Tutorial: integrar e ativar o sensor de OT virtual
Este tutorial descreve os conceitos básicos da configuração de um sensor de OT do Microsoft Defender para IoT, usando uma assinatura de avaliação do Microsoft Defender para IoT e sua própria máquina virtual.
Para uma implantação completa e de ponta a ponta, siga as etapas para planejar e preparar seu sistema, além de calibrar e ajustar totalmente suas configurações. Para saber mais, confira Implantação do Defender para IoT para monitoramento do OT.
Observação
Se você deseja configurar o monitoramento de segurança para sistemas corporativos de IoT, consulte Habilitar a segurança de IoT corporativa no Defender para Ponto de extremidade.
Neste tutorial, você aprenderá como:
- Criar uma VM para o sensor
- Carregar um sensor virtual
- Configurar uma porta de SPAN virtual
- Provisionar para gerenciamento de nuvem
- Baixar o software para um sensor virtual
- Instalar o software do sensor virtual
- Ativar o sensor virtual
Pré-requisitos
Antes de começar, verifique se você tem o seguinte:
Concluiu o Início Rápido: Introdução ao Defender para IoT para ter uma assinatura do Azure adicionada ao Defender para IoT.
Acesso ao portal do Azure como um Administrador de segurança, Colaborador ou Proprietário. Para obter mais informações, consulte Funções de usuário do Azure para monitoramento de OT e Enterprise IoT com o Defender para IoT.
Verifique se você tem um comutador de rede que dá suporte ao monitoramento de tráfego por meio de uma porta SPAN. Você também precisará de pelo menos um dispositivo para monitorar, conectado à porta SPAN do comutador.
VMware, ESXi 5.5 ou posterior, instalado e operacional em seu sensor.
Recursos de hardware disponíveis para sua VM conforme o seguinte:
Tipo de implantação Corporativo Enterprise SMB Largura de banda máxima 2,5 Gb/s 800 Mb/s 160 Mb/s Máximo de dispositivos protegidos 12.000 10.000 800 Um entendimento do monitoramento de OT com dispositivos virtuais.
Detalhes dos seguintes parâmetros de rede a serem usados para o dispositivo sensor:
- Um endereço IP da rede de gerenciamento
- Uma máscara de sub-rede do sensor
- Um nome do host do dispositivo
- Um endereço DNS
- Um gateway padrão
- Interfaces de entrada
Criar uma VM para o sensor
Este procedimento descreve como criar uma VM para o sensor com o VMware ESXi.
O Defender para IoT também é compatível com outros processos, como o uso do Hyper-V ou sensores físicos. Para obter mais informações, confira Instalação do Defender para IoT.
Para criar uma VM para o sensor:
Verifique se o VMware está em execução no computador local.
Entre no ESXi, escolha o armazenamento de dados relevante e selecione o Navegador de Armazenamento de Dados.
Carregue a imagem e selecione Fechar.
Acesse Máquinas Virtuais e selecione Criar ou Registrar VM.
Selecione Criar nova máquina virtual e depois Avançar.
Adicione um nome para o sensor e selecione as seguintes opções:
Compatibilidade: <última versão do ESXi>
Família do SO convidado: Linux
Versão do sistema operacional convidado: Debian
Selecione Avançar.
Escolha o armazenamento de dados relevante e selecione Avançar.
Altere os parâmetros de hardware virtual de acordo com as especificações necessárias para suas necessidades. Para obter mais informações, veja a tabela na seção Pré-requisitos acima.
Sua VM agora está preparada para a instalação do software Defender para IoT. Você continuará instalando o software posteriormente neste tutorial, depois de integrar o sensor no portal do Azure, configurar o espelhamento de tráfego e provisionar o computador para gerenciamento de nuvem.
Integrar o sensor virtual
Para começar a usar o sensor do Defender para IoT, integre o novo sensor virtual à sua assinatura do Azure.
Para integrar o sensor virtual:
No portal do Azure, acesse a página Defender para IoT > Introdução.
Na parte inferior esquerda, selecione Configurar Segurança do OT/ICS.
Como alternativa, na página Sites e sensores do Defender para IoT, selecione Integrar sensor de OT>OT.
Por padrão, na página Configurar Segurança de OT/ICS, a Etapa 1: você configurou um sensor? e a Etapa 2: configurar a porta SPAN ou a TAP do assistente são recolhidas.
