Configurar e ativar o sensor de OT

Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com Microsoft Defender para IoT e descreve como definir configurações iniciais e ativar o seu sensor de OT.

Várias etapas de configuração iniciais podem ser executadas no navegador ou por meio da CLI.

• Use o navegador se você puder conectar cabos físicos do comutador para o sensor para identificar suas interfaces corretamente. Certifique-se de reconfigurar o adaptador de rede para corresponder às configurações padrão no sensor.
• Use a CLI se você souber os detalhes da rede sem precisar conectar cabos físicos. Use a CLI se você só puder se conectar ao sensor por meio de iLo/iDrac

A configuração por meio da CLI ainda exige que você conclua as últimas etapas no navegador.

Pré-requisitos

Para executar os procedimentos deste artigo, você precisa ter:

• Um sensor de OT integrado ao Defender para IoT no portal do Azure.

• Software de sensor OT instalado em seu dispositivo. Verifique se você instalou o software por conta própria ou comprou um dispositivo pré-configurado.

• O arquivo de ativação do sensor, que foi baixado após a integração do sensor. Você precisa de um arquivo de ativação exclusivo para cada sensor de OT implantado.

  Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem somente ativos assinados.

  Observação

  Os arquivos de ativação expiram 14 dias após a criação. Se você integrou o sensor, mas não carregou o arquivo de ativação antes de expirar, baixe um novo arquivo de ativação.

• Um certificado SSL/TLS. É recomendável usar um certificado assinado pela AC e não um certificado autoassinado. Para obter mais informações, confira Criar certificados SSL/TLS para dispositivos OT.

• Acesso ao dispositivo físico ou virtual em que você está instalando o sensor. Para obter mais informações, consulte Quais dispositivos eu preciso?

Esta etapa é executada pelas equipes de implantação.

Configurar a instalação por meio do navegador

A configuração do sensor por meio do navegador inclui as seguintes etapas:

• Entrar no console do sensor e alterar a senha do usuário administrador
• Definição de detalhes de rede para o sensor
• Definição das interfaces que você deseja monitorar
• Ativação do seu sensor
• Definição das configurações de certificado SSL/TLS

Entrar no console do sensor e alterar a senha padrão

Este procedimento descreve como entrar no console do sensor OT pela primeira vez. Você será solicitado a alterar a senha padrão para o usuário administrador.

Para entrar no seu sensor:

1. Em um navegador, acesse o endereço IP 192.168.0.101, que é o endereço IP padrão fornecido para o sensor no final da instalação.

   A página de entrada inicial é exibida. Por exemplo:

   

2. Insira as seguintes credenciais e selecione Logon:

   • Nome de usuário: admin
   • Senha: admin

   Você será solicitado a definir uma nova senha para o usuário administrador.

3. No campo Nova senha, insira sua nova senha. A senha deve conter caracteres alfabéticos, números e símbolos minúsculos e maiúsculos.

   No campo Confirmar nova senha, insira sua nova senha novamente e selecione Introdução.

   Para obter mais informações, confira Usuários com privilégios padrão.

A página Defender para IoT | Visão geral é aberta na guia Interface de gerenciamento.

Definir detalhes de rede do sensor

Na guia Interface de gerenciamento, use os seguintes campos para definir detalhes de rede para o novo sensor:

Nome	Descrição
Interface de gerenciamento	Selecione a interface que você deseja usar como interface de gerenciamento para se conectar ao portal do Azure ou a um console de gerenciamento local. Para identificar uma interface física em seu computador, selecione uma interface e, em seguida, selecione LED da interface física do Blink. A porta que corresponde à interface selecionada acende para que você possa conectar o cabo corretamente.
Endereço IP	Insira o endereço IP que você deseja usar para o sensor. Esse é o endereço IP que sua equipe usa para se conectar ao sensor por meio do navegador ou da CLI.
Máscara de Sub-rede	Insira o endereço que você deseja usar como máscara de sub-rede do sensor.
Gateway padrão	Insira o endereço que você deseja usar como gateway padrão do sensor.
DNS	Insira o endereço IP do servidor DNS do sensor.
Nome do host	Insira o nome do host que você deseja atribuir ao sensor. Certifique-se de usar o mesmo nome de host definido no servidor DNS.
Habilitar o proxy para conectividade de nuvem (opcional)	Selecione para definir um servidor proxy para o sensor. Se você usar um certificado SSL/TSL para acessar o servidor proxy, selecione Certificado do cliente e carregue seu certificado.

Quando terminar, selecione Avançar: configurações de interface para continuar.

Definir as interfaces que você deseja monitorar

A guia Configurações de interface mostra todas as interfaces detectadas pelo sensor por padrão. Use esta guia para ativar ou desativar o monitoramento por interface ou definir configurações específicas para cada interface.

Dica

Recomendamos que você otimize o desempenho no sensor definindo suas configurações para monitorar apenas as interfaces que estão ativamente em uso.

Na guia Configurações de interface, faça o seguinte para definir as configurações das interfaces monitoradas:

1. Selecione a alternância Habilitar/Desabilitar para todas as interfaces que você deseja que o sensor monitore. Você deve selecionar pelo menos uma interface para continuar.

   Se você não tiver certeza sobre qual interface usar, selecione o botão LED da interface física do Blink para que a porta selecionada pisque no computador. Selecione qualquer uma das interfaces que você conectou ao comutador.

2. (Opcional) Para cada interface selecionada para monitorar, selecione o botão Configurações avançadas para modificar qualquer uma das seguintes configurações:

   Nome	Descrição
   Modo	Selecione uma das seguintes: - SPAN Traffic (sem encapsulamento) para usar o espelhamento de porta SPAN padrão. - ERSPAN se você estiver usando o espelhamento ERSPAN. Para obter mais informações, confira Escolher um método de espelhamento de tráfego para sensores de OT.
   Descrição	Insira uma descrição opcional para a interface. Você verá isso posteriormente na página Configurações do sistema > Configurações da interface, e essas descrições podem ser úteis para entender a finalidade de cada interface.
   Negociação automática	Relevante somente para computadores físicos. Use essa opção para determinar qual tipo de métodos de comunicação são usados ou se os métodos de comunicação são definidos automaticamente entre componentes. Importante: recomendamos que você altere essa configuração somente por recomendação da sua equipe de rede.

   Selecione Salvar para salvar as alterações.

3. Selecione Avançar: Reinicializar> para continuar e, em seguida, Inicie a reinicialização para reinicializar o computador sensor. Depois que o sensor for iniciado novamente, você será redirecionado automaticamente para o endereço IP definido anteriormente como o endereço IP do sensor.

   Selecione Cancelar para aguardar a reinicialização.

Ative seu sensor de OT

Este procedimento descreve como ativar o novo sensor de OT.

Se você tiver definido as configurações iniciais por meio da CLI até agora, iniciará a configuração baseada no navegador nesta etapa. Após a reinicialização do sensor, você será redirecionado para a mesma página Defender para IoT | Visão geral, para a guia Ativação.

Para ativar o sensor:

1. Na guia Ativação, selecione Carregar para carregar o arquivo de ativação do sensor que você baixou do portal do Azure.
2. Selecione a opção de termos e condições e selecione Ativar.
3. Selecione Avançar: Certificados.

Definir configurações de certificado SSL/TLS

Use a guia Certificados para implantar um certificado SSL/TLS no sensor de OT. Recomendamos que você use um certificado assinado pela AC em todos os ambientes de produção.

Para definir as configurações de certificado SSL/TLS:

1. Na guia Certificados, selecione Importar certificado de autoridade de certificação confiável (recomendado) para implantar um certificado assinado por autoridade de certificação.

   Insira o nome e a frase secreta dos certificados e selecione Carregar para carregar o arquivo de chave privada, o arquivo de certificado e um arquivo de cadeia de certificados opcional.

   Talvez seja necessário atualizar a página depois de carregar seus arquivos. Para obter mais informações, consulte Solucionar problemas de erros de upload de certificado.

   Dica

   Se você estiver trabalhando em um ambiente de teste, também poderá usar o certificado autoassinado gerado localmente durante a instalação. Se você optar por usar um certificado autoassinado, selecione a opção Confirmar sobre as recomendações.

   Para obter mais informações, consulte Gerenciar certificados SSL/TLS.

2. Na área Validação do certificado do console de gerenciamento local, selecione Obrigatório para validar um certificado do console de gerenciamento local em relação a uma CRL (lista de revogação de certificados), conforme configurado em seu certificado.

   Para obter mais informações, consulte Requisitos de certificados SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.

