Partilhar via


Manter sensores de rede OT a partir do console do sensor

Este artigo descreve atividades extras de manutenção do sensor OT que você pode executar fora de um processo de implantação maior.

Os sensores OT também podem ser mantidos a partir da CLI do sensor OT, do portal do Azure e de um console de gerenciamento local.

Atenção

Somente parâmetros de configuração documentados no sensor de rede OT e no console de gerenciamento local são suportados para a configuração do cliente. Não altere nenhum parâmetro de configuração não documentado ou propriedades do sistema, pois as alterações podem causar comportamento inesperado e falhas do sistema.

Remover pacotes do sensor sem a aprovação da Microsoft pode causar resultados inesperados. Todos os pacotes instalados no sensor são necessários para a funcionalidade correta do sensor.

Pré-requisitos

Antes de executar os procedimentos neste artigo, certifique-se de que você tem:

Ver o estado geral do sensor OT

Quando inicia sessão no sensor OT, a primeira página apresentada é a página Descrição Geral .

Por exemplo:

Captura de tela da página de visão geral.

A página Visão geral mostra os seguintes widgets:

Nome Descrição
Configurações Gerais Exibe uma lista das definições básicas de configuração do sensor e do status de conectividade.
Monitorização de Tráfego Exibe um gráfico detalhando o tráfego no sensor. O gráfico mostra o tráfego como unidades de Mbps por hora no dia da visualização.
Top 5 Protocolos OT Exibe um gráfico de barras que detalha os cinco principais protocolos OT mais usados. O gráfico de barras também fornece o número de dispositivos que estão usando cada um desses protocolos.
Tráfego por Porto Exibe um gráfico de pizza mostrando os tipos de portas em sua rede, com a quantidade de tráfego detetado em cada tipo de porta.
Principais alertas abertos Exibe uma tabela listando todos os alertas atualmente abertos com altos níveis de gravidade, incluindo detalhes críticos sobre cada alerta.

Selecione o link em cada widget para detalhar para obter mais informações no seu sensor.

Validar o status da conectividade

Verifique se o sensor OT está conectado com êxito ao portal do Azure diretamente na página Visão geral do sensor OT.

Se houver algum problema de conexão, uma mensagem de desconexão será mostrada na área Configurações Gerais na página Visão geral e um aviso de erro de conexão de serviço será exibido na parte superior da página, na área Mensagens do Sistema. Por exemplo:

Captura de tela de uma página de sensor mostrando o status da conectividade como desconectado.

Encontre mais informações sobre o problema passando o mouse sobre o ícone de informações. Por exemplo:

Captura de ecrã de uma mensagem de erro de conectividade.

Execute uma ação selecionando a opção Saiba mais em Mensagens do sistema. Por exemplo:

Captura de ecrã do painel de mensagens do sistema.

Download de software para sensores OT

Poderá ter de transferir software para o seu sensor OT se estiver a instalar o software Defender for IoT nos seus próprios dispositivos ou a atualizar versões de software.

No Defender for IoT no portal do Azure, use uma das seguintes opções:

  • Para uma nova instalação, selecione Sensor de introdução>. Selecione uma versão na área Comprar um dispositivo e instalar software e, em seguida, selecione Transferir.

  • Se você estiver atualizando seu sensor OT, use as opções no menu Atualização do sensor (Visualização) da página >Sites e sensores.

Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que suas máquinas usem apenas ativos assinados.

Para obter mais informações, consulte Update Defender for IoT OT monitoring software.

Carregar um novo ficheiro de ativação

Cada sensor OT é integrado como um sensor OT conectado à nuvem ou gerenciado localmente e ativado usando um arquivo de ativação exclusivo. Para sensores conectados à nuvem, o arquivo de ativação é usado para garantir a conexão entre o sensor e o Azure.

Você precisa carregar um novo arquivo de ativação para o sensor se quiser alternar os modos de gerenciamento do sensor, como mudar de um sensor gerenciado localmente para um sensor conectado à nuvem, ou se estiver atualizando a partir de uma versão recente do software. Carregar um novo arquivo de ativação para o sensor inclui excluir o sensor do portal do Azure e integrá-lo novamente.

