Criar e gerir utilizadores num sensor de rede OT

Microsoft Defender para IoT fornece ferramentas para gerir o acesso de utilizadores no local no sensor de rede OT. Azure utilizadores são geridos ao nível da subscrição Azure com Azure RBAC.

Este artigo descreve como gerir utilizadores no local diretamente num sensor de rede OT.

Utilizadores com privilégios predefinidos

Por predefinição, cada sensor de rede OT é instalado com o utilizador administrador privilegiado, que tem acesso a ferramentas avançadas para resolução de problemas e configuração.

Ao configurar um sensor pela primeira vez, inicie sessão no utilizador administrador, crie um utilizador inicial com uma função de Administração e, em seguida, crie utilizadores adicionais para analistas de segurança e utilizadores só de leitura.

Para obter mais informações, consulte Instalar e configurar o sensor OT e Utilizadores com privilégios predefinidos no local.

As versões do sensor anteriores à 23.1.x também incluem o cyberx e cyberx_host utilizadores com privilégios. Nas versões 23.1.x e superiores, estes utilizadores estão instalados, mas não estão ativados por predefinição.

Para ativar o cyberx e cyberx_host utilizadores nas versões 23.1.x e superiores, como utilizá-los com a CLI do Defender para IoT, reponha a palavra-passe. Para obter mais informações, consulte Alterar a palavra-passe de um utilizador do sensor.

Configurar uma ligação do Active Directory

Recomendamos que configure utilizadores no local no sensor de OT com o Active Directory, para permitir que os utilizadores do Active Directory iniciem sessão no sensor e utilizem grupos do Active Directory, com permissões coletivas atribuídas a todos os utilizadores no grupo.

Por exemplo, utilize o Active Directory quando tiver um grande número de utilizadores aos quais pretende atribuir acesso Só de Leitura e quiser gerir essas permissões ao nível do grupo.

Dica

Quando estiver pronto para começar a gerir as definições do sensor OT em escala, defina as definições do Active Directory a partir do portal do Azure. Depois de aplicar as definições do portal do Azure, as definições na consola do sensor são só de leitura. Para obter mais informações, veja Configurar as definições do sensor OT a partir do portal do Azure (Pré-visualização pública).

Para integrar com o Active Directory:

  1. Inicie sessão no sensor OT e selecioneIntegrações>de Definições>do Sistema do Active Directory.

  2. Ative a opção Ativada pela Integração do Active Directory .

  3. Introduza os seguintes valores para o seu servidor do Active Directory:

    Nome Descrição
    FQDN do Controlador de Domínio O nome de domínio completamente qualificado (FQDN), exatamente como aparece no servidor LDAP. Por exemplo, digite host1.subdomain.contoso.com.

    Se encontrar um problema com a integração com o FQDN, marcar a configuração do DNS. Também pode introduzir o IP explícito do servidor LDAP em vez do FQDN ao configurar a integração.
    Porta do Controlador de Domínio A porta onde o LDAP está configurado. Por exemplo, utilize a porta 636 para ligações LDAPS (SSL).
    Domínio Primário O nome de domínio, como subdomain.contoso.com, e, em seguida, selecione o tipo de ligação para a configuração LDAP.

    Os tipos de ligação suportados incluem: LDAPS/NTLMv3 (recomendado), LDAP/NTLMv3 ou LDAP/SASL-MD5
    Grupos do Active Directory Selecione + Adicionar para adicionar um grupo do Active Directory a cada nível de permissão listado, conforme necessário.

    Quando introduzir um nome de grupo, certifique-se de que introduz o nome do grupo exatamente como está definido na configuração do Active Directory no servidor LDAP. Utilize estes nomes de grupo ao adicionar novos utilizadores de sensores com o Active Directory.

    Os níveis de permissão suportados incluem Só de leitura, Analista de Segurança, Administração e Domínios Fidedignos.

