Criar e gerenciar usuários em um sensor de rede OT

  • Artigo

O Microsoft Defender para IoT fornece ferramentas para gerenciar o acesso de usuários locais no sensor de rede OT e no console de gerenciamento local herdado. Os usuários do Azure são gerenciados no nível de assinatura do Azure usando o Azure RBAC.

Este artigo descreve como gerenciar usuários locais diretamente em um sensor de rede OT.

Usuários privilegiados padrão

Por padrão, cada sensor de rede OT é instalado com o usuário de suporte privilegiado, que tem acesso a ferramentas avançadas para solução de problemas e configuração.

Ao configurar um sensor pela primeira vez, inicie sessão no utilizador de suporte, crie um utilizador inicial com uma função de Administrador e, em seguida, crie utilizadores adicionais para analistas de segurança e utilizadores só de leitura.

Para obter mais informações, consulte Instalar e configurar seu sensor OT e Usuários locais privilegiados padrão.

As versões do sensor anteriores à 23.1.x também incluem o cyberx e cyberx_host usuários privilegiados. Nas versões 23.1.x e superiores, esses usuários são instalados, mas não habilitados por padrão.

Para habilitar os usuários cyberx e cyberx_host nas versões 23.1.x e superiores, como usá-los com a CLI do Defender for IoT, redefina a senha. Para obter mais informações, consulte Alterar a senha de um usuário do sensor.

Configurar uma conexão com o Ative Directory

Recomendamos configurar usuários locais em seu sensor OT com o Ative Directory, para permitir que os usuários do Ative Directory entrem no sensor e usem grupos do Ative Directory, com permissões coletivas atribuídas a todos os usuários do grupo.

Por exemplo, use o Ative Directory quando tiver um grande número de usuários aos quais deseja atribuir acesso Somente Leitura e quiser gerenciar essas permissões no nível do grupo.

Gorjeta

Quando estiver pronto para começar a gerir as definições do sensor OT em escala, defina as definições do Ative Directory a partir do portal do Azure. Depois de aplicar as configurações do portal do Azure, as configurações no console do sensor são somente leitura. Para obter mais informações, consulte Configurar configurações do sensor OT no portal do Azure (visualização pública).

Para integrar com o Ative Directory:

  1. Inicie sessão no seu sensor OT e selecione Configurações do Sistema>Integrações Ative>Directory.

  2. Ative a opção Integração com o Ative Directory Habilitada .

  3. Insira os seguintes valores para o servidor do Ative Directory:

    Nome Descrição
    FQDN do controlador de domínio O nome de domínio totalmente qualificado (FQDN), exatamente como aparece no seu servidor LDAP. Por exemplo, introduza host1.subdomain.contoso.com.

    Se você encontrar um problema com a integração usando o FQDN, verifique sua configuração de DNS. Você também pode inserir o IP explícito do servidor LDAP em vez do FQDN ao configurar a integração.
    Porta do controlador de domínio A porta onde o LDAP está configurado. Por exemplo, use a porta 636 para conexões LDAPS (SSL).
    Domínio primário O nome de domínio, como subdomain.contoso.com, e selecione o tipo de conexão para sua configuração LDAP.

    Os tipos de conexão suportados incluem: LDAPS/NTLMv3 (recomendado), LDAP/NTLMv3 ou LDAP/SASL-MD5
    Grupos do Ative Directory Selecione + Adicionar para adicionar um grupo do Ative Directory a cada nível de permissão listado, conforme necessário.

    Ao inserir um nome de grupo, certifique-se de inserir o nome do grupo exatamente como está definido na configuração do Ative Directory no servidor LDAP. Use esses nomes de grupo ao adicionar novos usuários de sensor com o Ative Directory.

    Os níveis de permissão suportados incluem Somente leitura, Analista de segurança, Administrador e Domínios confiáveis.

    Importante

    Ao inserir parâmetros LDAP:

    • Defina valores exatamente como aparecem no Ative Directory, exceto para o caso.
    • Somente caracteres minúsculos do usuário, mesmo que a configuração no Ative Directory use maiúsculas.
    • LDAP e LDAPS não podem ser configurados para o mesmo domínio. No entanto, você pode configurar cada um em domínios diferentes e, em seguida, usá-los ao mesmo tempo.

  4. Para adicionar outro servidor do Ative Directory, selecione + Adicionar servidor na parte superior da página e defina esses valores de servidor .

  5. Quando tiver adicionado todos os servidores do Ative Directory, selecione Guardar.

    Por exemplo:

    Screenshot of the active directory integration configuration on the sensor.

Adicionar novos usuários do sensor OT

Este procedimento descreve como criar novos usuários para um sensor de rede OT específico.

Pré-requisitos: Este procedimento está disponível para os usuários cyberx, suporte e cyberx_host e qualquer usuário com a função de administrador.

Para adicionar um usuário:

  1. Inicie sessão na consola do sensor e selecione Utilizadores>+ Adicionar utilizador.

  2. Na seção Criar um usuário | Página Utilizadores , introduza os seguintes detalhes:

    Nome Descrição
    Nome de utilizador Insira um nome de usuário significativo para o usuário.
    E-mail Digite o endereço de e-mail do usuário.
    Nome Próprio Introduza o nome próprio do utilizador.
    Apelido Insira o sobrenome do usuário.
    Função Selecione uma das seguintes funções de usuário: Admin, Security Analyst ou Read Only. Para obter mais informações, consulte Funções de usuário locais.
    Palavra-passe Selecione o tipo de usuário, Usuário Local ou Usuário do Ative Directory.

    Para usuários locais, digite uma senha para o usuário. Os requisitos de senha incluem:
    - Pelo menos oito caracteres
    - Caracteres alfabéticos minúsculos e maiúsculos
    - Pelo menos um número
    - Pelo menos um símbolo

    As senhas de usuário local só podem ser modificadas por usuários administradores .

    Gorjeta

    A integração com o Ative Directory permite associar grupos de usuários a níveis de permissão específicos. Se você quiser criar usuários usando o Ative Directory, primeiro configure uma conexão com o Ative Directory e retorne a este procedimento.

  3. Quando terminar, selecione Guardar.

Seu novo usuário é adicionado e listado na página Usuários do sensor.

Para editar um usuário, selecione o ícone Editar para o usuário que você deseja editar e altere os valores conforme necessário.

Para excluir um usuário, selecione o botão Excluir do usuário que você deseja excluir.

Alterar a palavra-passe de um utilizador do sensor

Este procedimento descreve como os usuários Admin podem alterar as senhas de usuário local. Os usuários administradores podem alterar senhas para si mesmos ou para outros usuários do Security Analyst ou Read Only . Os utilizadores privilegiados podem alterar as suas próprias palavras-passe e as palavras-passe dos utilizadores Admin.

Gorjeta

Se você precisar recuperar o acesso a uma conta de usuário privilegiada, consulte Recuperar acesso privilegiado a um sensor.

Pré-requisitos: Este procedimento está disponível apenas para usuários cyberx, suporte ou cyberx_host, ou para usuários com a função de administrador.

Para alterar a senha de um usuário em um sensor:

  1. Inicie sessão no sensor e selecione Utilizadores.

  2. Na página Usuários do sensor, localize o usuário cuja senha precisa ser alterada.

  3. À direita dessa linha de usuário, selecione o menu> de opções (...) Editar para abrir o painel do usuário.

  4. No painel do utilizador à direita, na área Alterar palavra-passe, introduza e confirme a nova palavra-passe . Se estiver a alterar a sua própria palavra-passe, também terá de introduzir a sua palavra-passe atual.

    Os requisitos de senha incluem:

    • Pelo menos oito caracteres
    • Caracteres alfabéticos minúsculos e maiúsculos
    • Pelo menos um número
    • Pelo menos um símbolo

  5. Quando terminar, selecione Guardar.

Recupere acesso privilegiado a um sensor

Este procedimento descreve como recuperar acesso privilegiado a um sensor, para os usuários cyberx, suporte ou cyberx_host . Para obter mais informações, consulte Usuários locais com privilégios padrão.

Pré-requisitos: Este procedimento está disponível apenas para os usuários cyberx, suporte ou cyberx_host .

Para recuperar acesso privilegiado a um sensor:

  1. Comece a iniciar sessão no sensor de rede OT. Na tela de entrada, selecione o link Redefinir . Por exemplo:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. Na caixa de diálogo Redefinir senha, no menu Escolher usuário, selecione o usuário cuja senha você está recuperando, Cyberx, Suporte ou CyberX_host.

  3. Copie o código de identificador exclusivo mostrado em Redefinir identificador de senha para a área de transferência. Por exemplo:

    Screenshot of the Reset password dialog on the OT sensor.

  4. Aceda à página Defender for IoT Sites and sensors no portal do Azure. Talvez você queira abrir o portal do Azure em uma nova guia ou janela do navegador, mantendo a guia do sensor aberta.

    Nas configurações >do portal do Azure Diretórios + assinaturas, verifique se você selecionou a assinatura na qual o sensor foi integrado ao Defender for IoT.

  5. Na página Sites e sensores, localize o sensor com o qual está a trabalhar e selecione o menu de opções (...) à direita >Recuperar a minha palavra-passe. Por exemplo:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. Na caixa de diálogo Recuperar que se abre, introduza o identificador exclusivo que copiou do sensor para a área de transferência e selecione Recuperar. Um arquivo password_recovery.zip é baixado automaticamente.

    Todos os arquivos baixados do portal do Azure são assinados pela raiz da confiança para que suas máquinas usem apenas ativos assinados.

  7. De volta à guia do sensor, na tela Recuperação de senha, selecione Selecionar arquivo. Navegue e carregue o arquivo password_recovery.zip que você baixou anteriormente do portal do Azure.

    Nota

    Se uma mensagem de erro for exibida, indicando que o arquivo é inválido, você pode ter uma assinatura incorreta selecionada nas configurações do portal do Azure.

    Retorne ao Azure e selecione o ícone de configurações na barra de ferramentas superior. Na página Diretórios + assinaturas, verifique se você selecionou a assinatura na qual o sensor foi integrado ao Defender para IoT. Em seguida, repita as etapas no Azure para baixar o arquivo password_recovery.zip e carregá-lo no sensor novamente.

  8. Selecione Seguinte. Uma senha gerada pelo sistema para o sensor é exibida para você usar para o usuário selecionado. Certifique-se de anotar a senha, pois ela não será mostrada novamente.

  9. Selecione Avançar novamente para entrar no sensor com a nova senha.

Definir o número máximo de entradas com falha

Use o acesso à CLI do sensor OT para definir o número máximo de entradas com falha antes que um sensor OT impeça o usuário de entrar novamente a partir do mesmo endereço IP.

Para obter mais informações, consulte Defender for IoT CLI users and access.

Pré-requisitos: Este procedimento está disponível apenas para o usuário cyberx .

  1. Entre no seu sensor OT via SSH e execute:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. No arquivo settings.py, defina o valor como o "MAX_FAILED_LOGINS" número máximo de entradas com falha que você deseja definir. Certifique-se de considerar o número de usuários simultâneos em seu sistema.

  3. Saia do arquivo e execute sudo monit restart all para aplicar as alterações.

Controlar os tempos limite da sessão do usuário

Por padrão, os usuários locais são desconectados de suas sessões após 30 minutos de inatividade. Os usuários administradores podem usar o acesso à CLI local para ativar ou desativar esse recurso ou para ajustar os limites de inatividade. Para obter mais informações, consulte Defender for IoT CLI users and access and CLI command reference from OT network sensors.

Nota

Quaisquer alterações feitas nos tempos limite da sessão do usuário são redefinidas para os padrões quando você atualiza o software de monitoramento OT.

Pré-requisitos: Este procedimento está disponível apenas para usuários cyberx, suporte e cyberx_host.

Para controlar os tempos limite da sessão do usuário do sensor:

  1. Inicie sessão no seu sensor através de um terminal e execute:

    sudo nano /var/cyberx/properties/authentication.properties

    É apresentada a seguinte saída:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. Execute um dos seguintes procedimentos:

    • Para desativar totalmente os tempos limite de sessão do usuário, altere infinity_session_expiration=true para infinity_session_expiration=false. Altere-o novamente para ligá-lo novamente.

    • Para ajustar um período de tempo limite de inatividade, ajuste um dos seguintes valores ao tempo necessário, em segundos:

      • session_expiration_default_seconds para todos os utilizadores
      • session_expiration_admin_secondsapenas para utilizadores Admin
      • session_expiration_security_analyst_secondsapenas para utilizadores do Security Analyst
      • session_expiration_read_only_users_seconds apenas para utilizadores só de leitura

Próximos passos

Para obter mais informações, consulte Auditar a atividade do usuário.