Definir definições do sensor OT a partir do portal do Azure (Pré-visualização pública)
Depois de integrar um novo sensor de rede OT ao Microsoft Defender para IoT, convém definir várias configurações diretamente no console do sensor OT, como adicionar usuários locais.
As configurações do sensor OT listadas neste artigo também estão disponíveis diretamente no portal do Azure. Use o portal do Azure para aplicar essas configurações em massa em vários sensores OT conectados à nuvem ao mesmo tempo ou em todos os sensores OT conectados à nuvem em um site ou zona específica. Este artigo descreve como exibir e configurar as configurações do sensor de rede OT do portal do Azure.
Nota
A página Configurações do sensor no Defender for IoT está em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Pré-requisitos
Para definir as configurações do sensor OT, verifique se você tem o seguinte:
Uma assinatura do Azure integrada ao Defender for IoT. Se precisar, inscreva-se para obter uma conta gratuita e use o Guia de início rápido: introdução ao Defender for IoT para iniciar uma avaliação gratuita.
Permissões:
Para ver as definições que outras pessoas definiram, inicie sessão com uma função de Leitor de Segurança, Administrador de segurança, Colaborador ou Proprietário para a subscrição.
Para definir ou atualizar as configurações, entre com a função Administrador de segurança, Colaborador ou Proprietário .
Para obter mais informações, consulte Funções de usuário e permissões do Azure para o Defender for IoT.
Um ou mais sensores de rede OT conectados à nuvem. Para obter mais informações, consulte Sensores OT integrados ao Defender for IoT.
Definir uma nova configuração do sensor
Defina uma nova configuração sempre que quiser definir uma configuração específica para um ou mais sensores de rede OT. Por exemplo, se você quiser definir limites de largura de banda para todos os sensores OT em um site ou zona específica, ou defini-los para um único sensor OT em um local específico em sua rede.
Para definir uma nova configuração:
No Defender for IoT no portal do Azure, selecione Sites e sensores>Configurações do sensor (Visualização).
Na página Configurações do sensor (Visualização), selecione + Adicionar e use o assistente para definir os seguintes valores para sua configuração. Selecione Avançar quando terminar cada guia no assistente para passar para a próxima etapa.
Nome do separador Description Noções básicas Selecione a subscrição à qual pretende aplicar a definição e o tipo de definição.
Insira um nome significativo e uma descrição opcional para sua configuração.Definição Defina os valores para o tipo de configuração selecionado.
Para obter detalhes sobre as opções disponíveis para cada tipo de configuração, localize o tipo de configuração selecionado na referência Configuração do sensor abaixo.Aplicar Use os menus suspensos Selecionar sites, Selecionar zonas e Selecionar sensores para definir onde deseja aplicar sua configuração.
Importante: A seleção de um local ou zona aplica a configuração a todos os sensores OT conectados, incluindo quaisquer sensores OT adicionados ao site ou zona posteriormente.
Se você optar por aplicar suas configurações a um site inteiro, também não precisará selecionar suas zonas ou sensores.Rever e criar Verifique as seleções feitas para a sua configuração.
Se a nova configuração substituir uma configuração existente, um
aviso será exibido para indicar a configuração existente.
Quando estiver satisfeito com a configuração da configuração, selecione Criar.
Sua nova configuração agora está listada na página Configurações do sensor (Visualização) sob seu tipo de configuração e na página de detalhes do sensor para qualquer sensor OT relacionado. As configurações do sensor são mostradas como somente leitura na página de detalhes do sensor. Por exemplo:
Gorjeta
Você pode querer configurar exceções às suas configurações para um sensor OT específico ou zona. Nesses casos, crie uma configuração extra para a exceção.
As configurações substituem umas às outras de maneira hierárquica, de modo que, se sua configuração for aplicada a um sensor OT específico, ela substituirá todas as configurações relacionadas que são aplicadas a toda a zona ou site. Para criar uma exceção para uma zona inteira, adicione uma configuração para essa zona para substituir quaisquer configurações relacionadas aplicadas a todo o site.
