Tutorial: Incorporación y activación de un sensor de OT virtual

En este tutorial se describen los conceptos básicos de la configuración de una Microsoft Defender para el sensor de IoT OT mediante una suscripción de prueba de Microsoft Defender para IoT y su propia máquina virtual.

Para una implementación completa de un extremo a otro, asegúrese de seguir los pasos para planear y preparar el sistema, y también calibrar y ajustar completamente la configuración. Para obtener más información, consulte Implementación de Defender para IoT para la supervisión de OT.

Nota:

Si quiere configurar la supervisión de seguridad para sistemas IoT empresariales, consulte Habilitación de la seguridad de IoT empresarial en Defender para punto de conexión.

En este tutorial, aprenderá a:

  • Creación de una máquina virtual para el sensor
  • Incorporación de un sensor virtual
  • Configuración de un puerto SPAN virtual
  • Aprovisionamiento para la administración en la nube
  • Descarga de software para un sensor virtual
  • Instalación del software del sensor virtual
  • Activación del sensor virtual

Requisitos previos

Antes de empezar, asegúrese de que tiene lo siguiente:

  • Inicio rápido completado: Introducción a Defender para IoT para que tenga una suscripción Azure agregada a Defender para IoT.

  • Acceso al Azure Portal como Administración, colaborador o propietario de seguridad. Para obtener más información, consulte Azure roles de usuario para la supervisión de OT y Enterprise IoT con Defender para IoT.

  • Asegúrese de que tiene un conmutador de red que admita la supervisión del tráfico a través de un puerto SPAN. También necesitará al menos un dispositivo para supervisar, conectado al puerto SPAN del conmutador.

  • VMware, ESXi 5.5 o posterior, instalado y operativo en el sensor.

  • Los recursos de hardware disponibles para la máquina virtual son los siguientes:

    Tipo de implementación Corporativo Enterprise SMB
    Ancho de banda máximo 2,5 Gb/s 800 Mb/s 160 Mb/s
    Número máximo de dispositivos protegidos 12,000 10,000 800

  • Conocimientos sobre la supervisión de OT con aplicaciones virtuales.

  • Detalles de los siguientes parámetros de red que se van a usar para el dispositivo del sensor:

    • Una dirección IP de red de administración
    • Máscara de subred de sensor
    • Nombre de host de un dispositivo
    • Una dirección DNS
    • Una puerta de enlace predeterminada
    • Cualquier interfaz de entrada

Creación de una máquina virtual para el sensor

En este procedimiento se describe cómo crear una máquina virtual para el sensor con VMware ESXi.

Defender para IoT también admite otros procesos, como el uso de Hyper-V o sensores físicos. Para obtener más información, consulte Instalación de Defender para IoT.

Para crear una máquina virtual para el sensor:

  1. Asegúrese de que VMware se está ejecutando en el equipo.

  2. Inicie sesión en ESXi, elija el almacén de datos correspondiente y seleccione Explorador de almacén de datos.

  3. Cargue la imagen y seleccione Cerrar.

  4. Vaya a Virtual Machines y, a continuación, seleccione Crear o registrar máquina virtual.

  5. Seleccione Crear nueva máquina virtual y, a continuación, seleccione Siguiente.

  6. Agregue un nombre de sensor y, a continuación, defina las siguientes opciones:

    • Compatibilidad: <versión> más reciente de ESXi

    • Familia de so invitados: Linux

    • Versión del sistema operativo invitado: Debian

  7. Seleccione Siguiente.

  8. Elija el almacén de datos correspondiente y seleccione Siguiente.

  9. Cambie los parámetros de hardware virtual según las especificaciones necesarias para sus necesidades. Para obtener más información, consulte la tabla de la sección Requisitos previos anterior.

La máquina virtual ya está preparada para la instalación de software de Defender para IoT. Seguirá instalando el software más adelante en este tutorial, después de incorporar el sensor en el Azure Portal, configurar la creación de reflejo del tráfico y aprovisionar la máquina para la administración en la nube.

Incorporación del sensor virtual

Antes de empezar a usar el sensor de Defender para IoT, debe incorporar el nuevo sensor virtual a la suscripción de Azure.

