Solucionar problemas do sensor

Este artigo descreve as ferramentas básicas de solução de problemas do sensor. Além dos itens descritos aqui, você pode verificar a integridade do sistema das seguintes formas:

• Alertas: um alerta é criado quando a interface do sensor que monitora o tráfego está inoperante.
• SNMP: a integridade do sensor é monitorada por meio do SNMP. O Microsoft Defender para IoT responde a consultas do SNMP enviadas de um servidor de monitoramento autorizado.
• Notificações do sistema: quando um console de gerenciamento controla o sensor, você pode encaminhar alertas sobre backups com falha e sensores desconectados.

Para outros problemas, entre em contato com o Suporte da Microsoft.

Pré-requisitos

Antes de executar os procedimentos neste artigo, verifique se você tem:

• Acesso ao sensor de rede OT como um usuário administrador padrão. Para obter mais informações, confira Usuários locais com privilégios padrão.

Verificar sensor – problemas de conectividade com a nuvem

Os sensores OT executam automaticamente verificações de conectividade para garantir que o sensor tenha acesso a todos os pontos de extremidade necessários. Se um sensor não estiver conectado, um erro será indicado no portal do Azure, na página Sites e sensores e na página Visão geral do sensor. Por exemplo:

```

Use a página Solução de problemas de conectividade com a nuvem em seu sensor OT para saber mais sobre o erro que ocorreu e as ações de mitigação recomendadas que você pode executar.

Para solucionar erros de conectividade, entre no sensor OT e execute uma das seguintes ações:

• Na página Visão geral do sensor, selecione o link Solucionar problemas no erro na parte superior da página
• Selecione Configurações do sistema > Gerenciamento de sensor > Integridade e solução de problemas > Solução de problemas de conectividade com a nuvem

O painel Solução de problemas de conectividade com a nuvem é aberto à direita. Se o sensor estiver conectado ao portal do Azure, o painel indicará que O sensor está conectado à nuvem com êxito. Se o sensor não estiver conectado, uma descrição do problema e as instruções de mitigação serão listadas. Por exemplo:

O painel Solução de problemas de conectividade com a nuvem abrange os seguintes tipos de problemas:

Problema	Descrição
Erros ao estabelecer conexões seguras	Ocorre para erros de SSL, o que normalmente significa que o sensor não confia no certificado encontrado. Isso pode ocorrer devido a uma configuração incorreta do tempo do sensor ou ao uso de um serviço de inspeção SSL. Os serviços de inspeção de SSL geralmente são encontrados em proxies e podem levar a possíveis erros de certificado. Para obter mais informações, confira Gerenciar certificados SSL/TLS e Sincronizar fusos horários em um sensor OT.
Erros gerais de conexão	Ocorre quando o sensor não consegue se conectar a um ou mais pontos de extremidade necessários. Nesses casos, verifique se todos os pontos de extremidade necessários estão acessíveis no sensor e considere configurar mais pontos de extremidade no firewall. Para obter mais informações, confira o artigo Provisionar sensores para o gerenciamento de nuvem.
Erros de servidor DNS inacessível	Ocorre quando o sensor não consegue executar a resolução de nomes devido a um servidor DNS inacessível. Nesses casos, verifique se o sensor pode acessar o servidor DNS. Para obter mais informações, confira Atualizar a configuração de rede do sensor OT
Problemas de autenticação de proxy	Ocorre quando um proxy exige autenticação, mas não são fornecidas credenciais ou são fornecidas credenciais incorretas. Nesses casos, verifique se você configurou as credenciais de proxy corretamente. Para obter mais informações, confira Atualizar a configuração de rede do sensor OT.
Falhas na resolução de nomes	Ocorre quando o sensor não consegue executar a resolução de nomes para um ponto de extremidade específico. Nesses casos, se o servidor DNS estiver acessível, verifique se o servidor DNS está configurado corretamente no sensor. Se a configuração estiver correta, recomendamos que entre em contato com o administrador do DNS. Para obter mais informações, confira Atualizar a configuração de rede do sensor OT.