3. Selecione Concluir para concluir a configuração inicial e abrir o console do sensor.

Configurar a instalação por meio da CLI

Use este procedimento para definir as seguintes configurações iniciais por meio da CLI:

• Entrar no console do sensor e definir uma nova senha do usuário administrador
• Definição de detalhes de rede para o sensor
• Definição das interfaces que você deseja monitorar

Continue a ativar e definir as configurações de certificado SSL/TLS no navegador.

Para definir as configurações iniciais por meio da CLI:

1. Na tela de instalação, depois que os detalhes de rede padrão forem mostrados, pressione ENTER para continuar.

2. No prompt D4Iot login, entre com as seguintes credenciais padrão:

   • Nome de usuário: admin
   • Senha: admin

   Quando você insere sua senha, os caracteres de senha não são exibidos na tela. Certifique-se de inseri-los com cuidado.

3. No prompt, insira uma nova senha para o usuário administrador. A senha deve conter caracteres alfabéticos, números e símbolos minúsculos e maiúsculos.

   Quando solicitado a confirmar sua senha, insira sua nova senha novamente. Para obter mais informações, confira Usuários com privilégios padrão.

   <isso acontece imediatamente? confuso –> o assistente de configuração do Linux Package configuration é aberto. Neste assistente, pressione as setas para cima ou para baixo para navegar e pressione a barra de Espaço para selecionar uma opção. Pressione Enter para avançar para a próxima tela.

4. Na tela Select monitor interfaces do assistente, selecione qualquer uma das interfaces que você deseja monitorar com esse sensor.

   O sistema seleciona a primeira interface encontrada como a interface de gerenciamento, e recomendamos que você deixe a seleção padrão. Se você decidir usar uma porta diferente como a interface de gerenciamento, a alteração será implementada somente após a reinicialização do sensor. Nesses casos, verifique se o sensor está conectado conforme necessário.

   Por exemplo:

   

   Importante

   Selecione apenas as interfaces conectadas.

   Se você selecionar interfaces habilitadas, mas não conectadas, o sensor mostrará uma notificação de integridade Sem tráfego monitorado no portal do Azure. Se você conectar mais fontes de tráfego após a instalação e quiser monitorá-las com o Defender para IoT, poderá adicioná-las mais tarde por meio da CLI.

5. Na tela Select management interface, selecione a interface que você deseja usar para se conectar ao portal do Azure ou a um console de gerenciamento local.

   Por exemplo:

   

6. Na tela Enter sensor IP address, insira o endereço IP que você deseja usar para esse sensor. Use esse endereço IP para se conectar ao sensor por meio da CLI ou do navegador. Por exemplo:

   

7. Na tela Enter path to the mounted backups folder, insira o caminho para os backups montados do sensor. Recomendamos usar o caminho padrão /opt/sensor/persist/backups. Por exemplo:

   

8. Na tela Enter Subnet Mask, insira o endereço IP da máscara de sub-rede do sensor. Por exemplo:

   

9. Na tela Enter Gateway, insira o endereço IP do gateway padrão do sensor. Por exemplo:

   

10. Na tela Enter DNS server, insira o endereço IP do servidor DNS do sensor. Por exemplo:

    

11. Na tela Enter hostname, insira um nome que você deseja usar como o nome do host do sensor. Certifique-se de usar o mesmo nome de host definido no servidor DNS. Por exemplo:

    

12. Na tela Run this sensor as a proxy server (Preview), selecione <Yes> somente se você quiser configurar um proxy e insira as credenciais de proxy conforme solicitado. Para obter mais informações, veja Definir configurações de proxy em um sensor de OT.

    A configuração padrão é sem um proxy.

13. O processo de configuração começa a ser executado, reinicializa e solicita que você entre novamente. Por exemplo:

    

Neste ponto, abra um navegador para o endereço IP que você definiu para o sensor e continue a instalação no navegador. Para obter mais informações, confira Ativar seu sensor de OT.

Observação

Durante a instalação inicial, as opções para portas de monitoramento ERSPAN estão disponíveis apenas no procedimento baseado em navegador.

Se você estiver definindo os detalhes da rede por meio da CLI e quiser configurar as portas de monitoramento do ERSPAN, faça isso posteriormente por meio da página Configurações > Conexões da interface do sensor. Para obter mais informações, confira Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN).

Próximas etapas

« Validar uma instalação de software do sensor de OT

« Definir configurações de proxy em um sensor de OT»