Para adicionar um novo arquivo de ativação:

  1. Execute um dos seguintes procedimentos:

    • Integre o seu sensor a partir do zero:

      1. No Defender for IoT no portal>do Azure Sites e sensores, localize e exclua seu sensor OT.

      2. Selecione Onboard OT sensor > OT para integrar o sensor novamente a partir do zero e baixe o novo arquivo de ativação. Para obter mais informações, consulte Sensores OT integrados.

    • Faça o download do arquivo de ativação do sensor atual: na página Sites e sensores , localize o sensor que você acabou de adicionar. Selecione os três pontos (...) na linha do sensor e selecione Baixar arquivo de ativação. Salve o arquivo em um local acessível ao seu sensor.

    Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que suas máquinas usem apenas ativos assinados.

  2. Entre no console do sensor do Defender for IoT e selecione Configurações do>sistema Gerenciamento do>sensor Assinatura & Modo de ativação.

  3. Selecione Carregar e navegue até o arquivo que você baixou do portal do Azure.

  4. Selecione Ativar para carregar seu novo arquivo de ativação.

Solucionar problemas de carregamento de arquivos de ativação

Você receberá uma mensagem de erro se o arquivo de ativação não puder ser carregado. Podem ter ocorrido os seguintes eventos:

  • O sensor não pode se conectar à internet: verifique a configuração de rede do sensor. Se o sensor precisar se conectar por meio de um proxy da Web para acessar a Internet, verifique se o servidor proxy está configurado corretamente na tela Configuração de rede do sensor. Verifique se os pontos de extremidade necessários são permitidos no firewall e/ou proxy.

    Para sensores OT versão 22.x, baixe a lista de pontos de extremidade necessários na página Sites e sensores no portal do Azure. Selecione um sensor OT com uma versão de software suportada ou um site com um ou mais sensores suportados. E, em seguida, selecione Mais ações>Baixar detalhes do ponto final. Para sensores com versões anteriores, consulte Acesso do sensor ao portal do Azure.

  • O arquivo de ativação é válido, mas o Defender for IoT o rejeitou: se não conseguir resolver esse problema, você poderá baixar outra ativação na página Sites e sensores no portal do Azure. Se isso não funcionar, entre em contato com o Suporte da Microsoft.

Nota

Os arquivos de ativação expiram 14 dias após a criação. Se você integrou o sensor, mas não carregou o arquivo de ativação antes que ele expirasse, baixe um novo arquivo de ativação.

Gerir certificados SSL/TLS

Se você estiver trabalhando com um ambiente de produção, implantará um certificado SSL/TLS assinado pela CA como parte da implantação do sensor OT. Recomendamos o uso de certificados autoassinados apenas para fins de teste.

Os procedimentos a seguir descrevem como implantar certificados SSL/TLS atualizados, como se o certificado expirou.

Para implantar um certificado SSL/TLS assinado por CA:

  1. Inicie sessão no seu sensor OT e selecione System Settings>Basic>SSL/TLS Certificate.

  2. No painel Certificados SSL/TLS, selecione a opção Importar certificado de autoridade de certificação confiável (recomendado). Por exemplo:

    Captura de ecrã a mostrar a importação de um certificado de AC fidedigno.

  3. Insira os seguintes parâmetros:

    Parâmetro Description
    Nome do certificado Insira o nome do certificado.
    Senha - Opcional Introduza uma frase secreta.
    Chave privada (arquivo KEY) Carregue uma chave privada (arquivo KEY).
    Certificado (arquivo CRT) Carregue um certificado (arquivo CRT).
    Cadeia de certificados (arquivo PEM) - Opcional Carregue uma cadeia de certificados (arquivo PEM).

    Selecione Usar CRL (Lista de Revogação de Certificados) para verificar o status do certificado e validar o certificado em relação a um servidor CRL. O certificado é verificado uma vez durante o processo de importação.

    Se um carregamento falhar, contacte o administrador de segurança ou de TI. Para obter mais informações, consulte Requisitos de certificado SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.

  4. Na área Validação do certificado do console de gerenciamento local, selecione Obrigatório se a validação do certificado SSL/TLS for necessária. Caso contrário, selecione Nenhum.

