Tutoriel : Intégrer et activer un capteur OT virtuel

Ce tutoriel décrit les principes de base de la configuration d’un capteur OT Microsoft Defender pour IoT, à l’aide d’un abonnement d’essai de Microsoft Defender pour IoT et de votre propre machine virtuelle.

Pour un déploiement complet de bout en bout, veillez à suivre les étapes de planification et de préparation de votre système, ainsi qu’à l’étalonnage et à l’optimisation complète de vos paramètres. Pour plus d’informations, consultez Déployer Defender pour IoT pour la supervision OT.

Dans ce tutoriel, vous apprenez à effectuer les opérations suivantes :

Configuration requise

Avant de commencer, vérifiez que vous disposez des éléments suivants :

• Démarrage rapide terminé : Prise en main de Defender pour IoT afin d’avoir un abonnement Azure ajouté à Defender pour IoT.

• Accès au Portail Azure en tant que Administration de sécurité, Contributeur ou Propriétaire. Pour plus d’informations, consultez Azure rôles d’utilisateur pour la supervision OT et IoT d’entreprise avec Defender pour IoT.

• Vérifiez que vous disposez d’un commutateur réseau qui prend en charge la surveillance du trafic via un port SPAN. Vous aurez également besoin d’au moins un appareil à surveiller, connecté au port SPAN du commutateur.

• VMware, ESXi 5.5 ou version ultérieure, installé et opérationnel sur votre capteur.

• Ressources matérielles disponibles pour votre machine virtuelle comme suit :

  Type de déploiement	Entreprise	Entreprise	SMB
  Bande passante maximale	2,5 Go/s	800 Mo/s	160 Mo/s
  Nombre maximal d’appareils protégés	12,000	10 000	800

• Compréhension de la supervision OT avec des appliances virtuelles.

• Détails des paramètres réseau suivants à utiliser pour votre Appliance de capteur :

  • Adresse IP du réseau de gestion
  • Masque de sous-réseau de capteur
  • Un nom d’hôte Appliance
  • Une adresse DNS
  • Une passerelle par défaut
  • Toutes les interfaces d’entrée

Créer une machine virtuelle pour votre capteur

Cette procédure décrit comment créer une machine virtuelle pour votre capteur avec VMware ESXi.

Defender pour IoT prend également en charge d’autres processus, tels que l’utilisation d’Hyper-V ou de capteurs physiques. Pour plus d’informations, consultez Installation de Defender pour IoT.

Pour créer une machine virtuelle pour votre capteur :

1. Assurez-vous que VMware est en cours d’exécution sur votre ordinateur.

2. Connectez-vous à ESXi, choisissez le magasin de données approprié, puis sélectionnez Navigateur du magasin de données.

3. Chargez l’image et sélectionnez Fermer.

4. Accédez à Machines Virtuelles, puis sélectionnez Créer/inscrire une machine virtuelle.

5. Sélectionnez Créer une machine virtuelle, puis Suivant.

6. Ajoutez un nom de capteur, puis définissez les options suivantes :

   • Compatibilité : <dernière version> d’ESXi

   • Famille de systèmes d’exploitation invités : Linux

   • Version du système d’exploitation invité : Debian

7. Sélectionnez Suivant.

8. Choisissez le magasin de données approprié, puis sélectionnez Suivant.

9. Modifiez les paramètres de matériel virtuel en fonction des spécifications requises pour vos besoins. Pour plus d’informations, consultez le tableau de la section Conditions préalables ci-dessus.

Votre machine virtuelle est maintenant prête pour l’installation de votre logiciel Defender pour IoT. Vous continuerez en installant le logiciel plus loin dans ce tutoriel, après avoir intégré votre capteur dans le Portail Azure, configuré la mise en miroir du trafic et approvisionné la machine pour la gestion cloud.

Intégrer le capteur virtuel

Avant de commencer à utiliser votre capteur Defender pour IoT, vous devez intégrer votre nouveau capteur virtuel à votre abonnement Azure.