Visualizar e editar as configurações atuais do sensor OT
Para ver as definições atuais já definidas para a sua subscrição:
No Defender for IoT no portal do Azure, selecione Sites e sensores>Configurações do sensor (Visualização)
A página Configurações do sensor (Visualização) mostra todas as configurações já definidas para suas assinaturas, listadas por tipo de configuração. Expanda ou recolha cada tipo para visualizar configurações detalhadas. Por exemplo:
Selecione uma configuração específica para visualizar sua configuração exata e o local, zonas ou sensores individuais onde a configuração é aplicada.
Para editar a configuração da configuração, selecione Editar e use o mesmo assistente usado para criar a configuração para fazer as atualizações necessárias. Quando terminar, selecione Aplicar para salvar as alterações.
Excluir uma configuração de sensor OT existente
Para excluir completamente uma configuração do sensor OT:
- Na página Configurações do sensor (Visualização), localize a configuração que deseja excluir.
- Selecione o menu de opções ... no canto superior direito do cartão da configuração e, em seguida, selecione Excluir.
Por exemplo:
Editar configurações para sensores OT desconectados
Este procedimento descreve como editar as configurações do sensor OT se o sensor OT estiver atualmente desconectado do Azure, como durante um incidente de segurança contínuo.
Por padrão, se você definir quaisquer configurações do portal do Azure, todas as configurações que são configuráveis no portal do Azure e no sensor OT serão definidas como somente leitura no próprio sensor OT. Por exemplo, se você configurar uma VLAN a partir do portal do Azure, as configurações de limite de largura de banda, sub-rede e VLAN serão definidas como somente leitura e bloqueadas contra modificações no sensor OT.
Se você estiver em uma situação em que o sensor OT estiver desconectado do Azure e precisar modificar uma dessas configurações, primeiro obtenha acesso de gravação a essas configurações.
Para obter acesso de gravação às configurações bloqueadas do sensor OT:
No portal do Azure, na página Configurações do sensor (Visualização), localize a configuração que deseja editar e abra-a para edição. Para obter mais informações, consulte Exibir e editar as configurações atuais do sensor OT acima.
Edite o escopo da configuração para que ela não inclua mais o sensor OT e quaisquer alterações feitas enquanto o sensor OT estiver desconectado não serão substituídas quando você conectá-lo novamente ao Azure.
Importante
As configurações definidas no portal do Azure sempre substituem as configurações definidas no sensor OT.
Entre no console do sensor OT afetado e selecione Configurações Configurações > avançadas Configuração>remota do Azure.
Na caixa de código, modifique o
block_local_configvalor de1para0e selecione Fechar. Por exemplo:
Continue atualizando a configuração relevante diretamente no sensor de rede OT. Para obter mais informações, consulte Gerenciar sensores individuais.
Referência de configuração do sensor
Use as seções a seguir para saber mais sobre as configurações individuais do sensor OT disponíveis no portal do Azure:
Active Directory
Para definir as configurações do Ative Directory no portal do Azure, defina valores para as seguintes opções:
| Nome | Descrição |
|---|---|
| FQDN do controlador de domínio | O nome de domínio totalmente qualificado (FQDN), exatamente como aparece no seu servidor LDAP. Por exemplo, introduza host1.subdomain.contoso.com. Se você encontrar um problema com a integração usando o FQDN, verifique sua configuração de DNS. Você também pode inserir o IP explícito do servidor LDAP em vez do FQDN ao configurar a integração. |
| Porta do controlador de domínio | A porta onde o LDAP está configurado. Por exemplo, use a porta 636 para conexões LDAPS (SSL). |
| Domínio primário | O nome de domínio, como subdomain.contoso.com, e selecione o tipo de conexão para sua configuração LDAP. Os tipos de conexão suportados incluem: LDAPS/NTLMv3 (recomendado), LDAP/NTLMv3 ou LDAP/SASL-MD5 |
| Grupos do Ative Directory | Selecione + Adicionar para adicionar um grupo do Ative Directory a cada nível de permissão listado, conforme necessário. Ao inserir um nome de grupo, certifique-se de inserir o nome do grupo exatamente como definido na configuração do Ative Directory no servidor LDAP. Você usa esses nomes de grupo ao adicionar novos usuários do sensor com o Ative Directory. Os níveis de permissão suportados incluem Somente leitura, Analista de segurança, Administrador e Domínios confiáveis. |
Importante
Ao inserir parâmetros LDAP:
- Defina valores exatamente como aparecem no Ative Directory, exceto para o caso.