    Se você selecionou Obrigatório e a validação falhar, a comunicação entre os componentes relevantes será interrompida e um erro de validação será mostrado no sensor. Para obter mais informações, consulte Requisitos de arquivo CRT.

  5. Selecione Salvar para salvar as configurações do certificado.

Solucionar erros de carregamento de certificado

Você não poderá carregar certificados para seus sensores OT ou consoles de gerenciamento locais se os certificados não forem criados corretamente ou forem inválidos. Use a tabela a seguir para entender como agir se o carregamento do certificado falhar e uma mensagem de erro for exibida:

Erro de validação do certificado Recomendação
A frase secreta não corresponde à chave Certifique-se de que tem a frase secreta correta. Se o problema persistir, tente recriar o certificado usando a senha correta. Para obter mais informações, consulte Caracteres suportados para chaves e frases secretas.
Não é possível validar a cadeia de confiança. O certificado e a autoridade de certificação raiz fornecidos não coincidem. Verifique se um .pem arquivo está correlacionado .crt ao arquivo.
Se o problema persistir, tente recriar o certificado usando a cadeia de confiança correta, conforme definido pelo .pem arquivo.
Este certificado SSL expirou e não é considerado válido. Crie um novo certificado com datas válidas.
Este certificado foi revogado pela CRL e não pode ser confiável para uma conexão segura Crie um novo certificado não revogado.
O local da CRL (Lista de Revogação de Certificados) não está acessível. Verifique se o URL pode ser acedido a partir deste dispositivo Verifique se a configuração de rede permite que o sensor ou o console de gerenciamento local alcance o servidor CRL definido no certificado.
Para obter mais informações, consulte Verificar o acesso ao servidor CRL.
Falha na validação do certificado Isso indica um erro geral no aparelho.
Entre em contato com o Suporte da Microsoft.

Atualizar a configuração de rede do sensor OT

Você configurou sua rede de sensores OT durante a instalação. Pode ser necessário fazer alterações como parte da manutenção do sensor OT, como modificar valores de rede ou configurar uma configuração de proxy.

Para atualizar a configuração do sensor OT:

  1. Entre no sensor OT e selecione Configurações do>sistema Configurações básicas>de rede do sensor.

  2. No painel Configurações de rede do sensor, atualize os seguintes detalhes para o sensor OT, conforme necessário:

    • Endereço IP. Alterar o endereço IP pode exigir que os usuários entrem no sensor OT novamente.
    • Máscara de sub-rede
    • Gateway padrão
    • DNS. Certifique-se de usar o mesmo nome de host configurado no servidor DNS da sua organização.
    • Nome do host (opcional)
  3. Ative ou desative a opção Ativar proxy , se necessário. Se você estiver usando um proxy, insira os seguintes valores:

    • Host proxy
    • Porta proxy
    • Nome de usuário do proxy (opcional)
    • Senha de proxy (opcional)
  4. Selecione Guardar para guardar as alterações.

Desativar o modo de aprendizagem manualmente

Um sensor de rede OT do Microsoft Defender para IoT começa a monitorar sua rede automaticamente assim que ela é conectada à rede e você faz login. Os dispositivos de rede começam a aparecer no inventário de dispositivos e os alertas são acionados para quaisquer incidentes operacionais ou de segurança que ocorram na rede.

Inicialmente, esta atividade acontece no modo de aprendizagem , que instrui o seu sensor OT a aprender a atividade habitual da sua rede, incluindo os dispositivos e protocolos na sua rede, e as transferências regulares de ficheiros que ocorrem entre dispositivos específicos. Qualquer atividade detetada regularmente torna-se o tráfego de linha de base da sua rede.

Este procedimento descreve como desativar o modo de aprendizagem manualmente se você achar que os alertas atuais refletem com precisão sua atividade de rede.

Para desativar o modo de aprendizagem:

  1. Inicie sessão no seu sensor de rede OT e selecione Definições do > sistema: Monitorização > de rede, Motores de deteção e modelação de rede.

  2. Desative uma ou ambas as seguintes opções:

    • Aprendizagem. Desative esta opção cerca de duas a seis semanas depois de ter implantado o sensor, quando sentir que as deteções do sensor OT refletem com precisão a sua atividade de rede.