Pour intégrer le capteur virtuel :

1. Dans la Portail Azure, accédez à la page Prise en main de Defender pour IoT>.

2. En bas à gauche, sélectionnez Configurer la sécurité OT/ICS.

   Vous pouvez également sélectionner Intégrer le capteur>OT à partir de la page Sites et capteurs Defender pour IoT.

   Par défaut, dans la page Configurer la sécurité OT/ICS , l’étape 1 : Avez-vous configuré un capteur ? et l’étape 2 : Configurer le port SPAN ou le tap de l’Assistant sont réduites.

   Vous installerez le logiciel et configurerez la mise en miroir du trafic plus tard dans le processus de déploiement, mais vos appliances doivent être prêtes et la méthode de mise en miroir du trafic doit être planifiée.

3. À l’étape 3 : Inscrire ce capteur auprès de Microsoft Defender pour IoT, définissez les valeurs suivantes :

   Nom du champ	Description
   Nom de la ressource	Sélectionnez le site auquel vous souhaitez attacher vos capteurs, ou sélectionnez Créer un site pour créer un site. Si vous créez un site : 1. Dans le champ Nouveau site , entrez le nom de votre site et sélectionnez la coche. 2. Dans le menu Taille du site, sélectionnez la taille de votre site. Les tailles répertoriées dans ce menu correspondent aux tailles pour lesquelles vous disposez d’une licence, en fonction des licences que vous avez achetées dans le Centre d’administration Microsoft 365.
   Nom d’affichage	Entrez un nom explicite pour votre site à afficher dans Defender pour IoT.
   Tags	Entrez la clé de balise et les valeurs pour vous aider à identifier et localiser votre site et votre capteur dans le Portail Azure.
   Zone	Sélectionnez la zone que vous souhaitez utiliser pour votre capteur OT, ou sélectionnez Créer une zone pour en créer une nouvelle.

   Pour plus d’informations, consultez Planifier des sites et des zones OT.

4. Lorsque vous avez terminé avec tous les autres champs, sélectionnez Inscrire pour ajouter votre capteur à Defender pour IoT. Un message de réussite s’affiche et votre fichier d’activation est automatiquement téléchargé. Le fichier d’activation est unique pour votre capteur et contient des instructions sur le mode de gestion de votre capteur.

   Tous les fichiers téléchargés à partir du Portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

5. Enregistrez le fichier d’activation téléchargé dans un emplacement accessible à l’utilisateur qui se connecte à la console pour la première fois afin qu’il puisse activer le capteur.

   Vous pouvez également télécharger le fichier manuellement en sélectionnant le lien approprié dans la zone Activer votre capteur . Vous allez utiliser ce fichier pour activer votre capteur, comme décrit ci-dessous.

6. Dans la zone Ajouter des règles d’autorisation de trafic sortant , sélectionnez le lien Télécharger les détails du point de terminaison pour télécharger une liste JSON des points de terminaison que vous devez configurer en tant que points de terminaison sécurisés à partir de votre capteur.

   Enregistrez le fichier téléchargé localement. Utilisez les points de terminaison répertoriés dans le fichier téléchargé plus loin dans ce tutoriel pour vous assurer que votre nouveau capteur peut se connecter correctement à Azure.

   Conseil

   Vous pouvez également accéder à la liste des points de terminaison requis à partir de la page Sites et capteurs . Pour plus d’informations, consultez Options de gestion des capteurs dans le Portail Azure.

7. En bas à gauche de la page, sélectionnez Terminer. Vous pouvez maintenant voir votre nouveau capteur répertorié dans la page Sites et capteurs Defender pour IoT.

   Tant que vous n’activez pas votre capteur, le status du capteur s’affiche comme Activation en attente.

Pour plus d’informations, consultez Gérer les capteurs avec Defender pour IoT dans le Portail Azure.