Para incorporar el sensor virtual:

  1. En el Azure Portal, vaya a la página Introducción a Defender para IoT>.

  2. En la parte inferior izquierda, seleccione Set up OT/ICS Security (Configurar seguridad de OT/ICS).

    Como alternativa, en la página Sitios y sensores de Defender para IoT, seleccione Onboard OT sensor OT (Incorporar OT sensor>OT).

    De forma predeterminada, en la página Set up OT/ICS Security (Configurar la seguridad de OT/ICS ), Paso 1: ¿Ha configurado un sensor? y Paso 2: Configurar el puerto SPAN o TAP del asistente están contraídos.

    Instalará software y configurará la creación de reflejo del tráfico más adelante en el proceso de implementación, pero debe tener los dispositivos listos y el método de creación de reflejo del tráfico planeado.

  3. En Paso 3: Registrar este sensor con Microsoft Defender para IoT, defina los valores siguientes:

    Nombre del campo Descripción
    Nombre del recurso Seleccione el sitio al que desea adjuntar los sensores o seleccione Crear sitio para crear un nuevo sitio.

    Si va a crear un nuevo sitio:
    1. En el campo Nuevo sitio , escriba el nombre de su sitio y seleccione el botón de marca de verificación.
    2. En el menú Tamaño del sitio, seleccione el tamaño del sitio. Los tamaños que aparecen en este menú son los tamaños para los que tiene licencia, en función de las licencias que haya adquirido en el Centro de administración de Microsoft 365.
    Nombre para mostrar Escriba un nombre significativo para que el sitio se muestre en Defender para IoT.
    Tags Escriba la clave de etiqueta y los valores para ayudarle a identificar y localizar el sitio y el sensor en el Azure Portal.
    Zona Seleccione la zona que desea usar para el sensor OT o seleccione Crear zona para crear una nueva.

    Para obtener más información, vea Planear zonas y sitios de OT.

  4. Cuando haya terminado con todos los demás campos, seleccione Registrar para agregar el sensor a Defender para IoT. Se muestra un mensaje correcto y el archivo de activación se descarga automáticamente. El archivo de activación es único para el sensor y contiene instrucciones sobre el modo de administración del sensor.

    Todos los archivos descargados de la Azure Portal están firmados por la raíz de confianza para que las máquinas usen solo recursos firmados.

  5. Guarde el archivo de activación descargado en una ubicación a la que el usuario pueda iniciar sesión por primera vez en la consola para que pueda activar el sensor.

    También puede descargar el archivo manualmente seleccionando el vínculo correspondiente en el cuadro Activar el sensor . Usará este archivo para activar el sensor, como se describe a continuación.

  6. En el cuadro Agregar reglas de permiso de salida , seleccione el vínculo Descargar detalles del punto de conexión para descargar una lista JSON de los puntos de conexión que debe configurar como puntos de conexión seguros desde el sensor.

    Guarde el archivo descargado localmente. Use los puntos de conexión enumerados en el archivo descargado más adelante en este tutorial para asegurarse de que el nuevo sensor puede conectarse correctamente a Azure.

    Sugerencia

    También puede acceder a la lista de puntos de conexión necesarios desde la página Sitios y sensores . Para obtener más información, consulte Opciones de administración de sensores de la Azure Portal.

  7. En la parte inferior izquierda de la página, seleccione Finalizar. Ahora puede ver el nuevo sensor en la página Sitios y sensores de Defender para IoT.

    Hasta que active el sensor, el estado del sensor se muestra como Activación pendiente.

Para obtener más información, consulte Administración de sensores con Defender para IoT en el Azure Portal.

Configuración de un puerto SPAN

Los conmutadores virtuales no tienen funcionalidades de creación de reflejo. Sin embargo, para este tutorial puede usar el modo promiscuo en un entorno de conmutador virtual para ver todo el tráfico de red que pasa por el conmutador virtual.

En este procedimiento se describe cómo configurar un puerto SPAN mediante una solución alternativa con VMware ESXi.