    • Aprendizagem inteligente de TI. Mantenha esta opção ativada para manter baixo o número de alertas e notificações não determinísticos .

    O comportamento não determinístico inclui alterações que são o resultado da atividade normal de TI, como solicitações DNS e HTTP. Desativar a opção Smart IT Learning pode disparar muitos alertas de violação de política falsos positivos.

  3. Na mensagem de confirmação, selecione OK e, em seguida, selecione Fechar para salvar as alterações.

Atualizar as interfaces de monitoramento de um sensor (configurar ERSPAN)

Você pode querer alterar as interfaces usadas pelo seu sensor para monitorar o tráfego. Você originalmente configurou esses detalhes como parte da configuração inicial do sensor, mas talvez seja necessário modificá-los como parte da manutenção do sistema, como configurar o monitoramento ERSPAN.

Para obter mais informações, consulte Portas ERSPAN.

Nota

Este procedimento reinicia o software do sensor para implementar quaisquer alterações feitas.

Para atualizar as interfaces de monitoramento do sensor:

  1. Inicie sessão no seu sensor OT e selecione Definições do sistema>Ligações de interface básica.>

  2. Na grade, localize a interface que você deseja configurar. Efetue qualquer uma das seguintes opções:

    • Selecione a alternância Ativar/Desativar para todas as interfaces que você deseja que o sensor monitore. Você deve ter pelo menos uma interface habilitada para cada sensor.

      Se você não tiver certeza sobre qual interface usar, selecione o botão Piscar LED da interface física para que a porta selecionada pisque em sua máquina.

      Gorjeta

      Recomendamos que você otimize o desempenho do sensor definindo suas configurações para monitorar apenas as interfaces que estão ativamente em uso.

    • Para cada interface selecionada para monitorar, selecione o botão Configurações avançadas para modificar qualquer uma das seguintes configurações:

      Nome Descrição
      Modo Selecione uma das seguintes opções:

      - Tráfego SPAN (sem encapsulamento) para usar o espelhamento de porta SPAN padrão.
      - ERSPAN se você estiver usando o espelhamento ERSPAN.

      Para obter mais informações, consulte Escolher um método de espelhamento de tráfego para sensores OT.
      Descrição Insira uma descrição opcional para a interface. Você verá isso mais adiante na página Configurações da interface de configurações > do sistema do sensor, e essas descrições podem ser úteis para entender o objetivo de cada interface.
      Auto negociação Relevante apenas para máquinas físicas. Use esta opção para determinar que tipo de métodos de comunicação são usados ou se os métodos de comunicação são definidos automaticamente entre componentes.

      Importante: Recomendamos que você altere essa configuração somente seguindo o conselho de sua equipe de rede.

    Por exemplo:

    Captura de tela de como configurar o ERSPAN na página Configurações da interface.

  3. Selecione Guardar para guardar as alterações. O software do sensor é reiniciado para implementar as alterações.

Sincronizar fusos horários em um sensor OT

Você pode configurar seu sensor OT com um fuso horário específico para que todos os usuários vejam os mesmos horários, independentemente da localização do usuário.

Os fusos horários são usados em alertas, widgets de tendências e estatísticas, relatórios de mineração de dados, relatórios de avaliação de risco e relatórios de vetores de ataque.

Para configurar o fuso horário de um sensor OT:

  1. Inicie sessão no seu sensor OT e selecione Definições do>sistema Hora Básica>& Região.

  2. No painel Tempo & Região, insira os seguintes detalhes:

    • Fuso horário: selecione o fuso horário que você deseja usar

    • Formato de data: selecione o formato de data e hora que deseja usar. Os formatos suportados incluem:

      • dd/MM/yyyy HH:mm:ss
      • MM/dd/yyyy HH:mm:ss
      • yyyy/MM/dd HH:mm:ss

    O campo Data e Hora é atualizado automaticamente com a hora atual no formato selecionado.

  3. Selecione Guardar para guardar as alterações.

Definir configurações do servidor de email SMTP

Defina as configurações do servidor de email SMTP no sensor de OT para que você configure o sensor de OT para enviar dados para outros servidores e serviços de parceiros.