Você instalará o software e, posteriormente, configurará o espelhamento de tráfego no processo de implantação. No entanto, deverá ter seus dispositivos prontos e o método de espelhamento de tráfego planejado.
Na Etapa 3: registrar esse sensor com o Microsoft Defender para IoT, defina os seguintes valores:
Nome do campo Descrição Nome do recurso Selecione o site ao qual você deseja anexar os sensores ou selecione Criar site para criar um novo site.
Se você estiver criando um novo site:
1. No campo Novo site, insira o nome do site e selecione o botão de marca de seleção.
2. No menu Tamanho do site, selecione o tamanho do site. Os tamanhos listados neste menu são os tamanhos para os quais você está licenciado, com base nas licenças que você comprou no Centro de administração do Microsoft 365.Nome de exibição Insira um nome relevante para o seu site a ser mostrado em todo o Defender para IoT. Marcas Insira a chave e os valores da marca para ajudar você a identificar e localizar seu site e sensor no portal do Azure. Zona Selecione a zona que você deseja usar para o sensor de OT ou selecione Criar zona para criar uma nova. Para obter mais informações, confira Planejar sites e zonas de OT.
Quando terminar com todos os outros campos, selecioneRegistrar para adicionar o sensor ao Defender para IoT. Uma mensagem de sucesso é exibida e seu arquivo de ativação é baixado automaticamente. O arquivo de ativação é exclusivo para o sensor e contém instruções sobre o modo de gerenciamento do sensor.
Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem somente ativos assinados.
Salve o arquivo de ativação baixado em um local que estará acessível para o usuário que entrar no console pela primeira vez possa ativar o sensor.
Você também pode baixar o arquivo manualmente, selecionando o link relevante na caixa Ativar o sensor. Você usará esse arquivo para ativar o sensor, conforme descrito abaixo.
Na caixa Adicionar regras de permissão de saída, selecione o link Baixar detalhes do ponto de extremidade para baixar uma lista JSON dos pontos de extremidade que você deve configurar como pontos de extremidade seguros no sensor.
Salve o arquivo baixado localmente. Use os pontos de extremidade listados no arquivo baixado mais adiante neste tutorial para garantir que seu novo sensor possa se conectar com êxito ao Azure.
Dica
Você também pode acessar a lista de pontos de extremidade necessários na página Sites e sensores. Para obter mais informações, consulte as Opções de gerenciamento de sensor do portal do Azure.
Na parte inferior esquerda da página, selecione Concluir. Agora você consegue ver o novo sensor listado na página Sites e sensores do Defender para IoT.
Até que você ative o sensor, o status dele será mostrado como Ativação Pendente.
Para obter mais informações, confira Gerenciar sensores com o Defender para IoT no portal do Azure.
Configurar uma porta SPAN
Os comutadores virtuais não têm recursos de espelhamento. No entanto, para a finalidade deste tutorial, você pode usar o modo promíscuo em um ambiente de comutador virtual para exibir todo o tráfego de rede que passa pelo comutador virtual.
Este procedimento descreve como configurar uma porta SPAN usando uma solução alternativa com o VMware ESXi.
Observação
O modo promíscuo é um modo operacional e uma técnica de monitoramento de segurança para as interfaces de uma VM no mesmo nível do grupo de portas que o comutador virtual que serve para exibir o tráfego de rede do comutador. O modo promíscuo é desabilitado por padrão, mas pode ser definido no nível do comutador virtual ou do grupo de portas.
Para configurar uma interface de monitoramento com o modo Promíscuo em um ESXi v-Switch:
Abra a página de propriedades do vSwitch e selecione Adicionar comutador virtual padrão.
Insira a Rede SPAN como o rótulo de rede.
No campo MTU, insira 4096.
Selecione Segurança e verifique se a política do Modo Promíscuo está definida como modo Aceitar.
Selecione Adicionar para fechar as propriedades do vSwitch.
Realce o vSwitch que você criou e selecione Adicionar uplink.
Selecione a NIC física que você usará para o tráfego SPAN, altere a MTU para 4096 e selecione Salvar.
Abra a página propriedades do Grupo de Portas e selecione Adicionar Grupo de Portas.
Insira Grupo de Portas SPAN como o nome, insira 4095 como a ID da VLAN e selecione Rede SPAN na lista suspensa vSwitch e, em seguida, selecione Adicionar.
Abra as propriedades da VM do Sensor de OT.
Para o Adaptador de Rede 2, selecione a rede SPAN.
Selecione OK.