Erros de servidor proxy inacessível	Ocorre quando o sensor não consegue estabelecer uma conexão com o servidor proxy. Nesses casos, confirme a acessibilidade do servidor proxy com a equipe de rede. Para obter mais informações, confira Atualizar a configuração de rede do sensor OT.
Descompasso de tempo detectado	Ocorre quando a hora UTC do sensor não é sincronizada com o Defender para IoT no portal do Azure. Nesse caso, configure um servidor de protocolo NTP para sincronizar o sensor com o horário UTC. Para obter mais informações, confira Definir as configurações do sensor de OT usando o portal do Azure.

Verificar a integridade do sistema

Verifique a integridade do seu sistema a partir do sensor.

Para acessar a ferramenta de integridade do sistema:

1. Entre no sensor com as credenciais do usuárioadministrador e selecione Configurações do Sistema>Verificação de integridade do sistema.

2. No painel Verificação de integridade do sistema, selecione um comando no menu para exibir mais detalhes na caixa. Por exemplo:

   

As verificações de integridade do sistema incluem o seguinte:

Nome	Descrição
Sanidade
– Dispositivo	Executa a verificação de sanidade do dispositivo. Você pode executar a mesma verificação usando o comando system-sanity da CLI.
– Versão	Exibe a versão do dispositivo.
– Propriedades de rede	Exibe os parâmetros da rede de sensores.
Redis
– Memory	Fornece a imagem geral do uso de memória, como a quantidade de memória que foi utilizada e a quantidade que ainda está disponível.
– Chave mais longa	Exibe as chaves mais longas que podem causar o uso extensivo da memória.
System
– Log principal	Fornece as últimas 500 linhas do log principal, para que você possa visualizar as linhas de log recentes sem exportar o log do sistema inteiro.
– Gerenciador de Tarefas	Traduz as tarefas que aparecem na tabela de processos para as seguintes camadas: – Camada persistente (Redis) – Camada de cache (SQL)
– Estatísticas de Rede	Exibe suas estatísticas de rede.
– TOP	Mostra a tabela de processos. É um comando do Linux que fornece uma exibição dinâmica em tempo real do sistema em execução.
– Verificação de memória de Backup	Fornece o status da memória de backup, verificando o seguinte: – O local da pasta de backup – O tamanho da pasta de backup – As limitações da pasta de backup – Quando ocorreu o último backup - Quanto espaço há para os arquivos de backup extras
– ifconfig	Exibe os parâmetros para as interfaces físicas do dispositivo.
– CyberX nload	Exibe o tráfego e a largura de banda usando os testes de seis segundos.
- Erros do log do núcleo	Exibe os erros do arquivo de log principal.

Verificar a integridade do sistema usando a CLI

Verifique se o sistema está em funcionamento e em execução antes de testar a integridade do sistema.

Para mais informações, confira Referência de comando da CLI de sensores de rede OT.

Para testar a integridade do sistema:

1. Conecte-se à CLI com o terminal do Linux (por exemplo, PuTTY) e o usuário administrador.

2. Digite system sanity.

3. Verifique se todos os serviços estão verdes (em execução).

   

4. Verifique se Sistema está ativo! (prod) aparece na parte inferior.

Verifique se está sendo usada a versão correta:

Para verificar a versão do sistema:

1. Conecte-se à CLI com o terminal do Linux (por exemplo, PuTTY) e o usuário administrador.

2. Digite system version.

3. Verifique se é exibida a versão correta.

Verifique se todas as interfaces de entrada configuradas durante o processo de instalação estão em execução:

Para validar o status de rede do sistema:

1. Conecte-se à CLI com o terminal do Linux (por exemplo, PuTTY) e o usuário administrador.

2. Insira network list (o equivalente ao comando ifconfig do Linux).

3. Valide se são exibidas as interfaces de entrada necessárias. Por exemplo, se duas quad Copper NICs estiverem instaladas, deve haver 10 interfaces na lista.