    Importante

    Ao introduzir parâmetros LDAP:

    • Defina os valores exatamente como aparecem no Active Directory, exceto no caso.
    • Apenas carateres minúsculos do utilizador, mesmo que a configuração no Active Directory utilize maiúsculas.
    • O LDAP e o LDAPS não podem ser configurados para o mesmo domínio. No entanto, pode configurar cada um em domínios diferentes e, em seguida, utilizá-los ao mesmo tempo.

  4. Para adicionar outro servidor do Active Directory, selecione + Adicionar Servidor na parte superior da página e defina esses valores de servidor.

  5. Quando tiver adicionado todos os servidores do Active Directory, selecione Guardar.

    Por exemplo:

    Captura de ecrã da configuração de integração do Active Directory no sensor.

Adicionar novos utilizadores do sensor OT

Este procedimento descreve como criar novos utilizadores para um sensor de rede OT específico.

Pré-requisitos: este procedimento está disponível para os utilizadores administradores, ciberxecyberx_host e qualquer utilizador com a função Administração.

Para adicionar um utilizador:

  1. Inicie sessão na consola do sensor e selecione Utilizadores>+ Adicionar utilizador.

  2. Em Criar um utilizador | Página Utilizadores , introduza os seguintes detalhes:

    Nome Descrição
    Nome de usuário Introduza um nome de utilizador relevante para o utilizador.
    Email Introduza o endereço de e-mail do utilizador.
    Nome Introduza o nome próprio do utilizador.
    Sobrenome Introduza o apelido do utilizador.
    Função Selecione uma das seguintes funções de utilizador: Administração, Analista de Segurança ou Só de Leitura. Para obter mais informações, veja Funções de utilizador no local.
    Password Selecione o tipo de utilizador, Utilizador Local ou Do Active Directory.

    Para utilizadores locais, introduza uma palavra-passe para o utilizador. Os requisitos de palavra-passe incluem:
    - Pelo menos oito carateres
    - Carateres alfabéticos em minúsculas e maiúsculas
    - Pelo menos um número
    - Pelo menos um símbolo

    As palavras-passe de utilizador locais só podem ser modificadas por utilizadores Administração.

    Dica

    A integração com o Active Directory permite-lhe associar grupos de utilizadores a níveis de permissão específicos. Se quiser criar utilizadores com o Active Directory, configure primeiro uma ligação do Active Directory e, em seguida, regresse a este procedimento.

  3. Quando concluir, clique em Salvar.

O novo utilizador é adicionado e está listado na página Utilizadores do sensor.

Para editar um utilizador, selecione o ícone Editar para o utilizador que pretende editar e altere os valores conforme necessário.

Para eliminar um utilizador, selecione o botão Eliminar para o utilizador que pretende eliminar.

Alterar a palavra-passe de um utilizador do sensor

Este procedimento descreve como Administração utilizadores podem alterar palavras-passe de utilizador locais. Administração utilizadores podem alterar palavras-passe para si próprios ou para outros utilizadores analistas de segurança ou só de leitura. Os utilizadores com privilégios podem alterar as suas próprias palavras-passe e as palavras-passe de Administração utilizadores.

Dica

Se precisar de recuperar o acesso a uma conta de utilizador com privilégios, veja Recuperar o acesso privilegiado a um sensor.

Pré-requisitos: este procedimento está disponível apenas para os utilizadores do cyberx, administrador ou cyberx_host ou para utilizadores com a função Administração.

Para alterar a palavra-passe de um utilizador num sensor:

  1. Inicie sessão no sensor e selecione Utilizadores.

  2. Na página Utilizadores do sensor, localize o utilizador cuja palavra-passe tem de ser alterada.

  3. À direita dessa linha de utilizador, selecione o menu > de opções (...) Editar para abrir o painel de utilizador.

  4. No painel do utilizador à direita, na área Alterar palavra-passe , introduza e confirme a nova palavra-passe. Se estiver a alterar a sua própria palavra-passe, também terá de introduzir a sua palavra-passe atual.

    Os requisitos de palavra-passe incluem:

    • Pelo menos oito carateres
    • Carateres alfabéticos em minúsculas e maiúsculas
    • Pelo menos um número
    • Pelo menos um símbolo

  5. Quando concluir, clique em Salvar.

Recuperar o acesso privilegiado a um sensor

Este procedimento descreve como recuperar o acesso privilegiado a um sensor, para os utilizadores do cyberx, administrador ou cyberx_host . Para obter mais informações, veja Utilizadores com privilégios predefinidos no local.

Pré-requisitos: este procedimento está disponível apenas para os utilizadores do cyberx, administrador ou cyberx_host .

Para recuperar o acesso privilegiado a um sensor:

  1. Comece a iniciar sessão no sensor de rede OT. No ecrã de início de sessão, selecione a ligação Repor . Por exemplo:

    Captura de ecrã do ecrã de início de sessão do sensor com a ligação Repor palavra-passe.

  2. Na caixa de diálogo Repor palavra-passe, no menu Escolher utilizador, selecione o utilizador cuja palavra-passe está a recuperar, cyberx, Administração ou CyberX_host.

  3. Copie o código de identificador exclusivo apresentado no identificador Repor palavra-passe para a área de transferência. Por exemplo:

    Captura de ecrã a mostrar a caixa de diálogo Repor palavra-passe no sensor OT.

  4. Aceda à página Sites e sensores do Defender para IoT na portal do Azure. Poderá querer abrir o portal do Azure num novo separador ou janela do browser, mantendo o separador do sensor aberto.

    No seu portal do Azure definições >Diretórios + subscrições, certifique-se de que selecionou a subscrição onde o sensor foi integrado no Defender para IoT.

  5. Na página Sites e sensores , localize o sensor com o qual está a trabalhar e selecione o menu de opções (...) no lado direito >Recuperar a minha palavra-passe. Por exemplo:

    Captura de ecrã a mostrar a opção Recuperar a minha palavra-passe na página Sites e sensores.

  6. Na caixa de diálogo Recuperar que é aberta, introduza o identificador exclusivo que copiou para a área de transferência a partir do sensor e selecione Recuperar. É transferido automaticamente um ficheiro depassword_recovery.zip .

    Todos os ficheiros transferidos do portal do Azure são assinados por raiz de fidedignidade para que os computadores utilizem apenas recursos assinados.

  7. Novamente no separador do sensor, no ecrã Recuperação de palavras-passe , selecione Selecionar ficheiro. Navegue para e carregue o ficheiro depassword_recovery.zip que transferiu anteriormente a partir do portal do Azure.

    Observação

    Se for apresentada uma mensagem de erro a indicar que o ficheiro é inválido, poderá ter uma subscrição incorreta selecionada nas definições de portal do Azure.

    Volte a Azure e selecione o ícone de definições na barra de ferramentas superior. Na página Diretórios + subscrições , certifique-se de que selecionou a subscrição onde o sensor foi integrado no Defender para IoT. Em seguida, repita os passos no Azure para transferir o ficheiro depassword_recovery.zip e carregá-lo novamente no sensor.

  8. Selecione Avançar. É apresentada uma palavra-passe gerada pelo sistema para o sensor que pode utilizar para o utilizador selecionado. Certifique-se de que anota a palavra-passe, uma vez que não será apresentada novamente.

  9. Selecione Seguinte novamente para iniciar sessão no sensor com a nova palavra-passe.

Definir o número máximo de inícios de sessão falhados

Utilize o acesso da CLI do sensor OT para definir o número máximo de inícios de sessão com falhas antes de um sensor de OT impedir o utilizador de iniciar sessão novamente a partir do mesmo endereço IP.

Para obter mais informações, veja Acesso e utilizadores da CLI do Defender para IoT.

Pré-requisitos: este procedimento está disponível apenas para o utilizador do cyberx .

  1. Inicie sessão no sensor de OT através de SSH e execute:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. No ficheiro settings.py , defina o "MAX_FAILED_LOGINS" valor como o número máximo de inícios de sessão falhados que pretende definir. Certifique-se de que considera o número de utilizadores simultâneos no seu sistema.

  3. Saia do ficheiro e execute sudo monit restart all para aplicar as alterações.

Próximas etapas

Para obter mais informações, veja Auditar a atividade do utilizador.

  • Last updated on