzi IP dei dispositivi ICS.

Cancellazione dei dati dei sensori

Nei casi in cui il sensore deve essere spostato o cancellato, tutti i dati appresi possono essere cancellati dal sensore.

Per altre informazioni su come cancellare i dati di sistema, vedere Cancellare i dati del sensore OT.

Esportare i log dalla console del sensore per la risoluzione dei problemi

Per altre informazioni sulla risoluzione dei problemi, è possibile esportare i log da inviare al team di supporto, ad esempio i log del database o del sistema operativo.

Per esportare i dati di log:

1. Nella console del sensore passare a Impostazioni di sistema>>Backup e ripristino backup del sensore.>

2. Nella finestra di dialogo Esporta informazioni sulla risoluzione dei problemi:

   1. Nel campo Nome file immettere un nome significativo per il log esportato. Il nome file predefinito usa la data corrente, ad esempio 13:10-June-14-2022.tar.gz.

   2. Selezionare i log da esportare.

   3. Selezionare Esporta.

   Il file viene esportato ed è collegato dall'elenco File archiviati nella parte inferiore della finestra di dialogo Esporta informazioni sulla risoluzione dei problemi.

   Ad esempio:

   

3. Selezionare il collegamento al file per scaricare il log esportato e selezionare anche il pulsante per visualizzarne la password monouso.

4. Per aprire i log esportati, inoltrare il file scaricato e la password monouso al team di supporto. I log esportati possono essere aperti solo insieme al team di supporto Microsoft.

   Per proteggere i log, assicurarsi di inoltrare la password separatamente dal log scaricato.

Nota

La diagnostica del ticket di supporto può essere scaricata dalla console del sensore e quindi caricata direttamente nel team di supporto nel portale di Azure. Per altre informazioni sul download dei log di diagnostica, vedere Scaricare un log di diagnostica per il supporto.

Passaggi successivi

• Visualizzare gli avvisi

• Configurare il monitoraggio dell'integrità MIB SNMP in un sensore OT

• Monitorare i sensori OT disconnessi