Configurer un port SPAN

Les commutateurs virtuels n’ont pas de fonctionnalités de mise en miroir. Toutefois, dans le cadre de ce didacticiel, vous pouvez utiliser le mode promiscuous dans un environnement de commutateur virtuel pour afficher tout le trafic réseau qui passe par le commutateur virtuel.

Cette procédure décrit comment configurer un port SPAN à l’aide d’une solution de contournement avec VMware ESXi.

Pour configurer une interface de surveillance avec le mode promiscuous sur un commutateur v-Switch ESXi :

1. Ouvrez la page des propriétés vSwitch et sélectionnez Ajouter un commutateur virtuel standard.

2. Entrez SPAN Network comme étiquette réseau.

3. Dans le champ MTU, entrez 4096.

4. Sélectionnez Sécurité, puis vérifiez que la stratégie Mode promiscuous est définie sur Mode d’acceptation .

5. Sélectionnez Ajouter pour fermer les propriétés vSwitch.

6. Mettez en surbrillance le vSwitch que vous avez créé, puis sélectionnez Ajouter une liaison montante.

7. Sélectionnez la carte réseau physique que vous utiliserez pour le trafic SPAN, remplacez la MTU par 4096, puis sélectionnez Enregistrer.

8. Ouvrez la page des propriétés du groupe de ports et sélectionnez Ajouter un groupe de ports.

9. Entrez groupe de ports SPAN comme nom, entrez 4095 comme ID de réseau local virtuel, puis sélectionnez Réseau SPAN dans la liste déroulante vSwitch, puis sélectionnez Ajouter.

10. Ouvrez les propriétés de machine virtuelle du capteur OT .

11. Pour Carte réseau 2, sélectionnez le réseau SPAN .

12. Sélectionnez OK.

13. Connectez-vous au capteur et vérifiez que la mise en miroir fonctionne.

Valider la mise en miroir du trafic

Après avoir configuré la mise en miroir du trafic, essayez de recevoir un exemple de trafic enregistré (fichier PCAP) à partir du port SPAN du commutateur ou miroir.

Un exemple de fichier PCAP vous aidera à :

• Valider la configuration du commutateur
• Vérifiez que le trafic transitant par votre commutateur est pertinent pour la surveillance
• Identifier la bande passante et un nombre estimé d’appareils détectés par le commutateur

1. Utilisez une application d’analyseur de protocole réseau, telle que Wireshark, pour enregistrer un exemple de fichier PCAP pendant quelques minutes. Par exemple, connectez un ordinateur portable à un port sur lequel vous avez configuré la surveillance du trafic.

2. Vérifiez que les paquets unicast sont présents dans le trafic d’enregistrement. Le trafic de monodiffusion est le trafic envoyé d’une adresse à une autre.

   Si la majeure partie du trafic est des messages ARP, votre configuration de mise en miroir du trafic n’est pas correcte.

3. Vérifiez que vos protocoles OT sont présents dans le trafic analysé.

   Par exemple :

   

Provisionner pour la gestion cloud

Cette section explique comment configurer des points de terminaison à définir dans les règles de pare-feu, en veillant à ce que vos capteurs OT puissent se connecter à Azure.

Pour plus d’informations, consultez Méthodes de connexion de capteurs à Azure.

Pour configurer les détails du point de terminaison :

Ouvrez le fichier que vous avez téléchargé précédemment pour afficher la liste des points de terminaison requis. Configurez vos règles de pare-feu afin que votre capteur puisse accéder à chacun des points de terminaison requis, sur le port 443.

Pour plus d’informations, consultez Provisionner des capteurs pour la gestion cloud.

Télécharger le logiciel de votre capteur virtuel

Cette section explique comment télécharger et installer le logiciel de capteur sur votre propre ordinateur.