Você precisa de um servidor de email SMTP configurado para habilitar alertas de e-mail sobre sensores desconectados, recuperações de backup do sensor com falha e falhas de porta de monitoramento de SPAN do console de gerenciamento local e para configurar o encaminhamento de e-mails e configurar regras de alerta de encaminhamento.

Pré-requisitos:

Certifique-se de que consegue aceder ao servidor SMTP a partir da porta de gestão do sensor.

Para configurar um servidor SMTP no sensor OT:

  1. Entre no sensor OT e selecione Configurações do>sistema Integrações>Servidor de email.

  2. No painel Editar Configuração do Servidor de Email exibido, defina os valores para o servidor SMTP da seguinte maneira:

    Parâmetro Description
    Endereço do servidor SMTP Introduza o endereço IP ou o endereço de domínio do seu servidor SMTP.
    Porta do servidor SMTP Padrão = 25. Ajuste o valor conforme necessário.
    Conta de e-mail de saída Insira um endereço de e-mail para usar como a conta de e-mail de saída do seu sensor.
    SSL Ative para conexões seguras a partir do sensor.
    Autenticação Ative e introduza um nome de utilizador e uma palavra-passe para a sua conta de e-mail.
    Usar NTLM Ative para ativar o NTLM. Essa opção só aparece quando você tem a opção Autenticação ativada.
  3. Quando terminar, selecione Guardar.

Carregue e reproduza ficheiros PCAP

Ao solucionar problemas do seu sensor OT, você pode querer examinar os dados gravados por um arquivo PCAP específico. Para fazer isso, você pode carregar um arquivo PCAP para o seu sensor OT e reproduzir os dados gravados.

A opção Reproduzir PCAP está ativada por padrão nas configurações do console do sensor.

O tamanho máximo dos ficheiros carregados é de 2 GB.

Para mostrar o leitor PCAP na consola do sensor:

  1. Na consola do sensor, aceda a Definições do sistema Gestão do > sensor Configurações avançadas>.

  2. No painel Configurações avançadas, selecione a categoria Pcaps.

  3. Nas configurações exibidas, altere enabled=0 para enabled=1e selecione Salvar.

A opção Reproduzir PCAP está agora disponível nas definições da consola do sensor, em: Definições > do sistema Basic > Play PCAP.

Para carregar e reproduzir um ficheiro PCAP:

  1. No console do sensor, selecione Configurações do > sistema Basic > Play PCAP.

  2. No painel PCAP PLAYER, selecione Carregar e, em seguida, navegue até o arquivo ou vários arquivos que deseja carregar e selecione-o.

    Captura de ecrã do carregamento de ficheiros PCAP no painel PCAP PLAYER na consola do sensor.

  3. Selecione Reproduzir para reproduzir o ficheiro PCAP ou Reproduzir tudo para reproduzir todos os ficheiros PCAP atualmente carregados.

Gorjeta

Selecione Limpar tudo para limpar o sensor de todos os arquivos PCAP carregados.

Desative mecanismos de análise específicos

Por padrão, cada sensor de rede OT analisa os dados ingeridos usando mecanismos de análise integrados e dispara alertas com base no tráfego em tempo real e pré-gravado.

Embora recomendemos que você mantenha todos os mecanismos de análise ativados, convém desativar mecanismos de análise específicos em seus sensores OT para limitar o tipo de anomalias e riscos monitorados por esse sensor OT.

Importante

Quando você desabilita um mecanismo de política, as informações geradas pelo mecanismo não estarão disponíveis para o sensor. Por exemplo, se você desativar o mecanismo de anomalias, não receberá alertas sobre anomalias de rede. Se você tiver criado uma regra de alerta de encaminhamento, as anomalias que o mecanismo descobrir não serão enviadas.

Para gerenciar os mecanismos de análise de um sensor OT:

  1. Inicie sessão no seu sensor OT e selecione Configurações do > sistema: Monitorização > de rede, Personalização > , Motores de deteção e modelação de rede.

  2. No painel Mecanismos de deteção e modelagem de rede, na área Mecanismos, desative um ou mais dos seguintes mecanismos:

    • Violação de protocolo
    • Violação da política
    • Malware
    • Anomalia
    • Operacional

    Ligue novamente o motor para começar a rastrear anomalias e atividades relacionadas novamente.

    Para obter mais informações, consulte Defender for IoT analytics engines.

  3. Selecione Fechar para salvar as alterações.

Para gerenciar mecanismos de análise a partir de um console de gerenciamento local:

  1. Entre no console de gerenciamento local e selecione Configurações do sistema.

  2. Na seção Configuração do mecanismo de sensor, selecione um ou mais sensores OT onde deseja aplicar as configurações e desmarque qualquer uma das seguintes opções:

    • Violação de protocolo
    • Violação da política
    • Malware
    • Anomalia
    • Operacional
  3. Selecione SALVAR ALTERAÇÕES para salvar as alterações.

Limpar dados do sensor OT

Se você precisar realocar ou apagar seu sensor OT, redefini-lo para limpar todos os dados detetados ou aprendidos no sensor OT.

Depois de limpar os dados em um sensor conectado à nuvem:

  • O inventário de dispositivos no portal do Azure é atualizado em paralelo.
  • Algumas ações em alertas correspondentes no portal do Azure não são mais suportadas, como baixar arquivos PCAP ou alertas de aprendizagem.

Nota

As configurações de rede, como IP/DNS/GATEWAY, não serão alteradas pela limpeza dos dados do sistema.

Para limpar os dados do sistema:

  1. Inicie sessão no sensor OT como utilizador administrador . Para obter mais informações, consulte Usuários locais com privilégios padrão.

  2. Selecione Suporte>Limpar dados.

  3. Na caixa de diálogo de confirmação, selecione Sim para confirmar que deseja limpar todos os dados do sensor e redefini-los. Por exemplo:

    Captura de ecrã da limpeza de dados do sistema na página de suporte na consola do sensor.

Aparece uma mensagem de confirmação de que a ação foi bem-sucedida. Todos os dados aprendidos, listas de permissões, políticas e definições de configuração são limpos do sensor.

Gerencie plug-ins de sensores e monitore o desempenho de plug-ins

Visualize os dados de cada protocolo monitorado pelo sensor usando a página Protocolos DPI (Horizon Plugins) no console do sensor.

  1. Inicie sessão na consola do sensor OT e selecione Definições do > sistema Protocolos de monitorização > de rede DPI (Horizon Plugins).

  2. Execute um dos seguintes procedimentos:

    • Para limitar os protocolos monitorados pelo seu sensor, selecione a alternância Ativar/Desativar para cada plug-in, conforme necessário.

    • Para monitorar o desempenho do plugin, visualize os dados mostrados na página Protocolos DPI (Horizon Plugins) para cada plug-in. Para ajudar a localizar um plug-in específico, use a caixa Pesquisar para inserir parte ou todo o nome de um plug-in.

Os Protocolos DPI (Horizon Plugins) listam os seguintes dados por plugin:

Nome da coluna Description
Plugin Define o nome do plugin.
Tipo O tipo de plugin, incluindo APLICAÇÃO ou INFRAESTRUTURA.
Tempo A última vez que os dados foram analisados usando o plugin. O carimbo de data/hora é atualizado a cada cinco segundos.
PPS O número de pacotes analisados por segundo pelo plugin.
Largura de banda A largura de banda média detetada pelo plugin nos últimos cinco segundos.
Malformações O número de erros de má formação detetados nos últimos cinco segundos. Validações malformadas são usadas após o protocolo ter sido validado positivamente. Se houver uma falha no processamento dos pacotes com base no protocolo, uma resposta de falha será retornada.
Avisos O número de avisos detetados, como quando os pacotes correspondem à estrutura e às especificações, mas um comportamento inesperado é detetado, com base na configuração de aviso do plug-in.
Erros O número de erros detetados nos últimos cinco segundos para pacotes que falharam nas validações básicas de protocolo para os pacotes que correspondem às definições de protocolo.

Os dados de log estão disponíveis para exportação nas estatísticas de dissecação e Logs de dissecação, arquivos de log. Para obter mais informações, consulte Exportar logs de solução de problemas.

Próximos passos

Para obter mais informações, consulte: