Skapa och hantera användare på en OT-nätverkssensor
Microsoft Defender för IoT innehåller verktyg för att hantera lokal användaråtkomst i OT-nätverkssensorn och den äldre lokala hanteringskonsolen. Azure-användare hanteras på Azure-prenumerationsnivå med hjälp av Azure RBAC.
Den här artikeln beskriver hur du hanterar lokala användare direkt på en OT-nätverkssensor.
Standardprivilegierade användare
Som standard installeras varje OT-nätverkssensor med den privilegierade administratörsanvändaren, som har åtkomst till avancerade verktyg för felsökning och installation.
När du konfigurerar en sensor för första gången loggar du in administratörsanvändaren, skapar en första användare med en administratörsroll och skapar sedan extra användare för säkerhetsanalytiker och skrivskyddade användare.
Mer information finns i Installera och konfigurera din OT-sensor och Standardprivilegierade lokala användare.
Sensorversioner tidigare än 23.1.x omfattar även cyberx - och cyberx_host privilegierade användare. I version 23.1.x och senare installeras dessa användare, men aktiveras inte som standard.
Återställ lösenordet för att aktivera cyberx - och cyberx_host-användare i version 23.1.x och senare, till exempel för att använda dem med Defender for IoT CLI. Mer information finns i Ändra en sensoranvändares lösenord.
Konfigurera en Active Directory-anslutning
Vi rekommenderar att du konfigurerar lokala användare på din OT-sensor med Active Directory, så att Active Directory-användare kan logga in på sensorn och använda Active Directory-grupper, med kollektiva behörigheter tilldelade till alla användare i gruppen.
Använd till exempel Active Directory när du har ett stort antal användare som du vill tilldela skrivskyddad åtkomst till och du vill hantera dessa behörigheter på gruppnivå.
Dricks
När du är redo att börja hantera dina OT-sensorinställningar i stor skala definierar du Active Directory-inställningar från Azure Portal. När du har tillämpat inställningar från Azure Portal är inställningarna i sensorkonsolen skrivskyddade. Mer information finns i Konfigurera INSTÄLLNINGAR för OT-sensor från Azure Portal (offentlig förhandsversion).
Så här integrerar du med Active Directory:
Logga in på ot-sensorn och välj Systeminställningar>Integreringar>Active Directory.
Växla på alternativet Active Directory-integrering aktiverat .
Ange följande värden för Active Directory-servern:
Name beskrivning FQDN för domänkontrollant Det fullständigt kvalificerade domännamnet (FQDN), precis som det visas på LDAP-servern. Ange till exempel host1.subdomain.contoso.com
.
Om du stöter på ett problem med integreringen med hjälp av FQDN kontrollerar du DNS-konfigurationen. Du kan också ange den explicita IP-adressen för LDAP-servern i stället för det fullständiga domännamnet när du konfigurerar integreringen.Domänkontrollantport Porten där din LDAP har konfigurerats. Använd till exempel port 636 för LDAPS-anslutningar (SSL). Primär domän Domännamnet, till exempel subdomain.contoso.com
, och välj sedan anslutningstypen för LDAP-konfigurationen.
Anslutningstyper som stöds är: LDAPS/NTLMv3 (rekommenderas), LDAP/NTLMv3 eller LDAP/SASL-MD5Active Directory-grupper Välj + Lägg till för att lägga till en Active Directory-grupp till varje behörighetsnivå som visas efter behov.
När du anger ett gruppnamn kontrollerar du att du anger gruppnamnet exakt som det definieras i Active Directory-konfigurationen på LDAP-servern. Använd dessa gruppnamn när du lägger till nya sensoranvändare med Active Directory.
Behörighetsnivåer som stöds är skrivskyddade, säkerhetsanalytiker, administratör och betrodda domäner.Viktigt!
När du anger LDAP-parametrar:
- Definiera värden exakt som de visas i Active Directory, förutom för fallet.
- Endast användarinvändartecken, även om konfigurationen i Active Directory använder versaler.
- LDAP och LDAPS kan inte konfigureras för samma domän. Du kan dock konfigurera var och en i olika domäner och sedan använda dem samtidigt.
Om du vill lägga till en annan Active Directory-server väljer du + Lägg till server överst på sidan och definierar dessa servervärden.
När du har lagt till alla Active Directory-servrar väljer du Spara.
Till exempel:
Lägga till nya OT-sensoranvändare
Den här proceduren beskriver hur du skapar nya användare för en specifik OT-nätverkssensor.
Krav: Den här proceduren är tillgänglig för administratörer, cyberx och cyberx_host användare och alla användare med administratörsrollen.
Så här lägger du till en användare:
Logga in på sensorkonsolen och välj Användare>+ Lägg till användare.
På skapa en användare | På sidan Användare anger du följande information:
Name beskrivning Användarnamn Ange ett beskrivande användarnamn för användaren. E-post Ange användarens e-postadress. Förnamn Ange användarens förnamn. Efternamn Ange användarens efternamn. Roll Välj någon av följande användarroller: Administratör, Säkerhetsanalytiker eller Skrivskyddad. Mer information finns i Lokala användarroller. Lösenord Välj användartyp, antingen Lokal eller Active Directory-användare.
För lokala användare anger du ett lösenord för användaren. Lösenordskrav omfattar:
- Minst åtta tecken
- Både gemener och versaler alfabetiska tecken
- Minst ett nummer
- Minst en symbol
Lokala användarlösenord kan bara ändras av administratörsanvändare .Dricks
Genom att integrera med Active Directory kan du associera grupper av användare med specifika behörighetsnivåer. Om du vill skapa användare med Hjälp av Active Directory konfigurerar du först en Active Directory-anslutning och återgår sedan till den här proceduren.
Välj Spara när du är klar.
Den nya användaren läggs till och visas på sidan Användare för sensorn.
Om du vill redigera en användare väljer du ikonen Redigera för den användare som du vill redigera och ändrar eventuella värden efter behov.
Om du vill ta bort en användare väljer du knappen Ta bort för den användare som du vill ta bort.
Ändra en sensoranvändares lösenord
Den här proceduren beskriver hur administratörsanvändare kan ändra lokala användarlösenord. Administratörsanvändare kan ändra lösenord för sig själva eller för andra säkerhetsanalytiker eller skrivskyddade användare. Privilegierade användare kan ändra sina egna lösenord och lösenord för administratörsanvändare .
Dricks
Om du behöver återställa åtkomsten till ett privilegierat användarkonto kan du läsa Återställa privilegierad åtkomst till en sensor.
Krav: Den här proceduren är endast tillgänglig för cyberx-, administratörs- eller cyberx_host-användare eller för användare med administratörsrollen.
Så här ändrar du en användares lösenord på en sensor:
Logga in på sensorn och välj Användare.
Leta reda på den användare vars lösenord måste ändras på sensorns sida Användare .
Till höger om användarraden väljer du alternativmenyn >(...) Redigera för att öppna användarfönstret.
I användarfönstret till höger i området Ändra lösenord anger du och bekräftar det nya lösenordet. Om du ändrar ditt eget lösenord måste du också ange ditt aktuella lösenord.
Lösenordskrav omfattar:
- Minst åtta tecken
- Både gemener och versaler alfabetiska tecken
- Minst ett tal
- Minst en symbol
Välj Spara när du är klar.
Återställa privilegierad åtkomst till en sensor
Den här proceduren beskriver hur du återställer privilegierad åtkomst till en sensor, för cyberx-, administratörs- eller cyberx_host-användare. Mer information finns i Standardprivilegierade lokala användare.
Förutsättningar: Den här proceduren är endast tillgänglig för cyberx-, administratörs- eller cyberx_host-användare.
Så här återställer du privilegierad åtkomst till en sensor:
Börja logga in på OT-nätverkssensorn. På inloggningsskärmen väljer du länken Återställ . Till exempel:
I dialogrutan Återställ lösenord går du till menyn Välj användare och väljer den användare vars lösenord du återställer, antingen Cyberx, Admin eller CyberX_host.
Kopiera den unika identifierarkod som visas i återställningslösenordidentifieraren till Urklipp. Till exempel:
Gå till sidan Defender för IoT-webbplatser och sensorer i Azure Portal. Du kanske vill öppna Azure Portal i en ny webbläsarflik eller ett nytt fönster och hålla sensorfliken öppen.
I dina Azure Portal inställningar >Kataloger + prenumerationer kontrollerar du att du har valt den prenumeration där sensorn registrerades i Defender för IoT.
På sidan Webbplatser och sensorer letar du upp sensorn som du arbetar med och väljer alternativmenyn (...) till höger >Återställ mitt lösenord. Till exempel:
I dialogrutan Återställ som öppnas anger du den unika identifierare som du har kopierat till Urklipp från sensorn och väljer Återställ. En password_recovery.zip fil laddas ned automatiskt.
Alla filer som laddas ned från Azure Portal signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.
På sensorfliken går du till skärmen Lösenordsåterställning och väljer Välj fil. Gå till och ladda upp den password_recovery.zip fil som du laddade ned tidigare från Azure Portal.
Kommentar
Om ett felmeddelande visas som anger att filen är ogiltig kan du ha valt en felaktig prenumeration i Azure Portal inställningar.
Gå tillbaka till Azure och välj inställningsikonen i det övre verktygsfältet. På sidan Kataloger + prenumerationer kontrollerar du att du har valt den prenumeration där sensorn registrerades i Defender för IoT. Upprepa sedan stegen i Azure för att ladda ned filen password_recovery.zip och ladda upp den på sensorn igen.
Välj Nästa. Ett systemgenererat lösenord för sensorn visas som du kan använda för den valda användaren. Skriv ned lösenordet eftersom det inte visas igen.
Välj Nästa igen för att logga in på sensorn med det nya lösenordet.
Definiera maximalt antal misslyckade inloggningar
Använd OT-sensorns CLI-åtkomst för att definiera antalet maximala misslyckade inloggningar innan en OT-sensor hindrar användaren från att logga in igen från samma IP-adress.
Mer information finns i Defender för IoT CLI-användare och åtkomst.
Förutsättningar: Den här proceduren är endast tillgänglig för cyberx-användaren.
Logga in på ot-sensorn via SSH och kör:
nano /var/cyberx/components/xsense-web/cyberx_web/settings.py
I filen settings.py anger du
"MAX_FAILED_LOGINS"
värdet till det maximala antalet misslyckade inloggningar som du vill definiera. Se till att du överväger antalet samtidiga användare i systemet.Avsluta filen och kör
sudo monit restart all
för att tillämpa ändringarna.
Nästa steg
Mer information finns i Granska användaraktivitet.