   

Verifique se você pode acessar a GUI da Web do console:

Para verificar se o gerenciamento tem acesso à interface do usuário:

1. Conecte um laptop com um cabo Ethernet à porta de gerenciamento (Gb1).

2. Defina o endereço NIC do laptop para o mesmo intervalo que o do dispositivo.

   

3. Execute o ping no endereço IP do dispositivo do laptop para verificar a conectividade (padrão: 10.100.10.1).

4. Abra o navegador Chrome no laptop e insira o endereço IP do dispositivo.

5. Na janela Sua conexão não é privada, selecione Avançado e prossiga.

6. O teste é bem-sucedido quando a tela de entrada do Defender para IoT é exibida.

   

Baixar um log de diagnóstico para suporte

Este procedimento descreve como baixar um log de diagnóstico para enviar suporte em conexão com um tíquete de suporte específico.

Esse recurso tem suporte para as seguintes versões do sensor:

• 22.1.1: Baixar um log de diagnóstico do console do sensor
• 22.1.3 e superior – Para sensores gerenciados localmente, carregue um log de diagnóstico da página Sites e sensores no portal do Azure. Esse arquivo é enviado automaticamente para suporte quando você abre um tíquete em um sensor conectado à nuvem.

Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem somente ativos assinados.

Para baixar um log de diagnóstico:

1. No console do sensor, selecione Configurações do sistema > Gerenciamento de sensor > Integridade e solucionar problemas > Backup e restauração > Backup.

2. Em Logs, selecione Diagnóstico de Tíquete de Suporte e, em seguida, selecione Exportar.

   

3. Para um sensor gerenciado localmente, versão 22.1.3 ou superior, continue com o Upload de um log de diagnóstico para obter suporte.

Recupere dados forenses

Os seguintes tipos de dados forenses são armazenados localmente em sensores OT para os dispositivos detectados por esse sensor:

• Dados do dispositivo
• Dados de alerta
• Arquivos PCAP de alerta
• Dados da linha do tempo do evento
• Arquivos de log

Use os relatórios de mineração de dados ou as Pastas de trabalho do Azure Monitor em um sensor de rede OT para recuperar dados forenses do armazenamento desse sensor. Cada tipo de dados tem um diferente período de retenção e capacidade máxima.

Para obter mais informações, consulte Retenção de dados no Microsoft Defender para IoT.

Você não pode se conectar usando uma interface da Web

1. Verifique se o computador que você está tentando conectar está na mesma rede que o dispositivo.

2. Verifique se a rede da GUI está conectada à porta de gerenciamento.

3. Execute o ping no endereço IP do dispositivo. Se não houver ping:

   1. Conecte um monitor e um teclado ao dispositivo.

   2. Use o usuário administrador e a senha para se conectar.

   3. Use o comando network list para ver o endereço IP atual.

4. Se os parâmetros de rede estiverem configurados incorretamente, use o seguinte procedimento para alterá-los:

   1. Use o comando network edit-settings.

   2. Para alterar o endereço IP da rede de gerenciamento, selecione Y.

   3. Para alterar a máscara de sub-rede, selecione Y.

   4. Para alterar o DNS, selecione Y.

   5. Para alterar o endereço IP do gateway padrão, selecione Y.

   6. Para alterar a interface de entrada (somente sensor), selecione N.

   7. Para aplicar as configurações, selecione Y.

5. Após a reinicialização, conecte-se usando as credenciais de usuário administrador e use o comando network list para verificar se os parâmetros foram alterados.

6. Tente executar o ping e se conectar novamente com base na GUI.

O aplicativo não está respondendo

1. Conecte um monitor e um teclado ao dispositivo ou use o PuTTy para se conectar remotamente à CLI.

2. Use as credenciais do usuário administrador para entrar.

3. Use o comando system sanity e verifique se todos os processos estão em execução. Por exemplo:

   

Para outros problemas, entre em contato com o Suporte da Microsoft.