Pour télécharger le logiciel de vos capteurs virtuels :

1. Dans la Portail Azure, accédez à la page Prise en main de Defender pour IoT>, puis sélectionnez l’onglet Capteur.

2. Dans la zone Acheter un Appliance et installer un logiciel, vérifiez que l’option par défaut est sélectionnée pour la version la plus récente et recommandée du logiciel, puis sélectionnez Télécharger.

3. Enregistrez le logiciel téléchargé dans un emplacement accessible à partir de votre machine virtuelle.

Tous les fichiers téléchargés à partir du Portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

Installer le logiciel de capteur

Cette procédure décrit comment installer le logiciel de capteur sur votre machine virtuelle.

Pour installer le logiciel sur le capteur virtuel :

1. Si vous avez fermé votre machine virtuelle, reconnectez-vous à ESXi et ouvrez les paramètres de votre machine virtuelle.

2. Pour Lecteur CD/DVD 1, sélectionnez Fichier ISO du magasin de données , puis sélectionnez le logiciel Defender pour IoT que vous avez téléchargé précédemment.

3. Sélectionnez Suivant>Terminer.

4. Mettez la machine virtuelle sous tension et ouvrez une console.

5. Lorsque l’installation démarre, vous êtes invité à démarrer le processus d’installation. Sélectionnez l’élément Installer iot-sensor- pour continuer ou laissez-le<version number> démarrer automatiquement après 30 secondes. Par exemple :

   

   Remarque

   Si vous utilisez une version héritée du BIOS, vous êtes invité à sélectionner une langue et les options d’installation sont présentées en haut à gauche plutôt qu’au centre. Lorsque vous y êtes invité, sélectionnez English , puis l’option Installer iot-sensor-<version number> pour continuer.

   L’installation commence, vous donnant status messages mis à jour au fur et à mesure. L’ensemble du processus d’installation prend jusqu’à 20 à 30 minutes et peut varier en fonction du type de média que vous utilisez.

   Une fois l’installation terminée, vous voyez l’ensemble suivant de détails de mise en réseau par défaut.

   IP: 172.23.41.83,
   SUBNET: 255.255.255.0,
   GATEWAY: 172.23.41.1,
   UID: 91F14D56-C1E4-966F-726F-006A527C61D
   

Utilisez l’adresse IP par défaut fournie pour accéder à votre capteur pour la configuration et l’activation initiales.

Validation post-installation

Cette procédure décrit comment valider votre installation à l’aide des propres vérifications d’intégrité du système du capteur et est disponible pour l’utilisateur administrateur par défaut.

Pour valider votre installation :

1. Connectez-vous au capteur OT en tant qu’utilisateur admin .

2. Sélectionnez Paramètres> systèmeGestion du> capteur Contrôled’intégrité du système.

3. Sélectionnez les commandes suivantes :

   • Appliance pour case activée que le système est en cours d’exécution. Vérifiez que chaque élément de ligne indique En cours d’exécution et que la dernière ligne indique que le système est opérationnel.
   • Version pour vérifier que la version correcte est installée.
   • ifconfig pour vérifier que toutes les interfaces d’entrée configurées pendant l’installation sont en cours d’exécution.

Pour d’autres tests de validation post-installation, tels que des vérifications de passerelle, dns ou pare-feu, consultez Valider une installation logicielle de capteur OT.

Définir la configuration initiale

La procédure suivante explique comment configurer les paramètres de configuration initiaux de votre capteur, notamment :

• Connexion à la console du capteur et modification du mot de passe de l’utilisateur administrateur
• Définition des détails réseau pour votre capteur
• Définition des interfaces que vous souhaitez surveiller
• Activation de votre capteur
• Configuration des paramètres de certificat SSL/TLS

Connectez-vous à la console du capteur et modifiez le mot de passe par défaut

Cette procédure décrit comment se connecter à la console du capteur OT pour la première fois. Vous êtes invité à modifier le mot de passe par défaut de l’utilisateur administrateur .