Nota:

El modo promiscuo es un modo operativo y una técnica de supervisión de seguridad para las interfaces de una máquina virtual en el mismo nivel de grupo de puertos que el conmutador virtual para ver el tráfico de red del conmutador. El modo promiscuo está deshabilitado de forma predeterminada, pero se puede definir en el nivel de conmutador virtual o grupo de puertos.

Para configurar una interfaz de supervisión con el modo Promiscuous en un esxi v-switch:

  1. Abra la página de propiedades de vSwitch y seleccione Agregar conmutador virtual estándar.

  2. Escriba SPAN Network como etiqueta de red.

  3. En el campo MTU, escriba 4096.

  4. Seleccione Seguridad y compruebe que la directiva Modo promiscuo esté establecida en Modo de aceptación .

  5. Seleccione Agregar para cerrar las propiedades de vSwitch.

  6. Resalte el vSwitch que ha creado y seleccione Agregar vínculo superior.

  7. Seleccione la NIC física que usará para el tráfico SPAN, cambie la MTU a 4096 y, a continuación, seleccione Guardar.

  8. Abra la página Propiedades del grupo de puertos y seleccione Agregar grupo de puertos.

  9. Escriba grupo de puertos SPAN como nombre, escriba 4095 como identificador de VLAN y seleccione SPAN Network en la lista desplegable vSwitch y, después, seleccione Agregar.

  10. Abra las propiedades de la máquina virtual del sensor OT .

  11. En Adaptador de red 2, seleccione la red SPAN .

  12. Seleccione Aceptar.

  13. Conéctese al sensor y compruebe que la creación de reflejo funciona.

Validación de la creación de reflejo del tráfico

Después de configurar la creación de reflejo del tráfico, realice un intento de recibir una muestra de tráfico registrado (archivo PCAP) del switch SPAN o del puerto reflejado.

Un archivo PCAP de ejemplo le ayudará a:

  • Validación de la configuración del conmutador
  • Confirme que el tráfico que pasa por el conmutador es relevante para la supervisión.
  • Identificar el ancho de banda y un número estimado de dispositivos detectados por el conmutador

  1. Use una aplicación de analizador de protocolos de red, como Wireshark, para registrar un archivo PCAP de ejemplo durante unos minutos. Por ejemplo, conecte un equipo portátil a un puerto donde haya configurado la supervisión del tráfico.

  2. Compruebe que los paquetes de unidifusión están presentes en el tráfico de grabación. El tráfico de unidifusión es el tráfico enviado desde la dirección a otra.

    Si la mayor parte del tráfico son mensajes ARP, la configuración de creación de reflejo del tráfico no es correcta.

  3. Compruebe que los protocolos OT están presentes en el tráfico analizado.

    Por ejemplo:

    Captura de pantalla de la validación de Wireshark.

Aprovisionamiento para la administración en la nube

En esta sección se describe cómo configurar los puntos de conexión para definirlos en reglas de firewall, lo que garantiza que los sensores de OT se puedan conectar a Azure.

Para obtener más información, consulte Métodos para conectar sensores a Azure.

Para configurar los detalles del punto de conexión:

Abra el archivo que descargó anteriormente para ver la lista de puntos de conexión necesarios. Configure las reglas de firewall para que el sensor pueda acceder a cada uno de los puntos de conexión necesarios, a través del puerto 443.

Sugerencia

También puede descargar la lista de puntos de conexión necesarios de la página Sitios y sensores de la Azure Portal. Vaya a Sitios y sensores>Más acciones>Descargar detalles del punto de conexión. Para obtener más información, consulte Opciones de administración de sensores de la Azure Portal.

Para obtener más información, consulte Aprovisionamiento de sensores para la administración de la nube.

Descarga de software para el sensor virtual

En esta sección se describe cómo descargar e instalar el software del sensor en su propia máquina.

Para descargar software para los sensores virtuales:

  1. En el Azure Portal, vaya a la página Introducción a Defender para IoT > y seleccione la pestaña Sensor.

  2. En el cuadro Comprar un dispositivo e instalar software , asegúrese de que la opción predeterminada está seleccionada para la versión de software más reciente y recomendada y, a continuación, seleccione Descargar.

