Manter o console de gerenciamento local (Legado)

Importante

O Defender for IoT agora recomenda o uso de serviços de nuvem da Microsoft ou infraestrutura de TI existente para monitoramento central e gerenciamento de sensores, e planeja desativar o console de gerenciamento local em 1º de janeiro de 2025.

Para obter mais informações, consulte Implantar o gerenciamento de sensores OT híbridos ou com ar comprimido.

Este artigo descreve atividades extras do console de gerenciamento local que você pode executar fora de um processo de implantação maior.

Atenção

Somente parâmetros de configuração documentados no sensor de rede OT e no console de gerenciamento local são suportados para a configuração do cliente. Não altere nenhum parâmetro de configuração não documentado ou propriedades do sistema, pois as alterações podem causar comportamento inesperado e falhas do sistema.

Remover pacotes do sensor sem a aprovação da Microsoft pode causar resultados inesperados. Todos os pacotes instalados no sensor são necessários para a funcionalidade correta do sensor.

Pré-requisitos

Antes de executar os procedimentos neste artigo, certifique-se de que você tem:

• Um console de gerenciamento local instalado e ativado.

• Acesso ao console de gerenciamento local como um usuário Admin . Os procedimentos selecionados e o acesso à CLI também exigem um usuário privilegiado. Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.

• Um certificado SSL/TLS preparado se você precisar atualizar o certificado do sensor.

• Se você estiver adicionando uma NIC secundária, precisará acessar a CLI como um usuário privilegiado.

Baixar software para o console de gerenciamento local

Talvez seja necessário baixar software para seu console de gerenciamento local se estiver instalando o software Defender for IoT em seus próprios dispositivos ou atualizando versões de software.

No Defender for IoT no portal do Azure, use uma das seguintes opções:

• Para uma nova instalação ou atualização autônoma, selecione Introdução>ao console de gerenciamento local.

  • Para uma nova instalação, selecione uma versão na área Comprar um dispositivo e instalar software e, em seguida, selecione Transferir.
  • Para uma atualização, selecione o cenário de atualização na área Console de gerenciamento local e selecione Download.

• Se você estiver atualizando seu console de gerenciamento local junto com sensores OT conectados, use as opções no menu Atualização do sensor (visualização) da página >Sites e sensores.

Adicionar uma NIC secundária após a instalação

Melhore a segurança do seu console de gerenciamento local adicionando uma NIC secundária dedicada para sensores conectados dentro de um intervalo de endereços IP. Quando você usa uma NIC secundária, a primeira é dedicada para usuários finais e a secundária oferece suporte à configuração de um gateway para redes roteadas.

Este procedimento descreve como adicionar uma NIC secundária depois de instalar o console de gerenciamento local.

Para adicionar uma NIC secundária:

1. Entre no console de gerenciamento local via SSH para acessar a CLI e execute:

   sudo cyberx-management-network-reconfigure
   

2. Insira as seguintes respostas para as seguintes perguntas:

   

   Parâmetros	Resposta para entrar
   Endereço IP da Rede de Gestão	N
   Máscara de sub-rede	N
   DNS	N
   Endereço IP do gateway padrão	N
   Interface de monitoramento do sensor Opcional. Relevante quando os sensores estão em um segmento de rede diferente.	Ye selecione um valor possível
   Um endereço IP para a interface de monitoramento do sensor	Ye insira um endereço IP acessível pelos sensores
   Uma máscara de sub-rede para a interface de monitoramento do sensor	Ye insira um endereço IP acessível pelos sensores
   Nome de Anfitrião	Digite o nome do host

3. Reveja todas as opções e entre Y para aceitar as alterações. O sistema é reinicializado.

Carregar um novo ficheiro de ativação

Você ativou o console de gerenciamento local como parte da implantação.

Talvez seja necessário reativar o console de gerenciamento local como parte dos procedimentos de manutenção, como se o número total de dispositivos monitorados exceder o número de dispositivos para os quais você está licenciado.