Investigar falha de senha das credenciais iniciais

Ao entrar em um sensor pré-configurado pela primeira vez, você precisará executar a recuperação de senha da seguinte forma:

1. Na tela de entrada do Defender para IoT, selecione Recuperação de senha. A tela Recuperação de senha se abre.

2. Selecione Administrador ou CyberX e copie o identificador exclusivo.

3. Navegue até o portal do Azure e escolha Sites e sensores.

4. Selecione o menu suspenso Mais Ações e selecione Recuperar senha do console de gerenciamento local.

   

5. Insira o identificador exclusivo que você recebeu na tela de Recuperação de senha e selecione Recuperar. O arquivo password_recovery.zip é baixado. Não extraia nem modifique o arquivo zip.

   

6. Na tela de Recuperação de senha, selecione Carregar. A janela Carregar Arquivo de Recuperação de Senha será aberta.

7. Selecione Procurar para localizar o arquivo password_recovery.zip ou arraste o password_recovery.zip para a janela.

8. Selecione Avançar e serão exibidos o usuário e uma senha gerada pelo sistema para o console de gerenciamento.

   Observação

   Quando você entra em um sensor pela primeira vez, ele é vinculado à sua assinatura do Azure, que será necessária se você precisar recuperar a senha do usuário administrador. Para obter mais informações, consulte Recuperar acesso privilegiado a um sensor.

Investigar falta de tráfego

Um indicador aparece na parte superior do console quando o sensor reconhece que não há tráfego em uma das portas configuradas. Esse indicador é visível para todos os usuários. Quando essa mensagem for exibida, você pode investigar onde não há tráfego. Verifique se o cabo span está conectado e se não houve alteração na arquitetura span.

Verificar o desempenho do sistema

Quando um novo sensor é implantado ou um sensor funciona lentamente ou não mostra alertas, é preciso verificar o desempenho do sistema.

1. Entre no sensor e selecione Visão Geral. Verifique se o PPS é maior que 0 e se os dispositivos estão sendo descobertos.
2. Na página Mineração de dados, gere um relatório.
3. Na página Tendências e estatísticas, crie um painel.
4. Na página Alertas, verifique se o alerta foi criado.

Investigar a falta de alertas esperados

Se a janela Alertas não mostrar um alerta esperado, verifique se:

1. O mesmo alerta já aparece na janela Alertas como uma reação a uma instância de segurança diferente. Se sim, e este alerta ainda não foi tratado, o console do sensor não mostra um novo alerta.
2. Certifique-se de não ter excluído esse alerta usando as regras de Exclusão de Alerta no console de gerenciamento.

Investiga painéis que não mostram dados

Quando os painéis na janela Tendências e estatísticas não mostrarem dados, faça o seguinte:

1. Verifique o desempenho do sistema.
2. Certifique-se de que as configurações de horário e região estão configuradas corretamente e não estão definidas para um horário futuro.

Investigar um mapa de dispositivo que mostra somente os dispositivos de transmissão

Quando os dispositivos mostrados no mapa de dispositivos não aparecem conectados entre si, algo pode estar errado com a configuração da porta SPAN. Ou seja, você pode estar vendo apenas dispositivos de transmissão e nenhum tráfego transmitido em unicast.

1. Valide se você está vendo apenas o tráfego de difusão. Para fazer isso, em Data Mining, selecione Criar relatório. Em Criar novo relatório, especifique os campos do relatório. Em Escolher categoria, escolha Selecionar tudo.
2. Salve o relatório e examine-o para ver se apenas o tráfego de difusão e o tráfego multicast (e nenhum tráfego unicast) são exibidos. Nesse caso, entre em contato com a equipe de rede para corrigir a configuração da porta SPAN para que você possa ver o tráfego unicast também. Como alternativa, você pode gravar um PCAP diretamente do comutador ou conectar um laptop usando o Wireshark.

Para obter mais informações, consulte:

• Configurar o espelhamento de tráfego
• Carregue e reproduza arquivos PCAP

Conectar o sensor ao NTP

Você pode configurar um sensor autônomo e um console de gerenciamento com os sensores relacionados para se conectar ao NTP.

Dica

Quando estiver pronto para começar a gerenciar as configurações do sensor de OT em escala, defina as configurações de NTP no portal do Azure. Depois de aplicar as configurações do portal do Azure, as configurações no console do sensor serão somente leitura. Para obter mais informações, confira Definir as configurações do sensor de OT usando o portal do Azure (Visualização pública).

Para conectar um sensor autônomo ao NTP:

• Confira a documentação da CLI.

Para conectar um sensor controlado pelo console de gerenciamento ao NTP:

• A conexão com o NTP é configurada no console de gerenciamento. Todos os sensores controlados pelo console de gerenciamento obtêm a conexão NTP automaticamente.

Investigar quando os dispositivos não aparecem no mapa ou se você tem vários alertas relacionados à Internet

Às vezes, os dispositivos ICS são configurados com endereços IP externos. Esses dispositivos ICS não aparecem no mapa. Em vez dos dispositivos, aparece no mapa uma nuvem da Internet. Os endereços IP desses dispositivos estão incluídos na imagem da nuvem. Outra indicação do mesmo problema é quando aparecem vários alertas relacionados à Internet. Corrija o problema da seguinte maneira:

1. Clique com o botão direito do mouse no ícone de nuvem no mapa do dispositivo e selecione Exportar Endereços IP.
2. Copie os intervalos públicos que são privados e adicione-os à lista de sub-redes. Para obter mais informações, veja Ajuste fino da lista de sub-redes.
3. Gere um novo relatório de data mining para conexões com a Internet.
4. No relatório de mineração de dados, entre no modo de administrador e exclua os endereços IP dos dispositivos ICS.

Limpar dados do sensor

Nos casos em que o sensor precisa ser realocado ou apagado, todos os dados aprendidos podem ser excluídos do sensor.

Para saber mais sobre como limpar dados do sistema, consulte Limpar dados do sensor OT.

Exportar logs do console do sensor para solução de problemas

Para mais solução de problemas, convém exportar logs para enviar à equipe de suporte, como logs de banco de dados ou sistema operacional.

Para exportar dados de log:

1. No console do sensor, vá para Configurações do sistema>Gerenciamento do sensor>Backup e restauração>Backup.

2. Na caixa de diálogo Exportar Informações de Solução de Problemas:

   1. No campo Nome do Arquivo, insira um nome significativo para o log exportado. O nome de arquivo padrão usa a data atual, como 13:10-June-14-2022.tar.gz.

   2. Selecione os logs que você gostaria de exportar.

   3. Selecione Exportar.

   O arquivo é exportado e está vinculado na lista Arquivos Arquivados na parte inferior da caixa de diálogo Exportar Informações de Solução de Problemas.

   Por exemplo:

   

3. Selecione o link do arquivo para baixar o log exportado e também selecione o botão para exibir sua senha única.

4. Para abrir os logs exportados, encaminhe o arquivo baixado e a senha única para a equipe de suporte. Os logs exportados só podem ser abertos junto com a equipe de suporte da Microsoft.

   Para manter seus logs seguros, encaminhe a senha separadamente do log baixado.

Observação

O diagnóstico de tíquete de suporte pode ser baixado do console do sensor e carregado diretamente na equipe de suporte no portal do Azure. Para ver mais informações sobre o download de logs de diagnóstico, confira Baixar um log de diagnóstico para receber suporte.

Próximas etapas

• Exibir alertas

• Configurar o monitoramento da integridade do MIB do SNMP em um sensor de OT

• Monitorar sensores de OT desconectados