Conecte-se ao sensor e verifique se o espelhamento funciona.
Validar o espelhamento de tráfego
Após configurar o espelhamento de tráfego, tente receber um exemplo de tráfego gravado (arquivo PCAP) do comutador SPAN ou da porta de espelhamento.
Uma amostra de arquivo PCAP ajudará você a:
- Validar a configuração de comutador
- Confirmar se o tráfego que passa pelo comutador é relevante para o monitoramento
- Identificar a largura de banda e um número estimado de dispositivos detectados pelo comutador
Use um aplicativo analisador de protocolo de rede, como o Wireshark, para registrar um arquivo PCAP de exemplo por alguns minutos. Por exemplo, conecte um laptop a uma porta em que você configurou o monitoramento de tráfego.
Verifique se os pacotes unicast estão presentes no tráfego de gravação. O tráfego Unicast é o tráfego enviado do endereço para outro.
Se a maior parte do tráfego for de mensagens ARP, a configuração de espelhamento de tráfego não estará correta.
Verifique se os protocolos de OT estão presentes no tráfego analisado.
Por exemplo:
Provisionar para gerenciamento de nuvem
Esta seção descreve como configurar pontos de extremidade necessários para definir em regras de firewall, garantindo que os sensores OT possam se conectar ao Azure.
Para obter mais informações, consulte Métodos para conectar sensores ao Azure.
Para configurar detalhes do ponto de extremidade:
Abra o arquivo que você baixou anteriormente para exibir a lista de pontos de extremidade necessários. Configure suas regras de firewall para que o sensor possa acessar cada um dos pontos de extremidade necessários pela porta 443.
Dica
Baixe a lista de pontos de extremidade necessários na página Sites e sensores no portal do Azure. Acesse Sites e sensores>Mais ações>Baixar detalhes do ponto de extremidade. Para obter mais informações, consulte as Opções de gerenciamento de sensor do portal do Azure.
Para obter mais informações, confira o artigo Provisionar sensores para o gerenciamento de nuvem.
Baixar software do sensor virtual
Esta seção descreve como baixar e instalar o software do sensor em seu próprio computador.
Para baixar o software dos sensores virtuais:
No portal do Azure, acesse a página Defender para IoT > Introdução e selecione a guia Sensor.
Na caixa Comprar um dispositivo e instalar o software, confirme se a opção padrão está selecionada para a versão de software mais recente e recomendada e, em seguida, escolha Baixar.
Salve o software baixado em um local acessível por meio da VM.
Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem somente ativos assinados.
Instalar o software do sensor
Este procedimento descreve como instalar o software do sensor em sua VM.
Observação
No final desse processo, você verá os nomes de usuário e as senhas do seu dispositivo. Não se esqueça de anotar esses dados, pois eles não serão mostrados novamente.
Para instalar o software no sensor virtual:
Se você fechou a VM, entre novamente no ESXi e abra as configurações da VM.
Para a Unidade de CD/DVD 1, selecione o arquivo ISO do armazenamento de dados e selecione o software do Defender para IoT que você baixou anteriormente.
Selecione Avançar>Concluir.
Ligue a VM e abra um console.
Quando a instalação é inicializada, você é solicitado a iniciar o processo de instalação. Selecione o item Instalar iot-sensor-
<version number>
para continuar, ou deixe-o iniciar automaticamente após 30 segundos. Por exemplo:Observação
Se você estiver usando uma versão herdada da BIOS, será solicitado que você selecione um idioma, e as opções de instalação serão apresentadas na parte superior esquerda, em vez de no centro. Quando solicitado, selecione
English
e, em seguida, a opção Instalar iot-sensor-<version number>
para continuar.A instalação começa, dando a você status mensagens atualizadas conforme ela é executada. Todo o processo de instalação leva de 20 a 30 minutos e pode variar dependendo do tipo de mídia que você está usando.
Quando a instalação for concluída, você verá o seguinte conjunto de detalhes de rede padrão.
IP: 172.23.41.83, SUBNET: 255.255.255.0, GATEWAY: 172.23.41.1, UID: 91F14D56-C1E4-966F-726F-006A527C61D
Use o endereço IP padrão fornecido para acessar o sensor para instalação e ativação iniciais.
Validação pós-instalação
Este procedimento descreve como validar sua instalação usando as verificações de integridade do sistema do próprio sensor e está disponível para o usuário administrador padrão.