Pour vous connecter à votre capteur :

1. Dans un navigateur, accédez à l’adresse 192.168.0.101 IP, qui est l’adresse IP par défaut fournie pour votre capteur à la fin de l’installation.

   La page de connexion initiale s’affiche. Par exemple :

   

2. Entrez les informations d’identification suivantes, puis sélectionnez Connexion :

   • Nom d’utilisateur : support
   • Mot de passe : support

   Vous êtes invité à définir un nouveau mot de passe pour l’utilisateur administrateur .

3. Dans le champ Nouveau mot de passe , entrez votre nouveau mot de passe. Votre mot de passe doit contenir des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles.

   Dans le champ Confirmer le nouveau mot de passe , entrez à nouveau votre nouveau mot de passe, puis sélectionnez Prise en main.

   Pour plus d’informations, consultez Utilisateurs privilégiés par défaut.

Defender pour IoT | La page Vue d’ensemble s’ouvre sur l’onglet Interface de gestion.

Définir les détails de la mise en réseau des capteurs

Sous l’onglet Interface de gestion , utilisez les champs suivants pour définir les détails réseau de votre nouveau capteur :

Dans le cadre de ce didacticiel, laissez ignorer les configurations de proxy dans la zone Activer le proxy pour la connectivité cloud (facultatif).

Lorsque vous avez terminé, sélectionnez Suivant : Configurations d’interface pour continuer.

Définir les interfaces que vous souhaitez surveiller

L’onglet Connexions d’interface affiche toutes les interfaces détectées par le capteur par défaut. Utilisez cet onglet pour activer ou désactiver la surveillance par interface, ou définir des paramètres spécifiques pour chaque interface.

Sous l’onglet Configurations d’interface , procédez comme suit pour configurer les paramètres de vos interfaces surveillées :

1. Sélectionnez le bouton bascule Activer/Désactiver pour toutes les interfaces que vous souhaitez que le capteur surveille. Vous devez sélectionner au moins une interface pour continuer.

   Si vous ne savez pas quelle interface utiliser, sélectionnez le bouton Blink physical interface LED pour que le port sélectionné clignote sur votre ordinateur. Sélectionnez l’une des interfaces que vous avez connectées à votre commutateur.

2. Dans le cadre de ce didacticiel, ignorez les paramètres avancés et sélectionnez Suivant : Redémarrer > pour continuer.

3. Lorsque vous y êtes invité, sélectionnez Démarrer le redémarrage pour redémarrer votre machine de capteur. Une fois le capteur redéployé, vous êtes automatiquement redirigé vers l’adresse IP que vous avez définie précédemment comme adresse IP du capteur.

   Sélectionnez Annuler pour attendre le redémarrage.

Activer votre capteur OT

Cette procédure décrit comment activer votre nouveau capteur OT.

Pour activer votre capteur :

1. Sous l’onglet Activation, sélectionnez Charger pour charger le fichier d’activation du capteur que vous avez téléchargé à partir du Portail Azure.

2. Sélectionnez l’option Conditions générales, puis Sélectionnez Suivant : Certificats.

Définir les paramètres de certificat SSL/TLS

Utilisez l’onglet Certificats pour déployer un certificat SSL/TLS sur votre capteur OT. Bien que nous vous recommandons d’utiliser un certificat signé par l’autorité de certification pour tous les environnements de production, pour l’intérêt de ce didacticiel, choisissez d’utiliser un certificat auto-signé.

Pour définir les paramètres de certificat SSL/TLS :

1. Sous l’onglet Certificats , sélectionnez Utiliser le certificat auto-signé généré localement (non recommandé), puis sélectionnez l’option Confirmer .

   Pour plus d’informations, consultez Exigences de certificat SSL/TLS pour les ressources locales et Créer des certificats SSL/TLS pour les appliances OT.

2. Sélectionnez Terminer pour terminer l’installation initiale et ouvrir la console de votre capteur.

Étapes suivantes