Para carregar um novo arquivo de ativação no console de gerenciamento local:

1. No Defender for IoT no portal do Azure, selecione Planos e preços.

2. Selecione seu plano e, em seguida, selecione Baixar arquivo de ativação do console de gerenciamento local.

   Salve o arquivo baixado em um local acessível a partir do console de gerenciamento local.

   Todos os arquivos baixados do portal do Azure são assinados pela raiz da confiança para que suas máquinas usem apenas ativos assinados.

3. Entre no console de gerenciamento local e selecione Ativação das configurações>do sistema.

4. Na caixa de diálogo Ativação, selecione ESCOLHER ARQUIVO e navegue até o arquivo de ativação que você baixou anteriormente.

5. Selecione Fechar para salvar as alterações.

Gerir certificados SSL/TLS

Se você estiver trabalhando com um ambiente de produção, implantará um certificado SSL/TLS assinado pela CA como parte da implantação do console de gerenciamento local. Recomendamos o uso de certificados autoassinados apenas para fins de teste.

Os procedimentos a seguir descrevem como implantar certificados SSL/TLS atualizados, como se o certificado expirou.

Implantar um certificado assinado por CA

Para implantar um certificado assinado por CA:

1. Entre no console de gerenciamento local e selecione Certificados SSL/TLS de Configurações>do Sistema.

2. Na caixa de diálogo Certificados SSL/TLS, selecione + Adicionar certificado e insira os seguintes valores:

   Parâmetro	Description
   Nome do certificado	Insira o nome do certificado.
   Senha - Opcional	Introduza uma frase secreta.
   Chave privada (arquivo KEY)	Carregue uma chave privada (arquivo KEY).
   Certificado (arquivo CRT)	Carregue um certificado (arquivo CRT).
   Cadeia de certificados (arquivo PEM) - Opcional	Carregue uma cadeia de certificados (arquivo PEM).

   Por exemplo:

   

   Se o carregamento falhar, contacte o administrador de segurança ou de TI. Para obter mais informações, consulte Requisitos de certificado SSL/TLS para recursos locais e Criar certificados SSL/TLS para dispositivos OT.

3. Selecione a opção Ativar Validação de Certificado para ativar a validação em todo o sistema para certificados SSL/TLS com a Autoridade de Certificação emissora e as Listas de Revogação de Certificados.

   Se esta opção estiver ativada e a validação falhar, a comunicação entre os componentes relevantes será interrompida e um erro de validação será mostrado no sensor. Para obter mais informações, consulte Requisitos de arquivo CRT.

4. Selecione Guardar para guardar as alterações.

Criar e implantar um certificado autoassinado

Cada console de gerenciamento local é instalado com um certificado autoassinado que recomendamos que você use apenas para fins de teste. Em ambientes de produção, recomendamos que você sempre use um certificado assinado por CA.

Os certificados autoassinados levam a um ambiente menos seguro, pois o proprietário do certificado não pode ser validado e a segurança do seu sistema não pode ser mantida.

Para criar um certificado autoassinado, baixe o arquivo de certificado do console de gerenciamento local e use uma plataforma de gerenciamento de certificados para criar os arquivos de certificado que você precisará carregar de volta para o console de gerenciamento local.

Para criar um certificado autoassinado:

Vá para o endereço IP do console de gerenciamento local em um navegador e, em seguida:

1. Selecione o alerta Não seguro na barra de endereço do seu navegador da Web e, em seguida, selecione o> ícone ao lado da mensagem de aviso "Sua conexão com este site não é segura". Por exemplo:

   

2. Selecione o ícone Mostrar certificado para exibir o certificado de segurança deste site.

3. No painel Visualizador de certificados, selecione a guia Detalhes e, em seguida, selecione Exportar para inserir um nome para o arquivo exportado e salvá-lo em sua máquina local.