  3. Guarde el software descargado en una ubicación accesible desde la máquina virtual.

Todos los archivos descargados de la Azure Portal están firmados por la raíz de confianza para que las máquinas usen solo recursos firmados.

Instalación del software del sensor

En este procedimiento se describe cómo instalar el software del sensor en la máquina virtual.

Nota:

Hacia el final de este proceso, se le presentarán los nombres de usuario y contraseñas del dispositivo. Asegúrese de copiarlas, ya que estas contraseñas no se volverán a presentar.

Para instalar el software en el sensor virtual:

  1. Si ha cerrado la máquina virtual, vuelva a iniciar sesión en ESXi y abra la configuración de la máquina virtual.

  2. En CD/DVD Drive 1, seleccione Archivo ISO del almacén de datos y seleccione el software de Defender para IoT que descargó anteriormente.

  3. Seleccione Siguiente>Finalizar.

  4. Encienda la máquina virtual y abra una consola.

  5. Cuando se inicia la instalación, se le pedirá que inicie el proceso de instalación. Seleccione el elemento Instalar iot-sensor-<version number> para continuar o deje que se inicie automáticamente después de 30 segundos. Por ejemplo:

    Captura de pantalla de la pantalla de instalación inicial.

    Nota:

    Si usa una versión heredada del BIOS, se le pedirá que seleccione un idioma y las opciones de instalación se presentan en la parte superior izquierda en lugar de en el centro. Cuando se le solicite, seleccione English y, a continuación, la opción Instalar iot-sensor-<version number> para continuar.

    Comienza la instalación, lo que le proporciona mensajes de estado actualizados a medida que avanza. Todo el proceso de instalación tarda entre 20 y 30 minutos y puede variar en función del tipo de medio que use.

    Una vez completada la instalación, se muestra el siguiente conjunto de detalles de red predeterminados.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

Use la dirección IP predeterminada proporcionada para acceder al sensor para la configuración inicial y la activación.

Validación posterior a la instalación

En este procedimiento se describe cómo validar la instalación mediante las propias comprobaciones de estado del sistema del sensor y está disponible para el usuario administrador predeterminado.

Para validar la instalación:

  1. Inicie sesión en el sensor OT como admin usuario.

  2. Seleccione Configuración del sistema Comprobación> deestado del sistemade administración del> sensor.

  3. Seleccione los siguientes comandos:

    • Dispositivo para comprobar que el sistema se está ejecutando. Compruebe que cada elemento de línea muestra En ejecución y que la última línea indica que el sistema está activo.
    • Versión para comprobar que tiene instalada la versión correcta.
    • ifconfig para comprobar que se están ejecutando todas las interfaces de entrada configuradas durante la instalación.

Para obtener más pruebas de validación posteriores a la instalación, como las comprobaciones de puerta de enlace, DNS o firewall, consulte Validación de una instalación de software del sensor OT.

Definición de la configuración inicial

En el procedimiento siguiente se describe cómo configurar los valores de configuración inicial del sensor, entre los que se incluyen:

  • Iniciar sesión en la consola del sensor y cambiar la contraseña del usuario administrador
  • Definición de detalles de red para el sensor
  • Definición de las interfaces que desea supervisar
  • Activación del sensor
  • Configuración de los valores de certificado SSL/TLS

Inicie sesión en la consola del sensor y cambie la contraseña predeterminada.

En este procedimiento se describe cómo iniciar sesión en la consola del sensor OT por primera vez. Se le pedirá que cambie la contraseña predeterminada para el usuario administrador .

Para iniciar sesión en el sensor:

  1. En un explorador, vaya a la 192.168.0.101 dirección IP, que es la dirección IP predeterminada proporcionada para el sensor al final de la instalación.

    Aparece la página de inicio de sesión inicial. Por ejemplo:

    Captura de pantalla de la página de inicio de sesión del sensor inicial.

  2. Escriba las credenciales siguientes y seleccione Inicio de sesión:

    • Nombre de usuario: support
    • Contraseña: support

    Se le pedirá que defina una nueva contraseña para el usuario administrador .

  3. En el campo Nueva contraseña , escriba la nueva contraseña. La contraseña debe contener caracteres alfabéticos en minúsculas y mayúsculas, números y símbolos.

    En el campo Confirmar nueva contraseña , vuelva a escribir la nueva contraseña y, a continuación, seleccione Empezar.

    Para obtener más información, vea Usuarios con privilegios predeterminados.

Defender para IoT | La página Información general se abre en la pestaña Interfaz de administración.

Definición de los detalles de red del sensor

En la pestaña Interfaz de administración , use los campos siguientes para definir los detalles de red del nuevo sensor:

Nombre Descripción
Interfaz de administración Seleccione la interfaz que desea usar como interfaz de administración y conéctese al Azure Portal.

Para identificar una interfaz física en el equipo, seleccione una interfaz y, a continuación, seleccione Led de interfaz física de Blink. El puerto que coincide con la interfaz seleccionada se ilumina para que pueda conectar el cable correctamente.
Dirección IP Escriba la dirección IP que desea usar para el sensor. Esta es la dirección IP que usará su equipo para conectarse al sensor a través del explorador o la CLI.
Máscara de subred Escriba la dirección que desea usar como máscara de subred del sensor.
Puerta de enlace predeterminada Escriba la dirección que desea usar como puerta de enlace predeterminada del sensor.
DNS Escriba la dirección IP del servidor DNS del sensor.
Nombre de host Escriba el nombre de host que desea asignar al sensor. Asegúrese de usar el mismo nombre de host que se define en el servidor DNS.

Para este tutorial, deje omitir las configuraciones de proxy en el área Habilitar proxy para la conectividad en la nube (opcional ).

Cuando haya terminado, seleccione Siguiente: Configuraciones de interfaz para continuar.

Definir las interfaces que desea supervisar

La pestaña Conexiones de interfaz muestra todas las interfaces detectadas por el sensor de forma predeterminada. Use esta pestaña para activar o desactivar la supervisión por interfaz, o definir configuraciones específicas para cada interfaz.

Sugerencia

Se recomienda optimizar el rendimiento en el sensor mediante la configuración de la configuración para supervisar solo las interfaces que están activas en uso.

En la pestaña Configuraciones de interfaz , haga lo siguiente para configurar los valores de las interfaces supervisadas:

  1. Seleccione el botón de alternancia Habilitar/Deshabilitar para las interfaces que desee que supervise el sensor. Debe seleccionar al menos una interfaz para continuar.

    Si no está seguro de qué interfaz usar, seleccione el botón LED de la interfaz física de Blink para que el puerto seleccionado parpadee en el equipo. Seleccione cualquiera de las interfaces que ha conectado al conmutador.

  2. En aras de este tutorial, omita cualquier configuración avanzada y seleccione Siguiente: Reiniciar > para continuar.

  3. Cuando se le solicite, seleccione Iniciar reinicio para reiniciar la máquina del sensor. Una vez que el sensor se inicia de nuevo, se le redirigirá automáticamente a la dirección IP que definió anteriormente como dirección IP del sensor.

    Seleccione Cancelar para esperar el reinicio.

Activación del sensor OT

En este procedimiento se describe cómo activar el nuevo sensor OT.

Para activar el sensor:

  1. En la pestaña Activación, seleccione Cargar para cargar el archivo de activación del sensor que descargó de la Azure Portal.

  2. Seleccione la opción términos y condiciones y, a continuación, seleccione Siguiente: Certificados.

Definición de la configuración del certificado SSL/TLS

Use la pestaña Certificados para implementar un certificado SSL/TLS en el sensor OT. Aunque se recomienda usar un certificado firmado por ca para todos los entornos de producción, para este tutorial, seleccione usar un certificado autofirmado.

Para definir la configuración del certificado SSL/TLS:

  1. En la pestaña Certificados , seleccione Usar certificado autofirmado generado localmente (no recomendado) y, a continuación, seleccione la opción Confirmar .

    Para obtener más información, consulte Requisitos de certificados SSL/TLS para recursos locales y Creación de certificados SSL/TLS para dispositivos OT.

  2. Seleccione Finalizar para completar la configuración inicial y abrir la consola del sensor.

Pasos siguientes

Ruta de implementación completa para la supervisión de OT

  • Last updated on