Creación y administración de usuarios en un sensor de red OT

Microsoft Defender para IoT proporciona herramientas para administrar el acceso de usuario local en el sensor de red OT. Azure los usuarios se administran en el nivel de suscripción Azure mediante Azure RBAC.

En este artículo se describe cómo administrar usuarios locales directamente en un sensor de red OT.

Usuarios con privilegios predeterminados

De forma predeterminada, cada sensor de red OT se instala con el usuario administrador con privilegios, que tiene acceso a herramientas avanzadas para la solución de problemas y la configuración.

Al configurar un sensor por primera vez, inicie sesión en el usuario administrador, cree un usuario inicial con un rol de Administración y, a continuación, cree usuarios adicionales para analistas de seguridad y usuarios de solo lectura.

Para obtener más información, consulte Instalación y configuración del sensor OT y Usuarios locales con privilegios predeterminados.

Las versiones del sensor anteriores a la 23.1.x también incluyen los usuarios con privilegios cyberx y cyberx_host . En las versiones 23.1.x y posteriores, estos usuarios están instalados, pero no están habilitados de forma predeterminada.

Para habilitar cyberx y cyberx_host usuarios en las versiones 23.1.x y posteriores, como para usarlos con la CLI de Defender para IoT, restablezca la contraseña. Para obtener más información, consulte Cambio de la contraseña de un usuario del sensor.

Configuración de una conexión de Active Directory

Se recomienda configurar usuarios locales en el sensor de OT con Active Directory para permitir que los usuarios de Active Directory inicien sesión en el sensor y usen grupos de Active Directory, con permisos colectivos asignados a todos los usuarios del grupo.

Por ejemplo, use Active Directory cuando tenga un gran número de usuarios a los que desea asignar acceso de solo lectura y quiera administrar esos permisos en el nivel de grupo.

Sugerencia

Cuando esté listo para empezar a administrar la configuración del sensor OT a escala, defina la configuración de Active Directory desde el Azure Portal. Una vez que aplique la configuración de la Azure Portal, la configuración de la consola del sensor será de solo lectura. Para obtener más información, consulte Configuración del sensor OT desde el Azure Portal (versión preliminar pública).

Para integrar con Active Directory:

  1. Inicie sesión en el sensor ot y seleccioneIntegraciones> de configuración> del sistemaActive Directory.

  2. Active la opción Integración de Active Directory habilitada .

  3. Escriba los siguientes valores para el servidor de Active Directory:

    Nombre Descripción
    FQDN del controlador de dominio Nombre de dominio completo (FQDN), exactamente como aparece en el servidor LDAP. Por ejemplo, escriba host1.subdomain.contoso.com.

    Si encuentra un problema con la integración mediante el FQDN, compruebe la configuración de DNS. También puede escribir la dirección IP explícita del servidor LDAP en lugar del FQDN al configurar la integración.
    Puerto del controlador de dominio Puerto donde está configurado el LDAP. Por ejemplo, use el puerto 636 para las conexiones LDAPS (SSL).
    Dominio principal El nombre de dominio, como subdomain.contoso.com, y, a continuación, seleccione el tipo de conexión para la configuración de LDAP.

    Entre los tipos de conexión admitidos se incluyen: LDAPS/NTLMv3 (recomendado), LDAP/NTLMv3 o LDAP/SASL-MD5
    Grupos de Active Directory Seleccione + Agregar para agregar un grupo de Active Directory a cada nivel de permiso enumerado, según sea necesario.

    Cuando escriba un nombre de grupo, asegúrese de escribir el nombre del grupo exactamente como se define en la configuración de Active Directory en el servidor LDAP. Use estos nombres de grupo al agregar nuevos usuarios de sensor con Active Directory.

    Los niveles de permisos admitidos incluyen Solo lectura, Analista de seguridad, Administración y Dominios de confianza.