4. Use uma plataforma de gerenciamento de certificados para criar os seguintes tipos de arquivos de certificado SSL/TLS:

   Tipo de ficheiro	Description
   .crt – arquivo de contêiner de certificado	Um .pem, ou .der ficheiro, com uma extensão diferente para suporte no Explorador do Windows.
   .key – Arquivo de chave privada	Um ficheiro de chave está no mesmo formato que um .pem ficheiro, com uma extensão diferente para suporte no Explorador do Windows.
   .pem – arquivo de contêiner de certificado (opcional)	Opcional. Um arquivo de texto com uma codificação Base64 do texto do certificado e um cabeçalho e rodapé de texto simples para marcar o início e o fim do certificado.

   Por exemplo:

   1. Abra o arquivo de certificado baixado e selecione a guia >Detalhes Copiar para arquivo para executar o Assistente para Exportação de Certificados.

   2. No Assistente para Exportação de Certificados, selecione Próximo>binário codificado pelo DER X.509 (. CER)> e, em seguida, selecione Avançar novamente.

   3. Na tela Arquivo a Exportar, selecione Procurar, escolha um local para armazenar o certificado e selecione Avançar.

   4. Selecione Concluir para exportar o certificado.

Nota

Pode ser necessário converter tipos de arquivos existentes em tipos suportados.

Quando terminar, use os seguintes procedimentos para validar seus arquivos de certificado:

• Verificar o acesso ao servidor CRL
• Importar o certificado SSL/TLS para um armazenamento confiável
• Teste seus certificados SSL/TLS

Para implantar um certificado autoassinado:

1. Entre no console de gerenciamento local e selecione Configurações do sistema>Certificados SSL/TLS.

2. Na caixa de diálogo Certificados SSL/TLS, mantenha a opção padrão Certificado autoassinado gerado localmente (inseguro, não recomendado) selecionada.

3. Selecione Eu CONFIRMO para confirmar o aviso.

4. Selecione a opção Habilitar validação de certificado para validar o certificado em relação a um servidor CRL. O certificado é verificado uma vez durante o processo de importação.

   Se esta opção estiver ativada e a validação falhar, a comunicação entre os componentes relevantes será interrompida e um erro de validação será mostrado no sensor. Para obter mais informações, consulte Requisitos de arquivo CRT.

5. Selecione Salvar para salvar as configurações do certificado.

Solucionar erros de carregamento de certificado

Você não poderá carregar certificados para seus sensores OT ou consoles de gerenciamento locais se os certificados não forem criados corretamente ou forem inválidos. Use a tabela a seguir para entender como agir se o carregamento do certificado falhar e uma mensagem de erro for exibida:

Erro de validação do certificado	Recomendação
A frase secreta não corresponde à chave	Certifique-se de que tem a frase secreta correta. Se o problema persistir, tente recriar o certificado usando a senha correta. Para obter mais informações, consulte Caracteres suportados para chaves e frases secretas.
Não é possível validar a cadeia de confiança. O certificado e a autoridade de certificação raiz fornecidos não coincidem.	Verifique se um .pem arquivo está correlacionado .crt ao arquivo. Se o problema persistir, tente recriar o certificado usando a cadeia de confiança correta, conforme definido pelo .pem arquivo.
Este certificado SSL expirou e não é considerado válido.	Crie um novo certificado com datas válidas.
Este certificado foi revogado pela CRL e não pode ser confiável para uma conexão segura	Crie um novo certificado não revogado.
O local da CRL (Lista de Revogação de Certificados) não está acessível. Verifique se o URL pode ser acedido a partir deste dispositivo	Verifique se a configuração de rede permite que o sensor ou o console de gerenciamento local alcance o servidor CRL definido no certificado. Para obter mais informações, consulte Verificar o acesso ao servidor CRL.
Falha na validação do certificado	Isso indica um erro geral no aparelho. Entre em contato com o Suporte da Microsoft.

Alterar o nome do console de gerenciamento local

O nome padrão do console de gerenciamento local é Console de gerenciamento local e é mostrado na GUI do console de gerenciamento local e nos logs de solução de problemas.

Para alterar o nome do console de gerenciamento local:

1. Entre no console de gerenciamento local e selecione o nome no canto inferior esquerdo, logo acima do número da versão.

2. Na caixa de diálogo Editar configuração do console de gerenciamento, insira seu novo nome. O nome deve ter no máximo 25 caracteres. Por exemplo:

   

3. Selecione Guardar para guardar as alterações.

Recuperar uma palavra-passe de utilizador privilegiada

Se você não tiver mais acesso ao seu console de gerenciamento local como um usuário privilegiado, recupere o acesso do portal do Azure.

Para recuperar acesso de usuário privilegiado:

1. Aceda à página de início de sessão da sua consola de gestão no local e selecione Recuperação de Palavra-passe.

2. Selecione o usuário para o qual você deseja recuperar o acesso, o usuário Support ou CyberX.

3. Copie o identificador exibido na caixa de diálogo Recuperação de senha para um local seguro.

4. Aceda ao Defender para IoT no portal do Azure e certifique-se de que está a visualizar a subscrição que foi utilizada para integrar os sensores OT atualmente ligados à consola de gestão local.

5. Selecione Sites e sensores>Mais ações>Recupere uma senha do console de gerenciamento local.

6. Insira o identificador secreto copiado anteriormente do console de gerenciamento local e selecione Recuperar.

   Um password_recovery.zip arquivo é baixado do seu navegador.

   Todos os arquivos baixados do portal do Azure são assinados pela raiz da confiança para que suas máquinas usem apenas ativos assinados.

7. Na caixa de diálogo Recuperação de Senha no console de gerenciamento local, selecione Carregar e selecione o password_recovery.zip arquivo baixado.

Suas novas credenciais são exibidas.

Editar o nome do host

O nome de host do console de gerenciamento local deve corresponder ao nome do host configurado no servidor DNS organizacional.

Para editar o nome do host salvo no console de gerenciamento local:

1. Entre no console de gerenciamento local e selecione Configurações do sistema.

2. Na área Rede do console de gerenciamento , selecione Rede.

3. Digite o novo nome do host e selecione SALVAR para salvar suas alterações.

Definir nomes de VLAN

Os nomes de VLAN não são sincronizados entre um sensor OT e o console de gerenciamento local. Se você definiu nomes de VLAN em seu sensor de OT, recomendamos que defina nomes de VLAN idênticos no console de gerenciamento local.

Para definir nomes de VLAN:

1. Entre no console de gerenciamento local e selecione Configurações do sistema.

2. Na área Rede do console de gerenciamento, selecione VLAN.

3. Na caixa de diálogo Editar configuração de VLAN, selecione Adicionar VLAN e insira seu ID e nome de VLAN, um de cada vez.

4. Selecione SALVAR para salvar as alterações.

Definir configurações do servidor de email SMTP

Defina as configurações do servidor de email SMTP no console de gerenciamento local para configurar o console de gerenciamento local para enviar dados para outros servidores e serviços de parceiros.

Por exemplo, você precisará de um servidor de email SMTP configurado para configurar o encaminhamento de email e configurar regras de alerta de encaminhamento.

Pré-requisitos:

Certifique-se de que consegue aceder ao servidor SMTP a partir da consola de gestão local.

Para configurar um servidor SMTP no console de gerenciamento local:

1. Entre no console de gerenciamento local como um usuário privilegiado via SSH/Telnet.

2. Executar:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Insira os seguintes detalhes do servidor SMTP conforme solicitado:

   • mail.smtp_server
   • mail.port. A porta padrão é 25.
   • mail.sender

Próximos passos

Para obter mais informações, consulte:

• Atualizar o software do sistema OT
• Gerir sensores na consola de gestão
• Solucionar problemas do console de gerenciamento local