Para validar a instalação:
Entre no sensor de OT como o usuário
admin
.Selecione Configurações do Sistema>Gerenciamento do sensor>Verificação de Integridade do Sistema.
Selecione os seguintes comandos:
- Dispositivo para verificar se o sistema está em execução. Verifique se cada item de linha mostra Em execução e se a última linha indica que o Sistema está em funcionamento.
- Versão para verificar se você tem a versão correta instalada.
- ifconfig para verificar se todas as interfaces de entrada configuradas durante a instalação estão em execução.
Para obter mais testes de validação pós-instalação, como gateway, DNS ou verificações de firewall, consulte Validar uma instalação de software do sensor OT.
Definir a configuração inicial
O procedimento a seguir descreve como definir as configurações iniciais do sensor, incluindo:
- Entrar no console do sensor e alterar a senha do usuário administrador
- Definição de detalhes de rede para o sensor
- Definição das interfaces que você deseja monitorar
- Ativação do seu sensor
- Definição das configurações de certificado SSL/TLS
Entrar no console do sensor e alterar a senha padrão
Este procedimento descreve como entrar no console do sensor OT pela primeira vez. Você será solicitado a alterar a senha padrão para o usuário administrador.
Para entrar no seu sensor:
Em um navegador, acesse o endereço IP
192.168.0.101
, que é o endereço IP padrão fornecido para o sensor no final da instalação.A página de entrada inicial é exibida. Por exemplo:
Insira as seguintes credenciais e selecione Logon:
- Nome de usuário:
support
- Senha:
support
Você será solicitado a definir uma nova senha para o usuário administrador.
- Nome de usuário:
No campo Nova senha, insira sua nova senha. A senha deve conter caracteres alfabéticos, números e símbolos minúsculos e maiúsculos.
No campo Confirmar nova senha, insira sua nova senha novamente e selecione Introdução.
Para obter mais informações, confira Usuários com privilégios padrão.
A página Defender para IoT | Visão geral é aberta na guia Interface de gerenciamento.
Definir detalhes de rede do sensor
Na guia Interface de gerenciamento, use os seguintes campos para definir detalhes de rede para o novo sensor:
Para o bem deste tutorial, deixe ignorar as configurações de proxy na área Habilitar proxy para conectividade de nuvem (opcional).
Quando terminar, selecione Avançar: configurações de interface para continuar.
Definir as interfaces que você deseja monitorar
A guia Conexões de interface mostra todas as interfaces detectadas pelo sensor por padrão. Use esta guia para ativar ou desativar o monitoramento por interface ou definir configurações específicas para cada interface.
Dica
Recomendamos que você otimize o desempenho no sensor definindo suas configurações para monitorar apenas as interfaces que estão ativamente em uso.
Na guia Configurações de interface, faça o seguinte para definir as configurações das interfaces monitoradas:
Selecione a alternância Habilitar/Desabilitar para todas as interfaces que você deseja que o sensor monitore. Você deve selecionar pelo menos uma interface para continuar.
Se você não tiver certeza sobre qual interface usar, selecione o botão LED da interface física do Blink para que a porta selecionada pisque no computador. Selecione qualquer uma das interfaces que você conectou ao comutador.
Para este tutorial, ignore as configurações avançadas e selecione Avançar: Reinicializar > para continuar.
Quando solicitado, selecione Iniciar reinicialização para reinicializar o computador do sensor. Depois que o sensor for iniciado novamente, você será redirecionado automaticamente para o endereço IP definido anteriormente como o endereço IP do sensor.
Selecione Cancelar para aguardar a reinicialização.
Ative seu sensor de OT
Este procedimento descreve como ativar o novo sensor de OT.
Para ativar o sensor:
Na guia Ativação, selecione Carregar para carregar o arquivo de ativação do sensor que você baixou do portal do Azure.
Selecione a opção de termos e condições e depois selecione Avançar: certificados.
Definir configurações de certificado SSL/TLS
Use a guia Certificados para implantar um certificado SSL/TLS no sensor de OT. Embora seja recomendável que você use um certificado assinado pela autoridade de certificação para todos os ambientes de produção, para este tutorial, selecione a opção para usar um certificado autoassinado.
Para definir as configurações de certificado SSL/TLS:
Na guia Certificados, selecione Usar Certificado autoassinado gerado localmente (não recomendado) e, em seguida, selecione a opção Confirmar.
Para obter mais informações, consulte Requisitos de certificados SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.
Selecione Concluir para concluir a configuração inicial e abrir o console do sensor.