    Importante

    Al escribir parámetros LDAP:

    • Defina los valores exactamente como aparecen en Active Directory, excepto en el caso.
    • Solo caracteres en minúsculas de usuario, incluso si la configuración de Active Directory usa mayúsculas.
    • LDAP y LDAPS no se pueden configurar para el mismo dominio. Sin embargo, puede configurar cada uno de ellos en dominios diferentes y, a continuación, usarlos al mismo tiempo.

  4. Para agregar otro servidor de Active Directory, seleccione + Agregar servidor en la parte superior de la página y defina esos valores de servidor.

  5. Cuando haya agregado todos los servidores de Active Directory, seleccione Guardar.

    Por ejemplo:

    Captura de pantalla de la configuración de integración de Active Directory en el sensor.

Incorporación de nuevos usuarios del sensor OT

En este procedimiento se describe cómo crear nuevos usuarios para un sensor de red OT específico.

Requisitos previos: este procedimiento está disponible para los usuarios administrador, cyberx y cyberx_host, así como para cualquier usuario con el rol Administración.

Para agregar un usuario:

  1. Inicie sesión en la consola del sensor y seleccione Usuarios>+ Agregar usuario.

  2. En crear un usuario | Página Usuarios , escriba los detalles siguientes:

    Nombre Descripción
    Nombre de usuario Escriba un nombre de usuario significativo para el usuario.
    Correo electrónico Escriba la dirección de correo electrónico del usuario.
    Nombre Escriba el nombre del usuario.
    Apellidos Escriba el apellido del usuario.
    Rol Seleccione uno de los siguientes roles de usuario: Administración, Analista de seguridad o Solo lectura. Para obtener más información, consulte Roles de usuario locales.
    Password Seleccione el tipo de usuario, Local o Usuario de Active Directory.

    Para los usuarios locales, escriba una contraseña para el usuario. Los requisitos de contraseña incluyen:
    - Al menos ocho caracteres
    - Caracteres alfabéticos en minúsculas y mayúsculas
    - Al menos un número
    - Al menos un símbolo

    Las contraseñas de usuario local solo pueden modificarlas Administración usuarios.

    Sugerencia

    La integración con Active Directory le permite asociar grupos de usuarios a niveles de permisos específicos. Si desea crear usuarios mediante Active Directory, configure primero una conexión de Active Directory y, a continuación, vuelva a este procedimiento.

  3. Haga clic en Guardar cuando haya terminado.

El nuevo usuario se agrega y aparece en la página Usuarios del sensor.

Para editar un usuario, seleccione el icono Editar del usuario que desea editar y cambie los valores según sea necesario.

Para eliminar un usuario, seleccione el botón Eliminar del usuario que desea eliminar.

Cambio de la contraseña de un usuario del sensor

En este procedimiento se describe cómo Administración los usuarios pueden cambiar las contraseñas de usuario local. Administración los usuarios pueden cambiar las contraseñas por sí mismos o por otros usuarios de analista de seguridad o de solo lectura. Los usuarios con privilegios pueden cambiar sus propias contraseñas y las contraseñas de Administración usuarios.

Sugerencia

Si necesita recuperar el acceso a una cuenta de usuario con privilegios, consulte Recuperación del acceso con privilegios a un sensor.

Requisitos previos: este procedimiento solo está disponible para los usuarios cyberx, admin o cyberx_host, o para los usuarios con el rol Administración.

Para cambiar la contraseña de un usuario en un sensor:

  1. Inicie sesión en el sensor y seleccione Usuarios.

  2. En la página Usuarios del sensor, busque el usuario cuya contraseña debe cambiarse.

  3. A la derecha de esa fila de usuario, seleccione el menú > de opciones (...) Editar para abrir el panel de usuario.

  4. En el panel de usuario de la derecha, en el área Cambiar contraseña , escriba y confirme la nueva contraseña. Si va a cambiar su propia contraseña, también tendrá que escribir la contraseña actual.

    Los requisitos de contraseña incluyen:

    • Al menos ocho caracteres
    • Caracteres alfabéticos en minúsculas y mayúsculas
    • Al menos un número
    • Al menos un símbolo

  5. Haga clic en Guardar cuando haya terminado.

Recuperación del acceso con privilegios a un sensor

En este procedimiento se describe cómo recuperar el acceso con privilegios a un sensor para los usuarios cyberx, admin o cyberx_host . Para obtener más información, consulte Usuarios locales con privilegios predeterminados.

Requisitos previos: este procedimiento solo está disponible para los usuarios cyberx, admin o cyberx_host .

Para recuperar el acceso con privilegios a un sensor:

  1. Inicie sesión en el sensor de red ot. En la pantalla de inicio de sesión, seleccione el vínculo Restablecer . Por ejemplo:

    Captura de pantalla de la pantalla de inicio de sesión del sensor con el vínculo Restablecer contraseña.

  2. En el cuadro de diálogo Restablecer contraseña, en el menú Elegir usuario, seleccione el usuario cuya contraseña está recuperando, ya sea Cyberx, Administración o CyberX_host.

  3. Copie el código de identificador único que se muestra en restablecer el identificador de contraseña en el Portapapeles. Por ejemplo:

    Captura de pantalla del cuadro de diálogo Restablecer contraseña en el sensor OT.

  4. Vaya a la página Sitios y sensores de Defender para IoT en el Azure Portal. Es posible que desee abrir la Azure Portal en una nueva pestaña o ventana del explorador, manteniendo abierta la pestaña del sensor.

    En la configuración > de Azure Portal Directorios y suscripciones, asegúrese de que ha seleccionado la suscripción donde se incorporó el sensor a Defender para IoT.

  5. En la página Sitios y sensores , busque el sensor con el que está trabajando y seleccione el menú de opciones (...) de la derecha >Recuperar mi contraseña. Por ejemplo:

    Captura de pantalla de la opción Recuperar mi contraseña en la página Sitios y sensores.

  6. En el cuadro de diálogo Recuperar que se abre, escriba el identificador único que copió en el Portapapeles del sensor y seleccione Recuperar. Se descarga automáticamente un archivopassword_recovery.zip .

    Todos los archivos descargados de la Azure Portal están firmados por la raíz de confianza para que las máquinas usen solo recursos firmados.

  7. De nuevo en la pestaña sensor, en la pantalla Recuperación de contraseñas , seleccione Seleccionar archivo. Vaya a y cargue el archivo depassword_recovery.zip que descargó anteriormente de la Azure Portal.

    Nota:

    Si aparece un mensaje de error que indica que el archivo no es válido, es posible que haya seleccionado una suscripción incorrecta en la configuración de Azure Portal.

    Vuelva a Azure y seleccione el icono de configuración en la barra de herramientas superior. En la página Directorios y suscripciones , asegúrese de que ha seleccionado la suscripción en la que se ha incorporado el sensor a Defender para IoT. A continuación, repita los pasos de Azure para descargar el archivo password_recovery.zip y cargarlo de nuevo en el sensor.

  8. Seleccione Siguiente. Aparece una contraseña generada por el sistema para el sensor para que la use para el usuario seleccionado. Asegúrese de anotar la contraseña, ya que no se mostrará de nuevo.

  9. Seleccione Siguiente de nuevo para iniciar sesión en el sensor con la nueva contraseña.

Definir el número máximo de inicios de sesión con errores

Use el acceso de la CLI del sensor OT para definir el número máximo de inicios de sesión con errores antes de que un sensor OT impida que el usuario vuelva a iniciar sesión desde la misma dirección IP.

Para obtener más información, consulte Acceso y usuarios de la CLI de Defender para IoT.

Requisitos previos: este procedimiento solo está disponible para el usuario cyberx .

  1. Inicie sesión en el sensor OT a través de SSH y ejecute lo siguiente:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. En el archivo settings.py , establezca el "MAX_FAILED_LOGINS" valor en el número máximo de inicios de sesión con errores que desea definir. Asegúrese de tener en cuenta el número de usuarios simultáneos en el sistema.

  3. Salga del archivo y ejecute sudo monit restart all para aplicar los cambios.

Pasos siguientes

Para obtener más información, vea Auditar la actividad del usuario.

  • Last updated on