- Somente caracteres minúsculos do usuário, mesmo que a configuração no Ative Directory use maiúsculas.
- LDAP e LDAPS não podem ser configurados para o mesmo domínio. No entanto, você pode configurar cada um em domínios diferentes e, em seguida, usá-los ao mesmo tempo.
Para adicionar outro servidor do Ative Directory, selecione + Adicionar servidor e defina esses valores de servidor .
Limite de largura de banda
Para um limite de largura de banda, defina a largura de banda máxima que você deseja que o sensor use para a comunicação de saída do sensor para a nuvem, seja em Kbps ou Mbps.
Padrão: 1500 Kbps
Mínimo necessário para uma conexão estável com o Azure: 350 Kbps. Nessa configuração mínima, as conexões com o console do sensor podem ser mais lentas do que o normal.
NTP
Para configurar um servidor NTP para o sensor a partir do portal do Azure, defina um endereço IP/Domínio de um servidor NTP IPv4 válido usando a porta 123.
Sub-redes locais
Para concentrar o inventário de dispositivos do Azure em dispositivos que estão no seu escopo de OT, você precisa editar manualmente a lista de sub-redes para incluir apenas as sub-redes monitoradas localmente que estão em seu escopo de OT.
As sub-redes na lista de sub-redes são configuradas automaticamente como sub-redes ICS, o que significa que o Defender for IoT reconhece essas sub-redes como redes OT. Você pode editar essa configuração ao configurar as sub-redes.
Depois que as sub-redes são configuradas, o local de rede dos dispositivos é mostrado na coluna Local de rede (visualização pública) no inventário de dispositivos do Azure. Todos os dispositivos associados às sub-redes listadas são exibidos como locais, enquanto os dispositivos associados a sub-redes detetadas não incluídas na lista são exibidos como roteados.
Configurar sub-redes no portal do Azure
No portal do Azure, vá para Sites e configurações do sensor de sensores>.
Em Sub-redes locais, revise as sub-redes configuradas. Para focar o inventário de dispositivos e visualizar dispositivos locais no inventário, exclua todas as sub-redes que não estejam no escopo da IoT/OT selecionando o menu de opções (...) em qualquer sub-rede que você queira excluir.
Para modificar configurações adicionais, selecione qualquer sub-rede e, em seguida, selecione Editar para as seguintes opções:
Selecione Importar sub-redes para importar uma lista separada por vírgulas de endereços IP e máscaras de sub-rede. Selecione Exportar sub-redes para exportar uma lista de dados configurados atualmente ou Limpar tudo para começar do zero.
Insira valores nos campos Endereço IP, Máscara e Nome para adicionar detalhes da sub-rede manualmente. Selecione Adicionar sub-rede para adicionar sub-redes adicionais, conforme necessário.
A sub-rede ICS está ativada por padrão, o que significa que o Defender for IoT reconhece a sub-rede como uma rede OT. Para marcar uma sub-rede como não-ICS, desative a Sub-rede ICS.
Nomenclatura de VLAN
Para definir uma VLAN para seu sensor OT, insira o ID da VLAN e um nome significativo.
Selecione Adicionar VLAN para adicionar mais VLANs conforme necessário.
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários